双机热备三大协议:
一、VRRP
含义:两台路由器(防火墙)接口绑定加入到同一个“备份组”,一主一备,两台路由器共享“vip(虚拟ip地址)”,“(虚MAC)”。
vrrp是一种容错协议,保证当主机的下一跳出现故障时,由备份路由器自动替代出现故障的路由器完成转发任务,从而保证网络通信的连续性和可靠性。
原理:
- 当网络请求vip(虚拟ip)时,只有主设备响应;
- vrrp通告报文以组播(224.0.0.18)发送;
提示:只有主设备才会周期性发送vrrp通告报文(其中带有的源MAC为虚拟MAC)
3.备设备3倍周期内收不到vrrp报文,备设备转为主设备;
4.备设备转为主设备后会发送免费ARP;
免费ARP:1.切换到主设备后立马发送,2.检测ip冲突作用,3.引流
5.设备上不同的VRRP是互相独立的;
二、VGMP(vrrp组管理协议)
含义:提供VGMP管理组,解决了多个VRRP备份组状态不一致的问题,将运行VRRP功能的接口统一加入到一个VGMP组中,并且在同一个组内各个接口状态一致,控制统一切换。
原理:
- VGMP组的状态决定了组内VRRP备份组的状态,也决定了防火墙的主备状态;
- VGMP组状态通过优先级决定,分别为active和standby
active(优先级:65001)
standb(优先级:65000)
3.VGMP组的成员(即vrrp接口),有一个故障,会导致VGMP优先级-2;
4.两台防火墙之间通过VGMP报文协商主备;
三、HRP
含义:实现双机之间数据同步及关键配置命令备份
hrp心跳报文:主设备周期性通过心跳线发送至备设备,告知自身状态信息,心跳包用于探测对端的VGMP组是否处于工作状态。
hrp数据报文:主设备周期性向备设备同步数据。同步数据包括:会话表,Server-map,配置,安全策略,状态信息等。
注意:不同步配置信息有:1.路由信息;2.调试命令(display);3.接口下的命令
双机热备应用场景(上路下交):
1.拓扑图
2.拓扑分析:
如图防火墙上方接路由器,下接交换机,
防火墙招式详解: 1.VGMP与VRRP的配合只适用于防火墙连接 二层设备的组网;
2.防火墙与连接路由器时VGMP组无法使用VRRP备份组,而是使用直接监控接口状态;
3.配置步骤
提示:双机热备方式有1.主备备份和2.负载分担(主主备份),本次以主备方式配置。
步骤一:如拓扑图所示完成接口配置,划分区域:防火墙上方为untrust,心跳线为dmz,防火墙下方为trust,并在R1,FW1,FW2,上配置ospf,使pc1到pc2之间路由可达
R1上:
ospf 1
area 0.0.0.0
network 20.1.1.0 0.0.0.255
network 30.1.1.0 0.0.0.255
network 40.1.1.0 0.0.0.255
FW1:
划分区域:(FW2相同配置)
trust
GigabitEthernet1/0/1
untrust
GigabitEthernet1/0/0
dmz
GigabitEthernet1/0/5
ospf 1
area 0.0.0.0
network 8.8.8.0 0.0.0.255
network 10.1.1.0 0.0.0.255
network 30.1.1.0 0.0.0.255
FW2:
划分区域:
trust
GigabitEthernet1/0/1
untrust
GigabitEthernet1/0/0
dmz
GigabitEthernet1/0/5
ospf 1
area 0.0.0.0
network 8.8.8.0 0.0.0.255
network 10.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
步骤二:配置VGMP组直接监控接口
FW1:
hrp track interface GigabitEthernet1/0/0
(默认情况为负载均衡,优先级active=standby=45000)
FW2:
hrp track interface GigabitEthernet1/0/0
步骤三:配置心跳线
FW1:
hrp interface GigabitEthernet1/0/5 remote 8.8.8.22
(指定g1/0/5接口为心跳口,remote对端ip为8.8.8.22)
FW2:
hrp interface GigabitEthernet1/0/5 remote 8.8.8.21
步骤四:配置vrrp
FW1:
interface GigabitEthernet1/0/1
vrrp vrid 10 virtual-ip 10.1.1.254 active
FW2:
interface GigabitEthernet1/0/1
vrrp vrid 10 virtual-ip 10.1.1.254 standby
(注意:vrid 10,virtual-ip 10.1.1.254 两台防火墙要相同,vrid 10 对应vrrp组中虚MAC地址为 00-00-5e-00-01-0a,virtual-ip 10.1.1.254即pc2网关)
步骤五:配置自动调cost功能
[FW1]hrp adjust ospf-cost enable (FW2相同配置)
步骤六:指定FW2为备墙 (成为主备备份方式)
[FW2]hrp standby-device
步骤七:两台防火墙开启hrp
hrp enable
步骤八:安全策略
FW1上配置,会同步到FW2
security-policy
rule name pc1_pc2
source-zone trust
destination-zone untrust
action permit
步骤九:配置抢占延时,默认60s
抢占延时配置原因:1.路由需一定时间收敛;2.会话表是周期性同步也需要一定时间;
该命令只在FW1上配置
[FW1] hrp preempt delay 20
4.查看结果
查看会话表:
FW1:
FW2:
发现会话表已同步,这里的HRP_M[FW1],HRP_S[FW2]中M和S并不一定该设备是master或standby,这里只是显示配置主/备设备,要查看该设备是主备使用 display hrp state 命令。
如图发现,本设备为active,对端设备为standby。
验证:
1.使pc1长ping pc2
2.断开FW1到R1链路,查看防火墙状态
发现链路短暂断开后重新建立连接:
查看FW1,FW2状态:
发现此时FW1为standby,FW2为active,实现主备切换。
今天的文章防火墙双机热备的配置和实现_防火墙硬件设备分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/88570.html
