eudemon防火墻雙機(jī)熱備配置指導(dǎo)書(shū)

《eudemon防火墻雙機(jī)熱備配置指導(dǎo)書(shū)》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、華為產(chǎn)品維護(hù)資料防火墻雙機(jī)熱備配置指導(dǎo)書(shū)防火墻雙機(jī)熱備配置指導(dǎo)書(shū)目錄聲明i技術(shù)支持i防火墻雙機(jī)熱備配置指導(dǎo)書(shū)11防火墻雙機(jī)熱備配置指導(dǎo)書(shū)11.1傳統(tǒng)維護(hù)鏈路穩(wěn)定性的方法11.2引入雙機(jī)熱備的必要性21.3防火墻雙機(jī)熱備的基本工作原理41.4防火墻雙機(jī)熱備的基本配置141.5雙機(jī)熱備的各種組網(wǎng)方案以及有缺點(diǎn)301.6雙機(jī)熱備的缺陷和技術(shù)發(fā)展371.7雙機(jī)熱備的應(yīng)用案例38i防火墻雙機(jī)熱備配置指導(dǎo)書(shū)1防火墻雙機(jī)熱備配置指導(dǎo)書(shū)在當(dāng)前的組網(wǎng)應(yīng)用中，用戶對(duì)網(wǎng)絡(luò)可靠性的要求越來(lái)越高，特別是在一些重點(diǎn)的業(yè)務(wù)入口或接入點(diǎn)上需要保證網(wǎng)絡(luò)的不間斷運(yùn)行。象企業(yè)的internet接入點(diǎn)，銀行

2、的數(shù)據(jù)庫(kù)服務(wù)器等，對(duì)于這樣一些重要的業(yè)務(wù)點(diǎn)如何保證網(wǎng)絡(luò)的不間斷傳輸，成為必須解決的一個(gè)問(wèn)題。在這種業(yè)務(wù)點(diǎn)上如果只使用一臺(tái)設(shè)備的話，無(wú)論其可靠性多高，系統(tǒng)都必然要承受因單點(diǎn)故障而導(dǎo)致網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)。而防火墻正是作為內(nèi)外網(wǎng)的一個(gè)接入點(diǎn)上，為了防止一臺(tái)設(shè)備出現(xiàn)故障導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷，故此如何維護(hù)網(wǎng)絡(luò)穩(wěn)定性是急需解決的問(wèn)題。1.1傳統(tǒng)維護(hù)鏈路穩(wěn)定性的方法圖1傳統(tǒng)鏈路組網(wǎng)方式傳統(tǒng)的組網(wǎng)方式下當(dāng)鏈路中斷后，就會(huì)導(dǎo)致業(yè)務(wù)中斷，也就是我們俗稱(chēng)的單點(diǎn)故障，如上圖所示，當(dāng)路由器出現(xiàn)單點(diǎn)故障后，整個(gè)鏈路就會(huì)中斷，這樣對(duì)于重要的業(yè)務(wù)點(diǎn)如：電信，銀行等部門(mén)就會(huì)帶來(lái)巨大的影響和損失。為了避免由于單

3、點(diǎn)故障而導(dǎo)致的業(yè)務(wù)中斷，從而形成多條鏈路的保護(hù)機(jī)制，如下圖所示。圖2采用多條鏈路的鏈路保護(hù)機(jī)制39采用多條鏈路的保護(hù)機(jī)制，依靠動(dòng)態(tài)路由協(xié)議進(jìn)行鏈路切換。但這種路由協(xié)議來(lái)進(jìn)行切換保護(hù)的方式存在一定的局限性，當(dāng)不能使用動(dòng)態(tài)路由協(xié)議時(shí)，仍然會(huì)導(dǎo)致鏈路中斷的問(wèn)題。例如：如上圖所示，如果內(nèi)部網(wǎng)絡(luò)直接連到路由器上，由于PC機(jī)上無(wú)法執(zhí)行動(dòng)態(tài)路由只能使用靜態(tài)路由方式，從而指定PC下一跳的固定的路由器接口，當(dāng)鏈路中斷后，無(wú)法實(shí)現(xiàn)鏈路切換。因此推出了另一種保護(hù)機(jī)制VRRP（虛擬路由冗余協(xié)議）來(lái)進(jìn)行。圖3采用VRRP進(jìn)行鏈路保護(hù)機(jī)制采用VRRP的鏈路保護(hù)機(jī)制比依賴(lài)動(dòng)態(tài)路由協(xié)議的廣播報(bào)文來(lái)進(jìn)

4、行鏈路切換的時(shí)間更短，同時(shí)彌補(bǔ)了不能使用動(dòng)態(tài)路由情況下的鏈路保護(hù)。這種保護(hù)的機(jī)制是：VRRP將局域網(wǎng)的一組路由器組織成一個(gè)虛擬路由器，稱(chēng)之為一個(gè)備份組。其中僅有一臺(tái)設(shè)備處于活動(dòng)狀態(tài)（Master）并承擔(dān)報(bào)文轉(zhuǎn)發(fā)任務(wù)，其余設(shè)備都處于備份狀態(tài)，并隨時(shí)按照優(yōu)先級(jí)高低做好接替任務(wù)的準(zhǔn)備。如上圖所示，內(nèi)部網(wǎng)絡(luò)設(shè)備只需將網(wǎng)關(guān)執(zhí)行虛擬IP，而不需要指向固定的接口，依靠VRRP協(xié)議進(jìn)行鏈路切換。1.1引入雙機(jī)熱備的必要性1.為什么要引入雙機(jī)熱備雖然存在這么兩種鏈路保護(hù)的機(jī)制，為什么防火墻還要提出雙機(jī)熱備呢？（1）報(bào)文的轉(zhuǎn)發(fā)機(jī)制不同。對(duì)于路由器來(lái)說(shuō)，業(yè)務(wù)中的每個(gè)數(shù)據(jù)包都會(huì)逐包轉(zhuǎn)發(fā)，即每

5、個(gè)報(bào)文都會(huì)查路由表當(dāng)匹配上后才進(jìn)行轉(zhuǎn)發(fā)，當(dāng)鏈路切換后，后續(xù)報(bào)文不會(huì)受到影響，繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。而由于Eudemon是狀態(tài)防火墻，只會(huì)對(duì)業(yè)務(wù)中首包進(jìn)行檢查，如果首包允許通過(guò)會(huì)建立一條五元組的會(huì)話連接，只有命中該會(huì)話表項(xiàng)的后續(xù)報(bào)文（包括返回報(bào)文）才能夠通過(guò)Eudemon防火墻，如果鏈路切換后，后續(xù)報(bào)文找不到正確的表項(xiàng)，會(huì)導(dǎo)致業(yè)務(wù)中斷。其實(shí)對(duì)于路由器當(dāng)配置NAT后也會(huì)存在同樣的問(wèn)題，因?yàn)樵谶M(jìn)行NAT后會(huì)形成一個(gè)NAT轉(zhuǎn)換后的表項(xiàng)。（2）VRRP在防火墻應(yīng)用的缺陷39每個(gè)備份組的VRRP是單獨(dú)工作的，并且每個(gè)VRRP狀態(tài)相對(duì)獨(dú)立，因此無(wú)法保證同一防火墻上各接口的VRRP狀態(tài)都為主

6、用或都為備用。1.什么是雙機(jī)熱備雙機(jī)熱備，所謂雙機(jī)熱備其實(shí)是雙機(jī)狀態(tài)備份，當(dāng)兩臺(tái)防火墻，在確定主從防火墻后，由主防火墻進(jìn)行業(yè)務(wù)的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時(shí)主防火墻會(huì)定時(shí)向從防火墻發(fā)送狀態(tài)信息和需要備份的信息，當(dāng)主防火墻出現(xiàn)故障后，從防火墻會(huì)及時(shí)接替主防火墻上的業(yè)務(wù)運(yùn)行。狀態(tài)備份最主要的優(yōu)點(diǎn)，是可以保護(hù)當(dāng)前業(yè)務(wù)不會(huì)中斷，例如語(yǔ)音電話，如果防火墻不具備狀態(tài)熱備功能，倒換后，當(dāng)前正在通的電話會(huì)中斷，只有重新?lián)艽颍邆錉顟B(tài)熱備功能后，就不存在這個(gè)問(wèn)題。圖4雙機(jī)熱備基本組網(wǎng)2.如何實(shí)現(xiàn)雙機(jī)熱備圖5雙機(jī)熱備實(shí)現(xiàn)組網(wǎng)圖實(shí)現(xiàn)雙機(jī)熱備的基本步驟：（1）在接口上配置VRRP（虛

7、擬路由器冗余協(xié)議）備份組，來(lái)發(fā)現(xiàn)防火墻的故障情況；39（2）將VRRP備份組加入到VGMP（VRRP組管理協(xié)議）中，以實(shí)現(xiàn)對(duì)VRRP管理組的統(tǒng)一管理；（3）使能HRP（華為冗余協(xié)議），實(shí)現(xiàn)雙機(jī)情況下的信息備份。兩臺(tái)防火墻形成雙機(jī)熱備，兩臺(tái)防火墻之間通過(guò)VRRP的hello報(bào)文協(xié)商主備關(guān)系，根據(jù)VGMP的優(yōu)先級(jí)和接口的IP從而確定防火墻的master和slave關(guān)系，并且master防火墻會(huì)通過(guò)HRP協(xié)議定時(shí)向slave傳送備份信息（命令行備份信息和動(dòng)態(tài)備份信息），當(dāng)master防火墻出現(xiàn)故障時(shí)，主備關(guān)系發(fā)生轉(zhuǎn)換，業(yè)務(wù)會(huì)平滑切換，不會(huì)影響這個(gè)業(yè)務(wù)的進(jìn)行