防火墙双机热备

微笑的段嘉许 2023-03-28 原文

防火墙双击热备

?博客主页：微笑的段嘉许博客主页
?欢迎关注?点赞?收藏⭐留言?
?本文由微笑的段嘉许原创！
?51CTO首发时间：?2022年10月4日?
✉️坚持和努力一定能换来诗与远方！
?作者水平很有限，如果发现错误，一定要及时告知作者哦！感谢感谢！

⭐本文介绍⭐

一提到防火墙，一般会联想到企业的边界设备，防火墙一般放置在内网和互联网的必经之路。防火墙承载了非常多的功能；如安全规则、防病-毒、IPS、文件类型过、内容过滤、应用层探测等。也正是因为防火墙如此重要，从另外一个角度看，一旦防火墙出现问题，所有的对外通信及对DMZ服务器的通信都将中断，所以企业还要考虑防火墙‘’‘’‘’‘’‘’‘’自身的优化及高可用性。本文介绍华为防火墙的高可用技术。

?理论讲解：

双机热备的工作原理

华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡，两台防火墙相互协同工作，犹如一个更大的防火墙。

如下图所示，企业中在关键的业务出口部署一台防火墙，所有的对外流量都经过防火墙传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好、功能有多强，在这一刻，都无法挽回企业面临的损失。所以，通过在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

华为防火墙的双机热备包含一下两种模式

热备模式：同一时间只有一台防火墙转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表。

负载均衡模式：同一时间，多台防火墙同时准发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙既是主用设备也是备用设备，防火墙之间同步会话表及Server-map表。

VRRP协议

在双机热备技术中，即使选举出了主用设备和备用设备，默认情况下流量也通过主用设备转发，而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口，当客户机将网关指向主用设备时，流量自然从主用设备转发，但是当主用设备故障时，客户机并不会将网关自动指向备用设备，所以即使双机热备本身可以切换，客户机也依然无法正常通信。所以要保证双机热备可以正常工作，还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题，甚至还能让设备切换对客户机而言时透明的。在华为防火墙的双机热备技术中，VRRP是非常重要的一个组成部分。

VRRP概论

VRRP路由器：运行VRRP协议的路由器。
虚拟路由器：由一个主用路由器和若干个备用路由器组成的一个备份组，一个备份组对客户端提供一个虚拟网关。
VRID：Virtual　Router　ID，虚拟路由器标识，用来唯一的表示一个备份组。
虚拟IP地址：提供给客户端的网关IP地址，也是分配给虚拟路由器的IP地址，在所有的VRRP中配置，只有主要设备提供IP地址的ARP响应。
虚拟MAC地址：基于VRID生成的用于VRRP的MAC地址，在客户端通过ARP协议解析网关的MAC地址时，主要路由器将提供该MAC地址。
IP地址拥有者：若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址，那么该成员被称为IP地址拥有者。
优先级：用于标识VRRP路由器的优先级，并通过每个VRRP路由器的优先级选举主要设备及备用设备。
抢占模式：在抢占模式下，如果备用路由器的优先级高于备份组中的其他路由器（包括当前的主要路由器），将立即称为新的主要路由器。
非抢占模式：在非抢占模式下，如果备用路由器的优先级高于备份组中的其他路由器（包括当前的主用路由器），则不会立即成为主用路由器，直到下一次公平选举（如断电、设备重启等）
VRRP的工作原理和Cisco的HSRP基本相同，只是在细节上有些区别

VRRP时公有协议，而HSRP是Cisco专有协议。
VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址，而HSRP不可以
VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID，而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号
VRRP的状态机有三个，而HSRP的状态机包含五个（初始、学习、监听、发言、备份、活动）
VRRP只有一种报文，VRRP通告报文由主用路由器发出，用于检测虚拟路由器的参数，同时用于主用路由器的选举。而HSRP有三种报文（hell、政变、辞职）
VRRP不支持接口跟踪，而HSRP支持。

VRRP的角色

工作在VRRP模式下的路由器有两种角色，分别是Master路由器和Backup路由器。

Master路由器：正常情况下由Master路由器负责ARP响应及提供数据包的转发，并且默认每个1s 向其他路由器通告Master路由器当前的状态信息
Backup路由器：是Master路由器的备用路由器，正常情况下不提供数据包的转发，当Master路由器故障时，在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器，接替转发数据包的工作，从而保证业务不中断。

VRRP的状态机

VRRP定义了三种工作状态，分别时Initialize（初始）Master（活动状态）和Backup（备份状态）

Initialize状态：刚配置了VRRP时的初始状态。该状态下，不对VRRP报文做任何处理，当接口Shutdown或接口故障时也将进入该状态。
Master状态：当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文，并周期性地发送VRRP通告报文，处于该状态地路由器还将响应客户机发送地ARP请求，并将虚拟MAC地址回送客户机。当接口关闭时，将立即切换至Initialize状态。
backup状态：当前设备选举成为备用路由器时的一种状态。该状态不转发任何业务报文，工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文，并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息。

三种状态之间的切换关系如下图所示

VGMP的工作原理表现

VGMP组的状态决定了VRRP备份组的状态，即设备的角色（如Master和Backup）不通过VRRP报文选举，而是直接通过VGMP统一管理。
VGMP组的状态通过比较优先级决定，优先级高的VGMP组将成为Active，优先级低的VGMP组将成为Standby。
默认情况下，VGMP组的优先级为4500
VGMP根据组内VRRP备份组的状态自动调正优先级，一旦检测到备份组的状态变成Initialize状态，VGMP组的优先级会自动减2
VGMP通过心跳线协商VGMP状态信息、

下面通过一个示例分析VGMP的工作原理，如图：

?友情提示：

在加入了VGMP组之后，VRRP中的状态标识从Master和Backup变成Active和Standby。

VGMP的报文封装

VGMP通过心跳线协商VGMP的状态信息，通过发送VGMP报文实现，VGMP报文有一下两种形式

在实际应用中，应根据实际的拓扑灵活选择报文封装。在华为防火墙中，通过一下命令指定通过接口的报文属于哪种类型的封装。

[USG6000V1]hrp interface GigabitEthernet 1/0/0  //eNSP模拟器中不支持该配置
[USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1

其中hrp命令用来指定用于心跳链路的接口，带remote参数的命令表示报文将封装UDP，并发送单薄报文，不带remote参数的命令表示将发送组播报文。1.1.1.1标识对端设备（心跳线对端接口）的IP地址，该地址要求可路由，只有指定remote参数时才需要指定。

双机热备的备份方式

双机热备的备份方式包括一下三种

自动备份：该模式下，和双机热备有关的配置命令只能在主用设备上配置，并自动同步到备用设备中，主要设备自动将状态信心同步到备用设备中。该模式是华为防火墙的默认开启模式，主要应用于热备模式。
手工批量备份：该模式下，主用设备上所有的配置命令和状态信息，只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主备设备配置不同步，需要立即进行同步的场景中。
快速备份：该模式下，不同步配置命令，只同步状态信息。在负载均衡方式的双机热备坏境中，该模式必须启用，以快速更新状态信息。

?实验配置与实现：

拓扑图：

推荐步骤：

将防火墙接口划分到指定的区域给防火墙接口配置IP地址查看接口配置IP地址

配置防火墙安全策略允许local访问DMZ，允许Trust访问Untrust

在FW1和FW2配置VRRP，FW1为Trust和Untrust区域的master设备，FW2为VRRP的Backup设备

在FW1启动双机热备，配置防火墙的DMZ区域接口为心跳网络通过VGMP检测VRRP故障

PC2访问PC1将FW1内网接口关闭在FW2抓包验证防火墙双机热备

实验步骤：

一、将防火墙接口划分到指定的区域给防火墙接口配置IP地址查看接口配置IP地址

1、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址

1）进入到指定区域、接口加入指定的区域

2）配置IP地址

3）查看配置的IP地址

4）允许ping防火墙

2、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址

1）进入到指定区域、接口加入到指定的区域

2）配置IP地址、允许ping防火墙

3）查看配置的IP地址

二、配置防火墙安全策略允许local访问DMZ，允许Trust访问Untrust

1、防火墙FW1配置安全策略允许local访问DMZ，允许Trust访问Untrust

1）FW1配置安全策略

2、防火墙FW2配置安全策略允许local访问DMZ，允许Trust访问Untrust

1）FW2配置安全策略

三、在FW1和FW2配置VRRP，FW1 为Trust和Untrust区域的master设备，FW2为VRRP的Backup设备

1、在防火墙FW1配置VRRP为TRust和Untrust区域的master设备

1）进入接口

2）指定VRRP的ID号和客户端网关配置为master

3）查看配置的VRRP

4）进入接口

5）指定VRRP的ID号和客户端网关配置master

6）查看配置的VRRP

2、在防火墙FW2配置VRRP为TRust和Untrust区域的Backup设备

1）进入接口

2）指定VRRP的ID号和客户端网关配置为Backup

3）查看配置的VRRP

4）进入接口

5）指定VRRP的ID号和客户端网关配置为Backup

6）查看配置的VRRP

3、客户端配置IP地址

1）PC1配置IP地址

-2）PC2配置IP地址

4、测试直连路由

1）PC1：

2）PC2：

四、在FW1启动双机热备，配置防火墙的DMZ区域接口为心跳网络通过VGMP检测VRRP故障

1、在防火墙FW1启动双机热备份

1）传输心跳信息互指IP地址

2）启动双机热备份

3）指定双机热备份

2、在防火墙FW2启动双机热备份