華爲USG防火牆雙機熱備(業務口工做在三層上下行鏈接交換機)

時間  2021-01-19
標籤 安全 session ide 測試 spa server blog 接口 欄目 系統安全 简体版
原文   原文鏈接

防火牆雙機熱備與路由/交換機相比較的話,最主要的是會話備份的功能,路由器/交換機主備切換路由能轉發就OK,防火牆須要匹配會話。安全

 

防火牆雙機熱備的三個協議session

 

VRRP:虛擬路由冗餘協議,在防火牆雙機熱備種主要做用是檢測主備是否正常ide

VGMP:在防火牆雙機熱備中主備切換不在使用VRRP,而是將VRRP加入VGMP中由VGMP來管理主備切換。默認狀況下主設備VGMP優先級爲65001,備用設備優先級爲65000。每當VGMP管理組中的一個VRRP出現故障那麼VGMP的優先級減2測試

HRP:指定心跳口,用來備份會話表,server-map,以及一些命令等。ui


實驗拓撲spa

wKiom1cDcFiBOqN_AAB1QtTlNzk539.png


環境描述server

FW1FW2G0/0/0屬於untrust區域,G0/0/1做爲心跳口屬於DMZ區域,G0/0/2屬於untrust區域。blog

VRRP1的虛擬IP192.168.10.1/24接口

VRRP2的虛擬IP192.168.20.1/24ip

 

實驗目標

要求C1可以訪問C2

完成流量倒換測試

觀察VGMP優先級變化


FW1配置

--------------------------將接口加入對應的安全區域----------------------------------

[FW1]firewall zone trust

[FW1-zone-trust]add int g0/0/0

[FW1-zone-trust]quit

[FW1]firewall zone dmz

[FW1-zone-dmz]add intg0/0/1

[FW1-zone-dmz]quit

[FW1]firewall zone untrust

[FW1-zone-untrust]add int g0/0/2

[FW1-zone-untrust]quit

 

---------------------------------配置接口IP地址--------------------------------------------------

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.10.254 24

[FW1-GigabitEthernet0/0/0]int g0/0/1

[FW1-GigabitEthernet0/0/1]ip add 10.10.10.1 24

[FW1-GigabitEthernet0/0/1]int g0/0/2

[FW1-GigabitEthernet0/0/2]ip add 192.168.20.254 24

[FW1-GigabitEthernet0/0/2]quit

 

------------------VRRP配置--------------------------------------------------------------------

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 master

//將接口加入VRRP 1中虛擬IP地址爲192.168.10.1狀態爲主

[FW1-GigabitEthernet0/0/0]vrrp virtual-mac enable

//開啓虛擬MAC地址功能,必須開啓

[FW1]int g0/0/2

[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 192.168.20.1 master

[FW1-GigabitEthernet0/0/2]vrrp virtual-mac enable

 

[FW1]hrp enable            //開啓hrp

[FW1]hrp auto-sync                //啓用命令與狀態信息的自動備份

[FW1]hrp mirror session enable    //啓動會話快速備份

[FW1]hrp int g0/0/1              //指定心跳接口

 

 

FW2配置

 

[FW2]firewall zone trust

[FW2-zone-trust]add int g0/0/0

[FW2-zone-trust]quit

[FW2]firewall zone dmz

[FW2-zone-dmz]add int g0/0/1

[FW2-zone-dmz]quit

[FW2]firewall zone untrust

[FW2-zone-untrust]add int g0/0/2

[FW2-zone-untrust]quit

 

[FW2]int g0/0/0

[FW2-GigabitEthernet0/0/0]ip add 192.168.10.253 24

[FW2-GigabitEthernet0/0/0]int g0/0/1

[FW2-GigabitEthernet0/0/1]ip add 10.10.10.2 24

[FW2-GigabitEthernet0/0/1]int g0/0/2

[FW2-GigabitEthernet0/0/2]ip add 192.168.20.253 24

[FW2]int g0/0/0

[FW2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 slave

[FW2-GigabitEthernet0/0/0]vrrp virtual-mac enable

[FW2]int g0/0/2

[FW2-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 192.168.20.1 slave

[FW2-GigabitEthernet0/0/2]vrrp virtual-mac enable

[FW2-GigabitEthernet0/0/2]quit

[FW2]hrp enable

[FW2]hrp auto-sync

[FW2]hrp mirror session enable

[FW2]hrp int g0/0/1

 

這樣雙機熱備就配置完成了,若是想要通訊還需配置區域間的安全策略,在主設備上配置安全策略會自動同步到備用設備,在備用設備上是沒法配置的

 

HRP_M[FW1]policyinterzone local untrust inbound

HRP_M[FW1-policy-interzone-local-untrust-inbound]policy 1

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]policy source 192.168.20.0 0.0.0.255

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]action permit

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]quit

HRP_M[FW1-policy-interzone-local-untrust-inbound]quit

HRP_M[FW1]policyinterzone trust untrust outbound

HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 1

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]action permit



測試連通性

wKioL1cDck3wvE3rAABgNh8bIe8470.png


使用display hrp group 命令查看VGMP的優先級

wKiom1cDccagDNXQAABQYK6VVgQ221.png

如圖能夠看出主設備的優先級爲65001

wKioL1cDcqjTOKeVAABO_wE7rEM964.png

如圖能夠看出備用設備的VGPM優先級65000

 

能夠使用display hrp state查看當前hrp的狀態

FW1

wKiom1cDciKAdLBeAAAl7GwWGac767.png

FW2

wKiom1cDckDRpl3MAAAi9dx8iJQ845.png


使用display vrrp能夠查看vrrp組信息

 

FW1

 

HRP_M[FW1]dis vrrp

11:07:10  2016/04/05

  GigabitEthernet0/0/2 | Virtual Router 2

    VRRP Group : Master

    state : Master

    Virtual IP : 192.168.20.1

    Virtual MAC : 0000-5e00-0102

    Primary IP : 192.168.20.254

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

    Check TTL : YES


  GigabitEthernet0/0/0 | Virtual Router 1

    VRRP Group : Master

    state : Master

    Virtual IP : 192.168.10.1

    Virtual MAC : 0000-5e00-0101

    Primary IP : 192.168.10.254

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

Check TTL : YES



FW 2 

HRP_S[FW2]dis vrrp

11:09:00  2016/04/05

  GigabitEthernet0/0/2 | Virtual Router 2

    VRRP Group : Slave

    state : Backup

    Virtual IP : 192.168.20.1

    Virtual MAC : 0000-5e00-0102

    Primary IP : 192.168.20.253

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

    Check TTL : YES

 

 

  GigabitEthernet0/0/0 | Virtual Router 1

    VRRP Group : Slave

    state : Backup

    Virtual IP : 192.168.10.1

    Virtual MAC : 0000-5e00-0101

    Primary IP : 192.168.10.253

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

    Check TTL : YES


流量倒換測試

 

C1上一直ping C2 FW1G0/0/2接口down

wKiom1cDcnDja0hTAACEBjiHU8A960.png


wKioL1cDczPQIMEvAAASlvAZhsA919.png


wKioL1cDc0_CupC4AAFlW8BQepY025.png

由上圖能夠看出丟了2個包後數據正常轉發


再次查看FW1FW2VGMP優先級


FW1

wKiom1cDczyBmeoBAABMvU0lsgc786.png


FW2

wKiom1cDc1eiWINvAABGuz8waJw198.png

由上圖能夠看出因爲VRRPdown了一個因此優先級減2,本來的FW165001變成了64999,因爲優先級小於FW2優先級因此狀態轉換成Backup

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程