華爲防火牆實現雙機熱備配置詳解

一提到防火牆，通常都會想到企業的邊界設備，是內網用戶與互聯網的必經之路。防火牆承載了很是多的功能，好比：安全規則、IPS、文件類型過濾、內容過濾、應用層過濾等。也正是由於防火牆如此的重要，若是防火牆一旦出現問題，全部對外通訊的服務都將中斷，因此企業中首先要考慮的就是防火牆的優化及高可用性。

博文大綱：
1、雙機熱備工做原理
2、VRRP協議
（1）VRRP協議概述
（2）VRRP的角色
（3）VRRP的狀態機
（4）VRRP的工做原理
3、VGMP協議
（1）VGMP的工做原理
（2）VGMP的報文封裝
（3）雙機熱備的備份方式
（4）鏈接路由器時的雙機熱備
4、實現防火牆雙機熱備的配置

1、雙機熱備工做原理

隨着互聯網的發展，如今人們生活中的大多數問題均可以經過網絡解決，但與此同時，網絡安全問題也逐漸暴露出來。在企業中部署一臺防火牆已然成爲常態。如何可以保證網絡不間斷地傳輸成爲網絡發展中急需解決的問題！

企業在關鍵的業務出口部署一臺防火牆，全部的對外流量都要通過防火牆進行傳輸，一旦防火牆出現故障，那麼企業將面臨網絡中斷的問題，不管防火牆自己的性能有多好，功能有多麼強大。在這一刻，都沒法挽回企業面臨的損失。因此在企業的出口部署兩臺防火牆產品，能夠在增長企業安全的同時，保證業務傳輸基本不會中斷，由於兩臺設備同時出現故障的機率很是小。通過圖中右邊的部署，從拓補的角度來看，網絡具備很是高的可靠性，可是從技術的角度來看，還需解決一些問題，正由於防火牆和路由器在工做原理上有着本質的區別，因此防火牆還需一些特殊的配置。

左圖，內部網絡能夠經過R3→R1→R4到達外部網絡，也能夠經過R3→R2→R4到達，若是經過R3→R1→R4路徑的cost（運行OSPF協議）比較小，那麼默認狀況，內部網絡將經過R3→R1→R4到達外部網絡，當R1設備損壞時，OSPF將自動收斂，R3將經過R2轉發到達外部網絡。

右圖，R一、R2替換成兩臺防火牆，默認狀況下，流量將經過FW1進行轉發到達外部網絡，此時在FW1記錄着大量的用戶流量對應的會話表項內容，當FW1損壞時，經過OSPF收斂，流量將引導FW2上，可是FW2上沒有以前流量的會話表，以前傳輸會話的返回流量將沒法經過FW2，而會話的後續流量須要從新通過安全策略的檢查，並生成會話。這就意味着以前全部的通訊流量都將中斷，除非從新創建鏈接。

如圖，華爲防火牆的雙機熱備功能是經過提供一條備份鏈路（心跳線）、協商防火牆之間的主備狀態及備份會話表、Server-map表等操做。根據防火牆的配置分別選舉出主用設備及備用設備，當主用設備正常工做時，備用設備不提供數據包的轉發，可是備用設備會實時從主用設備下載當前的會話表及Server-map表。從而保證，當主用設備故障時，即便切換到備用設備，備用設備依然存在當前流量的會話表及Server-map表，從而保證業務流量不中斷。

在雙機熱備環境中，要求以下：
（1）兩臺防火牆用於心跳線的接口加入相同的安全區域；
（2）兩臺防火牆用於心跳線的接口的設備編號必須一致，好比都是G1/0/0；
（3）建議用於雙機熱備的兩條防火牆採用相同的型號、相同的VRP版本；

華爲防火牆的雙機熱備包含如下兩種模式：

• 熱備模式：同一時間只用一臺防火牆轉發數據包，其餘防火牆不轉發數據包，可是會同步會話表及Server-map表；
• 負載均衡模式：同一時間，多臺防火牆同時轉發數據，但每一個防火牆又做爲其餘防火牆的備用設備，即每一個防火牆便是主用設備也是備用設備，防火牆之間同步會話表及Server-map表；

關於華爲防禦牆的熱備模式和負載均衡模式如圖：

2、VRRP協議

在雙機熱備技術中，即便選舉出了主用設備和備用設備，默認狀況下流量也經過主用設備轉發，而備用設備處於備份狀態。可是客戶機一般經過指定網關地址來指定網絡出口，當客戶機將網關指向主用設備時，流量天然從主用設備轉發，可是當主用設備故障時，客戶機並不會將網關自動指向備用設備，因此即便雙機熱備自己能夠切換、客戶機依然沒法正常通訊。因此要保證雙機熱備能夠正常工做，還需解決客戶機網關自動切換的問題。而VRRP技術能夠解決網關自動切換的問題，甚至還能讓設備切換對客戶機而言是透明的。在華爲防火牆的雙機熱備技術中，VRRP是很是重要的一個組成部分。

（1）VRRP協議概述

VRRP（虛擬路由冗餘協議）由IETF進行維護。用來解決網關單點故障的路由協議。VRRP能夠應用在路由器中提供網關冗餘，也能夠用在防火牆中作雙擊熱備。

VRRP的基本概念以下：
（1）VRRP路由器：運行VRRP協議的路由器；
（2）虛擬路由器：由一個主用路由器和若干備用路由器組成的一個備份組，一個備份組對客戶機提供一個虛擬網關；
（3）VRID：Virtual Router ID，虛擬路由器標識，用來惟一的表識一個備份組；
（4）虛擬IP地址：提供給客戶端的網關IP地址，也是分配給虛擬路由器的IP地址，在全部的VRRP中配置，只有主用設備提供該IP地址的ARP響應；
（5）虛擬MAC地址：基於VRID生成的用於VRRP的MAC地址，在客戶端經過ARP協議解析網關的MAC地址時，主用路由器提供該MAC地址；
（6）IP地址擁有者：若將虛擬路由器的IP地址配置爲某個成員物理接口的真是IP地址，那麼該成員被稱爲IP地址擁有者；
（7）優先級：用於表示VRRP路由器的優先級，並經過每一個VRRP路由器的優先級選舉主用設備及備用設備；
（8）搶佔模式：在搶佔模式下，若是備用路由器的優先級高於備份組中的其餘路由器（包括當前的主用路由器），將當即成爲新的主用路由器；
（9）非搶佔模式：在非搶佔模式下，若是備用路由器的優先級高於備份組中的其餘路由器（包括當前的主用路由器），則不會當即成爲主用路由器，直到下一次公平選舉（如斷電、設備重啓等）；

VRRP的工做原理與Cisco設備基本相同，只有一些細節上的一些區別，如圖：

（2）VRRP的角色

工做在VRRP模式下的路由器有兩種角色，分別是：

• Master路由器：正常狀況下由Master路由器負責ARP響應及提供數據包的轉發，而且默認每隔1s向其餘路由器通告Master路由器當前的狀態信息；
• Backup路由器：是Master路由器的備用路由器，正常狀況下不提供數據包的轉發，當Master路由器故障時，在全部的Backup路由器中優先級最高的路由器將成爲新的Master路由器，接替轉發數據包的工做，從而保證業務不間斷；

（3）VRRP的狀態機

VRRP定義了三種工做狀態，以下：

• Initialize狀態：剛配置VRRP時的初始狀態。該狀態下，不對VRRP報文作任何處理，當接口shutdown或接口故障時將進入該狀態；
• Master狀態：當前設備選舉成爲主用路由器時的一種狀態。該狀態下會轉發業務報文，並週期性地發送VRRP通告報文，處於該狀態的路由器還將響應客戶機發起的ARP請求，並將虛擬MAC地址迴應客戶機。當接口關閉時，將當即切換至Initialize狀態；
• Backup狀態：當前設備選舉成爲備用路由器的一種狀態。該狀態下不轉發任何業務報文，工做在該狀態下的路由器會接收主用路由器發送的VRRP通告報文，並判斷主用路由器是否正常工做。在雙機熱備模式中還將同步主用設備上的狀態信息；

三種狀態之間的切換關係如圖：

Initialize狀態是VRRP的初始狀態，當接口shutdown時，不管路由器處於Master狀態仍是Backup狀態，都將當即切換至Initialize狀態；當路由器配置IP地址擁有者時，其優先級默認爲255，此時路由器直接由Initialize狀態切換至Master狀態；當路由器不是IP地址擁有者時，其優先級< 255，此時路由器直接由Initialize狀態切換至Backup狀態；處於Master狀態的路由器若是收到優先級更大的VRRP報文，將由Master狀態切換至Backup狀態，而Backup狀態的路由器若是收到一個優先級更大或者本地優先級相等的報文（一般是由Master路由器發出），將重置Master_DOWN_Interval計時器，若是一直沒有接收到Master路由器發送的VRRP經過報文，待Master_DOWN_Interval計時器超時後，將由Backup狀態切換至Master狀態。

注意：除非手工將路由器配置爲IP地址擁有者（優先級=255），不然VRRP的狀態切換老是先經歷Backup狀態，即時路由器的優先級最高，也須要從Backup狀態過渡到Master狀態。此時Backup狀態只是一個瞬間的過渡狀態。

（4）VRRP的工做原理

VRRP選舉Master路由器和Backup路由器的流程以下：
首先選舉優先級高的設備成爲Master路由器，若是優先級相同，再比較接口的IP地址大小，IP地址大（數值大）的設備將成爲Master路由器，而備份組中其餘的路由器將成爲Backup路由器。

VRRP中的默認接口優先級值爲100，取值範圍爲0~255。其中優先級0是系統保留，優先級255保留給IP地址擁有者，IP地址擁有者不須要配置優先級，優先級默認是255。

VRRP的工做原理如圖：

故障切換過程：
默認狀況下，Master設備（FW1）會週期性（每1s）地向Backup設備發送VRRP通告，而Backup設備每次收到VRRP通告，就將Master_DOWN_Interval計時器重置爲0。當Master設備出現故障，沒法發出VRRP通告報文時，Backup設備將沒法接收到VRRP，在Master_DOWN_Interval超時後，將直接由Backup狀態切換爲Master狀態，FW2代替FW1成爲新的Master設備。同時會向下遊交換機發出免費ARP報文，以更新下游交換機的MAC地址表。然後續客戶機發起的針對虛擬IP的ARP請求報文，FW2將直接代爲迴應，客戶機發出的報文也將由FW2轉發，而這一切變化對客戶機而言都是透明的。由於虛擬IP地址仍然可用！

當FW1解決故障恢復正常運行時，由於FW1的優先級配置比FW2高，在搶佔模式下，其將直接成爲Master設備，而FW2再次回到Backup狀態；在非搶佔模式下，FW2依然是Master設備，而FW1成爲Backup設備。

建議：當Master設備和Backup設備性能相差不大，同時網絡規模較大時，建議配置爲非搶佔模式，由於這樣能夠減小網絡的波動。

3、VGMP協議

（1）VGMP的工做原理

若是僅僅使用雙機熱備+VRRP就會出現如下狀況：

形成如下現象的緣由是兩個VRRP備份組各自獨立工做，，那麼有沒有什麼辦法可使兩個備份組協同工做，以保證設備在兩個備份組的狀態一致性呢？就須要使用到——VGMP協議。

VGMP（VRRP組管理協議）用來實現VRRP備份組的統一管理，以保證設備在各個備份組中的狀態一致性。VGMP經過在設備（FW1和FW2）上將全部的備份組（備份組1和備份組2）加入一個VGMP組中進行統一管理，一旦檢測到某個備份組（備份組1）中的狀態變化（如接口進入Initialize狀態），VGMP組將自身優先級減2，並從新協商VGMP的Active組和Standby組。選舉出的Active組將全部的其餘備份組（備份組1和備份組2）統一進行狀態切換（備份組1和備份組2中的FW2將成爲Master設備）。

VGMP的工做原理：

• VGMP組的狀態決定了VRRP備份組的狀態，即設備的角色（如Master和Backup）再也不經過VRRP報文選舉，而是直接經過VGMP統一管理；
• VGMP組的狀態經過比較優先級決定，優先級高的VGMP組將成爲Active，優先級低的VGMP組將成爲Standby；
• 默認狀況下，VGMP組的優先級爲45000；
• VGMP根據組內VRRP備份組的狀態自動調整優先級，一旦檢測到備份組的狀態變成Initialize狀態，VGMP組的優先級會自動減2；
• 經過心跳線協商VGMP狀態信息；

VGMP的工做原理：

注意：在加入了VGMP組以後，VRRP中的狀態標識從Master和Backup變成Active和Standby。

（2）VGMP的報文封裝

VGMP經過心跳線協商VGMP的狀態信息，經過發送VGMP報文實現。VGMP報文有如下兩種形式，如圖：

左圖中，小心跳線直連，或者經過二層交換機相連時，發送的報文屬於組播報文，報文封裝中不攜帶UDP頭部信息；
右圖中，心跳線經過三層設備（路由器）鏈接時，由於組播報文沒法經過三層設備，因此在報文封裝中會額外增長一個UDP頭部信息，此時發送的報文屬於單播；

在實際應用中，應根據實際的拓補靈活選擇報文封裝。在華爲防火牆中，經過如下命令指定接口發送的報文屬於哪一種類型的封裝。

[USG6000V1]hrp int g 1/0/0                         //eNSP模擬器不支持這條命令
[USG6000V1]hrp int g 1/0/0 remote 1.1.1.1

其中hrp命令用來指定用於心跳鏈路的接口，帶remote參數的命令表示報文將封裝UDP，併發送單播報文，不帶remote參數的命令表示將發送組播報文。1.1.1.1標識對端是被（心跳線對端接口）的IP地址，該地址要求可路由，只有指定remote參數時才須要指定。

注意：

• 加入VGMP後，心跳線的做用包含狀態信息備份（會話表和Server-map表）及VGMP狀態協商；
• 華爲防火牆在默認狀況下放行組播流量（不帶remote參數的VGMP報文），禁止單播流量（帶remote參數的VGMP報文），因此配置了remote參數，還須要配置Local區域和心跳接口區域之間的安全策略；
• 配置了虛擬IP地址的接口不能做爲心跳口；
• 若是使用二層接口做爲心跳接口，不能直接在二層接口上配置，而是將二層接口加入VLAN，在VLAN中配置心跳接口；
• eNSP模擬器中，及時心跳接口之間相連，也必須配置remote參數，不然沒法配置；

（3）雙機熱備的備份方式

雙擊熱備的備份方式包括如下三種：

• 自動備份：該模式下，和雙機熱備有關的配置命令只能在主用設備上配置，並自動同步到備用設備中，主用設備自動將狀態信息同步到備用設備中，該模式是華爲防火牆的默認開啓模式，主要應用於熱備模式；
• 手工批量備份：該模式下，主用設備上全部的配置命令和狀態信息，只有在手工指定批量備份命令時纔會自動同步到備用設備，該模式主要應用於主、備設備配置不一樣步，須要當即進行同步的場景中；
• 快速備份：該模式下，不一樣步配置命令，只同步狀態信息。在負載均衡方式的雙機熱備環境中，該模式必須啓用，以快速更新狀態信息；

（1）開啓雙擊熱備功能

[USG6000V1]hrp enable
HRP_S[USG6000V1]                    //開啓雙機熱備後，提示符發生變化

（2）配置自動備份模式

HRP_M[USG6000V1]hrp auto-sync

開啓雙機熱備後，執行能夠同步的命令時會有（+B）的提示

HRP_M[USG6000V1]security-policy  （+B）

（3）配置手工批量備份模式

HRP_M<USG6000V1>hrp sync config                                             //表示手工同步命令配置
HRP_M<USG6000V1>hrp sync connection-status                          //表示手工同步狀態信息
//注意，此命令是在用戶視圖下執行的

（4）配置快速備份模式

HRP_M[USG6000V1]hrp mirror session enable

（4）鏈接路由器時的雙機熱備

當配置雙機熱備上游或下游是交換設備時，能夠經過VRRP檢測接口或設備的狀態，可是當上遊或下游設備是路由器時，VRRP沒法正常運行（VRRP依靠組播實現故障切換）。華爲防火牆的作法是監控其接口狀態，並配合OSPF實現流量切換。

經過接口直接加入VGMP組中，當接口故障時（即便對端設備故障，本端接口的物理特性也將關閉），VGMP會感知接口狀態變化，從而下降VGMP組的優先級，從Active狀態切換至Stabdby狀態。而以前的Standby組提高爲Active狀態。而處於Standby的VGMP組在發佈OSPF路由時，會自動將cost值增長65500，經過OSPF的自動收斂，最終將流量引導至Active組設備中。

4、實現防火牆雙機熱備的配置

實驗拓補：

案例實施：

（1）防火牆接口配置IP地址，並加入各自的區域中，並設置相應的安全策略

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.101 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 172.16.1.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 192.168.1.101 24
[FW1-GigabitEthernet1/0/2]quit
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1
[FW1-zone-dmz]quit
[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/2
[FW1-zone-trust]quit
[FW1]security-policy 
[FW1-policy-security]rule name trust_to_untrust
[FW1-policy-security-rule-trust_to_untrust]source-zone trust 
[FW1-policy-security-rule-trust_to_untrust]destination-zone untrust 
[FW1-policy-security-rule-trust_to_untrust]action permit 
//配置安全策略：內部流量能夠到外部
[FW1-policy-security-rule-trust_to_untrust]quit
[FW1-policy-security]rule name local_to_dmz
[FW1-policy-security-rule-local_to_dmz]source-zone local
[FW1-policy-security-rule-local_to_dmz]destination-zone dmz
[FW1-policy-security-rule-local_to_dmz]action permit 
//配置安全策略：從防火牆自己能夠到DMZ區域（創建心跳線)
[FW1-policy-security-rule-local_to_dmz]quit
[FW1-policy-security]quit
//FW2的配置與FW1幾乎是如出一轍的，這裏就很少說了
//注意FW2上也需設置相同的規則

（2）配置VRRP備份組

FW1的配置以下：

[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 active 
[FW1-GigabitEthernet1/0/2]int g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active

FW2的配置以下：

[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 standby 
[FW2-GigabitEthernet1/0/2]int g1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby

（3）配置心跳接口

[FW1]hrp int g1/0/1  remote 172.16.1.2
//FW1指定心跳接口，並指定對端接口IP地址
[FW2]hrp int g1/0/1 remote 172.16.1.1
//FW同上，這就是爲何防火牆須要設置從本地到DMZ區域的策略

（4）啓用雙機熱備

[FW1]hrp enable
HRP_S[FW1]
//FW1的配置，命令提示符出現了變化
[FW2]hrp enable
HRP_S[FW2]
//FW2同上

（5）配置備份方式

HRP_S[FW1]hrp auto-sync
//配置自動備份

HRP_S[FW2]hrp auto-sync

（6）配置檢查及驗證
①查看雙機熱備的狀態信息

HRP_M[FW1]display hrp state
 Role: active, peer: standby                            //本端狀態爲Active，對端爲Standby
 Running priority: 45000, peer: 45000            //本端優先級爲45000，對端爲45000
 Core state: normal, peer: normal
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 9 minutes
 Last state change information: 2019-10-26 6:29:53 HRP core state changed, old_s
tate = abnormal(active), new_state = normal, local_priority = 45000, peer_priori
ty = 45000.

②查看心跳接口狀態

HRP_M[FW1]display hrp interface 
             GigabitEthernet1/0/1 : running

③兩臺PC配置IP地址及網關（虛擬地址），用PC1pingPC2

④查看防火牆的會話表

HRP_M[FW1]display firewall session table 
 Current Total Sessions : 2
 udp  : public --> public  172.16.1.2:49152 --> 172.16.1.1:18514
 udp  : public --> public  172.16.1.1:49152 --> 172.16.1.2:18514

⑤PC1持續pingPC2，模擬FW1接口故障

HRP_M[FW1]int g1/0/2（+B）
HRP_M[FW1-GigabitEthernet1/0/2]shutdown

⑥查看FW2雙擊熱備的狀態

HRP_M[FW2]display hrp state
 Role: active, peer: standby (should be "standby-active")               //狀態發生了變化                      
 Running priority: 45000, peer: 44998                                             //FW1的優先級減2
 Core state: abnormal(active), peer: abnormal(standby)
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 1 minutes
 Last state change information: 2019-10-26 6:49:06 HRP core state changed, old_s
tate = normal, new_state = abnormal(active), local_priority = 45000, peer_priori
ty = 44998.

實驗完成！

———————— 本文至此結束，感謝閱讀 ————————