華爲防火牆雙機熱備

簡介

介紹了雙機熱備的產生背景以及基本的功能。

現在各類各樣的業務普遍部署在網絡上，網絡帶寬也以指數級增加，網絡短期的中斷就可能影響大量業務，形成重大損失。高可靠性成爲網絡建設的關鍵因素。

如圖1所示，設備1部署在網絡節點處，內網用戶的業務流量都經過設備1進行轉發。若是設備1出現故障，內外網之間的網絡業務將會所有中斷。

圖1 單條鏈路網絡基本組網圖

爲了規避一臺設備故障致使網絡業務中斷的風險，能夠在網絡節點處同時部署兩臺設備，造成雙機熱備組網。當其中一臺設備出現故障時，業務流量能平滑地切換到備用設備上，保證業務不中斷，使內外網用戶交互的時候感知不到曾經出現過網絡故障。

如圖2所示，網絡正常時業務流量經過設備1轉發。當設備1發生故障時，業務流量切換到設備2，經過設備2轉發，從而保證了業務的正常轉發，加強了網絡的可靠性。

圖2 雙機熱備基本組網圖

使用限制和注意事項

介紹雙機熱備中的使用限制，包括硬件限制、軟件限制、與NAT結合使用的限制和與IPSec結合使用的限制。

硬件限制

• 目前只支持兩臺設備進行雙機熱備。
• 主備設備的產品型號和版本必須相同。
• 主備設備接口卡的位置、類型和數目都必須相同，不然會出現主用設備備份過去的信息，與備用設備的物理配置沒法兼容，致使主備切換後出現問題。

軟件限制

• 主備設備的軟件版本必須一致。不然，不一樣版本的軟件的某些配置命令或會話表結構可能不一樣，從而致使主備設備在備份配置命令和狀態時產生錯誤。
• 主備設備的Bootrom版本必須一致。
• 建議主備設備的配置文件均爲初始文件。不然，可能因爲兩臺設備的配置衝突致使主備切換後出現問題。
• 主備設備須要選擇相同的業務接口和心跳口。例如主用設備選擇GigabitEthernet1/0/1做爲業務接口，選擇GigabitEthernet1/0/7做爲心跳口，那麼備用設備也須要這樣選擇。
• 主備設備的對應接口必須加入到相同的安全區域。如主用設備的GigabitEthernet1/0/1接口加入了Trust區域，那麼備用設備的GigabitEthernet1/0/1接口也必須加入Trust區域。

• 配置了vrrp virtual-mac enable命令的接口不能用做心跳口。

• 心跳口的MTU值必須是缺省值1500。

• 主備設備業務接口的IP地址必須固定，所以雙機熱備特性不能與PPPoE撥號、DHCP Client等自動獲取IP地址的特性結合使用。
• 雙機熱備成功創建後，若是但願使用Web界面更改「運行模式」（從「主備備份」切換成「負載分擔」，或者從「負載分擔」切換成「主備備份」），則必須先清空全部雙機熱備的配置。
• 使用engine overload action命令設置引擎過載時的處理動做時，若是選擇block即丟棄報文保證安全優先時，主備切換後，已鏈接業務如FTP鏈接會受到影響須要從新鏈接；若是選擇bypass即轉發報文保證業務優先，則不須要從新鏈接。但代理類業務如ssl代理、郵件代理等不管選擇block或bypass，在主備切換後均會受到影響，須要從新鏈接。

與NAT結合使用的限制

• 雙機熱備與NAT結合使用時，主備設備的上下行業務接口必須爲三層接口。

• 在負載分擔方式的雙機熱備組網中，配置地址池方式的源NAT策略時，若是隻配置一個NAT地址池且不容許端口轉換，兩臺NGFW可能會將不一樣主機發來的流量的源IP地址轉換成同一個IP地址，致使衝突。

  此時，建議您建立兩個NAT地址池，針對不一樣源IP的流量使用不一樣的地址池進行NAT轉換。例如，雙機熱備的兩臺設備爲NGFW_A和NGFW_B，NGFW_A和NGFW_B分別處理10.1.1.1～10.1.1.128和10.1.1.129～10.1.1.254網段主機的流量。配置不容許端口轉換的地址池方式源NAT時，須要建立兩個NAT地址池addressgroup1和addressgroup2，並配置兩條源NAT策略，將10.1.1.1～10.1.1.128網段主機發來流量的源地址轉換爲addressgroup1中的地址、將10.1.1.129～10.1.1.254網段主機發來流量的源地址轉換爲addressgroup2中的地址。

與IPSec結合使用的限制

• 雙機熱備與IPSec結合使用時，主備設備的創建隧道的業務接口必須爲三層接口。
• 雙機熱備與IPSec結合使用時，雙機熱備和IPSec的配置與單獨使用時沒有區別。

• 主用設備配置的IPSec策略會備份到備用設備上，可是因爲接口上的配置不會備份到備用設備，所以須要在備用設備的出接口上應用備份過來的IPSec策略。

• 配置雙機熱備

  介紹雙機熱備的Web配置方法。

  操做步驟

  1. 選擇「系統 > 高可靠性 > 雙機熱備」。
  2. 單擊「配置」。
  3. 選中「啓用」前的複選框後，配置雙機熱備基本參數。具體參數解釋以下：

     參數	說明
     運行模式	選擇雙機的運行模式。 主備備份：兩臺設備處於主備備份運行模式，一臺爲主用設備，一臺爲備用設備。 負載分擔：兩臺設備處於負載分擔運行模式，兩臺設備互爲主備。 注意： 業務接口工做在二層且鏈接交換機時，必須選擇「主備備份」。
     運行角色	在主備備份運行模式下，選擇本設備是作主用設備仍是備用設備。當「運行模式」選擇「主備備份」時，界面顯示此配置項。
     心跳接口	選擇心跳接口，心跳接口必須已經配置了IP地址。心跳接口用於兩臺設備之間備份配置和狀態信息。 當兩臺設備的心跳接口經過交換機或路由器相連時，必須配置「對端接口IP」。「對端接口IP」即爲對端設備的心跳接口IP地址。 說明： 不配置「對端接口IP」時，心跳報文爲組播報文；配置了「對端接口IP」後，心跳報文爲單播報文。 所以當配置了「對端接口IP」後，須要配置local區域與心跳接口所在區域間的安全策略，保證兩臺設備可以交互報文。 最多能夠配置16個心跳接口，但只有最早配置的處於UP狀態的心跳接口處於使用狀態。單擊，能夠添加心跳接口。
     主動搶佔	選擇是否啓用主動搶佔功能。設備默認啓用此功能，搶佔延時爲60秒。此功能僅在主用設備上生效。 主動搶佔是指主用設備故障恢復後，從新切換成主用設備處理業務的過程。若是取消了主動搶佔功能的配置，則主用設備故障恢復後，還是備用設備，不處理業務。 當設備的業務接口工做在二層，上下行鏈接路由器時，必須啓用此功能。
     Hello報文週期	Hello報文週期默認爲1000毫秒，建議使用默認值。若要修改此參數，必須保證兩臺設備配置的取值一致。 主備備份運行模式下，Hello報文週期是指主用設備向備用設備發送Hello報文的時間間隔。 負載分擔運行模式下，Hello報文週期是指兩臺設備相互發送Hello報文的時間間隔。

  4. 配置虛擬IP地址（VRRP備份組）。
     說明：

     當業務接口工做在三層且鏈接交換機時，須要配置虛擬IP地址。
     1. 在「配置虛擬IP地址」下單擊「新建」。
     2. 配置虛擬IP地址的參數。具體的配置原則和參數解釋以下：

        • 若是「運行模式」爲「主備備份」，須要在主用設備上將業務接口加入VRRP備份組，在備用設備上將相同的業務接口加入相同的VRRP備份組。

          如圖1所示，NGFW_A的GE1/0/1接口加入VRRP備份組2，NGFW_B的GE1/0/1接口也加入VRRP備份組2。

        • 若是「運行模式」爲「負載分擔」，須要在NGFW_A上將一個業務接口加入兩個VRRP備份組（其中一個「角色」爲「主」，另外一個「角色」爲「備」）。在NGFW_B上將相同的業務接口加入與NGFW_A相同的兩個VRRP備份組（「角色」須要與NGFW_A相反）。

          如圖1所示，NGFW_A的GE1/0/1接口加入VRRP備份組2（角色爲主）和VRRP備份組4（角色爲備），NGFW_B的GE1/0/1接口也加入VRRP備份組2（角色爲備）和VRRP備份組4（角色爲主）。

        圖1 配置虛擬IP地址
        

        參數	說明
        VRID	VRRP備份組的ID。兩臺NGFW相同的接口應該配置VRID相同的VRRP備份組。 例如圖1中NGFW_A與NGFW_B的GE1/0/1接口上都配置VRRP備份組2，VRID都爲2。
        接口	配置VRRP備份組的接口，此接口應該是設備的上下行業務接口。 例如圖1中兩臺NGFW的GE1/0/1和GE1/0/3接口。
        接口IP地址/掩碼	選擇「接口」後，此處自動顯示接口的IP地址和掩碼。 例如在NGFW_A上選擇GE1/0/1，這裏顯示10.2.0.1/24。
        虛擬IP地址/掩碼	輸入VRRP備份組的虛擬IP，例如圖1中的10.2.0.3/2四、10.3.0.3/2四、10.2.0.4/2四、10.3.0.4/24。 虛擬IP不能與接口IP相同。對於IPv4的VRRP備份組，若是虛擬IP與接口IP不在同一網段，則必須輸入掩碼。 虛擬IP是兩臺NGFW共同對外提供的IP地址。在上下行設備看來，兩臺NGFW是一臺設備，接口IP爲虛擬IP。所以當上下行設備配置靜態路由時，須要將下一跳設置爲虛擬IP。
        虛擬MAC	虛擬MAC地址是設備根據VRID生成的MAC地址，格式爲：00-00-5E-00-01-{VRID}。一個VRID對應一個虛擬MAC地址。 在雙機熱備場景下，當對端設備對MAC地址有校驗時，則必須啓用虛MAC功能，不然主備設備切換後由於更換了MAC地址將致使報文被對端設備丟棄。
        Link-Local地址	對於IPv6的VRRP備份組，除了配置虛擬IP地址，還須要配置Link-Local地址。Link-Local地址是IPv6的VRRP備份組的鏈路本地地址。鏈路本地地址是前綴爲FE80的IPv6的地址（如FE80::7），用於同一鏈路的相鄰節點間通訊，有效域僅限於本地鏈路。配置VRRP備份組的虛擬IPv6地址時，必須同時爲VRRP備份組配置一個Link-Local地址。
        角色	當「運行模式」選擇「負載分擔」時，界面顯示此配置項。 這時若是一臺設備的VRRP備份組的角色爲主，那麼另外一臺設備的相同VRRP備份組（VRID相同）的角色必須爲備。反之亦然，如圖1所示。

     3. 單擊「肯定」。

  5. 配置接口監控，如圖2所示。
     說明：

     當業務接口工做在三層且鏈接路由器時，須要配置接口監控。選擇的監控接口應該是設備的業務接口。
     圖2 配置接口監控
     

     具體參數解釋以下：

     參數	說明
     監控接口	選擇須要監控的上行和下行業務接口。例如圖2中的GE1/0/1和GE1/0/3。
     監控遠程探測地址/域名	輸入須要監控的非直鏈接口的IP地址或域名。例如圖2中的公網地址「1.1.1.1」。 在哪一個接口後輸入「監控遠程探測地址/域名」就表明探測報文從哪一個接口發出。
     將所選監控接口加入到監控組	選中此複選框後，設備會將以前所選的「監控接口」加入到監控組中。 當監控組中的一個接口down時，全部接口狀態都變成down。例如圖2中接口GE1/0/1故障，GE1/0/3的狀態也變成down。

  6. 單擊「肯定」。

  後續處理

  配置完成後，選擇「系統 > 高可靠性 > 雙機熱備」，查看雙機熱備的運行狀況。具體參數解釋以下：

  參數	說明
  當前運行模式	單機：沒有運行雙機熱備時，顯示此參數。 主備備份：運行在主備備份工做模式時，顯示此參數。 負載分擔：運行在負載分擔工做模式時，顯示此參數。
  當前運行角色	初始化：配置完成後，雙機熱備狀態還沒有創建時，設備顯示此參數。 主用：雙機熱備狀態正常創建後，主用設備顯示此參數。 備用：雙機熱備狀態正常創建後，備用設備顯示此參數。 單擊「詳細」，查看設備主備狀態切換的記錄信息，包括：切換時間、切換內容和緣由。 單擊「手動切換」，能夠手動選擇設備的運行角色。
  當前心跳接口	顯示當前正在使用的心跳接口以及心跳接口的帶寬使用率。
  主動搶佔	顯示是否啓用主動搶佔功能。
  配置一致性	顯示兩臺設備的配置是否一致。 單擊「配置一致性檢查」，對兩臺設備的配置一致性進行檢查。 單擊「詳細」，顯示整體檢查結果、檢查日期以及各個模塊的檢查結果。 在「一致性檢查」界面單擊「同步配置」，能夠同步兩臺設備的配置。 單擊「從新檢查」，從新檢查兩臺設備配置的一致性。
  虛擬IP	顯示監控的VRRP備份組的狀態。
  接口	顯示監控的接口的狀態。
  遠端監控IP/域名	顯示監控的遠端監控IP/域名的狀態。