SecPath防火墙双机热备典型配置.docx

SecPath防火墙双机热备典型配置.docx

《SecPath防火墙双机热备典型配置.docx》由会员分享，可在线阅读，更多相关《SecPath防火墙双机热备典型配置.docx（42页珍藏版）》请在冰豆网上搜索。

SecPath防火墙双机热备典型配置

SecPath防火墙双机热备典型配置举例

关键词：

双机热备、主备模式、负载分担模式、数据同步、流量切换

摘要：

防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：

缩略语

英文全名

中文解释

ALG

ApplicationLevelGateway

应用层网关

ASPF

ApplicationSpecificPacketFilter

基于应用层的包过滤

NAT

NetworkAddressTranslator

网络地址转换

VRRP

VirtualRouterRedundancyProtocol

虚拟路由冗余协议

OSPF

OpenShortestPathFirst

开放最短路径优先

1特性简介

双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1双机热备的工作机制

 互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

另外需要使用专有的备份链路口进行会话信息的备份，该备份链路口不作数据转发，从而保障了备份的高可靠性及高性能。

A.在命令行下无法配置双机热备，只能在WEB页面上配置；

WEB配置页面：

B.必须配置心跳口，心跳口也须在WEB页面上配置，指定一个物理口后保存，重启，心跳口开始工作，心跳口在命令行和WEB页面下的接口管理中都不可见，但是双机热备配置页面下可见。

C.没有主备设备之分，工作中的设备称为主用设备比较合适些，两台防火墙的会话信息相互备份，主用设备上产生的会话会自动通过心跳口备份到备用设备上，目前只有稳态的会话才会进行备份；

D.主要有两种模式的组网：

静态路由模式和动态路由模式，静态路由模式组网依赖于VRRP，当一台设备Down机后，Vrrp的主备状态发生切换，工作的防火墙随之切换；动态路由模式依赖于动态路由协议，由于动态路由协议进行路由学习比VRRP切换慢，所以路由模式的双机热备主用设备切换时间较长；在这两种组网的基础上又可以配置为双主用模式、主备用模式；

E.目前版本仅支持对称路径的双机热备份，即报文来回都要通过同一台防火墙；若出报文从A出，回来的报文从B返回的话，称为非对称路径，在以后的版本将支持非对称的报文转发。

2特性使用指南

2.1使用场合

Secpath防火墙作为内外网的接入点，当设备出现故障便会导致内外网之间的网络业务的全部中断。

在这种关键业务点上如果只使用一台设备的话，无论其可靠性多高，系统都必然要承受因单点故障而导致网络中断的风险。

双机热备解决方案能够很好的解决这个问题。

2.2配置指南

2.2.1双机热备组网应用配置指南

双机热备典型组网应用包括以下内容：

●透明模式＋主备模式

●透明模式＋负载分担模式

●路由模式＋主备模式

●路由模式＋负载分担模式

●路由模式＋主备模式＋支持非对称路径

●路由模式＋负载分担模式＋支持非对称路径

2.2.2双机热备应用涉及的配置

用户必须在Web设置双机热备功能，命令行无法配置。

2.3注意事项

双机热备关于Web配置根据具体实例再作说明。

3支持的设备和版本

3.1设备版本

[f5000a-1]_disver

H3CComwarePlatformSoftware

ComwareSoftware,Version5.20,Beta3203

ComwarePlatformSoftwareVersionCOMWAREV500R002B62D001

H3CSecPathF5000-A5SoftwareVersionV300R002B01D012

Copyright（c）2004-2008HangzhouH3CTech.Co.,Ltd.Allrightsreserved.

CompiledOct31200814:

56:

27,RELEASESOFTWARE

H3CSecPathF5000-A5uptimeis0week,0day,0hour,51minutes

CPUtype:

RMIXLR7321000MHzCPU

2048MbytesDDR2SDRAMMemory

4MbytesFlashMemory

MPUAPCBVersion:

Ver.A

SWBAPCBVersion:

Ver.A

MPUABasicLogicVersion:

133.0

MPUAExtendLogicVersion:

133.0

SWBALogicVersion:

132.0

MPUALX30TFPGAVersion:

3.08

BasicBootWareVersion:

1.02

ExtendBootWareVersion:

1.02

[FIXEDPORT]CON（Hardware）Ver.A,（Driver）1.0,（Cpld）133.0

[FIXEDPORT]AUX（Hardware）Ver.A,（Driver）1.0,（Cpld）133.0

[FIXEDPORT]M-GE0/0（Hardware）Ver.A,（Driver）1.0,（Cpld）133.0

[SUBCARD1]NSQ1GT8C40（Hardware）Ver.A,（Driver）1.0,（Cpld）134.0

[SUBSLOT2]TheSubCardisnotpresent

[SUBSLOT3]TheSubCardisnotpresent

[SUBSLOT4]TheSubCardisnotpresent

3.2支持的设备

SecpathF5000-A5

3.3配置保存

每次配置完成后，注意进行配置的保存。

系统管理>配置维护>配置保存，点击<确定>。

4配置举例

4.1典型组网

图1双机热备（路由）典型组网

图2双机热备（透明）典型组网

图3双机热备（非对称主备）典型组网

图4双机热备（非对称双主）典型组网

4.2设备基本配置

4.2.1其他共同配置：

（1）接口模式：

M-G0/0为管理接口

InterfacePhysicalProtocolIPAddress

M-GigabitEthernet0/0upup192.1.1.1

4.3双机热备业务典型配置举例

4.3.1透明模式＋主备模式

1.功能简述

主备模式就是只有一台防火墙处于工作状态，另一台处于备用状态，当主用设备Down机后，备用设备会接管工作。

2.典型配置步骤（组网图2）

1、防火墙运行在二层模式，配置如图所示的Vlan；

F5000A-B配置：

[f5000a-2]discu

sysnamef5000a-2

#

vlan12

#

interfaceGigabitEthernet1/6

portlink-modebridge

portaccessvlan12

#

interfaceGigabitEthernet1/8

portlink-modebridge

portaccessvlan12

#

interfaceGigabitEthernet1/9

portlink-modebridge

portaccessvlan12

F5000A-A配置：

[f5000a-1]discu

sysnamef5000a-1

#

vlan11

#

interfaceGigabitEthernet1/6

portlink-modebridge

portaccessvlan11

#

interfaceGigabitEthernet1/8

portlink-modebridge

portaccessvlan11

#

interfaceGigabitEthernet1/9

portlink-modebridge

portaccessvlan11

2、路由器F1000E上配置两个网段（15.1.1.1和16.1.1.1）对应交换机的vlan11、vlan12两个网段；提供两个网关（15.1.1.1和16.1.1.1），并分别指回程路由。

F1000E配置：

[f1000e]discu

#

interfaceGigabitEthernet0/2

portlink-moderoute

ipaddress15.1.1.1255.255.255.0

#

interfaceGigabitEthernet0/3

portlink-moderoute

ipaddress16.1.1.1255.255.255.0

#

iproute-static150.1.1.0255.255.255.015.1.1.2

iproute-static150.1.1.0255.255.255.016.1.1.2preference100

iproute-static160.1.1.0255.255.255.015.1.1.3

iproute-static160.1.1.0255.255.255.016.1.1.3preference100

3、S56A和S56B上配置静态路由分别指向这两个网关，配置两条路由，使优先级不同。

实现当链路断时，使优先级高的静态路由失效。

S56A配置：

[lsw-up]discu

#

vlan11to14

#

interfaceVlan-interface11

ipaddress15.1.1.2255.255.255.0

#

interfaceVlan-interface12

ipaddress16.1.1.2255.255.255.0

#

interfaceVlan-interface13

ipaddress150.1.1.1255.255.255.0

#

interfaceGigabitEthernet1/0/11

portaccessvlan11

#

interfaceGigabitEthernet1/0/12

portaccessvlan12

#

interfaceGigabitEthernet1/0/13

portaccessvlan13

#

interfaceGigabitEthernet1/0/14

portaccessvlan14

#

iproute-static0.0.0.00.0.0.015.1.1.1preference60

iproute-static0.0.0.00.0.0.016.1.1.1preference100

S56B配置：

[lsw-down]discu

#

sysnamelsw-down

#

vlan11to14

#

interfaceVlan-interface11

ipaddress15.1.1.3255.255.255.0

#

interfaceVlan-interface12

ipaddress16.1.1.3255.255.255.0

#

interfaceVlan-interface13

ipaddress160.1.1.1255.255.255.0

#

interfaceGigabitEthernet1/0/11

portaccessvlan11

#

interfaceGigabitEthernet1/0/12

portaccessvlan12

#

interfaceGigabitEthernet1/0/13

portaccessvlan13

#

interfaceGigabitEthernet1/0/14

portaccessvlan14

#

iproute-static0.0.0.00.0.0.015.1.1.1preference60

iproute-static0.0.0.00.0.0.016.1.1.1preference100

B.WEB配置：

1．首先把F5000A相关接口加入域；

2．把需要联动的接口加入到同一联动组。

一旦其中一个接口down丢，组内其他接口同样down丢。

配置切换时F5000A结合透明方式接口组联动来实现

3.验证结果

●从PC-B到PC-A，从PC-C到PC-A通过默认路由，默认都走F5000A-A

tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

PressCTRL_Ctobreak

1160.1.1.12ms1ms1ms

215.1.1.11ms0ms1ms

3155.1.1.100ms1ms0ms

tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

1150.1.1.111ms5ms6ms

215.1.1.119ms3ms8ms

3155.1.1.109ms3ms3ms

●当F5000A-A出现故障后，则切换到F5000A-B上

[PC-B]tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

PressCTRL_Ctobreak

1160.1.1.11ms2ms1ms

216.1.1.10ms1ms0ms

3155.1.1.101ms1ms0ms

[PC-C]tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

1150.1.1.111ms4ms7ms

216.1.1.119ms3ms9ms

3155.1.1.108ms3ms4ms

4.注意事项

●本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。

4.3.2透明模式＋负载分担模式

1.功能简述

双主组网就是两台防火墙都处于工作状态，每台设备负责转发一部分流量，实现负载分担，而当任一台设备Down机后，另一台设备会接管全部工作。

2.典型配置步骤（组网图2）

1、负载分担模式和主备模式区别在于路由配置。

2、路由器F1000E上配置两个网段（15.1.1.1和16.1.1.1）对应交换机的vlan11、vlan12两个网段；提供两个网关（15.1.1.1和16.1.1.1），

F1000E配置：

[f1000e]discu

#

interfaceGigabitEthernet0/2

portlink-moderoute

ipaddress15.1.1.1255.255.255.0

#

interfaceGigabitEthernet0/3

portlink-moderoute

ipaddress16.1.1.1255.255.255.0

#

iproute-static150.1.1.0255.255.255.015.1.1.2

iproute-static150.1.1.0255.255.255.016.1.1.2preference100

iproute-static160.1.1.0255.255.255.016.1.1.3

iproute-static160.1.1.0255.255.255.015.1.1.3preference100

3、S56A和S56B上配置静态路由分别指向这两个网关，配置两条路由，使优先级不同。

为了实现当链路断时，使优先级高的静态路由失效，配置切换时结合透明方式接口组联动来实现。

F1000E上分别指回程路由，使防火墙负载分担。

S56A配置：

[lsw-up]discu

#

vlan11to14

#

interfaceVlan-interface11

ipaddress15.1.1.2255.255.255.0

#

interfaceVlan-interface12

ipaddress16.1.1.2255.255.255.0

#

interfaceVlan-interface13

ipaddress150.1.1.1255.255.255.0

#

interfaceGigabitEthernet1/0/11

portaccessvlan11

#

interfaceGigabitEthernet1/0/12

portaccessvlan12

#

interfaceGigabitEthernet1/0/13

portaccessvlan13

#

interfaceGigabitEthernet1/0/14

portaccessvlan14

#

iproute-static0.0.0.00.0.0.015.1.1.1preference60

iproute-static0.0.0.00.0.0.016.1.1.1preference100

S56B配置：

[lsw-down]discu

#

sysnamelsw-down

#

vlan11to14

#

interfaceVlan-interface11

ipaddress15.1.1.3255.255.255.0

#

interfaceVlan-interface12

ipaddress16.1.1.3255.255.255.0

#

interfaceVlan-interface13

ipaddress160.1.1.1255.255.255.0

#

interfaceGigabitEthernet1/0/11

portaccessvlan11

#

interfaceGigabitEthernet1/0/12

portaccessvlan12

#

interfaceGigabitEthernet1/0/13

portaccessvlan13

#

interfaceGigabitEthernet1/0/14

portaccessvlan14

#

iproute-static0.0.0.00.0.0.016.1.1.1preference60

iproute-static0.0.0.00.0.0.015.1.1.1preference100

3.验证结果

●从PC-B到PC-A,从PC-C到PC-A通过默认路由进行负载分担，分别走F5000A-1和F5000A-2

[PC-B]tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

1150.1.1.111ms6ms8ms

215.1.1.116ms3ms9ms

3155.1.1.108ms4ms3ms

[PC-C]tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

PressCTRL_Ctobreak

1160.1.1.11ms2ms1ms

216.1.1.10ms1ms0ms

3155.1.1.101ms0ms1ms

●当F5000A-1和F5000A-2中有一个接口down了，则切换到另一台上。

如F5000A-1一个接口down，则切换到F5000-B上。

[PC-B]tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

1150.1.1.111ms4ms7ms

216.1.1.19ms3ms3ms

3155.1.1.1014ms3ms9ms

[PC-C]tracert155.1.1.10

tracerouteto155.1.1.10（155.1.1.10）30hopsmax,40bytespacket

1150.1.1.111ms4ms7ms

216.1.1.19ms3ms3ms

3155.1.1.1014ms3ms9ms

4.注意事项

●本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。

4.3.3路由模式＋主备模式

1.功能简述

静态路由模式需要同时配置Vrrp以支持主备用设备的切换。

所谓主备模式就是只有一台防火墙处于工作状态，另一台处于备用状态，当主用设备Down机后，备用设备会接管工作。

2.典型配置步骤（组网图1）

（1）命令行下进行如下配置：

F5000a-1配置：

（作为主用设备）

nataddress-group1102.0.1.1102.0.1.254level1

#

aclnum