第九章,防火墙的可靠性
如果是负载分担方式的双机热备,则需要在每个业务接口上执行特殊命令,将业务接口分别加入到Active和。在负载分担组网中,谁最先建立双机热备状态的防火墙会成为配置主设备;不会处理业务流量,只是通过心跳线,接收来自于主用设备的状态信息以及配置信息。同时两台防火墙又都相互作为对方的备用设备,接收对方备份的会话和配置信息。在主备组网中,由主设备将状态数据和配置命令同步给备份设备。功能后,当安全设备故障以后
·
Bypass机制---旁路机制
工业标准:1U,要求MTBF>4万小时(U是设备高度)MTBF---平均无故障工作时间
定义:通过特定的触发状态(断电或死机)让两个网络不通过安全设备的系统,而直接在物理上导通。所以有了bypass功能后,当安全设备故障以后,还可以让连接在这台设备上的网络相互通讯。--- 此时,这台网络设备就不再会对数据包进行任何操作了。
Bypass机制--->实际上是一种网络接口卡。
bypass按照控制或触发方式来区分
- 通过电源触发 --- 设备断电,Bypass开启。通电,Bypass关闭。
- 由GPIO(通用输入/输出端口)控制 --- 在进入OS,通过GPIO来对特定的端口进行操作,实现Bypass功能的开关
Bypass不是防火墙的专属,市面上几乎所有的安全设备的通用机制。
Link-Group技术
链路组技术。
定义:Link-Group功能,是将多个接口的状态相互绑定,组成一个逻辑组。当组内任意一个接口出现故障,系统将组内其他接口状态也设定为Down。当组内所有接口恢复正常后,整个组的接口状态才会重新UP。
使得上行下接口状态一致,从而避免主备切换后,上下行链路路径不一致。
Link-Group技术,不仅仅可以将不同接口加入同一个组中,将接口关系进行关联,还可以将不同Link-Group之间进行关联。
- 同一个Link-Group只能添加到一个Link-Group监控组的一个子组中,不能重复属于多个子组。
- 同一个Link-Group监控组下的子组之间,互相独立
- 同一个Link-Group监控组下的子组之间,当子组下所有Link-Group状态均为Fault,设备才会强制其他子组中的所有接口切换为Down
[USG6000V1-GigabitEthernet1/0/0]link-group 1
link-group-monitor name aa ---创建监控组列表monitor 1 link-group 1 ---创建监控组,并将Link-Group组1加入其中
双机热备技术
双机热备---VRRP、VGMP、HRP三个协议组成。
防火墙双机热备
主备备份模式
双机热备中最大的特点就是为防火墙提供了一条专门的备份通道(心跳线),用于两台防火墙之间传输备份会话,Server-map表等重要信息和配置。并且心跳线也为防火墙之间提供协商通道。
- 主用设备 --- 会处理业务流量、并将设备上的会话表等信息以及配置信息通过备份通道实时同步给备用设备。
- 备用设备 --- 不会处理业务流量,只是通过心跳线,接收来自于主用设备的状态信息以及配置信息。
一旦主用设备发生故障,会通过心跳线重新协商主备状态,如果进行切换,同时,业务流量也需要
被上下行设备的路由信息引导到新的主用设备上。否则流量还是无法通讯。
负载分担模式
在该场景下,两台防火墙均为主用设备,都需要建立会话,都需要处理业务流量。同时两台防火墙又都相互作为对方的备用设备,接收对方备份的会话和配置信息。
VRRP和VGMP
在双机热备场景中,因为需要上下行流量的统一切换,故需要创建两个VRRP组,分别加入上行接口和下行接口。从而控制上下行设备的流量转向。---且两个不同的VRRP组的Master设备必须为同一台防火墙。
VRRP备份组之间是相互独立的,当一台设备上出现多个VRRP备份组时,VRRP备份组之间的状态是无法同步的。
VGMP解决VRRP问题
VGMP---VRRP组管理协议--- 实现对VRRP备份组的统一管理,保证多个VRRP本分组状态的一致性。
将防火墙上所有的VRRP备份组都加入到同一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP备份组状态。如果VGMP组检测到其中一个VRRP备份组状态变化,则VGMP会控制组中的所有VRRP组统一进行状态切换。保证状态一致性。
VGMP存在状态和优先级两个属性。并且由三条运行原则:
- VGMP的状态决定了组内VRRP备份组的状态,也决定了防火墙的主备状态。
- VGMP组的状态是由两个防火墙的VGMP组通过比较优先级来决定的。
- 优先级高的VGMP组称为Active,优先级低的VGMP组Standby
- VGMP组会根据组内VRRP备份组的状态变化来更新自己的优先级。
- 每个VRRP备份组的状态切换为初始化状态,VGMP组的优先级降低2。
当FW1接口发生故障时,VGMP组控制VRRP备份组状态统一切换过程:
1. FW1G1/0/3接口故障,FW1上的VRRP备份组2发生状态切换(由主---初始化)
2. FW1的VGMP组感知到这一变化后,会降低自身的优先级,然后与FW2的VGMP组比较优先级,重新协商主备状态
3. 协商后,FW1的VGMP状态变为Standby,FW2的VGMP组状态变为Active
4. 同时,由于VGMP组的状态决定了组内的VRRP备份组状态,所以FW1和FW2身上各自的VRRP备份组1和备份组2都会进行状态切换。
5. FW2成为Active状态,并从上下游分别发送免费ARP报文,更新设备的MAC地址表
VGMP报文结构
在防火墙中,优先级信息会通过VGMP报文传递。VGMP是华为私有协议,对原本的VRRP协议报文进行了扩展和修改。
- 标准的VRRP报文的“Type”字段恒定为1,而VGMP增加了2;
- 在VGMP中,1代表标准的VRRP报文。2代表VGMP报文
- 在标准的VRRP报文中,“virtual Rtr ID”,携带的是VRRP备份组的组ID,即VRID。
- 在VGMP中,恒定为0
- 去掉了VRRP的IP地址字段
- 标准VRRP报文中的优先级字段,在VGMP中被修改为“Type2”字段
- Type2=1,则报文为心跳链路探测报文。
- Type2=5,则报文为一致性检查报文。---- 检查双机热备状态下,两台防火墙的是否配置了相同的策略。
- Type2=2,VRRP报文才会进一步封装VGMP报文头。---该报文,才能被认为是真正的VGMP协商报文。
- 会根据VGMP中的“vType”字段继续被分为三种不同的报文
- VGMP报文 --- Hello包 ---- 用于两台防火墙之间VGMP组协商主备状态
- HRP心跳报文 --- Hello包 ---主发送
- 用来探测对端设备是否处于工作状态。
- 主设备每隔一段时间(1S)向备份设备发送HRP心跳报文,用来通知对方主用设备处于工作状态如果备用设备在三个周期内,没有收到HRP心跳报文,则认为主用设备故障
- HRP数据报文---主发送
- 在VGMP报文头后,继续增加一个HRP报文头,完整封装为HRP数据报文。
- 在主备设备之间进行数据备份。
- 会根据VGMP中的“vType”字段继续被分为三种不同的报文
- VGMP组需要携带上VGMP组优先级信息,才可以代替VRRP进行管理
- 类型(mode) --- 代表报文是请求报文,还是应答报文
- VGMP-ID --- 代表VGMP组为Active还是Standby组
- 优先级 ---代表VGMP组的优先级
在双机热备中,除了VRRP标准报文以外,其他所有报文的发送接收,都是基于心跳线完成的。
标准的VRRP协议是一个跨四成封装协议,即没有传输层封装,直接由IP层封装。
而VGMP继承了VRRP的特点,但是也增加了UDP进行封装的模式。
- IP协议封装 --- 组播报文
数据链路层 IP协议封装 VRRP协议 VGMP协议 VGMP数据
不能跨网段传输,不受安全策略控制
- UDP封装 --- 单播报文
数据链路层 IP协议封装 UDP封装 VRRP协议 VGMP协议 VGMP数据
- 只要路由可达,就可以跨越网段传输,但是收到安全策略控制。
- ·端口号=18514
VGMP工作过程
VGMP组缺省情况
每台防火墙提供两个VGMP组,Active组和Standby组。默认情况下,Active组的优先级为
65001,状态为Active;Standby组优先级为65000,状态为Standby
主备备份双机热备状态形成过程
上图中表示的是主用设备的接口发生故障后的变化情况。而当主用设备整机故障时,主用设备的
VGMP组将不会发送HRP心跳报文。如果备用设备的VGMP组连续三次收不到,则认定对端故障,从而将自身切换为主用状态。
当原主用设备故障恢复后,如果配置了抢占功能,那么原主重新成为主用设备。如果没有配置,则
原主保持在备份状态。--- 缺省情况下,主动抢占功能开启,抢占延迟时间为60秒。
负载分担双机热备状态形成过程
VGMP总结
1. 故障监控 --- VGMP组能够监控VRRP备份组状态变化。
2. 状态切换 --- VGMP组感知到VRRP备份组状态变化后,会调整自己的优先级,并与对端的VGMP组 重新协商主备状态
3. 流量引导 --- 两个VGMP组主备状态建立或切换后,会强制组内的VRRP备份组统一进行状态切换,然后由状态为Active的VRRP备份组发送免费的ARP报文来引导流量
仅仅适用于防火墙上行或下行设备为交换机的场景。
VGMP协议
防火墙连接路由器场景
VGMP组使用的故障监控方式,是直连监控接口状态。 --- 就是直接将接口加入到VGMP组中,当VGMP组中的接口故障,VGMP可以直接感知到变化,从而降低自己的优先级。
如果是负载分担方式的双机热备,则需要在每个业务接口上执行特殊命令,将业务接口分别加入到Active和Standby组中。
VGMP的流量引导功能,将流量自动引导到主用设备 --- 手工将备用设备所在链路的OSPF开销值改大。VGMP具备根据状态自动调整OSPF的Cost数值。 --- 启用流量引导功能后,如果防火墙上存在状态为Active的VGMP组,则防火墙会正常对外发布路由;如果防火墙上VGMP组状态为Standby,则防火墙在发布路由时,将Cost增加65500。
防火墙透明接入,连接二层交换机场景
防火墙接口现在工作在二层,没有IP地址。故障监控方式为通过VLAN监控接口状态。--- 将二层业 务接口加入VLAN,VGMP监控VLAN。当VGMP中的接口故障时,VGMP组会通过VLAN感知到接口状态变化,从而降低自身优先级。
当VGMP组状态为Active时,组内的VLAN能够转发流量。当VGMP组状态为Standby时,组内VLAN被禁用,不能转发流量。
防火墙透明接入,连接路由器场景
故障监控的逻辑和流量引导的逻辑与上一种组网方式相同。该组网只支持负载分担方式的双机热
备,不支持主备备份场景。--- 原因:如果工作在主备备份,那么备份设备的VLAN会被禁用,导致上下行路由器无法通讯,无法建立OSPF邻居。
VGMP组监控技术
VGMP可以监控自己本身的接口 --- 物理接口、VRRP接口等。
但是VGMP还可以监控远端接口。 --- VGMP监控远端接口的方式,只适用于防火墙业务接口工作在三层时;因为此时接口才能存在IP地址,才可以与远端设备发送IP-link或BFD的探测报文。
总结
- 每当VGMP组监控的一个接口故障时,无论是直接监控还是简介监控,无论监控的是本地还是远端,VGMP优先级都是降低2。
- 只有主用设备才会将流量引导到本设备上,备用设备则是想尽办法拒绝流量引导到本设备
HRP(双机热备协议)协议
HRP数据报文、HRP心跳报文、HRP一致性检查报文。
HRP协议功能
- 动态状态数据备份 --- 实时备份防火墙的会话表、Server-map表、黑白名单、NAT映射表
- 关键配置命令备份 --- 很多;display、reset、debugging...不支持备份。网络基本配置如接口地址和路由等不能够=备份,这些内容需要在双机热备成功建立之前配置完成。
HRP概述
在主备组网中,由主设备将状态数据和配置命令同步给备份设备。
而在负载分担组网中,状态数据双方均会想对端同步。但是配置命令,不可以。--- 原因,如果允许两台主用设备之间相互备份配置命令,可能会造成两台设备命令相互冲突。--- 引入了“配置主设备”和“配置从设备”。--- 在负载分担组网中,发送备份配置命令的防火墙为配置主设备(命令行前存在HRP_M前缀),接收备份配置命令的防火墙成为配置从设备(命令行前存在HRP_S前缀)。--- 在负载分担组网中,谁最先建立双机热备状态的防火墙会成为配置主设备;即最先启动双机热备功能的。
HRP备份方式
- 自动备份 --- 默认开启的,能够自动实时备份配置命令和周期性备份状态信息。
- 主用设备每执行一次可备份命令,该命令都会立即被同步到备用设备。注意:对于这些可备份命令,备用设备不能配置,只能等到主用设备的同步。
- 对于不可备份命令---分别配置
- 对于状态信息,周期性备份(部分状态信息)。
- 手工批量备份 --- 需要管理员手工触发的,每执行一次手工批量备份命令,主用设备就会立即同步一次配置命令和状态信息。
- 快速备份 --- 仅适用于负载分担场景的,用来应对报文来回路径不一致的场景。
- 主要为了保证状态信息的及时同步,快速备份功能仅仅备份状态信息,是为了弥补自动备份的时差问题。
- 如果启动快速备份功能,主设备将实时进行状态信息备份。
心跳链路探测报文
心跳口必须是状态独立且具有IP地址的接口。且该接口不要参与到其他协议的工作过程中,以免产
生不必要的影响。
HRP一致性检查报文
该报文是用于检测双机热备状态下两台防火墙的双机热备配置是否一致,以及策略配置是否相同
的。
主备备份双机热备组网配置
双机热备
HRP_M[FW1]hrp adjust ospf-cost enable ---开启根据VGMP状态调整OSPF Cost值功能如果需要防火墙发布路由信息,则需要开启该功能,进行流量引导该命令不支持自动备份,需要手工在主备上进行单独配置HRP_M<FW1>hrp sync config ---只能在用户视图配置,且只有配置主设备可以用---手工批量备份
负载分担双机热备命令行配置
旁挂组网方式--特殊
旁挂优点:1、在不影响网络物理拓扑的情况下,将防火墙加入到现有网络中2、可以有选择性的将流量引导到防火墙进行安全检测
旁挂的引导流量方式:1.静态路由;2.策略路由。
在实际组网环境中,来回流量都需要经过防火墙的安全检查。
为了实现流量的转发,需要在交换机的VRF和Public上配置静态路由,下一跳为VRRP备份组1和
VRRP备份组2的虚拟IP地址。因为流量是有去有回的,所以防火墙上也需要配置两条静态的回程路由,下一跳分别是VRF和Public的VRRP组的虚拟IP地址。
需求:1、SW3的流量正常情况下:SW1_VRF-->FW1--->SW1_Public--->R5故障情况下:SW2_VRF-->FW2--->SW2_Public--->R62、SW4的流量正常情况下:SW2_VRF-->FW2--->SW2_Public--->R6故障情况下:SW1_VRF-->FW1--->SW1_Public--->R53、交换网络负载均衡
二层交换配置
使用传统三层架构中MSTP+VRRP组网形式VLAN 2--->SW3,SW4作为备份VLAN 3--->SW4,SW3作为备份MSTP设计--->SW3、4、5运行实例1:VLAN 2实例2:VLAN 3SW3是实例1的主根,实例2的备份根;SW4是实例2的主根,实例1的备份根IP地址规划:SW3:VLAN 2:192.168.2.1/24VLAN 3:192.168.3.1/24SW4:VLAN 2:192.168.2.2/24VLAN 3:192.168.3.2/24虚拟IP:VLAN 2:192.168.2.254/24VLAN 3:192.168.3.254/24
汇聚到核心层路由配置
SW1-SW2:VLAN 102---10.10.2.0/24SW1-SW3:VLAN 103---10.10.3.0/24SW1-SW4:VLAN 104---10.10.4.0/24SW2-SW3:VLAN 203---10.20.3.0/24SW2-SW4:VLAN 204---10.20.4.0/24
因为SW1和SW2需要被分割为两台设备,分别与上下行设备连接,故需要先创建VRF空间,其中
GE0/0/3-GE0/0/6属于该空间接口。
VRF空间配置信息:名称:VRFRD:100:1RT:100:1
[sw1]ip vpn-instance VRF ---创建VRF空间[sw1-vpn-instance-VRF]route-distinguisher 100:1 --设定RD值[sw1-vpn-instance-VRF-af-ipv4]vpn-target 100:1 both ---设定RT值[sw1-Vlanif102]ip binding vpn-instance VRF ----将接口划入到VRF这个交换机中,在接口进行配置之前执行
因为VPN实例和物理设备,之间的完全相互独立的,所以,路由表、MAC地址表等各类信息也是独立的互不干扰的,所以,在进行配置时,需要携带vpn-instance参数,设备才会知晓使用哪个设备的表单
[sw2]ping -vpn-instance VRF 10.10.2.1PING 10.10.2.1: 56 data bytes, press CTRL_C to breakReply from 10.10.2.1: bytes=56 Sequence=1 ttl=255 time=80 msReply from 10.10.2.1: bytes=56 Sequence=2 ttl=255 time=30 msReply from 10.10.2.1: bytes=56 Sequence=3 ttl=255 time=50 msReply from 10.10.2.1: bytes=56 Sequence=4 ttl=255 time=20 msReply from 10.10.2.1: bytes=56 Sequence=5 ttl=255 time=30 ms
配置OSPF[sw1]ospf 1 router-id 1.1.1.1 vpn-instance VRF ---代表在名称为VRF的VPN实例中允许OSPF
此时回程流量是等价路由,负载均衡,不符合来回路径一致要求。故需要进行路由干涉,使用路由
策略。
SW3:主要流量发送给SW1,备份发给SW2SW4:主要流量发送给SW2,备份发给SW1SW1:192.168.2.0/24--->主要发送给SW3,备份给SW4192.168.3.0/24--->主要发送给SW4,备份给SW3SW2:192.168.2.0/24--->主要发送给SW3,备份给SW4192.168.3.0/24--->主要发送给SW4,备份给SW3
SW3和SW4只需要修改接口Cost数值,让SW3优选从SW1学习到的路由即可,让SW4优选从SW2学习到的路由。
SW3:将SW3本地发送的192.168.3.0/24路由的开销值改大192.168.2.0/24路由开销不变通过重发布,来调用路由策略重发布时,不要引入其他路由信息1、抓流量[sw3]ip ip-prefix aa permit 192.168.3.0 24[sw3]ip ip-prefix bb permit 192.168.2.0 242、做策略[sw3]route-policy aa permit node 10[sw3-route-policy]if-match ip-prefix aa[sw3-route-policy]apply cost 5[sw3]route-policy aa permit node 20[sw3-route-policy]if-match ip-prefix bb3、调用[sw3-ospf-1]import-route direct route-policy aaSW4:将SW4本地发送的192.168.2.0/24路由的开销值改大192.168.3.0/24路由开销不变通过重发布,来调用路由策略重发布时,不要引入其他路由信息
VRF交换机和防火墙的路由交互
防火墙和VRF交换机各自建立一个VRRP组,且两个组之间不想管,但相互对称。
防火墙视角:去往内部的流量,vFW路由的下一跳为交换机的VRRP备份组3的虚拟IP地址,当Master设备存在时,由Master设备进行回复。而当Master设备故障时,或者Master设备连接防火墙的链路故障时,VRF交换机会将Master角色进行切换。而防火墙因为感知到接口down,也会进行主备切换。接下来,就又备份防火墙进行数据发送,访问的下一跳还是VRRP备份组3的虚拟IP地址VRF交换机视角:如果流量正常来到Master设备上,将由Master设备进行路由查找,请求下一跳地址的信息,即VRRP备份组1的虚拟IP地址,正常情况又Active设备回复如果流量没有正常来到Master设备,即可能因为Master设备故障,那么此时不管是VRF交换机还是防火墙都会进行主备切换。且流量还是正常转发。如果Master路由器的下游设备链路故障,流量不得已到达Backup,但是此时Master设备还是存在的, 此时Backup设备无法通过三层转发机制转发流量,只能通过二层转发机制,将流量引导到Master设备上,此时报文转发路径为Backup--->Master--->vFW
想要实现上述效果,需要让两台防火墙和虚拟出来的两台VRF交换机的数据转发路径同属于一个广
播域,即使用相同的VLAN和网段信息。
如果是负载分担组网形式,其逻辑是完全相同的,在每个设备上新添加一组VRRP信息。
FW1为主VRRP备份组1---VRRP备份组5VRRP备份组3---VRRP备份组7FW2为主VRRP备份组2---VRRP备份组6VRRP备份组4---VRRP备份组8
VRRP备份组1:VRF使用,SW1为Master,SW2为BackupVLAN 401---10.40.1.0/24SW1:10.40.1.1/24SW2:10.40.1.2/24虚拟地址:10.40.1.100VRRP备份组2:VRF使用,SW2为Master,SW1为BackupVLAN 402---10.40.2.0/24SW1:10.40.2.1/24SW2:10.40.2.2/24虚拟地址:10.40.2.100VRRP备份组3:Public使用,SW1为Master,SW2为BackupVLAN 403---10.40.3.0/24SW1:10.40.3.1/24SW2:10.40.3.2/24虚拟地址:10.40.3.100VRRP备份组4:Public使用,SW2为Master,SW1为BackupVLAN 404---10.40.4.0/24SW1:10.40.4.1/24SW2:10.40.4.2/24虚拟地址:10.40.4.100VRRP备份组5:防火墙使用,FW1为Master,FW2为BackupVLAN 401---10.40.1.0/24FW1:10.40.1.10/24FW2:10.40.1.20/24虚拟地址:10.40.1.200VRRP备份组6:防火墙使用,FW2为Master,FW1为BackupVLAN 402---10.40.2.0/24FW1:10.40.2.10/24FW2:10.40.2.20/24虚拟地址:10.40.2.200VRRP备份组7:防火墙使用,FW1为Master,FW2为BackupVLAN 403---10.40.3.0/24FW1:10.40.3.10/24FW2:10.40.3.20/24虚拟地址:10.40.3.200VRRP备份组8:防火墙使用,FW2为Master,FW1为BackupVLAN 404---10.40.4.0/24FW1:10.40.4.10/24FW2:10.40.4.20/24虚拟地址:10.40.4.200
防火墙双机热备配置----------------------------下联VRF--------------------------[FW1]int g 1/0/2.401[FW1-GigabitEthernet1/0/2.401]vrrp vrid 5 virtual-ip 10.40.1.200 active[FW1]interface GigabitEthernet 1/0/2.402[FW1-GigabitEthernet1/0/2.402]vrrp vrid 6 virtual-ip 10.40.2.200 standby----------------------------上联Public--------------------------[FW1]interface GigabitEthernet 1/0/3.403[FW1-GigabitEthernet1/0/3.403]vrrp vrid 7 virtual-ip 10.40.3.200 active[FW1]int g 1/0/3.404[FW1-GigabitEthernet1/0/3.404]vrrp vrid 8 virtual-ip 10.40.4.200 standby[FW1]hrp mirror session enable ---快速备份功能[FW1]hrp interface GigabitEthernet 1/0/0 remote 10.10.10.2 ---定义心跳线和对端IP[FW1]hrp enable
核心到边界配置
SW1-SW2:VLAN 201 --- 10.20.1.0/24SW1-R5:VLAN 105 ---- 10.10.5.0/24SW2-R6:VLAN 206 ---- 10.20.6.0/24R5-R6: ---- 10.56.0.0/24
双机热备与NAT结合
在双机热备+NAT组网环境中,如果需要双机热备的防火墙配置NAT,则需要将地址池中的地址与
VRRP备份组组中的地址分为不同的网段,否则可能会出现数据转发路径障碍。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
20
0- 0
已为社区贡献2条内容
所有评论(0)