网络安全初级(防火墙的可靠性)
路由收敛时间必须比较短,才能保障业务不会中断。核心需求:随着网络的发展,保障网络的不间断传输成为必须解决的问题。双机热备技术就是为了实现这一目标而产生的功能,它主要依靠 VRRP(虚拟路由冗余协议)、VGMP(VRRP 组管理协议)、HRP(双机热备协议)这三种协议协同工作。考虑安全设备之间的会话备份问题。防火墙的可靠性技术围绕着保障网络不间断运行这一核心目标展开。Bypass 机制在设备故障时保
一、Bypass(旁路机制)
- 核心目标:防火墙的核心目标是在保障通讯的基础上,尽可能保障数据安全。而 Bypass 机制作为其中的重要组成部分,是在防火墙断电或死机等故障情况下,让两个网络不通过安全设备的系统,直接实现物理上的导通,优先保证网络通讯不中断。
- 硬件本质:Bypass 机制实际上是一种网络接口卡。
- 触发方式:
- 电源触发:当防火墙断电时,自动触发 Bypass,使网络直接导通。
- GPIO(通用输入 / 输出端口)控制:通过 GPIO 端口发送控制指令来触发 Bypass 功能。
- 工业标准:采用 1U 工业机箱,平均无故障工作时间 MTBF 需大于 4 万小时,以确保其稳定可靠地运行。
二、Link-Group 技术
- 定义:Link-Group 功能是将多个接口的状态相互绑定,组成一个逻辑组。当组内任何一个接口出现故障时,系统会将组内其他接口的状态也设定为 down;只有当组内所有接口的状态都恢复后,整个组内接口的状态才会重新变为 UP。
- 目的:主要是为了实现上下行接口状态的一致性,避免在主备切换后出现上下行链路路径不一致的问题,保证网络传输的稳定性。
- 扩展关联:Link-Group 不仅可以将普通的物理接口加入到同一个组中,还可以将不同的 Link-Group 组进行关联。
- 监视组规则:
- 同一个 Link-Group 组只能添加到一个 Link-Group 监视组中。
- 同一个 Link-Group 监视组下的同一个子组中的不同 Link-Group 组之间相互独立,不会互相影响。
- 同一个 Link-Group 监视组下的不同子组之间,只有当某一子组下所有的 link-group 状态均为 fault 时,设备才会强制其他子组中的 Link-Group 下的所有接口切换为 down 状态。
- 不同的 Link-Group 监视组之间相互独立,不会产生相互影响。
- 配置示例:
- 将 GE1/0/2 接口加入到 link-group 组 1 中:
[USG6000V1-GigabitEthernet1/0/2]link-group 1 - 创建名称为 aa 的链路监视组,并在其中加入 link-group 组 1:
[USG6000V1]link-group-monitor name aa [USG6000V1-link-group-monitor-aa]monitor 1 link-group 1
- 将 GE1/0/2 接口加入到 link-group 组 1 中:
三、双机热备技术
(一)概述
路由收敛时间必须比较短,才能保障业务不会中断。
- 核心需求:随着网络的发展,保障网络的不间断传输成为必须解决的问题。双机热备技术就是为了实现这一目标而产生的功能,它主要依靠 VRRP(虚拟路由冗余协议)、VGMP(VRRP 组管理协议)、HRP(双机热备协议)这三种协议协同工作。
考虑安全设备之间的会话备份问题。
(二)VRRP(虚拟路由冗余协议)
VRRP工作流程:
双方在接口启动VRRP协议
两者均会进入备份状态,等待计时器超时(主关闭定时器 = 3*周期发送时间 + 偏移时间)
偏移时间 = (256 - 接口优先级)/256
当该时间超时:两者进入到主状态,发送VRRP报文,进行主备选举,优先级(默认100)大的为主
接口状态:
初始化 --- 启动VRRP进入,对比虚拟IP和接口真实IP
如果IP相同,则本接口优先级 = 255,然后直接进入主状态;否则,进入备份状态
主 --- 负责发送VRRP报文(周期性1秒发送一次),以及处理PC业务数据
备 --- 实时监控主设备
VRRP选举规则:1.比接口优先级,大则优;2.比接口IP地址,大则优。
VRRP不同备份组之间是相互独立的,当一台设备上出现多个VRRP备份组时,备份组之间的状态无 法同步。
- 功能:VRRP 是一种容错协议,它将网关的下联接口组合形成一个 VRRP 备份组,这个备份组相当于一个虚拟路由器,从而实现网关的冗余备份,提高网络的可靠性。
- 虚拟路由器属性:
- 虚拟 IP:由管理员进行设定,且必须和下连接口处于同一个网段。
- 虚拟 MAC:自动生成,格式为 800-5e00-01xx(其中 xx 为 VRID)。
- 工作流程:
- 初始化:启动 VRRP 后,会对比虚拟 IP 和接口真实 IP。如果两者相同,本接口优先级为 255,并直接进入主状态;否则,进入备份状态。
- 主设备:负责周期性(每 1 秒)发送 VRRP 报文,同时处理 PC 的业务数据。
- 备设备:实时监控主设备的状态。当主设备出现故障(备设备超时未收到主设备发送的报文),备设备会进入主状态并发送 VRRP 报文进行主备选举。
- 选举规则:
- 比较接口优先级,优先级高的设备为主设备。
- 当接口优先级相同时,比较接口 IP 地址,IP 地址大的设备为主设备。
- 超时机制:主关闭定时器的时间为 3 倍的周期发送时间加上偏移时间,其中偏移时间的计算公式为(256 - 接口优先级)/ 256。
(三)VGMP(VRRP 组管理协议)
防火墙连接路由器场景
VGMP使用的故障检测方式 --- 直接监控直连接口状态
流量引导方式 --- 备用设备在发送路由信息时,将自动调整OSPF Cost = 65500,从而引导流量走向 主用设备
防火墙透明接入,连接交换机
VGMP监控 --- 监控VLAN接口状态
当VGMP组状态为Active,则组内的VLAN能够正常转发流量;当VGMP状态为Standby时,组内 VLAN被禁用,不能转发流量。
防火墙透明接入,连接路由器
Type2含义
1、数值=1时
该报文是心跳链路探测报文
2、数值=5时
该报文是一致性检查报文 ---> 检测双机热备状态下,双方是否配置了相同策略
3、数值=2时 此时,VRRP报文才会进一步的封装VGMP报文头部
根据vType字段,将VGMP报文分为三种报文
VGMP Hello报文 ---> 进行VGMP主备协商
HRP心跳报文 ---> 用于探测对端是否处于工作状态,周期性1秒发送一次,用来通知主用设备处于工作状态
如果备份设备,在三个周期内没有收到HRP心跳报文,则认为主设备故障,而自身切换为主设备
HRP数据报文 ---> 当需要在VGMP报文后,增加HRP报文头部时,需要将VGMP封装为HRP数据报文 用于主备设备之间进行数据备份
- 功能:VRRP 存在一个问题,即不同备份组之间的状态无法同步。而 VGMP(VRRP 组管理协议)就是为了解决这一问题,它将所有的 VRRP 备份组都加入到同一个 VGMP 组中,集中监控并管理所有 VRRP 备份组的状态。当 VGMP 组检测到其中一个 VRRP 组的状态发生变化时,会控制所有的 VRRP 组进行统一的状态切换。
- 核心作用:
- 故障检测:VGMP 检测 VRRP 的状态切换,而 VRRP 则检测接口的状态切换。
- 状态切换:当 VGMP 感知到 VRRP 的状态变化后,会调整自身的优先级,并与对端重新协商 VGMP 的主备状态。
- 流量引导:VGMP 选举完成后,会强制组内 VRRP 的状态统一切换,由处于 Active 状态的 VRRP 组发送免费 ARP 来引导流量。
- 状态与优先级:
- VGMP 组的状态由两个防火墙的 VGMP 组优先级决定,优先级高的为 Active 状态,优先级低的为 Standby 状态。
- 当每一个 VRRP 组的状态切换为初始化时,VGMP 组的优先级会降低 2。
- 报文:VGMP 是华为的私有协议,它在 VRRP 的基础上进行了扩展和修改,形成了 VGMP 报文。VGMP 报文主要包括 VGMP Hello 报文(用于进行 VGMP 主备协商)、HRP 心跳报文(用于探测对端是否处于工作状态,周期性 1 秒发送一次,若备份设备在三个周期内未收到该报文,则认为主设备故障并自身切换为主设备)、HRP 数据报文(当需要在 VGMP 报文后增加 HRP 报文头部时使用,用于主备设备之间的数据备份)。
- 封装模式:
- 组播格式:采用 IP 协议封装,不能跨网段传输,且不受安全策略控制。
- 单播格式:采用 UDP 封装,端口号为 18514,只要路由可达就可以跨网段传输,但受安全策略控制。
- 不同组网场景的监控与流量引导
| 双机热备组网 | 监控方式 | 流量引导方式 |
|---|---|---|
| 防火墙三层,上下二层交换机 | VRRP 备份组 | 发送免费 ARP |
| 防火墙三层,上下三层设备 | 直接监控接口 | 主用设备正常发布路由,备用设备发送时 Cost 增加 65500 |
| 防火墙二层,上下二层 | VLAN | 备用设备禁用 vlan |
| 防火墙二层,上下三层 | VLAN | 备用设备禁用 vlan |
(四)HRP(双机热备协议)
默认情况下,每台防火墙的VGMP协议存在两个VGMP组,分别为Active和Standby组;且优先级 分别为65001和65000
主备备份双机热备形成过程
当原主用设备的故障恢复后,如果配置了抢占功能,那么原设备重新抢占称为主用设备。如果没有 配置抢占功能,则原主用设备保持现状(备份)。 --- > 默认情况下,抢占功能开启,抢占延迟时间 = 60 秒
负载分担双机热备形成过程
- 功能:HRP 协议的主要功能是实现主备设备之间的动态状态数据和关键配置命令的备份,从而保障主备设备能够平滑切换,确保网络业务的连续性。
- 备份内容:
- 动态状态数据:包括会话表、server-map、黑白名单、NAT 映射表、IPSec 安全联盟等。
- 关键配置命令:涵盖策略(安全策略、NAT 策略等)、对象(地址、服务等)、网络配置(接口、安全区域等)、系统配置(管理员、日志等)。
- 不可备份内容:接口信息和路由信息,这些配置必须在双机热备之前完成。
- 备份模式:
- 主备备份:配置命令和状态信息均由主用设备备份到备用设备。
- 负载分担:状态信息相互备份,配置信息由 “配置主设备”(最先建立双机热备状态的设备)发送给 “配置从设备”。
- 备份方式:
- 自动备份:默认开启,设备会实时备份配置命令,并周期性备份状态信息(部分状态信息需要快速备份)。对于可备份命令,备用设备不能自行配置,只能等待主用设备的同步(此规则在负载分担组网中无效)。
- 手工批量备份:由管理员手工触发,主用设备会立即同步一次配置信息和状态信息。
- 快速备份:适用于负载分担场景,仅实时同步状态信息,不备份配置信息,用于应对来回路径不一致的问题,保障状态信息的及时同步。使用快速备份时,心跳口必须是状态独立且具有 IP 地址的接口。
(五)双机热备组网配置
- 组网形式支持情况
| 组网形式 | 主备备份 | 负载分担 |
|---|---|---|
| 防火墙三层,上下交换机 | 支持 | 支持 |
| 防火墙三层,上下路由器 | 支持 | 支持 |
| 防火墙二层,上下交换机 | 支持 | 不支持 |
| 防火墙二层,上下路由器 | 不支持 | 支持 |
- 主备备份组网配置步骤:
- 配置 IP 地址。
- 配置安全区域。
- 配置 OSPF。
- 配置双机热备:启用双机热备功能,设置运行模式为 “主备备份”,指定心跳接口及对应的 IP 地址,配置虚拟 IP 地址等。
- 配置安全策略。
- 当下行设备为三层设备时,配置
HRP_M[FW1]hrp adjust ospf-cost enable,使备份设备发送的路由信息的 Cost 值变为 65500,以引导流量走向主用设备。
- 负载分担组网配置补充:
- 配置 VRRP 备份组,使两台设备分别在不同的备份组中担任主备角色。
- 监控相关接口,例如:
[FW1]hrp track interface GigabitEthernet 1/0/0。 - 配置会话快速备份:
[FW1]hrp mirror session enable。 - 设定心跳口和对端 IP 地址:
[FW1]hrp interface GigabitEthernet 1/0/2 remote 10.1.1.2。 - 启动双机热备后,同步配置:
HRP_M<FW1>hrp sync config。
- 双机热备旁挂组网:这种特殊的组网形式需要在核心设备上配置 VRF(虚拟路由转发)功能,将设备虚拟为多个相互隔离的设备,实现路由和接口的独立,以满足特定的网络需求。
主备备份组网
负载分担组网
双机热备旁挂组网 --- 特殊组网形式 需要在核心设备上配置 VRF功能。 VRF 虚拟路由转发 ---> 虚拟设备 ---> 将设备从一台虚拟为多个完全相互隔离的设备,这多个设备之 间互不干扰,路由相互隔离,接口相互独立。
VRF交换机与防火墙的路由交互
想要实现上图效果,需要让两台防火墙和虚拟出来的VRF交换机的数据转发路径属于同一个广播 域,即使用相同的VLAN和网段信息。
核心到边界
四、总结
防火墙的可靠性技术围绕着保障网络不间断运行这一核心目标展开。Bypass 机制在设备故障时保障物理连通性,确保网络不中断;Link-Group 技术通过绑定接口状态,保证上下行接口状态一致,避免主备切换后的路径问题;双机热备技术则通过 VRRP、VGMP、HRP 协议的协同工作,实现主备设备的状态监控、切换和数据备份,能够适应不同的组网场景。这些技术相互配合,共同构建起防火墙的高可靠性体系,确保网络业务的稳定运行。在实际应用中,需要根据具体的网络环境和需求,选择合适的可靠性技术和配置方式。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
28
0- 0
已为社区贡献7条内容
所有评论(0)