信息安全基礎知識筆記06防火牆雙機熱備技術(下)
本筆記主要介紹防火牆雙機熱備,分為上下兩個部分。下部分主要介紹防火牆雙機熱備的基本組網方式和配置方法(其中包括配置VRRP,VGMP和配置HRP),以及分別通過命令行和Web圖形界面方式進行配置實現。
雙機熱備基本組網
下圖為防火牆直路部署,上下行連接交換機的主備備份組網圖。防火牆上下行業務接口工作在三層(路由)模式,連接二層設備時,需要在上下行的業務接口上配置VRRP備份組,使VGMP管理組能夠通過VRRP備份組監測三層業務接口。
雙機熱備組網最常見的是防火牆采用路由模式,下行交換機雙線上聯到防火牆,若以防火牆A作為主,當防火牆A上行或下行鏈路down掉后,防火牆B自動切換為主設備,交換機流量走向防火牆B。
將上面的網絡組網圖轉換成實際拓撲圖如下。假設有一企業的兩台防火牆的業務接口都工作在三層,上下行分別連接二層交換機。上行交換機連接運營商的接入點1.1.1.10/24,運營商為企業分配的外網IP地址為1.1.1.1/24。現在希望兩台防火牆以主備備份方式工作。主防火牆A與備防火牆B通過GE1/0/6連接HRP心跳鏈路,用於同步配置命令,網段配置為10.10.0.0/24。
正常情況下,流量通過防火牆A轉發。當防火牆A出現故障時,流量通過防火牆B轉發,保證業務不中斷。
(1)命令行配置方式
Step 1:基礎配置
① 為各防火牆的接口配置IP地址。(詳細命令省略)
防火牆A配置如下:
防火牆B配置如下:
② 將防火牆各接口加入到對應的安全區域中(詳細命令省略)
防火牆A和防火牆B的安全區域配置相同。此處創建了一個優先級為95的安全區域hrp,專用於加入HRP心跳接口。
③ 在兩個防火牆上均配置一條缺省路由,下一跳為運營商接入點1.1.1.10,使內網用戶的流量可以正常轉發至運營商的路由器上。
防火牆A和防火牆B的靜態路由配置相同。
Step 2:配置VRRP備份組
配置命令:
vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby }
Tips:斜體為需更改的參數,[]中的命令為二選一,{}中的命令為可選項。下同
執行此命令時,指定active或standby參數后,即將該VRRP組加入了VGMP管理組的Active(主)或Standby(備)管理組。
每個普通物理接口(GigabitEthernet接口)下最多配置255個VRRP組。
在防火牆A上行業務接口GE1/0/1上配置VRRP備份組1,並設置其狀態為Active。在下行業務接口GE1/0/3上配置VRRP備份組2,並設置其狀態為Active。
在防火牆B上行業務接口GE1/0/1上配置VRRP備份組1,並設置其狀態為Standby。在FW_B下行業務接口GE1/0/3上,配置VRRP備份組2,並設置其狀態為Standby。
Tips:需要注意的是如果接口的IP地址與VRRP備份組地址不在同一網段,則配置VRRP備份組地址時需要指定掩碼。
關於vrrp其他的一些常用命令配置:
① Master管理組默認情況下會每隔60秒發送一次vrrp報文,可以在接口視圖下調整vrrp報文發送間隔。接口視圖下修改vrrp報文發送時間:
配置命令:
vrrp vrid virtual-router-ID timer advertise adver-interval
② vrrp也可以與ip-link進行配合,當上行鏈路斷掉后使vrrp能夠進行主備切換。在接口視圖下配置ip-link:
配置命令:
vrrp vrid virtual-router-id ip-link link-id
③ 缺省情況下,VGMP管理組的搶占功能為啟用狀態,搶占延遲時間為60秒。可以調整VGMP管理組的搶占延時時間。配置VGMP管理組的搶占延遲時間命令如下:
配置命令:
hrp preempt [ delay interval ]
Step 3:配置指定心跳口並啟用雙機熱備功能
i、配置HRP之前,需要知道的事項:
① HRP兩台防火牆心跳口的接口類型和編號必須相同,且心跳口不能為二層以太網接口。
② 防火牆支持使用Eth-Trunk接口做為心跳口,既提高了可靠性,又增加了備份通道的帶寬。
③ 主備防火牆的心跳口可以直接相連,也可以通過中間設備,如交換機或路由器連接。當心跳口通過中間設備相連時,需要配置remote參數來指定對端IP地址。
ii、根據不同的場景使用不同的備份方式:
① 當兩台設備啟用HRP備份功能之后,會進行主備狀態的協商,最后得到一個主用設備(顯示時以HRP_A表示),一個備用設備(顯示時以HRP_S表示)。兩端首次協商出主備后,主用設備將向備用設備備份配置和連接狀態等信息。
配置命令:啟用HRP備份功能
hrp enable
② 啟用允許配置備用設備的功能后,所有可以備份的信息都可以直接在備用設備上進行配置,且備用設備上的配置可以同步到主用設備。如果主備設備上都進行了某項配置,則從時間上來說,后配置的信息會覆蓋先配置的信息。
配置命令:啟用允許配置備用設備的功能
hrp standby config enable
啟用命令與狀態信息的自動備份
hrp auto-sync [ config | connection-status]
③ 防火牆工作於負載分擔組網時,報文的來回路徑可能會不一致,務必啟用會話快速備份功能,使一台防火牆的會話信息立即同步至另一台防火牆,保證內外部用戶的業務不中斷。
配置命令:啟用會話快速備份
hrp mirror session enable
回到本例,為兩防火牆分別配置使能HRP。
配置命令:
hrp interface interface-type interface-number [ remote { ip-address | ipv6-address } ]
用於指定心跳口。且不要忘記使能HRP功能。
配置完成后,先配置hrp的防火牆A成為主防火牆(狀態為HRP_M),后配置hrp的防火牆B成為備防火牆(狀態為HRP_S)。
Step 4:在防火牆A上配置安全策略,允許內網用戶訪問Internet。雙機熱備狀態成功建立后,防火牆A的安全策略配置會自動備份到防火牆B上。
只需在防火牆A輸入命令,HRP自動將命令備份到防火牆B上。
若命令后有(+B)的字樣,則表示可以備份且備份同步成功。
Step 5:在防火牆A上配置NAT策略,當內網用戶訪問Internet時,將源地址由10.3.0.0/16網段轉換為地址池中的地址(1.1.1.2-1.1.1.5)。雙機熱備狀態成功建立后,防火牆A的NAT策略配置會自動備份到防火牆B上。
只需在防火牆A輸入命令,HRP自動將命令備份到防火牆B上。
Step 6:將內網PC的默認網關設置為VRRP備份組2的虛擬IP地址,在運營商ISP的路由器上配置到防火牆的等價路由,路由下一跳指向VRRP備份組1的虛擬IP地址。
Tips:分析本例拓撲后發現,ISP運營商路由器不需要加入靜態路由也可通訊。
(2)配置結果驗證
Step 1:在防火牆A和防火牆B上執行display vrrp命令,檢查VRRP組內接口的狀態信息,顯示以下信息表示VRRP組建立成功。
防火牆A:
防火牆B:
Step 2:在防火牆A和防火牆B上執行display hrp state verbose命令,檢查當前VGMP組的狀態,顯示以下信息表示雙機熱備建立成功。
防火牆A:
防火牆B:
Step 3:運營商ISP路由器位於Untrust區域。在Trust區域的PC端能夠ping通Untrust區域的運營商ISP路由器。分別在防火牆A和防火牆B上檢查會話。
防火牆A:可以看到內網IP在防火牆經過NAT后訪問外網
防火牆B:可以看出防火牆B上存在帶有Remote標記的會話,表示配置雙機熱備功能后,會話備份成功。
Step 4:在PC上執行ping 1.1.1.10 -t,然后將防火牆A GE1/0/1接口網線撥出,觀察防火牆狀態切換及ping包丟包情況;再將防火牆A GE1/0/1接口網線恢復,觀察防火牆狀態切換及ping包丟包情況。
(3)Web界面配置方式
Step 1:點擊“系統 > 高可靠性 > 雙機熱備 > 配置”進行雙機熱備相關配置。
① 點擊“配置”進入雙機熱備配置界面,在配置界面中可以配置HRP的基本參數,以及對接口、VLAN、IP-Link、BFD的監視;
② 點擊“詳細”按鈕可以查看HRP的歷史切換信息;
③ 點擊“一致性檢查”按鈕可以對主備防火牆的配置做一致性檢查。
Step 2:在雙機熱備配置界面點擊“配置”按鈕對主用設備防火牆A的配置,在配置虛擬IP地址下點擊“新建”建立相應VRRP備份組。
Step 3:在雙機熱備界面,點擊“詳細”可以查看雙機熱備主備切換信息。
Step 4:在雙機熱備界面確認運行模式、角色及VRRP備份組的狀態信息。
思考題
(1)HRP技術可以實現備防火牆不需要配置任何信息,所有配置信息均由主防火牆通過HRP同步至備防火牆,且重啟后配置信息不丟失。
答案:錯誤
(2)在防火牆做雙機熱備組網時,為實現備份組整體狀態切換,需要使用以下哪個協議技術?
答案:VGMP