在网络关键位置,如果只使用一台防火墙设备,就会因为设备的单点故障导致网络中断
如果部署两台独立的防火墙,容易出现主备状态不一致的情况,会话的状态信息也不同步
防火墙双机热备:
双机热备需要两台硬件和软件配置都相同的防火墙,两机之间通过独立的链路连接,用来同步信息和会话表项
目前只支持两台设备进行双机热备
主备设备的产品型号和版本都必须相同
主备设备的业务板和接口卡的位置、类型、和数目的必须相同,否则无法兼容,从而导致主备无法切换
双机热备的关键组件:
VRRP是一种容错协议,保证主设备发生故障时,备机自动代替前者完成报文的发送,保证连续性和可靠性
VGMP组,用来集中监管和管理所有VRRP组的状态,保证主备切换时所有VRRP组统一进行状态切换
HRP,华为冗余协议,实现防火墙双机之间动态状态数据和关键配置命令的备份
VGMP四种状态:
Initialize : 初始状态,(启用双机热备时)
Load Balance : 两个防火墙的VGMP组的优先级相等的时候
Active : 本端的VGMP组优先级高于对端时
Standby : 本端的VGMP组优先级低于对端时
默认情况下两端优先级是相同的,可以使用VRRP和手工指定设备,使两设备形成主备状态
VRRP配置的方式适用于FW连接二层交换机的组网,指定备设备的方式适用于FW其他方式的双机热备组网
HRP和心跳线:
负载分担组网下,两台FW都是主用设备,这时候允许备份命令就会造成两台设备命令相互覆盖或冲突的问题
为了实现备用设备能够在主设备故障时平滑地接替工作,必须在主备设备间备份关键配置命令和会话表等状态信息
为此华为防火墙引入了HRP协议,配置命令和状态信息都是由主用设备备份到备用设备
防火墙能够备份的配置:
策略:安全策略、NAT策略、NAT server等
对象:地址、地区、服务、应用、用户等等
网络:安全区域、DNS、IPsec、SSL VPN等等
系统:管理员、虚拟系统、日志配置
二层设备双机热备组网:
防火墙的业务接口工作在三层,上下行连接交换机
终端可以将默认网关设置为VRRP 的虚拟IP地址,返程路由也可以将下一跳设置为虚拟IP地址
三层设备双机热备的组网:
防火墙的业务接口工作在三层,上下行连接路由器
防火墙于路由器直接运行OSPF,当主设备的业务接口故障时,切换为备用接口
防火墙虚拟系统:
应用于大中型企业的网络隔离;云计算中心的安全网关
在虚拟系统的特性中,根系统的作用是管理其他虚拟系统,并为虚拟系统间的通信提供服务
虚拟系统是在防火墙上划分出来的、独立运行的逻辑设备
防火墙的虚拟化
资源虚拟化:每个虚拟系统都有独享的资源,包括接口、VLAN、策略和会话,虚拟系统自行管理使用
配置虚拟化:每个虚拟系统都拥有独立的虚拟系统管理员和配置界面
安全功能虚拟化:每个虚拟系统都可以配置独立的安全策略及其他安全功能,只有该系统的报文才会受到配置影响
路由虚拟化:每个虚拟系统都拥有各自的路由表,相互独立隔离
虚拟接口:
虚拟系统之间通过虚拟接口实现互访,是一个逻辑接口,是用于虚拟系统之间通信的接口
虚拟接口必须配置IP地址,并加入安全区域才能正常工作
虚拟接口名的格式为 Virtual-if + 接口号,接口号从1开始,自动分配
以上均为个人笔记,总结于华为技术有限公司和网络平台资源
如有问题,谢谢指正