完整版防火墙双机热备配置及组网指导1015Adoc.docx

资源描述

完整版防火墙双机热备配置及组网指导1015Adoc.docx

《完整版防火墙双机热备配置及组网指导1015Adoc.docx》由会员分享，可在线阅读，更多相关《完整版防火墙双机热备配置及组网指导1015Adoc.docx（93页珍藏版）》请在冰点文库上搜索。

完整版防火墙双机热备配置及组网指导1015Adoc.docx

完整版防火墙双机热备配置及组网指导1015Adoc

防火墙双机热备配置及组网指导内部公开

防火墙双机热备配置及组网指导

防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现

中断。

防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

11：

防火墙双机热备命令行说明

防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，

防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的

双机热备配置涉及到的命令行做一个解释说明。

1.11.1HRP命令行配置说明

HRP是华为的冗余备份协议，Eudemon防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；

VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在

VRRP的基础上进行扩展得到的。

不管是VGMP的报文，还是HRP的报文，都是VRRP的

报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，

HRP的报文，或者是普通的VRRP的报文。

在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap

表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表

和上层会话表等。

两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候

防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表

示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标

识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能

在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状

态，不可能出现两台都为主状态或者都是备状态的。

在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火

墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域

等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。

HRP的配置命令的功能和使用介绍如下：

★hrpenable：

HRP使能命令，使能HRP之后防火墙将形成主备状态。

★hrpconfigurationcheckacl：

检查主备防火墙两端的ACL的配置是否一致。

执行此

命令之后，主备防火墙会进行交互，执行完之后可以通过命令行displayhrp

configurationcheckacl来查看两边的配置是否一致。

2020-5-25华为机密，未经许可不得扩散第1页,共26页

防火墙双机热备配置及组网指导内部公开

★hrpconfigurationcheckhrp：

检查主备防火墙两端的HRP的配置是否一致。

执行此

命令之后，主备防火墙会进行交互，执行完之后可以通过命令行displayhrp

configurationcheckacl来查看两边的配置是否一致。

★hrpinterfaceEthernet/GigabitEthernet：

添加防火墙配置会话备份通道。

通常就

是指防火墙心跳口，此接口用来备份防火墙的会话的。

★hrpinterfaceEthernet1/0/0high-availability：

配置防火墙的高可用性接口。

主

要是用来实现防火墙的会话快速备份，如果不配置high-availability，会话快速备份

的命令将不能使能，配置此命令之后，此接口会被有限选择作为防火墙会话备份的接口。

在防火墙上配置了hrpinterface之后，防火墙选择备份通道的接口为：

先选择配置的

时候带了high-availability的接口，如果配置了多个带high-availability的接口，

先选择槽位号和端口号比较小的接口，然后在选择槽位号和端口号比较小的不带

high-availability的接口。

接口发生故障导致接口上的VRRP处于初始化状态或者是接

口上的VRRP所属的VGMP没有使能的时候，防火墙会重新选择备份通道。

★hrpmirrorsessionenable：

会话快速备份使能命令，此命令使能之后防火墙上对新

建的会话或者是刷新的会话立即备份到对端防火墙上，在配置high-availability之后

才能配置此命令。

★hrpmirrorpacketenable：

报文搬迁使能命令，此命令使能之后，如果ICMP的应答

报文或者是TCP的ACK报文在其中一台防火墙上找不到会话，会把报文搬迁到另外一台防火墙上，如果在另外一台防火墙上找到会话，报文根据会话转发，如果找不到会话，直接丢弃。

此功能现在保留，但是基本上不再使用，因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上，并且报文搬迁占用比较多的带宽，所以这个命令推荐不使用。

★hrpospf-costadjust-enable：

这个命令是在防火墙和路由器组网的时候使用的，在

防火墙上配置这个命令后，防火墙发布OSPF的路由的时候，会判断是主防火墙或者是备

防火墙，如果是主防火墙，防火墙把学习到的路由直接发布出去，如果是备防火墙，防

火墙把学习到的路由加上一个COST值再发布出去，这个COST值默认是65535，可以根据需要进行调整，这样和防火墙相连的路由器在计算路由的时候，路由就都能指到主防

火墙上，路由器把报文转发到主防火墙上。

在使用防火墙和路由器进行组网起OSPF协议

的时候，尽量保证OSPF的域小一些，这样在防火墙发生主备倒换的时候，OSPF的路由

能尽快收敛，保证业务很快恢复。

★hrpauto-syncconnection-status：

防火墙连接状态备份命令。

防火墙会话备份不分

防火墙是主防火墙或者是备防火墙，使能了次命令后，防火墙都能把自己建立的会话或

者是刷新的会话备份到对端防火墙上。

此命令行在防火墙hrpenable执行之后就默认使能了。

★hrpauto-syncconfig：

防火墙配置备份命令。

防火墙上使能此命令后，在主防火墙上配置的命令行如ACL，域等都可以自动备份到备防火墙上，保证命令行能实时同步。

此

2020-5-25华为机密，未经许可不得扩散第2页,共26页

防火墙双机热备配置及组网指导内部公开

命令行在hrpenable之后就默认使能了，此时在备防火墙上是默认不能配置ACL等配置

的，但是如果需要单独配置，执行undohrpauto-syncconfig就可以在备防火墙上配

置此命令行了，主防火墙上执行ACL等配置发送到备防火墙上不会备执行，如果在主防

火墙上执行此命令，主防火墙上将不把配置发送到备防火墙上执行。

★hrpauto-syncconfigbatch-backup：

防火墙配置批量备份使能命令。

使能此命令，

在防火墙发生主备倒换之后，新的主防火墙备自动把配置备份到新的备防火墙上。

此命

令默认是不使能的，现在也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务。

★hrpsyncconfig：

防火墙配置批量备份命令。

执行此命令后主防火墙能把自己的配置发

送到备防火墙上执行，此命令行在用户视图下使用，在使能了hrp之后才能使用。

此命

令默认是也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的

时候影响某些业务。

★hrpsyncconnection-status：

手工同步连接状态信息命令，会进行会话，黑名单，地

址转换表，以及ARP表等的备份等，同时对于Eudemon1000来说还会刷新备份的通道。

★displayhrp：

显示当前HRP的状态信息，主要包括HRP的备份通道，HRP的状态，hrp

是否使能快速备份，为MASTER状态的VGMP信息。

★displayhrpverbose：

显示当前HRP的详细状态信息。

1.21.2VGMP配置说明

VGMP（vrrpgroupmanagementprotocol）是VRRP的组管理协议，同样VGMP协议也

是华为私有的协议。

VGMP通过把VRRP加入到一个组中进行管理，通过VGMP报文和对

端进行协商，确定自己和对端的VGMP的状态，根据VGMP的状态的主备，把VGMP组

下面的VRRP的状态改成和VGMP的状态一致。

VGMP状态也分Master和Slave，同样VGMP

报文是在VRRP报文的基础上进行封装的，它通过VRRP报文通知对端自己的状态以及和

对端进行协商。

防火墙的VGMP功能现在支持两台防火墙之间的VGMP协商，通过协商，在两台防火

墙上形成一主一备的状态，当其中主防火墙发生故障或者其他原因导致VGMP的优先级降

低的时候，备防火墙的VGMP会抢占为主，原来的主防火墙的VGMP会变成备，同时VGMP

组里面的VRRP也跟随这VGMP的状态的变化发生变化。

通过VGMP来管理VRRP，使

VGMP为主的防火墙对外发布VGMP组下面的所有的VRRP的虚地址，而VGMP为备的防火墙不对外发布VRRP虚地址，形成VRRP的冗余备份。

VGMP的配置命令的功能和使用介绍如下：

★vrrpgroup<1-16>：

创建VGMP管理组。

执行此命令行之后，创建一个VGMP管理组，并

进入此管理组视图，所有的VGMP的配置都在VGMP视图下进行配置。

2020-5-25华为机密，未经许可不得扩散第3页,共26页

防火墙双机热备配置及组网指导内部公开

★addinterfaceEthernet1/0/7vrrpvrid1：

把接口Ethernet1/0/7下配置的VRRP1

加入到此管理组进行管理。

★addinterfaceEthernet1/0/7vrrpvrid1data：

把接口Ethernet1/0/7下配置的

VRRP1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文

的通道。

配置了发送VGMP的数据通道之后，VGMP才能使能。

防火墙的配置同步是通过VGMP的数据通道进行发送的。

★addinterfaceEthernet1/0/7vrrpvrid1datatransfer-only：

把接口

Ethernet1/0/7下配置的VRRP1加入到此管理组进行管理，并且把接口Ethernet1/0/7

作为发送VGMP数据报文的通道，并且此接口下的VRRP的或者优先级发生变化的时候不

参与到VGMP优先级的计算。

通常在防火墙上下行都是交换机组网的情况，心跳口上的VRRP可以以此种方式加入到VGMP组中。

★addinterfaceEthernet1/0/7vrrpvrid1dataip-link1：

把接口Ethernet1/0/7

下配置的VRRP1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP

数据报文的通道，同时在VGMP上绑定ip-link功能。

ip-link的使用介绍请参考其他文档。

★vrrp-groupenable：

VGMP组使能命令。

在配置了VGMP的数据通道之后，此命令才可以

执行，执行此命令后，防火墙会从数据通道发送VGMP的报文和对端防火墙进行交互，确

定VGMP的主备状态。

★vrrp-grouppreempt：

配置VGMP组的抢占模式。

此命令配置之后本端VGMP和对端VGMP

进行协商，并进行抢占，如果优先级高就抢占为主，如果优先级低就被抢占为备。

配置此命令后默认抢占延时为0，即立即抢占。

★vrrp-grouppreemptdelay<0-1800000>

：

配置VGMP组抢占延时，单位为毫秒（

ms），

如果本地的VGMP组的优先级比对端的

VGMP的优先级高，在延时配置的时间后

VGMP就抢

占为Master状态。

对于防火墙组网，我们建议的抢占方式是备防火墙抢占延时为

0，主

防火墙配置抢占延时为

20000ms或者是不抢占。

具体的配置在相关组网中详细说明如何

配置防火墙的抢占方式。

★vrrp-group

priority

<1-254>：

配置VGMP组的优先级。

配置VGMP组的优先级后，VGMP

和对端的防火墙的

VGMP进行协商，并确定VGMP的主备状态。

默认使用这种方式作为

VGMP

组的优先级，默认优先级是

100。

VGMP组的优先级调整算法为：

当前优先级－（当前优

先级/16）。

如果VGMP组下的一个VRRP变成初始化状态，则VGMP组的优先级调整一次，

同样如果配置的一个

ip-link

检测远端IP为不可达，VGMP组的优先级也会调整一次，

每次都使用上面的算法进行调整。

对于采用此种方式，建议主防火墙配置为

105，备防

火墙使用默认配置

100。

★vrrp-group

priority

using-vrrppriority

：

使用VRRP的优先级作为VGMP组的优先级。

配置VGMP组的优先级后，VGMP和对端的防火墙的VGMP进行协商，并确定

VGMP的主备

2020-5-25华为机密，未经许可不得扩散第4页,共26页

防火墙双机热备配置及组网指导内部公开

状态。

如果采用此种方式决定VGMP组的优先级，首先把VGMP组下所有的VRRP的优先级

加起来，再除以VGMP组下的VRRP的个数。

如果还在VGMP下面配置了ip-link，并且

ip-link

检测到远端的IP

地址不可达，计算出

ip-link

调整的优先级，计算方法为

ip-link

绑定的VRRP的优先级除以

16，然后用根据VGMP组下的所有的VRRP计算出来的

优先级减去ip-link

调整的优先级，得到最终的VGMP组的优先级。

采用此种方式，建议

VRRP的优先级主防火墙配置为

105，备防火墙配置为默认的

100。

★vrrp-group

priority

plus

<0-254>：

此命令也是用来调整

VGMP的优先级的，但是现在

不再使用，也不推荐配置此命令。

★vrrp-groupmanual-preempt

：

VGMP组手动抢占命令。

在

VGMP配置了抢占延时的时候，

如果延时时间没有到，

即使本地防火墙的VGMP组的优先级比对端高，也不进行抢占。

如

果在VGMP组下面配置了不抢占，即使本地优先级比对端高，也不进行抢占。

但是通过

vrrp-groupmanual-preempt

可以进行手动抢占，如果本地

VGMP组优先级高，配置的抢

占延时没有到或者配置不抢占，通过此命令本地

VGMP能马上抢占为

Master状态。

★vrrp-grouptimerhello<200-60000>

：

VGMP组发送VGMP的hello

报文的时间间隔，

单位为毫秒（ms），默认值为

1000ms。

通过配置VGMP组下的VGMP的hello报文的发送

时间间隔，VGMP组能更快的进行抢占切换。

建议采用默认值，如果参数设置的太小，导

致防火墙发送和接受的

VGMP的报文的数量会很多，会占用较多的

CPU资源，并且配置

1s的hello

报文的时间间隔也能满足现网故障反应时间间隔。

★vrrp-groupgroup-send

：

VGMP组下的所有数据通道都发送

VGMP报文。

配置此命令后，

VGMP发送数据报文和

hello

报文的时候，加入此

VGMP组的每个数据通道都发送一次。

此命令默认不使能，

VGMP会自动选择一个数据通道作为发送

VGMP报文的通道，并且在

检测到数据通道发生故障的时候重新进行选择。

1.31.3VRRP配置说明

防火墙的VRRP和标准的VRRP协议一样，下面大概说说VRRP的配置，详细信息可

以找相关的RFC查看。

在防火墙上，如果VRRP加入到VGMP中，VRRP的状态由VGMP决定，不再自己协商。

VRRP的配置命令的功能和使用介绍如下：

★vrrpvrid1virtual-ip1.1.1.100：

在接口视图下配置VRRP。

此命令是在接口上配置

VRRP的ID以及VRRP的虚地址。

★vrrpvrid1trackEthernet1/0/6：

配置VRRP监视的端口。

配置监视的端口之后，如

果此端口的协议状态down，VRRP的优先级会自动调整。

默认是调整10，可以在此命令

后面继续配置下降多少。

★vrrpvrid1priority<1-254>：

配置VRRP的优先级。

默认值是100，如果是主防火墙，

建议配置为105，备防火墙建议配置为默认值100。

★vrrpvrid1timeradvertise<1-255>：

VRRP的hello报文发送的时间间隔。

默认VRRP

2020-5-25华为机密，未经许可不得扩散第5页,共26页

防火墙双机热备配置及组网指导内部公开

的hello报文的发送时间间隔为1s，建议使用默认配置。

★vrrpvrid1preempt-mode：

VRRP的抢占参数。

如果VRRP加入VGMP组中，VRRP的抢占

参数不再生效。

1.41.4IP-Link配置说明

1.4.11.4.1：

ip-link功能说明：

防火墙ip-link功能是一种检测三层链路是否可达的功能，基本原理就是在防火墙上配

置ip-link使能并配置ip-link的目的地址之后，防火墙会向该目的地址发送icmp的报文

判断该目的地址是否可达，判断从防火墙到该目的地址三层链路是否可通，应用在双机热备

组网中，VGMP能根据ip-link特测的结果调整VGMP的优先级，从而使防火墙在和路由器组

网中能在发生故障的时候进行主备倒换。

防火墙在使能ip-link功能时，需要判断ip-link的目的地址的设备能和防火墙进行正

常的icmp交互，这样防火墙才能正确的检测该目的地址，从而在该设备发生故障的时候正

确引导主备防火墙进行主备切换，所以ip-link使用的前提条件是ip-link配置的目的地址

的设备能正常的和防火墙进行icmp会话。

1.4.21.4.2：

ip-link在组网中的应用：

防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示：

防火墙0/00/0路由器A0/1

A（主）

路由器C

防火墙

0/0

路由器B

0/1

B（备）

如上图所示,如果在防火墙上不使能ip-link

功能，正常情况下报文会通过防火墙

A进行

转发，这时必须保证防火墙

A的上下行设备都是正常工作。

但是一旦和防火墙A相连的路由

器A的0/1口发生故障，报文不能从该口进行转发，此时防火墙

A的VRRP是检测不到路由

器A的0/1口发生故障的，报文会继续从防火墙

A转发到路由器

A，导致业务中断。

如果在防火墙A上使能ip-link

的功能，使得ip-link

的目的地址是路由器A的0/1

口，

当路由器A的0/1口发生故障的时候，防火墙

A能探测到路由器

A的0/1接口的IP地址是

不可达的，此时防火墙A认为从本地0/0

口出去的链路不通，这个时候防火墙A会自动调整

优先级，使防火墙A和防火墙B发生主备倒换，防火墙

A上面的业务全部转移到防火墙

上，保证了业务的正常转发。

1.4.31.4.3：

防火墙ip-link的配置：

在防火墙上配置ip-link功能时首先要确认ip-link配置中的目的地址的设备在正常的情况下能正确的和防火墙进行icmp会话。