双机热备
双机热备存在的问题:
如上做两台防火墙时需要保证流量来回路径一致,原因是防火墙发出报文会产生会话表,后续报文通过会话表项转发,回包时如果走另一台防火墙,由于设备上没有会话表项,会丢弃数据。即如果产生主备切换,来回路径不一致会导致数据访问失效。
::: tip
防火墙首包创建会话表项,后续包通过会话表项转发。
如果主设备失效,流量切换到备设备上,由于不是第一个包,备设备不会创建会话表项,就需要主设备将状态信息随时同步给备设备,以便主设备失效后无缝切换到备设备。
:::
双机热备防火墙之间通过独立的链路连接(心跳线),通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsec SA等)。
当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
VGMP在VRRP的基础上告知了主备设备的信息,HRP维护主备之间关系,同步配置状态会话。
接口划分安全区域:
[FW1-zone-trust]add int gi 1/0/0
[FW1-zone-untrust]add int gi 1/0/1
[FW1-zone-dmz]add int gi 1/0/2
[FW2-zone-trust]add int gi 1/0/0
[FW2-zone-untrust]add int gi 1/0/1
[FW2-zone-dmz]add int gi 1/0/2
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.12.254 active FW1设置为主防火墙
[FW21-GigabitEthernet1/0/0]service-manage ping permit
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.12.254 standby FW2设置为备防火墙
[FW2-GigabitEthernet1/0/0]service-manage ping permit
::: warning
VRRP默认自身是Master,VGMP默认自身是Buckup。
:::
::: tip
上述配置完成后,如果两台防火墙不能通信,可以尝试默认放行:
[FW]security-policy
[FW-policy-security]default action permit ::: 配置HRP:
[FW1]hrp int gi 1/0/2 remote 192.168.1.2 配置对端HRP连接地址
[FW1]hrp enable 开启HRP检测
[FW2]hrp int gi 1/0/2 remote 192.168.1.1
[FW2]hrp enableHRP配置完成后如下:
防火墙支持配置命令实时备份和运行配置批量备份。
在主设备上操作如下:
HRP_M[FW1]int gi 1/0/5 (+B)
HRP_M[FW1-GigabitEthernet1/0/5]ip ad 192.168.100.1 24
HRP_M[FW1-GigabitEthernet1/0/5]service-manage ping permit (+B)
::: tip
如果配置命令支持备份,在FW上执行命令时,命令后面会有(+B)的标识符。
如上述进入接口1/0/5的命令和允许ping的命令后有(+B),就可以同步到备设备上。
:::
HRP_M[FW1]nat-policy (+B)
HRP_M[FW1-policy-nat]rule name 1 (+B)
HRP_S[FW2]nat-policy FW2作为备设备不能执行该命令
Error: The device is in HRP standby state, so this command can not be executed.
HRP_S[FW2]dis nat-policy rule all 通过命令查询看到rule 1备份到FW2上
2024-03-30 17:51:40.820
Total:2
RULE ID RULE NAME STATE ACTION HITS
-------------------------------------------------------------------------------
1 1 enable - 0
0 default enable no-nat 0
-------------------------------------------------------------------------------::: warning 两台防火墙正常运行且双机热备关系已建立的情况下,在一台防火墙上每执行一条支持备份的命令时,此配置命令就会立即备份到另一台防火墙上。 缺省情况下,对于可以备份的配置命令,只能在配置主设备上执行,配置备设备上不能执行。如果希望配置备设备也能执行支持备份的配置命令,可以在配置主设备或配置备设备上执行hrp standby config enable命令,开放配置备设备的配置权限,之后,在配置备设备上执行的配置也会实时备份到配置主设备上。 :::
HRP_M[FW1]hrp standby config enable (+B) 开启备用设备的部分配置同步功能
上述命令也可以在备设备上执行,效果相同
HRP_S[FW2]nat-policy (+B) FW2支持nat-policy
HRP_S[FW2-policy-nat]rule name 2 (+B)
HRP_M[FW1]dis nat-policy rule all 备设备执行的配置同步到主设备上
2024-03-30 17:57:46.110
Total:3
RULE ID RULE NAME STATE ACTION HITS
-------------------------------------------------------------------------------
1 1 enable - 0
2 2 enable - 0
0 default enable no-nat 0
-------------------------------------------------------------------------------::: warning 备份: 1.hrp sync 命令用来将双机热备组网中一台FW当前的配置和状态表项立即备份到另一台FW上。 2.hrp standby-device命令用来配置当前设备为备用设备。 3.配置备份的不能是地址、VLAN等资源信息。 备份资源:安全策略、会话表项(不能是访问主设备的会话,原因是备设备生效时主设备失效)。 :::
