防火墙双机热备配置指导书new

Eudemon防火墙双机热备配置指导书

防火墙双机热备配置指导书

在当前的组网应用中，用户对网络可靠性的要求越来越高，特别是在一些重点的业务入口或接入点上需要保证网络的不间断运行。象企业的internet接入点，银行的数据库服务器等，对于这样一些重要的业务点如何保证网络的不间断传输，成为必须解决的一个问题。在这种业务点上如果只使用一台设备的话，无论其可靠性多高，系统都必然要承受因单点故障而导致网络中断的风险。而防火墙正是作为内外网的一个接入点上，为了防止一台设备出现故障导致网络业务中断，故此如何维护网络稳定性是急需解决的问题。

一． 传统维护链路稳定性的方法

10.100.10.1 PC Internet

RouterA

服务器 内部网络10.100.10.0/24

图1 传统链路组网方式

传统的组网方式下当链路中断后，就会导致业务中断，也就是我们俗称的单点故障，如上图所示，当路由器出现单点故障后，整个链路就会中断，这样对于重要的业务点如：电信，银行等部门就会带来巨大的影响和损失。为了避免由于单点故障而导致的业务中断，从而形成多条链路的保护机制，如下图所示。

10.100.10.2Router1 RouterA PC10.100.10.3InternetRouter2

RouterB服务器 Router3内部网络10.100.10.0/24 RouterC 10.100.10.4

图2 采用多条链路的链路保护机制

采用多条链路的保护机制，依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题。例如：如上图所示，如果内部网络直接连到路由器上，由于PC机上无法执行动态路由只能使用静态路由方式，从而指定PC下一跳的固定的路由器接口，当链路中断后，无法实现链路切换。因此推出了另一种保护机制VRRP（虚拟路由冗余协议）来进行。

1

Eudemon防火墙双机热备配置指导书

10.100.10.2Master RouterA

PC10.100.10.3

InternetBackup RouterB服务器

Backup 内部网络10.100.10.0/24 RouterC备份组 Virtual IP Address10.100.10.410.110.10.1

图3 采用VRRP进行链路保护机制

采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况下的链路保护。这种保护的机制是：VRRP将局域网的一组路由器组织成一个虚拟路由器，称之为一个备份组。其中仅有一台设备处于活动状态（Master）并承担报文转发任务，其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备。如上图所示，内部网络设备只需将网关执行虚拟IP，而不需要指向固定的接口，依靠VRRP协议进行链路切换。

二． 引入双机热备的必要性

1. 为什么要引入双机热备

虽然存在这么两种链路保护的机制，为什么防火墙还要提出双机热备呢？ （1）报文的转发机制不同。 对于路由器来说，业务中的每个数据包都会逐包转发，即每个报文都会查路由表当匹配上后才进行转发，当链路切换后，后续报文不会受到影响，继续进行转发。而由于Eudemon是状态防火墙，只会对业务中首包进行检查，如果首包允许通过会建立一条五元组的会话连接，只有命中该会话表项的后续报文（包括返回报文）才能够通过Eudemon防火墙，如果链路切换后，后续报文找不到正确的表项，会导致业务中断。其实对于路由器当配置NAT后也会存在同样的问题，因为在进行NAT后会形成一个NAT转换后的表项。

（2） VRRP在防火墙应用的缺陷

每个备份组的VRRP是单独工作的，并且每个VRRP状态相对独立，因此无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用 。

2. 什么是双机热备

双机热备，所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防 火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。状态备份最主要的优点，是可以保护当前业务不会中断，例如语音电话，如果防火墙不具备状态热备功能，倒换后，当前正在通的电话会中断，只有重新拨打，而具备状态热备功能后，就不存在这个问题。

2

Eudemon防火墙双机热备配置指导书

EudemonA (1)Master(2)PC会话表项

(3)

Trust区域(6)(7)

(8)

ServerBackup EudemonBDMZ区域

图4 双机热备基本组网

3. 如何实现双机热备

(4)(5)PCUntrust区域实际连线报文流径

EudemonA管理组1 Master 备份组1A1A3

A2

Trust区域 Untrust区域 DMZ区域备份组3B1

B3 B2备份组2Backup 管理组1EudemonB

图5 双机热备实现组网图

实现双机热备的基本步骤：

（1）在接口上配置VRRP（虚拟路由器冗余协议）备份组，来发现防火墙的故障情况； （2）将VRRP备份组加入到VGMP（ VRRP组管理协议）中，以实现对VRRP管理组的统一管理；

（3）使能HRP（华为冗余协议），实现双机情况下的信息备份。

两台防火墙形成双机热备，两台防火墙之间通过VRRP的hello报文协商主备关系，根据VGMP的优先级和接口的IP从而确定防火墙的master和slave关系，并且master防火墙会通过HRP协议定时向slave传送备份信息（命令行备份信息和动态备份信息），当master防火墙出现故障时，主备关系发生转换，业务会平滑切换，不会影响这个业

3

Eudemon防火墙双机热备配置指导书

务的进行。

4. 双机热备的注意点

（1）对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份；

（2）由于双机热备中具有备份机制可以备份动态信息和命令，因此要求进行双机热备的两台设备板卡的位置，以及接口卡的类型都要求相同，否则会出现主防火墙备份过去的信息，与从防火墙根本就无法进行搭配使用，如出现主备状态切换就会导致业务出问题。

（3）进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同，以免由于先前的配置而导致业务问题。

三． 防火墙双机热备的基本工作原理

防火墙双机热备包含以下三种协议： 采用VRRP（Virtual Router Redundancy Protocol 虚拟路由器冗余协议）来发现防火墙的故障情况；采用VGMP（ VRRP Group Management Protocol VRRP组管理协议）对VRRP备份组进行管理；采用HRP（Huawei Redundancy Protocol 华为公司冗余协议）来进行防火墙的动态状态数据的实时备份。

首先我们对这三个协议在双机热备中起的作用，以及如何工作，进行简要描述。 1. VRRP（Virtual Router Redundancy Protocol） 虚拟路由器冗余协议

（1）什么是VRRP

VRRP（Virtual Router Redundancy Protocol）作为一种容错协议，适用于支持组播或广播的局域网（如以太网等），通过一组路由设备共用一个虚拟的IP来达到提供一个虚拟网关的目的 。

（2）VRRP如何起作用

在VRRP中有这个几个概念需要注意：

? VRRP组: 是指配置了相同VRRP ID具备相同虚拟地址工作在同一个以太网广播域

（注：由于Vlan技术能够隔离以太网的广播域，因此属于同一个VRRP组的设备应该属于同一个Vlan，而不仅仅是物理上连接到同一个以太网）的一组路由器，由两个或两个以上的路由设备组成，VRRP组中有且仅有一台设备处于活动状态（Master）并承担报文转发任务，其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备。

? VRRP ID，是用来标识路由器属于哪个VRRP组的ID，在同一个以太网广播域具备

相同的VRRP ID的设备属于同一个VRRP组，用户应该保证属于同一VRRP的设备其虚拟IP地址的设置（注：同一VRRP的虚拟IP地址可以是一个或多个，但是必须保证VRRP组内成员虚拟IP的设置一致）相同。

? 虚拟IP地址：配置VRRP备份组的时候需要指定其虚拟地址，是VRRP组成员共用

4