防火墙双机热备配置指导书new

Eudemon防火墙双机热备配置指导书

B1、B2和B3接口也必须分别隶属备份组1、2和3。

? 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组

包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。

? 同一防火墙（例如EudemonA）上，一个物理接口可以隶属多个VRRP备份组。一

个备份组中能包含多个物理接口，对应多个虚拟IP地址。同一VRRP管理组可以包含多个备份组，但是相同备份组不能隶属多个VRRP管理组。

? VGMP优先级的递减算法：VGMP的优先级－VGMP的优先级/16；当配置有VRRP

成员的接口，出现故障时，VGMP的优先级按照上述算法进行递减，故此VGMP的优先级不可设置过高，以免在正常情况下，主防火墙的VGMP的优先级递减后仍然比从防火墙的优先级高，而不会发生抢占，从而导致业务中断。

（7）VGMP的配置

? 配置VRRP管理组 vrrp group <1-16>

说明：在防火墙中最多可以配置16个管理组。

? 使能VRRP管理组功能 vrrp enable

说明：只有使能了VRRP管理组后，VRRP管理组才能起作用。

? 配置向VRRP管理组添加备份组

add interface ethernet 接口 vrrp vrid <1-255> [data [transfer-only] ]

说明：通过配置data参数来标识指定路径为数据通道，并且该通道状态将影响 VRRP管理组的状态变化。当配置transfer-only参数则表明该数据通道的状

态将不会影响VRRP管理组的状态

? 配置VRRP管理组优先级

vrrp priorty <1-254> [plus <1-254> ] [using-vrrppriority]

说明：plus参数的功能是为了增加VRRP的优先级，using-vrrppriority参数的作用是VRRP管理组的优先级使用VRRP的优先级，如果有多个VRRP备份组时，采用除含有transfer-only属性的接口下的VRRP的优先级外的所有VRRP优先级的和除以所有VRRP的个数，即是VGMP的优先级。

? 配置VRRP管理组抢占功能

vrrp preempt [delay <0-60000>] //自动抢占命令 说明：该命令会定时比对两台防火墙之间发送的报文中的优先级，当发现对端发过来

的报文优先级低时，会自动启动抢占功能。Delay参数主要是说明延迟抢占的秒数。 vrrp manual-preempt //手工抢占命令

说明：当执行该命令后，系统会发送一个消息报文到对端进行优先级的比较，如果优先级高于对端，发送消息给VRRP和HRP进行状态切换；否则不进行抢占功能。

9

Eudemon防火墙双机热备配置指导书

? 配置VRRP管理组hello报文发送间隔 vrrp timer hello <200-60000>

说明：发送VRRP管理组的hello间隔的时间，单位为毫秒。

? 配置VRRP管理组的报文群发标志 vrrp group-send

说明：该命令主要在master端起作用，通过VGMP中配置的所有数据通道进行hello

报文的发送。

? 触发接口进行updown操作

triggerdown interface Ethernet

说明：该命令的作用主要是避免上下行的设备arp表项出错，而设置的命令。以促使接口updown操作，来刷新上下行设备的arp表项。

3. HRP（Huawei Redundancy Protocol 华为公司冗余协议） （1）什么是HRP

HRP协议是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息。

（2）HRP起什么作用

EudemonA (1)Master(2)PC会话表项

(3)

PC(4)Trust区域 (6)(7)(5)

(8)Untrust区域 ServerBackup EudemonBDMZ区域

图8 HRP协议应用

该图为双机热备的基本组网图，前面也说到了Eudemon防火墙是状态防火墙，对于每一个动态生成的会话连接，Eudemon防火墙上都有一个会话表项与之对应。如果EudemonA防火墙（Master）出现故障或相关链路出现问题，EudemonB防火墙（Backup）将会切换状态而变成新的Master，并开始承担传输任务。如果状态切换前，会话表项和配置命令没有备份到EudemonB，则先前经过EudemonA的所有会话都会因为无法命中EudemonB的会话表而断链，导致业务中断，从而影响业务正常进行。这种Eudemon设备的状态切换是失败的。为了实现Master防火墙出现故障时能由Backup防火墙平滑地接替工作，需要在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息 ，这就是产生HRP协议的重要性

（3）HRP的备份分类

10

Eudemon防火墙双机热备配置指导书

自动实时备份：当配置主设备输入双机备份的配置命令和形成的动态备份信息时，系统自动将该命令和动态备份信息消息备份到配置从设备。

自动批量备份：当接入配置从设备或配置从设备重新启动时，由配置主设备将所有配置命令和动态备份信息批量备份到配置从设备，配置从设备将执行需要双机备份的配置命令，以实现主从设备的配置同步，批量备份时不允许实时备份。

手动批量同步：配置主设备上可以输入配置同步命令，将配置主设备上的需要双机备份的配置命令和动态备份信息发送到配置从设备。

（4）配置主从设备的引入及其条件 HRP也有自己的主备状态，我们对配置了HRP的设备称之为配置主设备和配置从设备。HRP为什么会分为配置主从设备呢？原因在于我们说的双机热备实现的是主设备向从设备进行备份的处理过程，不是双向进行互备的过程，因此需要确定设备配置的主从关系，实现主设备向从设备进行动态信息和命令行的备份。HRP的主从配置的引入是由于负载分担方式。在负载分担模式下每一台设备上会配置两个VRRP管理组1、2，并且这两个管理组1为主，2为备，而对应的另一台设备的两个VRRP管理组1、2，则互为备主关系，1为备，2为主，网络中存在两台Master防火墙。为了避免备份时混乱，Eudemon防火墙中引入了配置主设备、配置从设备概念。

(5) HRP能够备份的信息

防火墙应用状态的可靠性备份： ? 防火墙生成的会话表表项 ? 动态黑名单表项 ? ServerMap表项 ? No-PAT表项

防火墙配置命令的备份：

? ACL包过滤命令的配置 ? 攻击防范命令的配置 ? 地址绑定命令的配置

? 黑名单命令的启用以及手工添加黑名单用户和对黑名单命令的删除操作 ? 日志命令

? NAT命令的配置 ? 统计命令的配置

? 域的命令的配置，包括新域的设定，域内添加的接口和优先级的设置 ? ASPF（应用层包过滤防火墙）的命令配置

? 清除会话表项命令（reset firewall session table)和清除配置的命令（undo XXX） 注意：（1）在批处理手工备份时，对于undo和reset命令是无法进行备份的。

（2）除以上可以备份的命令外，其他命令都不能备份，如路由命令（静态和动态）

（6）HRP配置命令

? 使能双机热备份功能 hrp enable

11

Eudemon防火墙双机热备配置指导书

说明：目前Eudemon防火墙上仅支持双机热备份，不支持多机热备份功能。即启动HRP双机热备份功能后，同一VRRP备份组中仅允许加入两台Eudemon防火墙设备。

? 使能自动实时备份

hrp auto-sync { config | connect-status }

说明：只能在配置主设备上使用hrp auto-sync命令，不能在配置从设备上使用

? 配置手工批量备份

hrp sync { config | connect-status } 说明：手工批量同步过程与自动实时备份开关无关，自动实时备份开关的状态不会影响手工批量同步过程。采用手动批量备份方式，undo和reset命令将无法得到备份。

? 允许备防火墙承担业务 hrp permit-backforeward

说明：该命令主要应用与防火墙的上下行配置有路由器时，当发生路由混乱时，能够允许正常的表项通过备防火墙进行转发。

4. VRRP，VGMP和HRP的相互关系

HRP模块

HRP报文

VRRP管理组 VGMP报文

VRRP备份组

图9 双机热备各协议之间的关系图

? 当VRRP管理组状态变化时，系统将通知HRP状态和配置主/从设备的状态发生相

应的变化，从而确保两台防火墙之间配置命令和会话状态信息得到及时备份。同时，VRRP管理组状态也要受HRP状态影响，即VRRP会根据HRP状态切换的结果来调整优先级，并进行VRRP状态切换。

? VRRP管理组报文和HRP模块的报文，都是通过主VRRP的接口进行传输，当VRRP

接口接到的报文为VRRP管理组报文时，就交与VGMP模块进行处理；当接到的报文VGMP的数据报文时，则通过VGMP模块与HRP模块的接口转到HRP模块进行处理。

? 当VRRP备份组状态变化时，由VRRP管理组来决定是否发生VRRP管理组的状态

变化，并继而决定是否引起HRP和配置主/从设备的状态变化

四． 防火墙双机热备的基本配置

12