双机热备份

最新推荐文章于 2024-05-13 17:39:40 发布

IP_LiangHuan

最新推荐文章于 2024-05-13 17:39:40 发布

阅读量477

点赞数

分类专栏：华为项目文章标签：服务器网络 linux

本文链接：https://blog.youkuaiyun.com/IP_LiangHuan/article/details/134465484

版权

华为项目专栏收录该内容

22 篇文章

订阅专栏

双机热备简介

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

心跳线

双机热备组网中，心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。

心跳线主要传递如下消息：

心跳报文（Hello报文）：两台FW通过定期（默认周期为1秒）互相发送心跳报文检测对端设备是否存活。
VGMP报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状态是否稳定，是否要进行故障切换。
配置和表项备份报文：用于两台FW同步配置命令和状态信息。
心跳链路探测报文：用于检测对端设备的心跳口能否正常接收本端设备的报文，确定是否有心跳接口可以使用。
配置一致性检查报文：用于检测两台FW的关键配置是否一致，如安全策略、NAT等。

上述报文均不受FW的安全策略控制。因此，不需要针对这些报文配置安全策略。

心跳线和心跳接口的配置建议

心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接。建议将组成双机热备的两台FW安装在同一个机架或者相邻的机架上，心跳接口使用网线或者光纤直连。
建议规划专门的接口作为心跳接口，该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文，不要将业务报文引导到该接口上转发。同时，建议将多个以太网接口绑定成Eth-Trunk接口，使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性，又可以增加备份通道的带宽。
对于USG9000V系列设备，vLPU上的接口均可作为心跳接口。请安装多个vLPU，并将不同接口板上的以太网接口绑定成Eth-Trunk接口，使用该Eth-Trunk接口作为心跳接口。
心跳接口需要发送业务相关的表项备份报文，心跳接口的流量大小与业务流量大小有关。心跳接口的带宽建议不低于峰值业务流量的30%。
建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳接口作为备份。

心跳线和心跳接口的配置注意事项

MGMT接口（GigabitEthernet0/0/0）不能作为心跳接口。
配置了vrrp virtual-mac enable命令的接口不能用作心跳接口。
两台FW心跳接口的类型、接口编号、链路协议类型必须相同。如果使用Eth-Trunk接口作为心跳接口，Eth-Trunk接口的成员接口也要相同。如果使用VLAN接口（VLANIF）作为心跳接口，实际收发报文的二层物理接口也必须相同。
两台FW心跳接口必须加入相同的安全区域。
接口MTU值小于1500的接口不能作为心跳接口。
配置和表项备份报文的最大长度为1500字节，且报文不支持分片。如果心跳接口MTU值小于1500，会导致报文发送失败。
心跳接口通过交换机或路由器连接时，交换机或路由器上转发心跳报文和备份报文的接口的MTU值不能小于1500。
如果FW上配置了虚拟系统，心跳接口不能是虚拟系统的接口，必须是根系统的接口。虚拟系统的配置命令和表项也能通过规划在根系统的心跳接口备份到对端设备。

实验拓补图

实验步骤

配置好FW1和FW2的IP地址与要加入的区域

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.2.0.1 24
[FW1-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW1-GigabitEthernet1/0/3]interface GigabitEthernet 1/0/6
[FW1-GigabitEthernet1/0/6]ip address 10.10.0.1 24
[FW1-GigabitEthernet1/0/6]q

[FW1]firewall zone dmz		
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/3
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0
[FW1-zone-untrust]q

[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]ip address 10.2.0.2 24
[FW2-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/6
[FW2-GigabitEthernet1/0/6]ip address 10.2.0.2 24
[FW2-GigabitEthernet1/0/6]interface GigabitEthernet 1/0/3
[FW2-GigabitEthernet1/0/3]ip address 10.3.0.2 24

[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6
[FW2-zone-dmz]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 1/0/0
[FW2-zone-untrust]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/3

r1的配置

[r1]interface LoopBack 0
[r1-LoopBack0]ip address 11.11.11.11 32
[r1-LoopBack0]q
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ip address 1.1.1.10 24

配置好缺省路由

[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10 

[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

配置VRRP备份组

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip  1.1.1.1 24 active 
[FW1]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 active 



[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 24 standby 
[FW2-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/3
[FW2-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 standby

指定心跳口并启用双机热备功能

[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2

[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1

在FW1上配置安全策略，上面的双机热备配好后，FW1上的安全策略会同步到FW2

HRP_M[FW1]security-policy (+B)	
HRP_M[FW1-policy-security]rule name huan (+B)	
HRP_M[FW1-policy-security-rule-huan]source-zone trust  (+B)	
HRP_M[FW1-policy-security-rule-huan]destination-zone untrust  (+B)	
HRP_M[FW1-policy-security-rule-huan]source-address 10.3.0.0 24 (+B)
HRP_M[FW1-policy-security-rule-huan]action permit  (+B)
HRP_M[FW1-policy-security-rule-huan]q

在FW1上配置NAT策略，上面的双机热备配好后，FW1上的NAT策略会同步到FW2

HRP_M[FW1]nat address-group bdqn
HRP_M[FW1-address-group-bdqn]section  0 1.1.1.2 1.1.1.5
HRP_M[FW1-address-group-bdqn]q	

HRP_M[FW1]nat-policy (+B)
HRP_M[FW1-policy-nat]rule name policy-nat1 (+B)
HRP_M[FW1-policy-nat-rule-policy-nat1]source-zone trust  (+B)
HRP_M[FW1-policy-nat-rule-policy-nat1]destination-zone untrust  (+B)	
HRP_M[FW1-policy-nat-rule-policy-nat1]source-address 10.3.0.0 16 (+B)
HRP_M[FW1-policy-nat-rule-policy-nat1]action source-nat address-group bdqn (+B)