[精选]DS002005Eudemon防火墙双机热备业务特性与配置ISSUE16355.pptx

《[精选]DS002005Eudemon防火墙双机热备业务特性与配置ISSUE16355.pptx》由会员分享，可在线阅读，更多相关《[精选]DS002005Eudemon防火墙双机热备业务特性与配置ISSUE16355.pptx（40页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Eudemon防火墙双机热备业务特性与配置Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 2前 言l在当前的组网应用中，用户对网络可靠性的要求越来越高，特别是在一些重要的业务入口或接入点上需要保证网络不间断运行。对于这些重要的业务点如何保证网络的不间断传输，成为必须解决的一个问题。l本胶片主要介绍防火墙的双机热备份技术原理和具体配置，以及在Eudemon防火墙上实施双机热备份技术所使

2、用的三种协议：VRRP、VGMP和HRP。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 3培训目标l学完本课程后，您应该能：p掌握双机热备份技术原理p掌握VRRP，VGMP和HRP之间的关系p掌握典型双机组网的配置Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 4目 录1.双机热备份技术原理2.Eudemon防火墙双机热备份技术3.双机热备份技术在防火墙上的实施Copyright 2009 Huawei Technol

3、ogies Co.,Ltd.All rights reserved.Page 5目 录1.双机热备份技术原理双机热备份技术原理2.Eudemon防火墙双机热备份技术3.双机热备份技术在防火墙上的实施Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 6双机热备份技术产生的原因l传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障，内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。Firewall A

4、10.100.10.1/24InternetPC服务器内部网络10.100.10.0/24Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 7传统双机热备份技术在路由器上的部署RouterA10.100.10.2 MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup备份组Virtual IP Address10.100.10.1InternetPC服务器内部网络10.100.10.0/24路由器组网中通过路由器组网中通过VRRP协议实现双机热备份协议实现

5、双机热备份Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 8VRRP在多区域防火墙组网中的应用DMZTrustUntrustEudemon A10.100.20.0/24MasterEudemon BBackup10.100.10.0/24备份组1Virtual IP Address10.100.10.1备份组2Virtual IP Address10.100.20.1备份组3Virtual IP Address202.38.10.1为防火墙上多个区域提供双机备份功能时，需要在为防火墙上多个区域提供双机备份

6、功能时，需要在每一台防火墙上配置多个每一台防火墙上配置多个VRRP备份组。备份组。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 9VRRP在防火墙应用中存在的缺陷Eudemon AMasterEudemon BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)传统传统VRRP方式无法实现方式无法实现主、备用主、备用Eudemon防火墙防火墙状态的一致性。状态的一致性。Copyright 2009 Huawei T

7、echnologies Co.,Ltd.All rights reserved.Page 10目 录1.双机热备份技术原理2.Eudemon防火墙双机热备份技术防火墙双机热备份技术3.双机热备份技术在防火墙上的实施Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 11l防火墙双击热备份技术的特征p控制主、备用防火墙的切换p状态信息的备份lEudemon防火墙的双机热备份技术依靠三种协议实现：pVRRP（虚拟路由冗余协议）pVGMP（VRRP组管理协议）pHRP（华为冗余协议）防火墙双机热备份技术分析Copyr

8、ight 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 12防火墙主备状态切换的实现lVGMP（VRRP Group Management Protocol)提出VRRP管理组的概念，将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组，由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态都是一致的。lVGMP的作用：防火墙主备状态控制切换lVRRP管理组的功能：p状态一致性管理（管理组内VRRP备份组同步状态切换）p抢占管理（屏蔽VRRP备份组抢占）p

9、通道管理（data，trans-only）Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 13VGMP实现原理Eudemon AMasterEudemon BBackupTrustDMZUntrust备份组1备份组2备份组3A1A2A3B2B1B3管理组管理组备份组4Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 14VGMP数据通道Eudemon AMasterEudemon BBackupTrustDMZUntrus

10、tA1A2A3B2B1B3A4B4A4-B4A3-B3A1-B1A2-B2Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 15防火墙状态信息的备份 lVGMP可以保证报文来回路径通过同一台防火墙。当主防火墙出现故障时，所有流量都将切换到备防火墙。但Eudemon防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的连接状态数据，则切换到备防火墙的很多流量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接。l为了实现主用设备出现故障时能由备用设备平滑地接替工作，需要在主、备用设备之间备份关键配置命

11、令和会话表状态等关键信息。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 16HRPlHRP（Huawei Redundancy Protocol）华为冗余协议l华为公司冗余协议HRP（Huawei Redundancy Protocol）是承载在VGMP报文上进行传输的。HRP用于在主用设备和备用设备之间备份关键配置命令和会话表状态等关键信息。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 17HRP/VGMP/VRR

12、P之间的关系VRRP备份组VGMP管理组VGMP报文HRP模块HRP报文接口VRRP报文Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 18目 录1.双机热备份技术原理2.Eudemon防火墙双机热备份技术3.双机热备份技术在防火墙上的实施双机热备份技术在防火墙上的实施Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 19防火墙双机热备份组网方式lEudemon的双机热备份，可以工作在路由模式和混合模式两种模式下：p路由模

13、式是指Eudemon的业务端口和HRP备份通道接口均工作在路由模式下。p混合模式是指Eudemon的业务端口工作在透明模式下，而HRP备份通道接口工作在路由模式下。l路由模式和混合模式都包含两种组网方式：p主备组网方式p负载分担组网方式Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 20路由模式-主备组网方式防火墙设备管理组成员优先级状态会话量AMaster备份组1，2，3高主用100%BSlave备份组1，2，3低备用0Eudemon ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0

14、GE3/0/0Slave管理组Master管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0PC1PC2Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 21路由模式-主备组网方式配置参考1Eudemon ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0Eudemon interface GigabitEthernet 1/0/0 Eudemon-G

15、igabitEthernet1/0/0 ip address 10.100.10.2 24 Eudemon-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master Eudemon interface GigabitEthernet 3/0/0 Eudemon-GigabitEthernet3/0/0 ip address 202.38.10.2 24 Eudemon-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master#将将GE1/0/0和和GE3/0/

16、0加入到对应的加入到对应的VRRP备份组中。备份组中。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 22路由模式-主备组网方式配置参考2Eudemon ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0Eudemon interface GigabitEthernet 2/0/0Eudemon-GigabitEthernet2/0/0 ip address 10.100.

17、20.2 24 Eudemon-GigabitEthernet2/0/0 vrrp vrid 3 virtual-ip 10.100.20.1 master#将将GE2/0/0加入到对应的加入到对应的VRRPVRRP备份组中。备份组中。Eudemon hrp interface GigabitEthernet 2/0/0 Eudemon hrp enable#指定指定HRP的备份通道并使能的备份通道并使能HRP功能。功能。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 23路由模式-主备组网方式配置参考3E

18、udemon ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0HRP_MEudemon hrp auto-sync config HRP_MEudemon acl 2000 HRP_MEudemon-acl-basic-2000 rule permit source 10.100.10.0 0.0.0.255 HRP_MEudemon-acl-basic-2000 quit HRP_MEudemon firewall interzone trust untr

19、ust HRP_MEudemon-interzone-trust-untrust packet-filter 2000 outbound HRP_MEudemon-interzone-trust-untrust quit#使能配置命令自动备份功能并添加区域间包过滤规则。使能配置命令自动备份功能并添加区域间包过滤规则。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 24路由模式-主备组网方式配置验证Eudemon ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管

20、理组Master管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0HRP_MEudemon display hrp state The firewalls config state is:MASTER Current state of virtual routers configured as master:GigabitEthernet1/0/0 vrid 1:master GigabitEthernet3/0/0 vrid 2:master GigabitEthernet2/0/0 vrid 3:master#在在Eudemon A上执行上执行display hrp

21、 state命令，检查当前命令，检查当前HRP的状态，显示以上信息表示的状态，显示以上信息表示HRP建立建立成功。成功。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 25路由模式-负载分担组网方式防火墙设备管理组备份组优先级状态会话量AMaster备份组1，2，3高主用部分BSlave备份组1，2，3低备用0ASlave备份组4，5，6低备用0BMaster备份组4，5，6高主用部分Master/Slave管理组Eudemon ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/

22、0/0Slave/Master管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5PC1PC2Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 26Eudemon ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5路由模式-负载分担组网方式配置参考1Eudemon interfac

23、e GigabitEthernet 1/0/0 Eudemon-GigabitEthernet1/0/0 ip address 10.100.10.3 24 Eudemon-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master Eudemon-GigabitEthernet1/0/0 vrrp vrid 4 virtual-ip 10.100.10.2 slave Eudemon interface GigabitEthernet 3/0/0 Eudemon-GigabitEthernet3/0/0 ip address

24、202.38.10.3 24 Eudemon-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master Eudemon-GigabitEthernet3/0/0 vrrp vrid 5 virtual-ip 202.38.10.2 slave 将接口GE1/0/0和GE3/0/0加入到对应的VRRP备份组中Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 27路由模式-负载分担组网方式配置参考2Eudemon ATrustUntrust备份组

25、1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5Eudemon interface GigabitEthernet 2/0/0 Eudemon-GigabitEthernet2/0/0 ip address 10.100.20.3 24 Eudemon-GigabitEthernet2/0/0 vrrp vrid 3 virtual-ip 10.100.20.1 master Eudemon-GigabitEthernet2/0/0 vrr

26、p vrid 6 virtual-ip 10.100.20.2 slave Eudemon hrp interface GigabitEthernet 2/0/0 Eudemon hrp enable#将将GE1/0/0和和GE3/0/0加入对应的备份组；指定加入对应的备份组；指定HRPHRP备份通道并使能备份通道并使能HRPHRP功能。功能。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 28路由模式-负载分担组网方式配置参考3Eudemon ATrustUntrust备份组1备份组2GE1/0/0GE2

27、/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3Eudemon BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5HRP_MEudemon hrp auto-sync config HRP_MEudemon acl 2000 HRP_MEudemon-acl-basic-2000 rule permit source 10.100.10.0 0.0.0.255 HRP_MEudemon-acl-basic-2000 quit HRP_MEudemon firewall interzone trust untrust HRP_MEude

28、mon-interzone-trust-untrust packet-filter 2000 outbound HRP_MEudemon-interzone-trust-untrust quit#使能配置命令自动备份功能并添加区域间包过滤规则。使能配置命令自动备份功能并添加区域间包过滤规则。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 29HRP_MEudemon dis hrp state The firewalls config state is:MASTER Current state of vir

29、tual routers configured as master:GigabitEthernet3/0/0 vrid 2:master GigabitEthernet2/0/0 vrid 3:master GigabitEthernet1/0/0 vrid 1:master Current state of virtual routers configured as slave:GigabitEthernet3/0/0 vrid 5:slave GigabitEthernet2/0/0 vrid 6:slave GigabitEthernet1/0/0 vrid 4:slave#在在Eude

30、mon A上执行上执行display hrp state命令，检查当前命令，检查当前HRP的状态。从以的状态。从以上显示信息可以看出，在上显示信息可以看出，在Eudemon A上，上，VRRP备份组备份组1、2、3属于属于Master管理组；管理组；VRRP备份组备份组4、5、6属于属于Slave管理组。管理组。路由模式-负载分担组网方式配置验证Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 30混合模式-主备组网方式上图组网方式可以实现负载分担吗？上图组网方式可以实现负载分担吗？G0/0/0G0/0/0G

31、0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1PC1PC2Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 31混合模式-主备组网方式配置参考1G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1Eudemon interface

32、 GigabitEthernet 0/0/1 Eudemon-GigabitEthernet0/0/1 ip address 10.100.20.2 24 Eudemon-GigabitEthernet0/0/1 vrrp vrid 1 virtual-ip 10.100.20.1 master Eudemon firewall zone dmz Eudemon-zone-dmz add interface gigabitethernet 0/0/1#配置配置GE0/0/1所属的所属的VRRP备份组和虚拟备份组和虚拟IP地址，并将其加入地址，并将其加入DMZ区域区域 Copyright 200

33、9 Huawei Technologies Co.,Ltd.All rights reserved.Page 32混合模式-主备组网方式配置参考2G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1Eudemon interface gigabitethernet 0/0/0 Eudemon-GigabitEthernet 0/0/0 portswitch Eudemon interface gigabitethernet 0/0/2 Eude

34、mon-GigabitEthernet 0/0/2 portswitch#配置配置GE0/0/0和和GE0/0/2工作在透明模式。工作在透明模式。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 33混合模式-主备组网方式配置参考3G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1Eudemon vlan 2 Eudemon-vlan-2 port inte

35、rface GigabitEthernet 0/0/0 Eudemon-vlan-2 port interface GigabitEthernet 0/0/2 Eudemon-vlan-2 hrp track master#建立建立VLAN 2，将接口，将接口GE0/0/0和和GE0/0/2加入加入VLAN 2并指定由并指定由Master管理组监视管理组监视VLAN 2。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 34混合模式-主备组网方式配置参考4G0/0/0G0/0/0G0/0/2G0/0/2G0/

36、0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1Eudemon hrp enable Eudemon hrp interface gigabitethernet 0/0/2#使能使能HRP双机热备份功能，配置备份会话表的通道接口。在混合模式下只能选用加入到双机热备份功能，配置备份会话表的通道接口。在混合模式下只能选用加入到VRRP管管理组中的通道接口。理组中的通道接口。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.

37、Page 35混合模式-主备组网方式配置验证HRP_MEudemon display hrp state The firewalls config state is:MASTERCurrent state of virtual routers configured as master:GigabitEthernet0/0/1 vrid 1:master#在在Eudemon A上执行上执行display hrp state命令，检查当前命令，检查当前HRP的状态。从以上显示信息可以的状态。从以上显示信息可以看看出，在出，在Eudemon A上，上，VRRP备份组备份组1属于属于Master管理组

38、。管理组。HRP_SEudemon display hrp stateThe firewalls config state is:SLAVE Current state of virtual routers configured as slave:GigabitEthernet0/0/1 vrid 1:slave#在在Eudemon B上执行上执行display hrp state命令，检查当前命令，检查当前HRP的状态。从以上显示信息可以的状态。从以上显示信息可以看看出，在出，在Eudemon B上，上，VRRP备份组备份组1属于属于Slave管理组。管理组。Copyright 2009 H

39、uawei Technologies Co.,Ltd.All rights reserved.Page 36问 题l1、VGMP管理组的主要功能有哪些？l2、请列举常见的防火墙组网方式。Copyright 2009 Huawei Technologies Co.,Ltd.All rights reserved.Page 37总 结l双机热备份技术技术原理l双机热备份技术在防火墙上的实施l防火墙双机热备技术涉及到的协议谢谢谢谢9、静夜四无邻，荒居旧业贫。3月-233月-23Thursday,March 30,202310、雨中黄叶树，灯下白头人。22:22:0722:22:0722:223/30

40、/2023 10:22:07 PM11、以我独沈久，愧君相见频。3月-2322:22:0722:22Mar-2330-Mar-2312、故人江海别，几度隔山川。22:22:0722:22:0722:22Thursday,March 30,202313、乍见翻疑梦，相悲各问年。3月-233月-2322:22:0722:22:07March 30,202314、他乡生白发，旧国见青山。30 三月 202310:22:07 下午22:22:073月-2315、比不了得就不比，得不到的就不要。三月 2310:22 下午3月-2322:22March 30,202316、行动出成果，工作出财富。2023

41、/3/30 22:22:0722:22:0830 March 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。10:22:08 下午10:22 下午22:22:083月-239、没有失败，只有暂时停止成功！。3月-233月-23Thursday,March 30,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。22:22:0822:22:0822:223/30/2023 10:22:08 PM11、成功就是日复一日那一点点小小努力的积累。3月-2322:22:0822:22Mar-2330-Mar-2312、世间成事，不求其绝对圆满，留一份不

42、足，可得无限完美。22:22:0822:22:0822:22Thursday,March 30,202313、不知香积寺，数里入云峰。3月-233月-2322:22:0822:22:08March 30,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。30 三月 202310:22:08 下午22:22:083月-2315、楚塞三湘接，荆门九派通。三月 2310:22 下午3月-2322:22March 30,202316、少年十五二十时，步行夺得胡马骑。2023/3/30 22:22:0822:22:0830 March 202317、空山新雨后，天气晚来秋。10:22:08

43、下午10:22 下午22:22:083月-239、杨柳散和风，青山澹吾虑。3月-233月-23Thursday,March 30,202310、阅读一切好书如同和过去最杰出的人谈话。22:22:0822:22:0822:223/30/2023 10:22:08 PM11、越是没有本领的就越加自命不凡。3月-2322:22:0822:22Mar-2330-Mar-2312、越是无能的人，越喜欢挑剔别人的错儿。22:22:0822:22:0822:22Thursday,March 30,202313、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2322:22:0822:22:08Ma

44、rch 30,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。30 三月 202310:22:08 下午22:22:083月-2315、最具挑战性的挑战莫过于提升自我。三月 2310:22 下午3月-2322:22March 30,202316、业余生活要有意义，不要越轨。2023/3/30 22:22:0822:22:0830 March 202317、一个人即使已登上顶峰，也仍要自强不息。10:22:08 下午10:22 下午22:22:083月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉