华为Eudemon防火墙双机热备配置资格考试计算机等级考试_计算机-网络与通信.pdf

《华为Eudemon防火墙双机热备配置资格考试计算机等级考试_计算机-网络与通信.pdf》由会员分享，可在线阅读，更多相关《华为Eudemon防火墙双机热备配置资格考试计算机等级考试_计算机-网络与通信.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免 业务岀现中断。防火墙双机热备组网根据防火墙的模式，分路山模式下的双机热备 组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供 组网说明及典型配置。1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到 HRP的配置，VGMP 的配置，以及 VRRP 的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调 整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。1.1 1.1HRP 命令行配置说明 HRP是华为的兀余备份协议，Eudemon防火墙

2、使用此协议进行备份组网，达 到链路状态备份的 U的，从而保证在设备发生故障的时候业务正常。HRP协议是华为自己开发的协议，主要是在 VGMP 协议的基础上进行扩展得到 的；VGMP 是华为的私有协议，主要是用来管理 VRRP 的，YGMP 也是华为的私有协 议，是在 VRRP的基础上进行扩展得到的。不管是 VGMP 的报文，还是 HRP的报文，都是 VRRP 的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判 断出是 YGMP 的报文，HRP的报文，或者是普通的 VRRP 的报文。在 Eudemon防火墙上，hrp 的作用主要是备份防火墙的会话表，备份防火墙 的servermap

3、表，备份防火墙的黑名单，备份防火墙的配置，以及备份 ASPF模块 中的公私网地址映射表和上层会话表等。两台防火墙正确配置 VRRP,VGMP,以及 HRP之后，将会形成主备关系，这个 时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有 HRP.M 的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令 行上有 HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火 墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一 定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态 的。在防火墙的 HRP形成主备之后

4、，我们称 HRP的主备状态为 HRP主或者是 HRP 备状态，在形成 HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自 动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令 包括 ACL,接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙 上。HRP的配置命令的功能和使用介绍如下：hrp enable:HRP 使能命令，使能 HRP之后防火墙将形成主备状态。hrp configuration check acl:检査主备防火墙两端的 ACL的配置是否 一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行 display hrp con

5、figuration check acl来查看两边的配置是否一致。hrp configuration check hrp:检查主备防火墙两端的 HRP的配置是否 一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行 display hrp configuration check acl来查看两边的配置是否一致。hrp interfaceEthernet/GigabitEthernet:添加防火墙配置会话备份通 道。通常就是指防火墙心跳口，此接口用来备份防火墙的会话的。hrp interface Ethernet 1/0/0 high-availab订 ity:配置防火墙的高可

6、用性接口。主要是用来实现防火墙的会话快速备份，如果不配置 high-availab 订 ity,会话快速备份的命令将不能使能，配置此命令之后，此接口会被有 限选择作为防火墙会话备份的接口。在防火墙上配置了 hrp interface之后，防火 墙选择备份通道的接口为：先中断防火墙双机热备组网根据防火墙的模式分路山模式下的双机热备组网和透明模式下的双机热备组网下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及墙的双机热备配置涉及到的命令行做一个解释说明命令行配置说明是华为的兀余备份协议防火墙使用此协议进行备份组网达到链路状态备份的的从

7、而保证在设备发生故障的时候业务正常协议是华为自己开发的协议主要是在协议的基是的报文还是的报文都是的报文只是防火墙在识别这些报文的时候能根据自己定义的字段能判断是的报文的报文或者是普通的的报文在防火墙上的作用主要是备份防火墙的会话表备份防火墙的表备份防火墙的黑名单备份防火墙的配选择配置的时候带了 high-dvaildbility的接口，如 果配置了多个带high-availability的接口，先选择槽位号和端口号比较小的接 口，然后在选择槽位号和端口号比较小的不带 high-availability的接口。接口发 生故障导致接口上的 VRRP 处于初始化状态或者是接口上的 VRRP 所属的

8、VGMP 没有 使能的时候，防火墙会重新选择备份通道。hrp mirror session enable:会话快速备份使能命令，此命令使能之后 防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上，在配置 high-availability 之后才能配置此命令。hrp mirror packet enable:报文搬迁使能命令，此命令使能之后，如 果 ICMP的应答报文或者是 TCP的 ACK报文在其中一台防火墙上找不到会话，会把 报文搬迁到另外一台防火墙上，如果在另外一台防火墙上找到会话，报文根据会话 转发，如果找不到会话，直接丢弃。此功能现在保留，但是基本上不再使用，因为 防火墙会话

9、快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防 火墙上，并且报文搬迁占用比较多的带宽，所以这个命令推荐不使用。hrp ospf-cost adjust-enable:这个命令是在防火墙和路由器组网的时 候使用的，在防火墙上配置这个命令后，防火墙发布 OSPF的路曲的时候，会判断 是主防火墙或者是备防火墙，如果是主防火墙，防火墙把学习到的路曲直接发布出 去，如果是备防火墙，防火墙把学习到的路由加上一个 COST值再发布出去，这个 COST值默认是 65535,可以根据需要进行调整，这样和防火墙相连的路由器在计算 路山的时候，路山就都能指到主防火墙上，路山器把报文转发到主防火墙上。

10、在使 用防火墙和路山器进行组网起OSPF协议的时候，尽量保证 OSPF的域小一些，这样 在防火墙发生主备倒换的时候，OSPF的路山能尽快收敛，保证业务很快恢复。hrp auto-sync connection-status:防火墙连接状态备份命令。防火墙 会话备份不分防火墙是主防火墙或者是备防火墙，使能了次命令后，防火墙都能把 自己建立的会话或者是刷新的会话备份到对端防火墙上。此命令行在防火墙 hrp enable 执行之后就默认使能了。中断防火墙双机热备组网根据防火墙的模式分路山模式下的双机热备组网和透明模式下的双机热备组网下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置防火墙双机

11、热备命令行说明防火墙的双机热备的配置主要涉及墙的双机热备配置涉及到的命令行做一个解释说明命令行配置说明是华为的兀余备份协议防火墙使用此协议进行备份组网达到链路状态备份的的从而保证在设备发生故障的时候业务正常协议是华为自己开发的协议主要是在协议的基是的报文还是的报文都是的报文只是防火墙在识别这些报文的时候能根据自己定义的字段能判断是的报文的报文或者是普通的的报文在防火墙上的作用主要是备份防火墙的会话表备份防火墙的表备份防火墙的黑名单备份防火墙的配hrp auto-sync config：防火墙配置备份命令。防火墙上使能此命令后，在主防火墙上配置的命令行如 ACL,域等都可以自动备份到备防火墙上，

12、保证命令 行能实时同步。此命令行在 hrp enable 之后就默认使能了，此时在备防火墙上是 默认不能配置 ACL等配置的，但是如果需要单独配置，执行 undo hrp auto-sync config就可以在备防火墙上配置此命令行了，主防火墙上执行 ACL等配置发送到 备防火墙上不会备执行，如果在主防火墙上执行此命令，主防火墙上将不把配置发 送到备防火墙上执行。hrp auto-sync config batch-backup:防火墙配置批量备份使能命令。使能此命令，在防火墙发生主备倒换之后，新的主防火墙备自动把配置备份到新的 备防火墙上。此命令默认是不使能的，现在也不推荐使用，因为批量备

13、份将消耗大 量的 CPU资源，可能在执行批量备份的时候影响某些业务。hrp sync config：防火墙配置批量备份命令。执行此命令后主防火墙能 把自己的配置发送到备防火墙上执行，此命令行在用户视图下使用，在使能了 hrp 之后才能使用。此命令默认是也不推荐使用，因为批量备份将消耗大量的 CPU资 源，可能在执行批量备份的时候影响某些业务。hrp sync connection-status：手工同步连接状态信息命令，会进行会 话，黑名单，地址转换表，以及 ARP表等的备份等，同时对于 Eudemon 1000 来说 还会刷新备份的通道。display hrp：显示当前 HRP的状态信息，主

14、要包括 HRP的备份通道，HRP 的状态，hrp 是否使能快速备份，为 MASTER 状态的 VGMP 信息。display hrp verbose:显示当前 HRP的详细状态信息。中断防火墙双机热备组网根据防火墙的模式分路山模式下的双机热备组网和透明模式下的双机热备组网下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及墙的双机热备配置涉及到的命令行做一个解释说明命令行配置说明是华为的兀余备份协议防火墙使用此协议进行备份组网达到链路状态备份的的从而保证在设备发生故障的时候业务正常协议是华为自己开发的协议主要是在协议的基是的报文还是的

15、报文都是的报文只是防火墙在识别这些报文的时候能根据自己定义的字段能判断是的报文的报文或者是普通的的报文在防火墙上的作用主要是备份防火墙的会话表备份防火墙的表备份防火墙的黑名单备份防火墙的配1.2 1.2 VGMP 配置说明 VGMP(VRRP group management protocol)是 VRRP 的组管理协议，同样 VGMP 协议也是华为私有的协议。VGMP 通过把 VRRP 加入到一个组中进行管理，通过 VGMP 报文和对端进行协商，确定自己和对端的 VGMP 的状态，根据 VGMP 的状态的 主备，把 VGMP 组下面的 VRRP 的状态改成和 YGMP 的状态一致。VGMP

16、状态也分 Master 和 Slave,同样 VGMP 报文是在 YRRP 报文的基础上进行封装的，它通过 VRRP 报文通知对端自己的状态以及和对端进行协商。防火墙的 VGMP 功能现在支持两台防火墙之间的 VGMP 协商，通过协商，在两 台防火墙上形成一主一备的状态，当其中主防火墙发生故障或者其他原因导致 VGMP 的优先级降低的时候，备防火墙的 VGMP 会抢占为主，原来的主防火墙的 VGMP 会变成备，同时 YGMP组里面的 VRRP 也跟随这 YGMP 的状态的变化发生变化。通过 VGMP 来管理 VRRP,使 VGMP为主的防火墙对外发布 VGMP 组下面的所有的 VRRP 的虚

17、地址，而 VGMP 为备的防火墙不对外发布 VRRP 虚地址，形成 VRRP 的兀余备份。VGMP 的配置命令的功能和使用介绍如下：VRRP group：创建 VGMP 管理组。执行此命令行之后，创建一个 VGMP 管理组，并进入此管理组视图，所有的 VGMP 的配置都在 VGMP 视图下进行配 置。add interface Ethernet 1/0/7 vrrp vrid 1:把接口 Ethernetl/0/7 下 配置的 VRRP 1加入到此管理组进行管理。add interface Ethernet 1/0/7 vrrp vrid 1 data:把接口 Ethernetl/0/7下配置

18、的 VRRP 1加入到此管理组进行管理，并且把接口 Ethernetl/0/7作为发送 VGMP 数据报文的通道。配置了发送 VGMP 的数据通道之 后，VGMP 才能使能。防火墙的配置同步是通过 VGMP 的数据通道进行发送的。中断防火墙双机热备组网根据防火墙的模式分路山模式下的双机热备组网和透明模式下的双机热备组网下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及墙的双机热备配置涉及到的命令行做一个解释说明命令行配置说明是华为的兀余备份协议防火墙使用此协议进行备份组网达到链路状态备份的的从而保证在设备发生故障的时候业务正常协议是

19、华为自己开发的协议主要是在协议的基是的报文还是的报文都是的报文只是防火墙在识别这些报文的时候能根据自己定义的字段能判断是的报文的报文或者是普通的的报文在防火墙上的作用主要是备份防火墙的会话表备份防火墙的表备份防火墙的黑名单备份防火墙的配接口 Ethernet 1/0/7下配置的 VRRP 1加入到此管理组进行管理，并且把接口 Ethernetl/0/7作为发送 VGMP 数据报文的通道，并且此接口下的 VRRP 的或者优先 级发生变化的时候不参与到 VGMP 优先级的汁算。通常在防火墙上下行都是交换机 组网的情况，心跳口上的 VRRP 可以以此种方式加入到 VGMP 组中。add interf

20、ace Ethernetl/0/7 vrrp vrid 1 data ip-link 1：把接口 Ethernetl/0/7下配置的 VRRP 1加入到此管理组进行管理，并且把接口 Ethernetl/0/7作为发送 VGMP 数据报文的通道，同时在 VGMP 上绑定 ip-link功 能。ip-link的使用介绍请参考其他文档。vrrp-group enable：VGMP组使能命令。在配置了 VGMP 的数据通道之后，此命令才可以执行，执行此命令后，防火墙会从数据通道发送 YGMP 的报文和对端 防火墙进行交互，确定 VGMP 的主备状态。中断防火墙双机热备组网根据防火墙的模式分路山模式下的双机热备组网和透明模式下的双机热备组网下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及墙的双机热备配置涉及到的命令行做一个解释说明命令行配置说明是华为的兀余备份协议防火墙使用此协议进行备份组网达到链路状态备份的的从而保证在设备发生故障的时候业务正常协议是华为自己开发的协议主要是在协议的基是的报文还是的报文都是的报文只是防火墙在识别这些报文的时候能根据自己定义的字段能判断是的报文的报文或者是普通的的报文在防火墙上的作用主要是备份防火墙的会话表备份防火墙的表备份防火墙的黑名单备份防火墙的配