防火墙高可用(HA)主备验证实验(eNSP)
防火墙高可用(High Availability, HA)
定义与原理
- 定义:防火墙高可用热备技术是指通过配置两台或多台防火墙设备,使其在正常情况下同时运行,当其中一台防火墙出现故障时,另一台能够立即接管其工作,从而保证网络的安全防护功能不间断,实现业务的连续性。
- 原理:主要基于心跳检测和状态同步机制。心跳检测是指两台防火墙之间通过特定的网络链路定期发送心跳信号,以监测对方的运行状态。一旦主防火墙出现故障,无法正常发送心跳信号,备防火墙就会检测到,并根据预设的策略自动切换为主防火墙,接管网络流量的处理和安全防护任务。状态同步则是确保主备防火墙之间的会话状态、连接信息等关键数据实时同步,以便在切换时能够维持已建立的网络连接,不影响业务的正常进行。
实现方式
- 基于硬件的实现:一些高端防火墙设备会配备专门的硬件模块来实现高可用热备功能。这些硬件模块通常具有独立的处理器、内存和通信接口,能够快速地检测故障并进行切换。例如,某些防火墙设备采用了双主控板、双电源等冗余设计,当一个主控板或电源出现故障时,另一个可以立即接管工作,保证设备的正常运行。
- 基于软件的实现:通过软件算法和协议来实现防火墙的高可用热备。常见的有虚拟路由器冗余协议(VRRP)、热备份路由器协议(HSRP)等。以 VRRP 为例,它通过在多台防火墙之间创建一个虚拟路由器,对外呈现一个虚拟 IP 地址。多台防火墙通过竞选成为主路由器,承担数据转发任务,其他防火墙则作为备份路由器。当主路由器出现故障时,备份路由器会根据优先级和选举机制自动切换为主路由器,继续提供服务。
特点
- 高可靠性:通过冗余的设备和实时的故障切换机制,确保在任何时候都有防火墙设备能够正常工作,有效防止因单点故障导致的网络安全漏洞,保障网络的安全性和稳定性。
- 业务连续性:由于状态同步技术的应用,在主备防火墙切换过程中,能够保持已建立的网络连接和会话状态,使得正在进行的业务不受影响,如在线交易、视频会议等关键业务能够持续稳定运行。
- 可扩展性:随着网络规模的扩大和业务需求的增加,可以方便地增加防火墙设备,扩展高可用热备系统的性能和容量,以适应不断变化的网络环境。
- 复杂的配置和管理:实现防火墙高可用热备需要对多台设备进行复杂的配置和协调,包括心跳链路的设置、状态同步参数的调整、故障切换策略的制定等。同时,在运行过程中,也需要对整个系统进行实时监控和管理,以确保其正常运行。
VRRP(Virtual Router Redundancy Protocol):虚拟路由冗余协议,提供网关冗余,通过虚拟IP地址实现无缝切换,具有一下特点:
- 提高网络可靠性:通过主备路由器的冗余机制,当主路由器出现故障时,备份路由器能够快速接管工作,确保网络连接不中断,提高了网络的可靠性和稳定性。
- 透明性高:对于网络中的主机来说,它们并不知道 VRRP 的存在,仍然将虚拟路由器的 IP 地址作为默认网关,无需进行任何配置更改。切换过程对主机是透明的,不会影响主机的正常通信。
- 配置简单:只需在路由器上进行简单的 VRRP 配置,指定虚拟路由器的相关参数和参与 VRRP 组的接口,就可以实现路由器的冗余备份,无需复杂的配置和管理。
VRRP 三种状态:
- Master 状态:处于该状态的路由器负责转发发往虚拟路由器 IP 地址的数据包。它会定期发送 VRRP 通告报文,以告知备份路由器自己的状态。
- Backup 状态:备份路由器处于此状态,监听主路由器发送的通告报文。当在一定时间内没有收到主路由器的通告报文时,备份路由器会根据优先级等规则决定是否切换到 Master 状态。
- Initialize 状态:路由器在启动时或接口关闭再打开时进入此状态。在这个状态下,路由器会进行一些初始化操作,然后根据配置的优先级等参数决定是成为 Master 还是 Backup 状态。
VGMP(Virtual Gateway Management Protocol):虚拟网关管理协议,负责多台防火墙设备的同步和管理。
HRP(Hot Standby Routing Protocol):热备路由协议,负责在主备防火墙之间同步会话状态和配置。
拓扑图:
配置过程:A(active),B(stanby):
A:配置接口IP地址
接口分区:添加接口到信任区,军事区和非信任区
配置vrrp分组id,分配虚拟代理ip
配置心跳线对端远程ip
开启hrp
主机配置[USG6000V1]system-view //转入系统视图
[USG6000V1]undo info-center enable //关闭信息回显
[USG6000V1]sysname A //将名称改为A=====添加接口IP地址====================================================
[A]int g1/0/0 //进入接口
[A-GigabitEthernet1/0/0]ip add 10.1.10.4 24 //添加端口IP地址
[A-GigabitEthernet1/0/0]q[A]int g1/0/1
[A-GigabitEthernet1/0/1]ip add 10.1.20.4 24
[A-GigabitEthernet1/0/1]q[A]int g1/0/6
[A-GigabitEthernet1/0/6]ip add 10.1.45.4 24
[A-GigabitEthernet1/0/6]q=====将接口地址加入安全区域======================================
[A]firewall zone trust //创建trust区域
[A-zone-trust]add int g1/0/0 //将接口加入该安全区域
[A-zone-trust]q[A]firewall zone untrust //创建untrust区域
[A-zone-untrust]add int g1/0/1
[A-zone-untrust]q[A]firewall zone name hrp_zone //创建一个名称为hrp_zone的安全区域
[A-zone-hrp_zone]set priority 20 //设定安全级别为20
[A-zone-hrp_zone]add int g1/0/6 //将接口加入该安全区域
[A-zone-hrp_zone]q=====进入接口,配置vrrp组并分配虚拟IP==================================
[A]int g1/0/0 //进入接口
[A-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.10.254 active
//配置虚拟IP,并配置为主[A-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.20.254 active=====心跳线配置========================================================
[A]hrp int g1/0/6 remote 10.1.45.5 //配置心跳线的远端IP
[A]hrp enable
HRP_S[A]
HRP_S[A] =====查看==============================================================
HRP_M[A]dis vrrp brief Total:2 Master:2 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Master GE1/0/0 Vgmp 10.1.10.254
22 Master GE1/0/1 Vgmp 10.1.20.254=====配置策略(自动同步安全策略)=======================================
HRP_M[FW_A]security-policy (+B)HRP_M[FW_A-policy-security]rule name test (+B)HRP_M[FW_A-policy-security-rule-test]source-zone trust (+B)HRP_M[FW_A-policy-security-rule-test]destination-zone untrust (+B)HRP_M[FW_A-policy-security-rule-test]action permit (+B)
HRP_M[FW_A-policy-security-rule-test]dis this
2025-03-13 18:51:12.790
#rule name testsource-zone trustdestination-zone untrustaction permit
#
return
=====备机侧验证========================================================B:配置接口IP地址
接口分区:添加接口到信任区,军事区和非信任区
配置vrrp分组id,分配虚拟代理ip
配置心跳线对端远程ip
开启hrp
备机配置[USG6000V1]system-view //转入系统视图
[USG6000V1]undo info-center enable //关闭信息回显
[USG6000V1]sysname B //将名称改为B=====添加接口IP地址====================================================
[B]int g1/0/0 //进入接口
[B-GigabitEthernet1/0/0]ip add 10.1.10.5 24 //配置端口IP地址
[B-GigabitEthernet1/0/0]q [B]int g1/0/1
[B-GigabitEthernet1/0/1]ip add 10.1.20.5 24
[B-GigabitEthernet1/0/1]q[B]int g1/0/6
[B-GigabitEthernet1/0/2]ip add 10.1.45.5 24
[B-GigabitEthernet1/0/6]q=====将接口地址加入相应的安全区域======================================
[B]firewall zone trust //创建trust区域
[B-zone-trust]add int g1/0/0 //将接口加入该安全区域
[B-zone-trust]q[B]firewall zone untrust //创建untrust区域
[B-zone-untrust]add int g1/0/1
[B-zone-untrust]q[B]firewall zone name hrp_zone //创建一个名称为hrp_zone的安全区域
[B-zone-hrp_zone]set priority 20 //设定安全级别为20
[B-zone-hrp_zone]add int g1/0/2 //将接口加入该安全区域
[B-zone-hrp_zone]q=====进入接口,配置vrrp组并分配虚拟IP==================================
[B]int g1/0/0 //进入接口
[B-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.10.254 stanby
//配置虚拟IP,并配置为备[B-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.20.254 stanby =====心跳线配置========================================================
[B]hrp int g1/0/2 remote 10.1.45.4 //配置心跳线的远端IP
[B]hrp enable
HRP_S[B]
HRP_S[B] =====验证同步过来的安全策略==================================
HRP_S[B]dis security-policy rule allTotal:2
RULE ID RULE NAME STATE ACTION HITS
-------------------------------------------------------------------------------
1 test enable permit 0
0 default enable deny 0
-------------------------------------------------------------------------------验证:PC1=>PC2Ping通:
关闭主防火墙接口,查询状态:
//主机查询:
HRP_M[A-GigabitEthernet1/0/0]shutdown
HRP_M[A-GigabitEthernet1/0/0]display vrrp briefTotal:2 Master:0 Backup:1 Non-active:1
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Initialize GE1/0/0 Vgmp 10.1.10.254
22 Backup GE1/0/1 Vgmp 10.1.20.254//备机查询:
HRP_M[B]display vrrp briefTotal:2 Master:2 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Master GE1/0/0 Vgmp 10.1.10.254
2 Master GE1/0/1 Vgmp 10.1.20.254
恢复接口查询:
======================主机查询================================
HRP_M[A-GigabitEthernet1/0/0]display vrrp briefTotal:2 Master:2 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Master GE1/0/0 Vgmp 10.1.10.254
22 Master GE1/0/1 Vgmp 10.1.20.254======================备机查询================================HRP_M[B]dis vrrp briTotal:2 Master:0 Backup:2 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Backup GE1/0/0 Vgmp 10.1.10.254
2 Backup GE1/0/1 Vgmp 10.1.20.254参考:
在ensp上做防火墙的双机热备_ensp防火墙双机热备配置-CSDN博客
防火墙技术基础篇:eNSP配置防火墙主备备份的双机热备_ensp双机热备配置-CSDN博客