防火墙的冗余基础知识+实验检测

防火墙的冗余基础知识+实验检测

引用

CSDN

1.

https://blog.csdn.net/ZQXSSJHK/article/details/140479242

防火墙冗余是网络系统中确保高可用性和容错能力的重要技术。本文将详细介绍防火墙冗余的基础知识，包括HRP技术、VGMP协议以及实验配置等内容。

防火墙冗余基础知识

在讨论防火墙冗余之前，需要理清以下几个关键知识点：

1. 防火墙冗余时的会话表必须保持一致，HRP技术已经实现了这一点
2. VRRP（虚拟路由器冗余协议）默认是自动开启抢占的，根据优先级进行抢占
3. 免费ARP的作用是通知交换机某个IP的MAC地址已变更
4. HRP（华为冗余协议）用于双机热备，需要在网络搭建好后才开始进行冗余热备
5. 防火墙的虚拟网关可以绑定不在同一网段的真实IP
6. 用户设备维护一个MAC地址缓存表
7. 安全策略仅针对数据层面的数据包，不会拦截控制层面的路由信息

防火墙可靠性与双机热备

双机热备技术

防火墙冗余不能简单地像路由器那样切换网关归属，因为防火墙需要同步状态信息（如会话表）。双机热备技术可以实现两台设备同时运行，一台故障时另一台可以立即接管。

• 双机热备特点：
• 目前仅支持两台防火墙互备
• 热备状态下两台设备同时运行
• 冷备模式下备份设备仅同步配置，不工作

VGMP协议

VGMP（虚拟组管理协议）是华为私有协议，用于管理VRRP组的状态一致性。在同一个VGMP组内的VRRP状态会强制保持一致。

主备形成场景

• FW1被设定为主设备，VGMP的active组被激活，上下两个VRRP组状态为ACTIVE
• FW2被设定为备设备，VGMP的standby组被激活，上下两个VRRP组状态为STANDBY
• 主设备会发送免费ARP报文更新交换机的MAC地址表

故障切换场景

当FW1接口发生故障时：

1. 接口状态从active变为initialize
2. VGMP组降低优先级（每个故障接口降低2点）
3. FW1向FW2发送状态变更请求
4. FW2检测到自身优先级更高，切换到active状态
5. FW2的VRRP组状态同步切换到active
6. FW2回复FW1确认切换
7. FW1将自身状态切换到standby，故障接口保持initialize状态
8. FW2发送免费ARP报文更新交换机MAC地址表

HRP协议

HRP（华为冗余协议）用于同步防火墙的配置和状态信息。

• 前提条件：

• 两台防火墙之间需要一条专用链路

• 链路必须配置IP地址

• 非直连链路需要配置安全策略

• 备份方式：

• 自动备份：10秒后备份配置和状态信息

• 手工备份：管理员触发立即同步

• 快速备份：仅同步状态信息，适用于负载分担场景

故障恢复场景

• 无抢占：原主设备继续以备设备身份工作
• 有抢占：接口恢复后延迟60秒尝试夺回主设备身份

负载分担场景

负载分担模式下，两台防火墙都处于工作状态，每个防火墙配置两个VGMP组，分别负责主用和备用。

实验配置要点

• 主动抢占模式默认开启60秒抢占延迟
• HRP心跳报文周期默认1秒，需要两端同时修改
• 虚拟MAC地址可以实现无感知切换
• 虚拟IP和接口IP不在同一网段时需要配置子网掩码

实验配置思路

以一个具体实验为例，说明防火墙冗余配置的关键点：

1. 需要在上下两个方向都配置VRRP冗余
2. 使用VGMP技术确保所有VRRP组状态一致
3. 每个VRRP组单独配置，简化配置过程
4. 心跳接口用于保活检测，不传输数据
5. 监控接口故障会降低VGMP优先级
6. 防火墙支持虚拟MAC地址，减少用户设备更新
7. 开启VRRP后禁止对防火墙进行其他操作

总结：
防火墙冗余配置需要细致规划，既要确保高可用性，又要避免配置错误导致的网络中断。通过理解冗余技术的基本原理和实验配置要点，可以更好地掌握防火墙冗余配置的精髓。