SecPath-防火墻雙機(jī)熱備典型配置VIP

SecPath防火墻雙機(jī)熱備典型配置舉例關(guān)鍵詞：雙機(jī)熱備、主備模式、負(fù)載分擔(dān)模式、數(shù)據(jù)同步、流量切換摘 要：防火墻設(shè)備是所有信息流都必須通過(guò)的單一點(diǎn)，一旦故障所有信息流都會(huì)中斷。保障信息流不中斷至關(guān)重要，這就需要解決防火墻設(shè)備單點(diǎn)故障問(wèn)題。雙機(jī)熱備技術(shù)可以保障即使在防火墻設(shè)備故障的情況下，信息流仍然不中斷。本文將介紹雙機(jī)熱備的概念、工作模式及典型應(yīng)用等?？s略語(yǔ)：縮略語(yǔ)英文全名中文解釋ALGApplication Level Gateway應(yīng)用層網(wǎng)關(guān)ASPFApplication Specific Packet Filter基于應(yīng)用層的包過(guò)濾NATNetwork Address Translator網(wǎng)絡(luò)地址轉(zhuǎn)換VRRPVirtual Router Redundancy Protocol虛擬路由冗余協(xié)議OSPFOpen Shortest Path First開(kāi)放最短路徑優(yōu)先目 錄1 特性簡(jiǎn)介31.1 雙機(jī)熱備的工作機(jī)制32 特性使用指南42.1 使用場(chǎng)合42.2 配置指南42.2.1 雙機(jī)熱備組網(wǎng)應(yīng)用配置指南42.2.2 雙機(jī)熱備應(yīng)用涉及的配置42.3 注意事項(xiàng)43 支持的設(shè)備和版本53.1 設(shè)備版本53.2 支持的設(shè)備53.3 配置保存54 配置舉例64.1 典型組網(wǎng)64.2 設(shè)備基本配置94.2.1 其他共同配置：94.3 雙機(jī)熱備業(yè)務(wù)典型配置舉例94.3.1 透明模式主備模式94.3.2 透明模式負(fù)載分擔(dān)模式144.3.3 路由模式主備模式174.3.4 路由模式負(fù)載分擔(dān)模式194.3.5 路由模式主備模式支持非對(duì)稱路徑214.3.6 路由模式負(fù)載分擔(dān)模式支持非對(duì)稱路徑284.3.7 動(dòng)態(tài)路由模式組網(wǎng)335 相關(guān)資料331 特性簡(jiǎn)介雙機(jī)熱備在鏈路切換前，對(duì)會(huì)話信息進(jìn)行主備同步；在設(shè)備故障后能將流量切換到其他備份設(shè)備，由備份設(shè)備繼續(xù)處理業(yè)務(wù)，從而保證了當(dāng)前的會(huì)話不被中斷。secpath防火墻具有多樣化的組網(wǎng)方式，雙機(jī)的組網(wǎng)應(yīng)用也會(huì)很多種，本文試舉幾種雙機(jī)熱備的典型應(yīng)用。1.1 雙機(jī)熱備的工作機(jī)制 互為備份的兩臺(tái)防火墻只負(fù)責(zé)會(huì)話信息備份，保證流量切換后會(huì)話連接不中斷。而流量的切換則依靠傳統(tǒng)備份技術(shù)（如VRRP、動(dòng)態(tài)路由）來(lái)實(shí)現(xiàn)，應(yīng)用靈活，能適應(yīng)各種組網(wǎng)環(huán)境。另外需要使用專有的備份鏈路口進(jìn)行會(huì)話信息的備份，該備份鏈路口不作數(shù)據(jù)轉(zhuǎn)發(fā)，從而保障了備份的高可靠性及高性能。A. 在命令行下無(wú)法配置雙機(jī)熱備，只能在WEB頁(yè)面上配置；WEB配置頁(yè)面：B. 必須配置心跳口，心跳口也須在WEB頁(yè)面上配置，指定一個(gè)物理口后保存，重啟，心跳口開(kāi)始工作，心跳口在命令行和WEB頁(yè)面下的接口管理中都不可見(jiàn)，但是雙機(jī)熱備配置頁(yè)面下可見(jiàn)。C. 沒(méi)有主備設(shè)備之分，工作中的設(shè)備稱為主用設(shè)備比較合適些，兩臺(tái)防火墻的會(huì)話信息相互備份，主用設(shè)備上產(chǎn)生的會(huì)話會(huì)自動(dòng)通過(guò)心跳口備份到備用設(shè)備上，目前只有穩(wěn)態(tài)的會(huì)話才會(huì)進(jìn)行備份；D. 主要有兩種模式的組網(wǎng)：靜態(tài)路由模式和動(dòng)態(tài)路由模式，靜態(tài)路由模式組網(wǎng)依賴于VRRP，當(dāng)一臺(tái)設(shè)備Down機(jī)后，Vrrp的主備狀態(tài)發(fā)生切換，工作的防火墻隨之切換；動(dòng)態(tài)路由模式依賴于動(dòng)態(tài)路由協(xié)議，由于動(dòng)態(tài)路由協(xié)議進(jìn)行路由學(xué)習(xí)比VRRP切換慢，所以路由模式的雙機(jī)熱備主用設(shè)備切換時(shí)間較長(zhǎng)；在這兩種組網(wǎng)的基礎(chǔ)上又可以配置為雙主用模式、主備用模式；E. 目前版本僅支持對(duì)稱路徑的雙機(jī)熱備份，即報(bào)文來(lái)回都要通過(guò)同一臺(tái)防火墻；若出報(bào)文從A出，回來(lái)的報(bào)文從B返回的話，稱為非對(duì)稱路徑，在以后的版本將支持非對(duì)稱的報(bào)文轉(zhuǎn)發(fā)。2 特性使用指南2.1 使用場(chǎng)合Secpath防火墻作為內(nèi)外網(wǎng)的接入點(diǎn)，當(dāng)設(shè)備出現(xiàn)故障便會(huì)導(dǎo)致內(nèi)外網(wǎng)之間的網(wǎng)絡(luò)業(yè)務(wù)的全部中斷。在這種關(guān)鍵業(yè)務(wù)點(diǎn)上如果只使用一臺(tái)設(shè)備的話，無(wú)論其可靠性多高，系統(tǒng)都必然要承受因單點(diǎn)故障而導(dǎo)致網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)。雙機(jī)熱備解決方案能夠很好的解決這個(gè)問(wèn)題。2.2 配置指南2.2.1 雙機(jī)熱備組網(wǎng)應(yīng)用配置指南雙機(jī)熱備典型組網(wǎng)應(yīng)用包括以下內(nèi)容：l 透明模式主備模式l 透明模式負(fù)載分擔(dān)模式l 路由模式主備模式l 路由模式負(fù)載分擔(dān)模式l 路由模式主備模式支持非對(duì)稱路徑l 路由模式負(fù)載分擔(dān)模式支持非對(duì)稱路徑2.2.2 雙機(jī)熱備應(yīng)用涉及的配置用戶必須在Web設(shè)置雙機(jī)熱備功能，命令行無(wú)法配置。2.3 注意事項(xiàng)雙機(jī)熱備關(guān)于Web配置根據(jù)具體實(shí)例再作說(shuō)明。3 支持的設(shè)備和版本3.1 設(shè)備版本f5000a-1_dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Beta 3203Comware Platform Software Version COMWAREV500R002B62D001H3C SecPath F5000-A5 Software Version V300R002B01D012Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Oct 31 2008 14:56:27, RELEASE SOFTWAREH3C SecPath F5000-A5 uptime is 0 week, 0 day, 0 hour, 51 minutes CPU type: RMI XLR732 1000MHz CPU 2048M bytes DDR2 SDRAM Memory 4M bytes Flash Memory MPUA PCB Version:Ver.A SWBA PCB Version:Ver.A MPUA Basic Logic Version:133.0 MPUA Extend Logic Version:133.0 SWBA Logic Version:132.0 MPUA LX30T FPGA Version: 3.08 Basic BootWare Version: 1.02 Extend BootWare Version: 1.02 FIXED PORT CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0 FIXED PORT AUX (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0 FIXED PORT M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0 SUBCARD 1 NSQ1GT8C40 (Hardware)Ver.A, (Driver)1.0, (Cpld)134.0 SUBSLOT 2 The SubCard is not present SUBSLOT 3 The SubCard is not present SUBSLOT 4 The SubCard is not present 3.2 支持的設(shè)備Secpath F5000-A53.3 配置保存每次配置完成后，注意進(jìn)行配置的保存。系統(tǒng)管理 配置維護(hù) 配置保存 ，點(diǎn)擊。4 配置舉例4.1 典型組網(wǎng)圖1 雙機(jī)熱備（路由）典型組網(wǎng)圖2 雙機(jī)熱備（透明）典型組網(wǎng)圖3 雙機(jī)熱備（非對(duì)稱主備）典型組網(wǎng)圖4 雙機(jī)熱備（非對(duì)稱雙主）典型組網(wǎng)4.2 設(shè)備基本配置4.2.1 其他共同配置：(1) 接口模式：M-G0/0為管理接口 Interface Physical Protocol IP AddressM-GigabitEthernet0/0 up up 4.3 雙機(jī)熱備業(yè)務(wù)典型配置舉例4.3.1 透明模式主備模式1. 功能簡(jiǎn)述主備模式就是只有一臺(tái)防火墻處于工作狀態(tài)，另一臺(tái)處于備用狀態(tài)，當(dāng)主用設(shè)備Down機(jī)后，備用設(shè)備會(huì)接管工作。2. 典型配置步驟（組網(wǎng) 圖2 ）1、 防火墻運(yùn)行在二層模式，配置如圖所示的Vlan； F5000A-B 配置 ：f5000a-2dis cu sysname f5000a-2 # vlan 12# interface GigabitEthernet1/6 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/8 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 12 F5000A-A 配置 ： f5000a-1dis cu sysname f5000a-1 # vlan 11# interface GigabitEthernet1/6 port link-mode bridge port access vlan 11 # interface GigabitEthernet1/8 port link-mode bridge port access vlan 11 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 11 2、 路由器F1000E上配置兩個(gè)網(wǎng)段(和)對(duì)應(yīng)交換機(jī)的vlan11、vlan12兩個(gè)網(wǎng)段；提供兩個(gè)網(wǎng)關(guān)(和)，并分別指回程路由。 F1000E 配置 ：f1000edis cu # interface GigabitEthernet0/2 port link-mode route ip address # interface GigabitEthernet0/3 port link-mode route ip address # ip route-static ip route-static preference 100 ip route-static ip route-static preference 100 3、 S56A和S56B上配置靜態(tài)路由分別指向這兩個(gè)網(wǎng)關(guān)，配置兩條路由，使優(yōu)先級(jí)不同。實(shí)現(xiàn)當(dāng)鏈路斷時(shí)，使優(yōu)先級(jí)高的靜態(tài)路由失效。 S56A 配置 ： lsw-updis cu # vlan 11 to 14 # interface Vlan-interface11 ip address # interface Vlan-interface12 ip address # interface Vlan-interface13 ip address # interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14 port access vlan 14 # ip route-static preference 60 ip route-static preference 100 S56B 配置 ：lsw-downdis cu # sysname lsw-down # vlan 11 to 14 # interface Vlan-interface11 ip address # interface Vlan-interface12 ip address # interface Vlan-interface13 ip address # interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14 port access vlan 14 # ip route-static preference 60 ip route-static preference 100 B.WEB 配置： 1首先把F5000A相關(guān)接口加入域；2把需要聯(lián)動(dòng)的接口加入到同一聯(lián)動(dòng)組。一旦其中一個(gè)接口down丟，組內(nèi)其他接口同樣down丟。配置切換時(shí)F5000A結(jié)合透明方式接口組聯(lián)動(dòng)來(lái)實(shí)現(xiàn)3. 驗(yàn)證結(jié)果l 從PC-B到PC-A，從PC-C到PC-A通過(guò)默認(rèn)路由，默認(rèn)都走F5000A-A tracert 0 traceroute to 0(0) 30 hops max,40 bytes packet Press CTRL_C to break 1 2 ms 1 ms 1 ms 2 1 ms 0 ms 1 ms 3 0 0 ms 1 ms 0 mstracert 0 traceroute to 0(0) 30 hops max,40 bytes packet 1 11 ms 5 ms 6 ms 2 19 ms 3 ms 8 ms 3 0 9 ms 3 ms 3 ms l 當(dāng)F5000A-A出現(xiàn)故障后，則切換到F5000A-B上PC-Btracert 0 traceroute to 0(0) 30 hops max,40 bytes packet Press CTRL_C to break 1 1 ms 2 ms 1 ms 2 0 ms 1 ms 0 ms 3 0 1 ms 1 ms 0 ms PC-Ctracert 0 traceroute to 0(0) 30 hops max,40 bytes packet 1 11 ms 4 ms 7 ms 2 19 ms 3 ms 9 ms 3 0 8 ms 3 ms 4 ms 4. 注意事項(xiàng)l 本配置完成，清除防火墻中所做的配置，以防對(duì)其他配置產(chǎn)生影響。4.3.2 透明模式負(fù)載分擔(dān)模式1. 功能簡(jiǎn)述雙主組網(wǎng)就是兩臺(tái)防火墻都處于工作狀態(tài)，每臺(tái)設(shè)備負(fù)責(zé)轉(zhuǎn)發(fā)一部分流量，實(shí)現(xiàn)負(fù)載分擔(dān)，而當(dāng)任一臺(tái)設(shè)備Down機(jī)后，另一臺(tái)設(shè)備會(huì)接管全部工作。2. 典型配置步驟（組網(wǎng) 圖2 ）1、 負(fù)載分擔(dān)模式和主備模式區(qū)別在于路由配置。2、 路由器F1000E上配置兩個(gè)網(wǎng)段(和)對(duì)應(yīng)交換機(jī)的vlan11、vlan12兩個(gè)網(wǎng)段；提供兩個(gè)網(wǎng)關(guān)(和)，F(xiàn)1000E 配置 ：f1000edis cu # interface GigabitEthernet0/2 port link-mode route ip address # interface GigabitEthernet0/3 port link-mode route ip address # ip route-static ip route-static preference 100 ip route-static ip route-static preference 100 3、 S56A和S56B上配置靜態(tài)路由分別指向這兩個(gè)網(wǎng)關(guān)，配置兩條路由，使優(yōu)先級(jí)不同。為了實(shí)現(xiàn)當(dāng)鏈路斷時(shí)，使優(yōu)先級(jí)高的靜態(tài)路由失效，配置切換時(shí)結(jié)合透明方式接口組聯(lián)動(dòng)來(lái)實(shí)現(xiàn)。F1000E上分別指回程路由，使防火墻負(fù)載分擔(dān)。S56A 配置 ： lsw-updis cu # vlan 11 to 14 # interface Vlan-