HCIE-防火墙高级特性

张国伟 · 2024-6-10 19:50:38

双机热备

简介

双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路毗连（心跳线），通过心跳线相识对端的康健状况，向对端备份配置和表项（如会话表、IPsec SA等）。
当一台防火墙出现故障时，业务流量能平滑地切换到另一台设备上处置惩罚，使业务不绝止。
部署要求
- 目前只支持两台设备举行双机热备。
- 主备设备的产品型号和版本必须相同。
- 主备设备业务板和接口卡的位置、范例和数目都须相同，否则会出现主用设备备份过去的信息，与备用设备的物理配置无法兼容，导致主备切换后出现题目。

在网络中部署防火墙双机时面临的题目

防火墙是状态检测设备，它会对一条流量的首包举行完整的检测，并创建会话来记录报文的状态信息（包罗报文的源IP、源端口、目的IP、目的端口、协议等）。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发，如果后续报文不能匹配会话则会被防火墙丢弃。
如果在网络出口处部署两台独立的防火墙，则两台防火墙独立运行，需分别举行配置维护。此外，以在防火墙的上行、下行部署VRRP为例，由于这两组VRRP相互独立，因此轻易出现主备状态不划一的情况，此时内网访问外网的往返流量路径不划一，当回程流量抵达FW2时，由于FW2没有匹配的会话表项，因此这些流量将被丢弃。所以当防火墙双机部署时需要思量两台防火墙之间的会话等状态信息的备份。

防火墙双机热备关键组件

防火墙双机热备关键组件：VRRP与VGMP

防火墙双机热备关键组件：HRP及心跳线

为了实现主用设备出现故障时备用设备能平滑地接替工作，必须在主用和备用设备之间备份关键配置命令和状态信息。
防火墙能够备份的配置如下：
- 策略：安全策略、NAT策略（包罗NAT地点池）、NAT Server等。
- 对象：地点、地区、服务、应用、用户等。
- 网络：安全区域、DNS、IPsec、SSL VPN等。
- 系统：管理员、捏造系统、日记配置。
防火墙能够备份的状态信息如下：
- 会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地点映射表、二层转发表（静态MAC备份）、AAA用户表（缺省用户admin不备份）、在线用户监控表、PKI证书、IPsec备份等。

防火墙双机热备典范组网场景

实验

捏造系统

防火墙捏造系统的应用场景

防火墙捏造系统概述

捏造接口

捏造系统之间通过捏造接口实现互访。
捏造接口是创建捏造系统时设备自动为其创建的一个逻辑接口，作为捏造系统自身与其他捏造系统之间通讯的接口。
捏造接口必须配置IP地点，并加入安全区域才能正常工作。
捏造接口名的格式为“Virtual-if+接口号”，根系统的捏造接口名为Virtual-if0，其他捏造系统的Virtual-if接口号从1开始，根据系统中接口号占用情况自动分配。

捏造系统访问根系统

捏造系统与根系统互访有两种场景：捏造系统访问根系统、根系统访问捏造系统。这两种场景下，报文转发的流程略有不同。
本页以捏造系统访问根系统为例。因为捏造系统和根系统都需要按照防火墙转发流程对报文举行处置惩罚，所以捏造系统和根系统中要分别完成策略、路由等配置。

两个捏造系统之间直接互访

FW的捏造系统之间默认是互相隔离的，不同捏造系统下的主机不能通讯。如果两个捏造系统下主机有通讯的需求，就需要配置策略和路由，使不同捏造系统能够互访。该场景是捏造系统A向捏造系统B发起访问。报文先进入捏造系统A，捏造系统A按照防火墙转发流程对报文举行处置惩罚。然后报文进入捏造系统B，捏造系统B再次按照防火墙转发流程对报文举行处置惩罚。
因为两个捏造系统都需要按照防火墙转发流程对报文举行处置惩罚，所以两个捏造系统中要分别完成策略、路由等配置。

配置举例：捏造系统间互访

在根系统中配置vsysa和vsysb互访的路由。

<FW> system-view
[FW] ip route-static vpn-instance vsysa 10.3.1.0 24 vpn-instance vsysb

复制代码

为根系统的捏造接口Virtual-if0配置IP地点，并将加入Trust区域。Virtual-if0接口上的IP地点可设置为任意值，包管不与其他接口上的IP地点冲突即可。

[FW] interface Virtual-if 0
[FW-Virtual-if0] ip address 172.16.0.1 24
[FW-Virtual-if0] quit
[FW] firewall zone trust
[FW-zone-trust] add interface Virtual-if0
[FW-zone-trust] quit

复制代码

为vsysa的捏造接口Virtual-if1配置IP地点，并将接口加入Untrust区域。Virtual-if1接口上的IP地点可设置为任意值，包管不与其他接口上的IP地点冲突即可。

[FW-vsysa] interface Virtual-if 1
[FW-vsysa-Virtual-if1] ip address 172.16.1.1 24
[FW-vsysa-Virtual-if1] quit
[FW-vsysa] firewall zone untrust
[FW-vsysa-zone-untrust] add interface Virtual-if1
[FW-vsysa-zone-untrust] quit

复制代码

配置允许vsysa内用户访问vsysb内服务器的策略。

[FW-vsysa] security-policy
[FW-vsysa-policy-security] rule name to_server
[FW-vsysa-policy-security-rule-to_internet] source-zone trust
[FW-vsysa-policy-security-rule-to_internet] destination-zone untrust
[FW-vsysa-policy-security-rule-to_internet] source-address 10.3.0.0 24
[FW-vsysa-policy-security-rule-to_internet] destination-address 10.3.1.3 32
[FW-vsysa-policy-security-rule-to_internet] action permit
[FW-vsysa-policy-security-rule-to_internet] quit
[FW-vsysa-policy-security] quit

复制代码

为vsysb的捏造接口Virtual-if2配置IP地点，并将接口加入Untrust区域。Virtual-if2接口上的IP地点可设置为任意值，包管不与其他接口上的IP地点冲突即可。

[FW-vsysb] interface Virtual-if 2
[FW-vsysb-Virtual-if1] ip address 172.16.2.1 24
[FW-vsysb-Virtual-if1] quit
[FW-vsysb] firewall zone untrust
[FW-vsysb-zone-untrust] add interface Virtual-if2
[FW-vsysb-zone-untrust] quit

复制代码

配置允许vsysa内用户访问vsysb内服务器的策略。

[FW-vsysb] security-policy
[FW-vsysb-policy-security] rule name vsysa_to_server
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] source-zone untrust
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] destination-zone trust
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] source-address 10.3.0.0 24
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] destination-address 10.3.1.3 32
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] action permit
[FW-vsysb-policy-security-rule-vsysa_to_vsysb] quit
[FW-vsysb-policy-security] quit

复制代码

配置验证。

PC>ping 10.3.1.3
Ping 10.3.1.3: 32 data bytes, Press Ctrl_C to break
From 10.3.1.3: bytes=32 seq=1 ttl=127 time=79 ms

复制代码

实验

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

		自动登录	找回密码
密码			立即注册

HCIE-防火墙高级特性

本帖子中包含更多资源

0 个回复

快速回复

楼主热帖

标签云