HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机
实验一:防火墙直路部署,上下行连接交换机
需求和拓扑
企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。
操作步骤
1、配置接口地址和安全区域
注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。
2、配置路由
f1/f2
ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
r1
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1//下一跳地址是vrrp备份组1的虚拟ip地址3、配置vgmp组
//f1
interface GigabitEthernet 1/0/1
vrrp vrid 1 virtual-ip 1.1.1.1 24 active//如果接口真实地址与vrrp备份组地址不在同一网段,需要指定掩码
interface GigabitEthernet 1/0/0
vrrp vrid 2 virtual-ip 10.3.0.3 24 active
//f2
interface GigabitEthernet 1/0/1
vrrp vrid 1 virtual-ip 1.1.1.1 24 standby//如果接口真实地址与vrrp备份组地址不在同一网段,需要指定掩码
interface GigabitEthernet 1/0/0
vrrp vrid 2 virtual-ip 10.3.0.3 24 standby4、指定心跳口并启用双机热备功能
//f1
hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
hrp enable //f2
hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1
hrp enable 5、仅在fw1上配置安全策略,双机热备状态成功建立后,fw1的安全策略会自动备份到fw2上
security-policyrule name 1source-zone trustdestination-zone untrustsource-address 10.3.0.0 mask 255.255.255.0action permit
6、仅在fw1上配置源nat策略,双机热备状态成功建立后,fw1的安全策略会自动备份到fw2上
//配置公网地址池
nat address-group 1 0mode patroute enablesection 0 1.1.1.2 1.1.1.5
//配置源nat策略
nat-policyrule name 1source-zone trustdestination-zone untrustsource-address 10.3.0.0 mask 255.255.255.0action source-nat address-group 1
验证和分析
1、检查vrrp组内接口的状态信息
HRP_S<f2>dis vrrp
2022-02-15 00:52:35.430 GigabitEthernet1/0/1 | Virtual Router 1State : BackupVirtual IP : 1.1.1.1Master IP : 10.2.0.1PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0101Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2022-02-15 00:33:52Last change time : 2022-02-15 00:33:52GigabitEthernet1/0/0 | Virtual Router 2State : BackupVirtual IP : 10.3.0.3Master IP : 10.3.0.1PriorityRun : 120PriorityConfig : 100MasterPriority : 120Preempt : YES Delay Time : 0 sTimerRun : 60 sTimerConfig : 60 sAuth type : NONEVirtual MAC : 0000-5e00-0102Check TTL : YESConfig type : vgmp-vrrpBackup-forward : disabledCreate time : 2022-02-15 00:34:03Last change time : 2022-02-15 00:34:03
可见fw2的上下行接口都处于backup状态,表示vrrp组建立成功。fw1的查看方式类似。
2、检查当前vgmp组的状态
HRP_M<f1>dis hrp state verbose
2022-02-15 00:56:40.090 Role: active, peer: standbyRunning priority: 45000, peer: 45000Backup channel usage: 0.00%Stable time: 0 days, 0 hours, 21 minutesLast state change information: 2022-02-15 0:35:19 HRP link changes to up.Configuration:hello interval: 1000mspreempt: 60smirror configuration: offmirror session: offtrack trunk member: onauto-sync configuration: onauto-sync connection-status: onadjust ospf-cost: onadjust ospfv3-cost: onadjust bgp-cost: onnat resource: offDetail information:GigabitEthernet1/0/1 vrrp vrid 1: activeGigabitEthernet1/0/0 vrrp vrid 2: activeospf-cost: +0ospfv3-cost: +0bgp-cost: +0HRP_S<f2>dis hrp state verbose
2022-02-15 00:55:15.890 Role: standby, peer: activeRunning priority: 45000, peer: 45000Backup channel usage: 0.00%Stable time: 0 days, 0 hours, 19 minutesLast state change information: 2022-02-15 0:35:19 HRP link changes to up.Configuration:hello interval: 1000mspreempt: 60smirror configuration: offmirror session: offtrack trunk member: onauto-sync configuration: onauto-sync connection-status: onadjust ospf-cost: onadjust ospfv3-cost: onadjust bgp-cost: onnat resource: offDetail information:GigabitEthernet1/0/1 vrrp vrid 1: standbyGigabitEthernet1/0/0 vrrp vrid 2: standbyospf-cost: +65500ospfv3-cost: +65500bgp-cost: +100
可见主备的优先级是相同的,但是active设备的ospf-cost、bgp-cost等都是为0的,而standby设备的则是65500,这样在配置了动态路由后,路由选路的时候就会优选active设备了。
3、使用pc ping公网设备r1的环回口11.11.11.11,检查会话表项
//f1
HRP_M<f1>dis fire session table
2022-02-15 01:04:23.230 Current Total Sessions : 6udp VPN: public --> public 10.10.0.2:16384 --> 10.10.0.1:18514udp VPN: public --> public 10.10.0.1:49152 --> 10.10.0.2:18514udp VPN: public --> public 10.10.0.2:49152 --> 10.10.0.1:18514icmp VPN: public --> public 10.3.0.100:2812[1.1.1.3:2053] --> 11.11.11.11:2048icmp VPN: public --> public 10.3.0.100:3324[1.1.1.3:2055] --> 11.11.11.11:2048icmp VPN: public --> public 10.3.0.100:3068[1.1.1.3:2054] --> 11.11.11.11:2048//f2
HRP_S<f2>dis fire session table
2022-02-15 01:04:10.630 Current Total Sessions : 6udp VPN: public --> public 10.10.0.1:49152 --> 10.10.0.2:18514udp VPN: public --> public 10.10.0.2:49152 --> 10.10.0.1:18514udp VPN: public --> public 10.10.0.1:16384 --> 10.10.0.2:18514icmp VPN: public --> public Remote 10.3.0.100:2812[1.1.1.3:2053] --> 11.11.11.11:2048icmp VPN: public --> public Remote 10.3.0.100:3324[1.1.1.3:2055] --> 11.11.11.11:2048icmp VPN: public --> public Remote 10.3.0.100:3068[1.1.1.3:2054] --> 11.11.11.11:2048
udp报文是hrp报文,用于fw之间同步表项以及关键配置。
icmp报文是ping包建立的会话,f2存在带有remote标记的会话,这些会话内容和f1是同步的.
4、使用pc长ping公网设备r1的环回口11.11.11.11,将fw1的上行接口拔出,观察防火墙状态切换及ping包丢包情况,再将其插回,观察防火墙状态切换及ping包丢包情况。
HRP_S[f1]dis hrp state verbose
2022-02-15 01:10:07.130 Role: standby, peer: active (should be "active-standby")Running priority: 44998, peer: 45000Backup channel usage: 0.00%Stable time: 0 days, 0 hours, 0 minutesLast state change information: 2022-02-15 1:09:09 HRP core state changed, old_s
tate = normal, new_state = abnormal(standby), local_priority = 44998, peer_prior
ity = 45000.Configuration:hello interval: 1000mspreempt: 60smirror configuration: offmirror session: offtrack trunk member: onauto-sync configuration: onauto-sync connection-status: onadjust ospf-cost: onadjust ospfv3-cost: onadjust bgp-cost: onnat resource: offDetail information:GigabitEthernet1/0/1 vrrp vrid 1: InitializeGigabitEthernet1/0/0 vrrp vrid 2: standby (should be "active")ospf-cost: +65500 (should be "+0")ospfv3-cost: +65500 (should be "+0")bgp-cost: +100 (should be "+0")HRP_M<f2>dis hrp state verbose
2022-02-15 01:11:09.590 Role: active, peer: standby (should be "standby-active")Running priority: 45000, peer: 44998Backup channel usage: 0.00%Stable time: 0 days, 0 hours, 2 minutesLast state change information: 2022-02-15 1:09:08 HRP core state changed, old_s
tate = normal, new_state = abnormal(active), local_priority = 45000, peer_priori
ty = 44998.Configuration:hello interval: 1000mspreempt: 60smirror configuration: offmirror session: offtrack trunk member: onauto-sync configuration: onauto-sync connection-status: onadjust ospf-cost: onadjust ospfv3-cost: onadjust bgp-cost: onnat resource: offDetail information:GigabitEthernet1/0/1 vrrp vrid 1: active (should be "standby")GigabitEthernet1/0/0 vrrp vrid 2: active (should be "standby")ospf-cost: +0 (should be "+65500")ospfv3-cost: +0 (should be "+65500")bgp-cost: +0 (should be "+100")
原来的active设备由于出现了故障,则其优先级减2,成为了44998,故障接口变成了init状态,正常的下行接口被vgmp组从active变成了standby,而原来的standby设备上位成了active,同时将加入vgmp组的两个接口也变成了active。这样上下行接口的状态又一次同步,流量的源进源出得以保证。
这说明vgmp组控制了vrrp备份组的状态,在交换机或者路由器上,vrrp备份组的状态由vrrp优先级大小决定,防火墙的vrrp备份组状态则不是由vrrp优先级大小决定,而且通过实验我们发现,fw的vrrp优先级是不可以配置的,fw启用双机热备功能后,vrrp优先级固定为120.
在fw上,接口故障时,接口下vrrp备份组状态为init,接口无故障时,接口下的vrrp备份组状态由vgmp组的状态决定,具体是
- 当VGMP组状态为active时,VRRP备份组的状态都是Master。
- 当VGMP组状态为standby时,VRRP备份组的状态都是Backup。
当VGMP组状态为load-balance时,VRRP备份组状态由VRRP备份组的配置决定。即
vrrp vrid virtual-router-id virtual-ip virtual-address { active | standby }a ctive表示指定vrrp备份组的状态为master,standby表示指定vrrp备份组的状态为backup。
丢包情况
出现了丢包,但数量很少。注意在真实环境中,不会出现丢包。
关于免费arp发包问题
active设备会主动发送免费arp,通告虚拟ip对应的虚拟mac地址。
发送的链路是自己的直连链路
发送时,二层的源mac是vrrp备份组的虚拟mac地址,目的mac地址是广播地址
免费arp的报文里面,源mac是vrrp备份组的虚拟mac地址,目的mac地址也是广播地址(如果是全0表示bug),源ip和目的ip均是vrrp备份组的虚拟ip地址。
关于vrrp通告报文问题
active设备会在直连链路上发送vrrp通告报文
使用的源mac地址是vrrp备份组虚拟ip对应的mac地址,目的mac地址是组播mac地址(224.0.0.18对应的)
源ip地址是接口的实际ip地址,目的ip地址是224.0.0.18
vrrp报文中,表示版本是2,包类型是1,vrid是1,优先级是120,虚拟ip地址是1.1.1.1
关于心跳报文问题
在心跳线上,会周期极为频繁的发送心跳报文,由于hrp是华为私有协议,所以协议报文难以解析
只能看到是udp报文,且 端口号随机固定。不仅是active发,standby也发。
另一个问题是心跳线上不存在vrrp报文。
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机相关推荐
- 华为防火墙双机热备(VGMP+HRP)理论+实操!
文章目录 前言 一:华为防火墙双机热备理论 1.1:概念 1.2:特点 1.3:华为防火墙双机热备的方式 二:华为防火墙双机热备实验 2.1:环境 2.2:拓扑图 2.3:实验目的 2.4:实验过程 ...
- 华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象
华为防火墙双机热备基础教程 [华为官方视频] https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/ ...
- 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...
- 华为防火墙双机热备学习笔记(V500)
华为防火墙双机热备学习笔记(V500) 双机产生背景 防火墙与路由器.三层交换机设备双机部署的差别 双机热备协议架构 HRP 心跳线 防火墙的双机部署 VRRP 虚拟路由冗余协议 VGMP vrrp组 ...
- 防火墙实验二——实现域间、域内双向NAT、双机热备实验
实验的拓扑图 这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的 图片里面交换机.防火墙等的配置 域间双向NAT 首先建立一个新的域间双向的NAT策略 对于源转换地址池的配置 对于目的 ...
- 防火墙双机热备配置实例(三)
今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...
- 防火墙双机热备配置实例(一)
今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...
- 防火墙双机热备,DHCP服务器,核心交换机负载分担及冗余设计
文章目录 目录: 一.防火墙双机热备技术概念 二.配合使用的相关技术指导 三.设计要求及拓扑图 四:配置过程及相应命令 总结 一.防火墙热备概述: 一般而言,防火墙部署于公司网络的出口 ...
- 防火墙双机热备+负载分担
防火墙双机热备+负载分担实验步骤 防火墙双机热备+负载分担实验以及两者之间的区别,通过实验.配置思路加深理解 负载分担: 防火墙双击热备和负载分担的区别就在于在双机热备模式下,fw1既是pc1的网关, ...
- 华为ENSP之防火墙双机热备
实验目的 防火墙现网典型应用-双机热备 实验过程 分别实现二层,三层的双机热备配置 a.上下联二层环境 接口IP配置举例 int g1/0/0 ip add 10.1.12.253 24 int g1 ...
最新文章
- ext前后台数据传输的标准化
- makefile ifneq多个判断条件_一文入门Makefile
- CentOS 安装MySQL rpm方式安装
- Tomcat学习笔记02【Tomcat部署项目】
- vue_组件_监听组件事件
- 【转】Python学习路线
- 腾讯开源智能运维项目,用机器学习减少人为失误
- LeetCode 45 跳跃游戏||
- word2010以上版本中快捷录入数学公式的方法(二)
- 机器学习-UCI数据库
- xcode run跑项目或者Archive打包项目的时候显示Build Succeeded一闪而过但是程序无反应问题解决
- beamer插入图片_在beamer中插入动画
- mac装node_Mac环境下node安装与卸载方法
- 什么是Linkerd
- 基本linux性能调优技巧
- 猿团股权投资:开启短平快的全新投融模式
- answer的汉语_answer是什么意思中文翻译(answer中文意思及应用)
- 关于 ONLYOFFICE 的安卓 Android 手机版
- XP SP2及之后的补丁集成法
- 谱域GCN的一些基础知识总结