SecPath-防火墙双机热备典型配置.doc

1、 SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第1页, 共33页SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘 要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。本文将介绍双机热备的概念、工作模式及典型应用等。缩略语：缩略语 英文全名 中文解释ALG Application Level Gateway 应用层网关ASPF Application Specifi

2、c Packet Filter 基于应用层的包过滤NAT Network Address Translator 网络地址转换VRRP Virtual Router Redundancy Protocol 虚拟路由冗余协议OSPF Open Shortest Path First 开放最短路径优先SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第2页, 共33页目 录1 特性简介 .31.1 双机热备的工作机制 .32 特性使用指南 .42.1 使用场合 .42.2 配置指南 .42.2.1 双机热备组网应用配置指南 .42.2.2 双机热备应用涉及的配置 .42.3 注

3、意事项 .43 支持的设备和版本 .53.1 设备版本 .53.2 支持的设备 .53.3 配置保存 .54 配置举例 .64.1 典型组网 .64.2 设备基本配置 .94.2.1 其他共同配置： .94.3 双机热备业务典型配置举例 .94.3.1 透明模式主备模式 .94.3.2 透明模式负载分担模式 .144.3.3 路由模式主备模式 .174.3.4 路由模式负载分担模式 .194.3.5 路由模式主备模式支持非对称路径 .214.3.6 路由模式负载分担模式支持非对称路径 .284.3.7 动态路由模式组网 .335 相关资料 .33 SecPath核心防火墙双机热备典型配置举例杭

4、州华三通信技术有限公司 第3页, 共33页1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。另外需要使用专有的备份链路口进行会话信息的备份，该备份链路口不作数据转发，从而保障了备份的高可靠性及高性能。A. 在

5、命令行下无法配置双机热备，只能在WEB页面上配置；WEB配置页面：B. 必须配置心跳口，心跳口也须在WEB页面上配置，指定一个物理口后保存，重启，心跳口开始工作，心跳口在命令行和WEB页面下的接口管理中都不可见，但是双机热备配置页面下可见。C. 没有主备设备之分，工作中的设备称为主用设备比较合适些，两台防火墙的会话信息相互备份，主用设备上产生的会话会自动通过心跳口备份到备用设备上，目前只有稳态的会话才会进行备份；D. 主要有两种模式的组网：静态路由模式和动态路由模式，静态路由模式组网依赖于VRRP，当一台设备Down机后，Vrrp的主备状态发生切换，工作的防火墙随之切换；动态路由模式依赖于动态

6、路由协议，由于动态路由协议进行路由学习比VRRP切换慢， SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第4页, 共33页所以路由模式的双机热备主用设备切换时间较长；在这两种组网的基础上又可以配置为双主用模式、主备用模式；E. 目前版本仅支持对称路径的双机热备份，即报文来回都要通过同一台防火墙；若出报文从A出，回来的报文从B返回的话，称为非对称路径，在以后的版本将支持非对称的报文转发。2 特性使用指南2.1 使用场合Secpath防火墙作为内外网的接入点，当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话，无论其可靠性多高，

7、系统都必然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。2.2 配置指南2.2.1 双机热备组网应用配置指南双机热备典型组网应用包括以下内容： 透明模式主备模式 透明模式负载分担模式 路由模式主备模式 路由模式负载分担模式 路由模式主备模式支持非对称路径 路由模式负载分担模式支持非对称路径2.2.2 双机热备应用涉及的配置用户必须在Web设置双机热备功能，命令行无法配置。2.3 注意事项双机热备关于Web配置根据具体实例再作说明。 SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第5页, 共33页3 支持的设备和版本3.1 设备版本f50

8、00a-1_dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Beta 3203Comware Platform Software Version COMWAREV500R002B62D001H3C SecPath F5000-A5 Software Version V300R002B01D012Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Oct 31 2008 14:56:27, RELE

9、ASE SOFTWAREH3C SecPath F5000-A5 uptime is 0 week, 0 day, 0 hour, 51 minutesCPU type: RMI XLR732 1000MHz CPU2048M bytes DDR2 SDRAM Memory4M bytes Flash MemoryMPUA PCB Version:Ver.ASWBA PCB Version:Ver.AMPUA Basic Logic Version:133.0MPUA Extend Logic Version:133.0SWBA Logic Version:132.0MPUA LX30T FP

10、GA Version: 3.08Basic BootWare Version: 1.02Extend BootWare Version: 1.02FIXED PORT CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0FIXED PORT AUX (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0FIXED PORT M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0SUBCARD 1 NSQ1GT8C40 (Hardware)Ver.A, (Driver)1.0, (Cpl

11、d)134.0SUBSLOT 2 The SubCard is not presentSUBSLOT 3 The SubCard is not presentSUBSLOT 4 The SubCard is not present 3.2 支持的设备Secpath F5000-A53.3 配置保存每次配置完成后，注意进行配置的保存。系统管理 配置维护 配置保存 ，点击。 SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第6页, 共33页4 配置举例4.1 典型组网G 1 / 0V r r p :1 0 0 . 0 . 0 . 5G 1 / 0F 5 0 0 0 a -

12、1 F 5 0 0 0 a - 2S e r v e rG 1 / 1V r r p :2 0 0 . 0 . 0 . 5G 1 / 1S 5 6 - 1 S 5 6 - 2S 5 6 - aS 5 6 - bP C 1 P C 2图 1 双机热备（路由）典型组网 SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第7页, 共33页F10E（ 主 ）F50A- F50A-BS56A S56BTrust域 :Untrust域 :G1/6Avlan1Bvlan1Cvlan12Dvlan12Evlan12Gvlan1 G1/9G1/6G1/9G1/8 G1/8G0/2 G0/3

13、G1/04 G1/03PC-B:150.1.2 PC-160.1.2PC-A:15.1.01/03 1/04图 2 双机热备（透明）典型组网 SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第8页, 共33页G 0 / 1G 1 / 0G 0 / 1G 1 / 0F 1 0 0 0 e - 0 1F 1 0 0 0 e - 0 2H t t p / f t p / d n s s e r v e rG 0 / 3 G 0 / 3G 0 / 2G 0 / 2P C 1 图3 双机热备（非对称主备）典型组网G 0 / 1G 1 / 0G 0 / 1G 1 / 0F 1 0

14、0 0 e - 0 2H t t p / f t p / d n s s e r v e rG 0 / 3 G 0 / 3G 0 / 2G 0 / 2P C 1 P C 2 图4 双机热备（非对称双主）典型组网 SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第9页, 共33页4.2 设备基本配置4.2.1 其他共同配置：(1) 接口模式： M-G0/0为管理接口 Interface Physical Protocol IP AddressM-GigabitEthernet0/0 up up 192.1.1.14.3 双机热备业务典型配置举例4.3.1 透明模式主备模式

15、1. 功能简述主备模式就是只有一台防火墙处于工作状态，另一台处于备用状态，当主用设备Down 机后，备用设备会接管工作。2. 典型配置步骤（组网 图2 ）1、 防火墙运行在二层模式，配置如图所示的Vlan；F5000A-B 配置 ：f5000a-2dis cu sysname f5000a-2 # vlan 12# interface GigabitEthernet1/6 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/8 port link-mode bridge port access vlan

16、12 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 12 SecPath核心防火墙双机热备典型配置举例杭州华三通信技术有限公司 第10页, 共33页F5000A-A 配置 ：f5000a-1dis cu sysname f5000a-1 # vlan 11# interface GigabitEthernet1/6 port link-mode bridge port access vlan 11 # interface GigabitEthernet1/8 port link-mode bridg

17、e port access vlan 11 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 11 2、 路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、vlan12两个网段；提供两个网关(15.1.1.1和16.1.1.1)，并分别指回程路由。 F1000E 配置 ：f1000edis cu # interface GigabitEthernet0/2 port link-mode route ip address 15.1.1.1 255.255.255

18、.0 # interface GigabitEthernet0/3 port link-mode route ip address 16.1.1.1 255.255.255.0 # ip route-static 150.1.1.0 255.255.255.0 15.1.1.2ip route-static 150.1.1.0 255.255.255.0 16.1.1.2 preference 100ip route-static 160.1.1.0 255.255.255.0 15.1.1.3ip route-static 160.1.1.0 255.255.255.0 16.1.1.3 preference 100 3、 S56A和S56B上配置静态路由分别指向这两个网关，配置两条路由，使优先级不同。实现当链路断时，使优先级高的静态路由失效。 S56A 配置 ：