防火墙双机热备
随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。
防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,都存在因设备单点故障而导致网络中断的风险。于是,在做网络架构设计时,通常会在网络的关键位置部署两台网络设备,以提升网络的可靠性。
防火墙是状态检测设备,它会对一条流量的首包进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。
- 在网络中部署防火墙双机时面临的问题
如果在网络出口处部署两台独立的防火墙,则两台防火墙独立运行,需分别进行配置维护,如下图所示:
此外,以在防火墙的上行、下行部署VRRP为例,由于这两组VRRP相互独立,因此容易出现主备状态不一致的情况如下图所示:
此时内网访问外网的往返流量路径不一致,当回程流量抵达FW2时,由于FW2没有匹配的会话表项,因此这些流量将被丢弃。
所以当防火墙双机部署时需要考虑两台防火墙之间的会话等状态信息的备份。
- 防火墙双机热备简介
双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接(心跳线)如下图所示,通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPsec SA等)。
当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
部署要求:
- 目前只支持两台设备进行双机热备。
- 主备设备的产品型号和版本必须相同。
- 主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。
- 防火墙双机热备关键组件
- VRRP
VRRP是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,备份路由器能自动代替前者完成报文转发任务,从而保持网络通信的连续性和可靠性。
- VGMP
将防火墙上的所有VRRP组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP组状态。如果VGMP组检测到其中一个VRRP组的状态变化,则VGMP组会控制组中的所有VRRP组统一进行状态切换,保证各VRRP备份组状态的一致性。
- 每台FW上有一个VGMP组。VGMP组有四种状态:
- Initialize:启用双机热备功能后,VGMP组的短暂初始状态。
- Load Balance:当防火墙本端的VGMP组与对端的VGMP组优先级相等时,两端的VGMP组都处于Load Balance状态。
- Active:当本端的VGMP组优先级高于对端时,本端的VGMP组处于Active状态。
- Standby:当本端的VGMP组优先级低于对端时,本端的VGMP组处于Standby状态。
- 两台FW组成双机热备组网后,正常情况下,两台FW的VGMP组优先级相等,且都处于Load Balance状态。这时两台FW处于负载分担状态。
- 可以通过VRRP配置和手工指定备设备这两种方式,使两台FW形成主备备份状态。
- VRRP配置的方式适用于FW连接二层交换机的组网,指定备设备的方式适用于FW其他方式的双机热备组网。
- FW的VGMP优先级有一个初始优先级,当FW的接口或者单板等出现故障时,会在初始优先级基础上减去一定的降低值。
- HRP
- 为了通过防火墙双机之间动态状态数据和关键配置命令的备份,实现主用设备出现故障时备用设备能平滑地接替工作,华为防火墙引入了HRP协议,实现防火墙双机之间动态状态数据和关键配置命令的备份,备份又分为了主备备份组网和负载分担组网。
- 在主备备份组网下,配置命令和状态信息都由主用设备备份到备用设备。
- 而在负载分担组网下,两台FW都是主用设备。因此如果允许两台主用设备之间能够相互备份命令,那么可能就会造成两台设备命令相互覆盖或冲突的问题。所以为了方便管理员对两台FW配置的统一管理,避免混乱,我们引入配置主和配置从设备的概念。
- 防火墙能够备份的配置如下:
- 策略:安全策略、NAT策略(包括NAT地址池)、NAT Server等。
- 对象:地址、地区、服务、应用、用户等。
- 网络:安全区域、DNS、IPsec、SSL VPN等。
- 系统:管理员、虚拟系统、日志配置。
- 防火墙能够备份的状态信息如下:
- 会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地址映射表、二层转发表(静态MAC备份)、AAA用户表(缺省用户admin不备份)、在线用户监控表、PKI证书、IPsec备份等。
- 防火墙双机热备典型组网场景
- 双机热备直路部署,连接二层设备
防火墙的业务接口工作在三层,上下行连接交换机,终端可将默认网关设置为VRRP VRID1的虚拟IP地址。SW3/SW4配置回程路由时,可将下一跳设置为VRRP VRID100的虚拟IP地址。
- 双机热备直路部署,连接三层设备
防火墙的业务接口工作在三层,上下行连接路由器,防火墙与路由器之间运行OSPF。当FW1的业务接口故障时,其切换成备用设备,FW2成为主用设备。FW1发布的路由Cost值自动修改为65500。路由重新收敛后,流量通过FW2转发。
