自从推荐主备配置系列以来,许多网友一起与我沟通配置的方法。这两天终于有时间了,决定继续推出华为的。共分两部分,路由模式与透明模式!
双机热备,所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。状态备份最主要的优点,是可以保护当前业务不会中断.
实现双机热备的基本步骤:
(1)在接口上配置VRRP(虚拟路由器冗余协议)备份组,来发现防火墙的故障情况;
(2)将VRRP备份组加入到VGMP( VRRP组管理协议)中,以实现对VRRP管理组的统一管理;
(3)使能HRP(华为冗余协议),实现双机情况下的信息备份。
设计思路:
1、其实就是个口字型网络,主备设备间起TRUNK, 交换机与防火墙互联为access口,
2、交换机与防火墙互为VRRP,A和B交换浮动IP192.168.0.3,防火墙浮动IP为192.168.0.6
C和D交换机浮动IP192.168.1.3,防火墙浮动IP为192.168.1.6
3、两个防火墙间通过一个网口作芯跳,HRP
4、上面和下面的两组交换机配置方法一样。本文只列出上面的。。
配置:交换机,此处就不配置TRUNK和ACCESS口的方法了。
三层A
interface Vlan-interface803
description To_Eudemon500A
ip address 192.168.0.1 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3
vrrp vrid 4 priority 120
三层B
interface Vlan-interface803
description To_Eudemon500B
ip address 192.168.0.2 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3
防火墙:
1,eudemon 500A配置:
sysname FW-E500-A
super password level 3 ciper huawei
web-manager enable
web-manager security enable
acl number 3000
description permit-all
rule permit ip
firewall zone trust
set priority 85
add int g1/0/0
firewall zone untrust
set priority 5
add int g1/0/1
firewall zone hrp
set priority 30
add int g4/0/1
int g1/0/0
de to_switch_A
ip address 192.168.0.4 255.255.255.248
vrrp vrid 10 virtual-ip 192.168.0.6
vrrp vrid 10 pri 120
int g1/0/1
de to_switch_C
ip address 192.168.1.4 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6
vrrp vrid 15 pri 120
int g4/0/1
de HA_to_E500-B
ip address 192.168.3.1 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.1.3
vrrp vrid 20 pri 120
vrrp group 1
add interface ethernet4/0/1 vrrp vrid 30 data
transfer-only
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group pri 105
vrrp-group preempt
vrrp-group enable
hrp enable
hrp interface g4/0/1
fire intzone trust local
pack 3000 in
pack 3000 out
fire intzone untrust local
pack 3000 in
pack 3000 out
fire intzone trust untrust
aaa
local-user huawei password simple huawei
local-user huawei service-type web telnet ssh
local-user huawei level 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 0
2、eudemon 500B配置
sysname FW-E500-B
super password level 3 ciper huawei
web-manager enable
web-manager security enable
acl number 3000
description permit-all
rule permit ip
firewall zone trust
set priority 85
add int g1/0/0
firewall zone untrust
set priority 5
add int g1/0/1
firewall zone hrp
set priority 30
add int g4/0/1
int g1/0/0
de to_switch-B
ip address 192.168.0.5 255.255.255.248
vrrp vrid 10 virtual-ip 192.168.0.6
int g1/0/1
de to_switCh-D
ip address 192.168.1.5 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6
int g4/0/1
de HA_to_FW-E500-B
ip address 192.168.3.2 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.3.3
vrrp group 1
add interface ethernet4/0/1 vrrp vrid 30 data transfer-
only
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group preempt
vrrp-group enable
hrp enable
hrp interface g4/0/1
fire intzone trust local
pack 3000 in
pack 3000 out
fire intzone untrust local
pack 3000 in
pack 3000 out
fire intzone trust untrust
pack 3002 in
pack 3001 out
aaa
local-user huawei password simple huawei
local-user huawei service-type web telnet ssh
local-user huawei level 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 0
1. 双机热备的注意点
(1)对于双机热备目前只支持两台设置进行备份,不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份;
(2)由于双机热备中具有备份机制可以备份动态信息和命令,因此要求进行双机热备的两台设备板卡的位置,以及接口卡的类型都要求相同,否则会出现主防火墙备份过去的信息,与从防火墙根本就无法进行搭配使用,如出现主备状态切换就会导致业务出问题。
(3)进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同,以免由于先前的配置而导致业务问题。
本文转自小侠唐在飞 51CTO博客,原文链接:http://blog.51cto.com/xiaoxia/64142,如需转载请自行联系原作者
