最新HC110310005-HCNA-Security-CBSN-第五章-防火墙双机热备技术V2.0(共27张PPT)精品课件

HC110310005-HCNA-Security-CBSN-第五章-防火墙双机热备技术(jìshù)V2.0第一页，共二十七页。第五章防火墙双机热备技术(jìshù)第二页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*目标(mùbiāo)学完本课程后，您将能够:掌握双机热备技术原理掌握双机热备基础(jīchǔ)配置第三页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*目录(mùlù)双机热备技术(jìshù)原理双机热备基本组网与配置第四页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*双机热备份技术产生(chǎnshēng)的原因传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过FirewallA。如果FirewallA出现故障，内部网络中所有(suǒyǒu)以FirewallA作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。FirewallA10.100.10.1/24InternetPC服务器内部(nèibù)网络10.100.10.0/24第五页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*双机热备在路由器上部署(bùshǔ)路由器组网中通过VRRP 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 (xiéyì)实现双机热备份RouterA10.100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup备份组VirtualIPAddress10.100.10.1InternetPC服务器内部网络10.100.10.0/24第六页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*VRRP在多区域(qūyù)防火墙组网中的应用为防火墙上多个区域提供双机备份(bèifèn)功能时，需要在每一台防火墙上配置多个VRRP备份组。DMZTrustUntrustUSGA10.100.20.0/24MasterUSGBBackup10.100.10.0/24备份(bèifèn)组1VirtualIPAddress10.100.10.1备份组2VirtualIPAddress10.100.20.1备份组3VirtualIPAddress202.38.10.1第七页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*VRRP在防火墙应用中存在(cúnzài)的缺陷传统(chuántǒng)VRRP方式无法实现主、备用防火墙状态的一致性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话(huìhuà)表项Server(5)(6)(8)实际连线报文流径(9)第八页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*VRRP用于防火墙多区域(qūyù)备份为了(wèile)保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRPGroupManagementProtocol）来弥补此局限。DMZTrustUntrustUSGA10.100.20.0/24USGB10.100.10.0/24备份(bèifèn)组2备份组3备份组1VGMP管理组VGMP管理组第九页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*VGMP基本原理VGMP状态(zhuàngtài)(Master/Slave)VGMPHELLOVGMPpriority105DMZTrustUntrustUSGA10.100.20.0/24USGB10.100.10.0/24备份(bèifèn)组2备份(bèifèn)组3备份组1VGMPMasterVGMPSlaverVGMPpriority100helloack第十页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*VGMP组管理(guǎnlǐ)状态一致性管理VGMP管理组控制所有的VRRP备份(bèifèn)组统一切换。抢占管理当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。第十一页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*HRP基本概念HRP（HuaweiRedundancyProtocol）协议，用来将主防火墙关键配置(pèizhì)和连接状态等数据向备防火墙上同步。VRRP组1VRRP组2VRRP组3①②③④⑤UntrustTrustDMZ会话表⑥FWAFWB第十二页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*HRP会话(huìhuà)快速备份首包会话快速(kuàisù)备份更新报文会话快速备份会话快速备份主备第十三页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*目录(mùlù)双机热备技术(jìshù)原理双机热备基本组网与配置第十四页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*双机热备基本(jīběn)组网上下行业务接口工作(gōngzuò)在三层模式，连接二层设备时，需要在上下行的业务接口上配置VRRP备份组，使VGMP管理组能够通过VRRP备份组监测三层业务接口。USG_AMasterUSG_BBackup备份(bèifèn)组1VirtualIPAddress10.100.10.1/24G0/0/010.100.10.2/24PC1:10.100.10.100/24UntrustTrustG0/0/1202.38.10.2/24E2/0/010.0.0.1/24E2/0/010.0.0.2/24G0/0/010.100.10.3/24G0/0/1202.38.10.3/24备份组2VirtualIPAddress202.38.10.1/24PC2:202.38.10.100/24第十五页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*配置(pèizhì)VRRP备份组接口视图(shìtú)下配置VRRP：vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{master|slave}执行此命令时，指定master或slave参数后，即将该VRRP组加入了VGMP管理组的Master或Slave管理组。每个普通物理接口（GigabitEthernet接口）下最多配置255个VRRP组。第十六页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*HRP配置(pèizhì)命令指定(zhǐdìng)心跳口hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]启用HRP备份功能（全局配置）hrpenable启用允许配置备用设备的功能hrpslaveconfigenable启用命令与状态信息的自动备份hrpauto-sync[config|connection-status]启用会话快速备份hrpmirrorsessionenable第十七页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*VRRP配置(pèizhì)举例USG_A关于(guānyú)VRRP组1配置：[USG_A]interfaceGigabitEthernet0/0/0[USG_A-GigabitEthernet0/0/0]ipaddress10.100.10.224[USG_A-GigabitEthernet0/0/0]vrrpvrid110.100.10.1masterUSG_B关于VRRP组1的配置：[USG_B]interfaceGigabitEthernet0/0/0[USG_B-GigabitEthernet0/0/0]ipaddress10.100.10.324[USG_B-GigabitEthernet0/0/0]vrrpvrid1virtual-ip10.100.10.1slave第十八页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*HRP配置(pèizhì)举例USG_A关于(guānyú)HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceEthernet2/0/0[USG_A]hrpinterfaceGigabitEthernet0/0/0[USG_A]hrpinterfaceGigabitEthernet0/0/1第十九页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*配置(pèizhì)VRRP备份组——WEB方式新建VRID组第二十页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*HRP配置(pèizhì)——WEB方式配置(pèizhì)双机热备启动HRP选择HRP备份通道第二十一页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*HRP配置(pèizhì)——WEB方式双机热备高级(gāojí)配置选项第二十二页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*查看(chákàn)VRRP状态HRP_M<USG_A>displayvrrpintG0/0/116:13:462013/06/08GigabitEthernet0/0/1|VirtualRouter2VRRPGroup:Masterstate:MasterVirtualIP:202.38.10.1VirtualMAC:0000-5e00-0102PrimaryIP:202.38.10.2PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0AdvertisementTimer:1AuthType:NONECheckTTL:YES第二十三页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*查看(chákàn)HRP状态查看处于(chǔyú)Master状态防火墙的状态信息如下：HRP_M<USG_A>dishrpstate16:15:312013/06/08Thefirewall'sconfigstateis:MASTER Currentstateofvirtualroutersconfiguredasmaster:GigabitEthernet0/0/1vrid2:masterGigabitEthernet0/0/0vrid1:master第二十四页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page* 总结 初级经济法重点总结下载党员个人总结TXt高中句型全总结.doc高中句型全总结.doc理论力学知识点总结pdf (zǒngjié)双机热备技术原理(yuánlǐ)双机热备基本组网及配置第二十五页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*习题(xítí)判断题HRP技术可以实现备防火墙不需要配置任何(rènhé)信息，所有配置信息均由主防火墙通过HRP同步至备防火墙，且重启后配置信息不丢失。单选题在防火墙做双机热备组网时，为实现备份组整体状态切换，需要使用以下哪个协议技术？A.VGMPB.VRRPC.HRPD.OSPF第二十六页，共二十七页。Copyright©2013HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page*内容(nèiróng)总结HC110310005-HCNA-Security-CBSN-第五章-防火墙双机热备技术V2.0。HC110310005-HCNA-Security-CBSN-第五章-防火墙双机热备技术V2.0。传统的组网方式如图所示，内部用户和外部用户的交互报文全部(quánbù)通过FirewallA。PC1:10.100.10.100/24。G0/0/1。配置VRRP备份组——WEB方式。HRP配置——WEB方式。单选题第二十七页，共二十七页。