一、HRP协议

通过 防火墙双机热备之概述 的学习,我们知道了防火墙B上没有之前流量的会话表,业务报文找不到会话而被防火墙B丢弃,业务因此中断,此时用户需要重新发出请求,防火墙B建立会话,才能够让业务继续走下去。

HRP提供了专门的备份通道,用于两台防火墙之间的协商主备状态、备份会话、Server-map表等重要的状态信息和配置信息。主用设备防火墙会处理业务并将业务的重要状态信息和配置信息通过备份通道实时同步给备用防火墙,当主用设备故障,备份设备防火墙已经拥有之前业务的备份状态信息等,因此业务报文可以正常匹配会话而被转发,从而避免了业务的中断。

HRP_M[FW1]security-policy  (+B)
HRP_M[FW1-policy-security]rule name policy1 (+B)
HRP_S[FW2]security-policy 
 Error: The device is in HRP standby state, so this command can not be executed.

在主备备份以及镜像模式在,配置命令以及状态信息都是由主用设备备份到备用设备,但是在负载分担组网下,两台防火墙均为主用设备,如果允许两台防火墙之间能够相互备份命令,那么很大概率会出现区域覆盖或者冲突问题,为了区分引入了配置主设备以及配置备设备,发送备份配置命令的为配置主设备,接收者为配置备设备,负载分担组网中,配置命令只能配置主设备备份到配置备设备

二、心跳线

1、心跳接口

心跳线两端的接口称之为心跳接口,华为防火墙最多可以指定16个心跳接口,根据心跳接口的配置顺序选择心跳接口发送数据,若最先配置的心跳接口故障,则由后续依次选择备用的心跳接口,建议至少规划两个接口,心跳接口可以是物理接口,也可以是Eth-Trunk接口。

配置心跳接口注意事项:

①两台防火墙的心跳接口必须加入相同的安全区域;

②两端心跳接口类型以及编号必须相同,比如都为G1/0/2;

③若采用了Eth-Trunk接口,则成员接口必须完全相同,否则会导致心跳报文丢失,两台防火墙都处于主状态;

④配置了多个心跳接口,配置顺序也必须相同;

⑤心跳接口之间传递报文不受安全策略控制,不需要针对报文配置安全策略。

不能作为心跳接口的有:①MGMT接口;②配置了vrrp virtual-mac enable命令的接口;③接口MTU小于1500的接口(配置和表项备份报文最大长度为1500字节,且报文不支持分片);④虚拟系统的接口,必须用跟系统的接口作为心跳接口。

2、心跳链路

①两台防火墙较近,心跳接口直接相连或者通过二层交换机(首选)

②跨网段或者较远,心跳接口需要通过路由器,必须配置正确的路由,否则当心跳接口shutdown/undo shutdown,可能进入异常状态无法恢复,需要重新配置才能解决。

3、心跳接口工作状态

正常情况下:

①running:若本段防火墙有多个处于ready的心跳接口,则最先配置的心跳接口被设置为running;若只有一个处于ready,则它成为running,负责发送心跳报文、VGMP报文、备份报文、心跳链路探测报文、配置一致性检查报文;

②ready:心跳接口的协议状态以及物理状态均为up时,心跳接口会向对端对应的心跳接口发送心跳链路探测报文,如果对端心跳接口能够响应此报文,则设置本端口为ready,处于ready状态的心跳接口为备份心跳接口,为保证心跳链路状态正常,不断发送探测报文;

异常情况下:

①down:若本端心跳接口协议状态以及物理状态均为down,则显示此状态;

②invalid:本端心跳接口配置错误,即物理状态up,协议状态为down;

③negotiation failed:协商主备状态失败显示此状态;

查看心跳接口状态:display hrp interface

HRP_M[FW1]display hrp interface 
2024-01-11 07:11:16.280 
             GigabitEthernet1/0/2 : running
             GigabitEthernet1/0/3 : ready

三、配置备份

1、命令实时备份

双机热备关系已建立情况下,每执行一条可备份的命令时,配置主设备会立即将命令备份到配置备设备,配置备设备若想执行支持备份的配置命令,可执行hrp config enable命令。

(+B)标识符,即支持备份的命令。

HRP_M[FW1]security-policy  (+B)
HRP_M[FW1-policy-security]rule name policy1 (+B)

2、配置批量备份

触发批量备份的三种情况:

①双机热备组网中防火墙重启;

②建立双机热备关系时,自动触发一次;

③执行hrp sync config命令、手动触发。

批量备份后,配置是保存在运行配置中,仍需使用save命令保存到配置文件中。

运行配置批量备份是将配置主设备的可备份配置通过心跳线发送到对端设备,再重新执行一次,而不是覆盖对端设备的配置。

备份前:

[FW1-policy-security-rule-policy1]display this
2024-01-11 09:59:14.830 
#
 rule name policy1
  source-zone trust
  destination-zone untrust
  source-address 10.0.0.0 mask 255.255.255.0
  destination-address 1.1.1.1 mask 255.255.255.255
  service icmp
  action permit
#


[FW2-policy-security-rule-policy1]display this
2024-01-11 10:00:10.010 
#
 rule name policy1
  source-zone trust
  destination-zone untrust
  source-address 10.0.0.0 mask 255.255.255.0
  destination-address 2.2.2.2 mask 255.255.255.255
  service icmp
  action permit
#

备份后:

HRP_M<FW1>hrp sync config
 Info: Starting to synchronize configuration to peer device, and can not do oper
ations during this period, please wait for a moment.......send complete.

HRP_M[FW1-policy-security]display this
2024-01-11 10:02:27.310 
#
security-policy
 rule name policy1
  source-zone trust
  destination-zone untrust
  source-address 10.0.0.0 mask 255.255.255.0
  destination-address 1.1.1.1 mask 255.255.255.255
  service icmp
  action permit
#


HRP_S[FW2]display security-policy rule name policy1
2024-01-11 10:02:37.470 
 (0 times matched)
 rule name policy1
  source-zone trust
  destination-zone untrust
  source-address 10.0.0.0 mask 255.255.255.0
  destination-address 1.1.1.1 mask 255.255.255.255
  destination-address 2.2.2.2 mask 255.255.255.255
  service icmp
  action permit

FW2已有的destination-address 2.2.2.2 mask 255.255.255.255不会被删除,而是新增了destination-address 1.1.1.1 mask 255.255.255.255,两台防火墙存在一定的差异。


参考资料:防火墙和VPN技术与实践——李学昭

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐