双机热备篇 你所不知道的HRP.docx
《双机热备篇 你所不知道的HRP.docx》由会员分享,可在线阅读,更多相关《双机热备篇 你所不知道的HRP.docx(12页珍藏版)》请在三一办公上搜索。
1、【防火墙技术连载41】强叔侃墙 双机热备篇 你所不知道的HRP强叔在前几篇中讲解了双机热备的核心VGMP。在介绍VGMP报文结构时我们看到了几种HRP协议 定义的报文,本期强叔就要为大家解析HRP协议和这几种HRP报文。有的小伙伴儿们会说:“HRP不就是负责双机的数据备份嘛。有什么难度? ”其实HRP在备份时还 大有文章的什在强叔就为大家揭秘这些 Rp鲜为人知的细节。1.1备份配置命令防火墙通过执行命令(通过Web配置实际上也是在执行命令)来实现用户所需的各种功能。如果备 用设备切换为主用设备前,配置命令没有备份到备用设备,则备用设备无法实现主用设备的相关功能,从 而导致业务中断。如下图所示,
2、主用设备FW1上配置了允许内网用户访问外网的安全策略。如果主用设备FW1上配置 的安全策略没有备份到备用设备FW2上,那么当主备状态切换后,新的主用设备FW2将不会允许内网用 户访问外网(因为防火墙缺省情况下禁止所有报文通过)。1.2备份会话防火墙属于状态检测防火墙,对于每一个动态生成的连接,都有一个会话表项与之对应。主用设备处 理业务过程中创建了很多动态会话表项;而备用设备没有报文经过,因此没有创建会话表项。如果备用设备切换为主用设备前,会话表项没有备份到备用设备,则会导致后续业务报文无法匹配会话表,从而导致 业务中断。如下图所示,主用设备FW1上创建了 PC1访问PC2的会话(源地址为10
3、.1.1.10,目的地址为 200.1.1.10),PC1与PC2之间的后续报文会按照此会话转发。如果主用设备FW1上的会话不能备份到 备用设备FW2上,那么当主备状态切换后,PC1访问PC2的后续报文在FW2上匹配不到会话。这样就 会导致PC1访问PC2的业务中断。因此为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键 配置命令和会话表等状态信息。为此华为防火墙引入了 HRP( Huawei Redundancy Protocol)协议,实 现防火墙双机之间动态状态数据和关键配置命令的备份。如下图所示,主用设备FW1上配置了允许内网用户访问外网的安全策略,所
4、以FW1会允许内网 PC1访问外网PC2的报文通过,并且会建立会话。由于在FW1和FW2上都使用了 HRP协议(配置了双 机热备中的HRP功能),因此主用设备FW1上配置的安全策略和创建的会话都会备份到备用设备FW2 上。这样当主备状态切换后,由于备用设备上巳经存在允许内网用户访问外网的安全策略以及PC1访问PC2的会话,所以PC1访问PC2业务报文不会被禁止或中断。2 HRP是如何实现备份的?防火墙通过心跳口(HRP备份通道)发送和接收HRP数据报文来实现配置和状态信息的备份。如下 图所示,HRP数据报文从外到内依次封装了 VRRP报文头、VGMP报文头和HRP报文头。其中VRRP 报文头中
5、Type=2, Type2=2。VGMP报文头中的“vType”字段对应为“HRP数据报文”的取值。VRRPfe文头完整HRP数排报文结御MAG H-ecider (11+ byies)IP Haidar (2Q+ byt耳VRRP Header (16 bylez)VGMP Header (12 0s)HRP Header (36 dyteATAVerVRID (Tpe-2 IP CountAvlii TypeI ntmrvwlCh ecksurnAuthentication 口ataI VGMP报文头HRP报文头Pir (NULL)Mp如后心Source Sub Module IDDest
6、 Module IDDest Sub Module IDMessa-ge ModeMessage TypeMq导罩乏94 LangtiiSequenceError ID | DataHRP报文头中的关键参数解释如下: Source Module ID和Source Sub Module ID表示本端防火墙哪些特性模块和子模块的数据需要备份。 Dest Module ID和和Dest Sub Module ID表示需要向对端防火墙的哪些特性模块和子模块备份数据。HRP数据备份的过程如下图所示:1、FWA在发送HRP数据报文时,会将ASPF特性模块的ID写入HRP报文头的“Source Modul
7、e ID”和“Dest Module ID”字段中,并将ASPF模块的配置和表项信息封装到HRP数据报文中。2、FWA将HRP数据报文通过备份通道(心跳线)发送给FWB。3、FWB收到HRP数据报文后,会根据HRP报文头中的“Source Module ID”和“Dest Module ID”字段将报文中的配置和表项信息发送到本端的ASPF特性模块,并进行配置与表项的下发。FWAFWBuaSrcModulelDASPFAAAulDstModuleiDulOstModulelDNAT心跳线HRP数据报交备份通道VPNVPN在前面双机热备的第二篇中我们讲到USG6000系列防火墙和USG2000/
8、5000系列V3R1版本防火墙 还支持将各种VGMP报文和HRP报文封装成UDP报文。当然这里介绍的HRP数据报文,以及下面讲的心跳链路探测报文和一致性检查报文都支持这种UDP方式的封装。这种方式的封装方法就是在VRRP报文头上再封装一个UDP头。HRP数据报文的UDP封装结构如下图所示。IP HeaderUDP HeaderVRRP HeaderVGMP HeaderHRP HeaderDATAUDP封装的好处前面我们也讲过:UDP封装后的报文是单播报文,只要路由可达就可以跨越网段传输,3且能够被安祥略能够备份哪些配置与状态信心?防火墙能够备份的配置如下(以HUAWEI USG6000系列V
9、100R001版本为例): 策略:安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF 对象:地址、地区、服务、应用、用户、认证服务器、时间段、URL分类、关键字组、邮件地址组、 签名、安全配置文件(反病毒、入侵防御、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过 滤) 网络:新建逻辑接口、安全区域、DNS、IPSec、SSL VPN、TSM联动 系统:管理员、日志配置说明:一般情况下,display、reset、debugging命令都不支持备份。根据上面的描述我们可以看到,防火墙的网络基本配置如接口地址和路由等都不能够备份,这些配 置需要在双机热备状态成功建立前配置完
10、成。而上面支持备份的配置可以在双机热备状态成功建立后,只 在主用设备上配置。防火墙能够备份的状态信息如下:会话表 SeverMap 表 IP监控表 分片缓存表 GTP 表 黑名单 PAT方式端口映射表FH朋址的备份方向是怎样的?什么是 配置主和配置从设备?在主备备份组网下,配置命令和状态信息都由主用设备备份到备用设备。在负载分担组网下,配置命令只能由“配置主设备”备份到“配置备设备”。状态信息则是两台设备 相互备份的。那么什么是配置主和配置备设备呢?在负载分担组网下,两台防火墙都是主用设备(都有状态为Active的VGMP组)。因此如果允许两 台主用设备之间能够相互备份命令,那么可能就会造成两
11、台设备命令相互覆盖或冲突的问题。所以为了方 便管理员对两台防火墙配置的统一管理,避免混乱,我们引入配置主和配置从设备的概念。我们定义负载 分担组网下,发送备份配置命令的防火墙称为配置主设备(命令行提示符前有HRP_A前缀),接收备份 配置命令的防火墙称为配置从设备(命令行提示符前有HRP_S前缀)。那么在负载分担组网下,如何确定配置主和配置备设备呢?在负载分担组网下,最先建立双机热备状态的防火墙会成为配置主设备。也就是最先启用双机热备功 能的防火墙会成为配置主设备。5 HRP的几种备份方式有什么区别?双机热备的HRP支持以自动备份、手工批量备份和快速备份三种方式。这三种备份方式的描述和区别下面
12、我们一一来介绍。5.1自动备份自动备份功能(命令为hrp auto-sync config | connection-status )缺省为开启状态,能够自动 实时备份配置命令和周期性地备份状态信息,适用于各种双机热备组网。启用自动备份功能后,主用(配置主)设备上每执行一条可以备份的命令时,此配置命令就会被立即同 步备份到备用(配置备)设备上。如果在主用(配置主)设备上执行不可以备份的命令,则该命令仅在主用(配置主)设备上执行。对于可以备份的配置命令,只能在主用(配置主)设备上配置,备用(配置备)设备上不能配置。对 于不可以备份的配置命令,备用(配置备)设备上可以配置。关于哪些配置命令可以备份
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 双机热备篇 你所不知道的HRP 双机 热备篇 知道 HRP

链接地址:https://www.31ppt.com/p-5078840.html