防火墙双机热备方案:(F100-m-g2台)

376215348 贡献于2014-11-28

作者 DADI  创建于2014-11-10 06:16:00   修改者DADI  修改于2014-11-10 06:42:00字数2699

文档摘要:1 介绍1.1 双机热备简介双机热备就是双机状态备份,即部署两台防火墙,通过冗余设备管理协议(RDMP,Redundancy Device Management Protocol)完成防火墙的主备状态的协商。在确定主备防火墙后,由主防火墙进行业务的转发,而备防火墙处于监控状态,同时主防火墙会定时向备防火墙发送状态信息和需要备份的信息。当主防火墙出现故障后,备防火墙会及时接替主防火墙上的业务。
关键词:

防火墙双机热备方案:(F100-m-g 2台) 1  介绍 1.1  双机热备简介 双机热备就是双机状态备份,即部署两台防火墙,通过冗余设备管理协议(RDMP,Redundancy Device Management Protocol)完成防火墙的主备状态的协商。在确定主备防火墙后,由主防火墙进行业务的转发,而备防火墙处于监控状态,同时主防火墙会定时向备防火墙发送状态信息和需要备份的信息。当主防火墙出现故障后,备防火墙会及时接替主防火墙上的业务。 在流量传输过程中,根据两个防火墙的主备状态选择采用哪一条虚拟通路进行业务传输。当主用通路出现故障后,防火墙的主备状态会自动进行切换,并且会将业务引导到另一个防火墙上进行正常传输,从而保障了业务的不间断性。 1.2  双机热备的基本原理 1.2.1  RDMP 防火墙采用RDMP(Redundancy Device Management Protocol,冗余设备管理协议)协议实现防火墙的双机热备。通过在两个防火墙之间运行RDMP协议,可以保证在主设备发生故障的情况下,业务被自动引导到备份设备上继续处理。同时,协议还支持主备设备之间的连接状态、地址转换信息、配置信息等数据的同步。通过状态信息的备份,可以避免流量在切换到备份设备后主设备上建立的业务中断。 RDMP由两个协议组成: l              RCP(Redundancy link Control Protocol,冗余链路控制协议):用于两台物理设备之间的主备状态协商、底层链路状态管理; l              SCP(Synchronization Control Protocol,数据同步控制协议):用于完成两台设备之间的状态信息备份和恢复。 1.2.2  RDO RDMP引入了RDO(Redundancy Device Object,冗余设备对象)和VIF(Virtual Interface,虚拟接口)的概念。 RDO是抽象的虚拟设备,区别于真实的物理设备。两个相同ID的RDO对外呈现为一个具有完整业务功能的设备实体。只有RDO状态为Master的防火墙处理业务流量,完成防火墙的 过滤、地址转换、转发等业务功能。 VIF是虚拟设备中处理业务数据的实体(具有实际的IP地址),同时它绑定的接口的状态也会直接影响到设备RDO的状态。每个RDO和真实设备一样拥有多个虚拟接口(VIF)用来处理业务,必须为每个虚拟接口指定其对应的真实的接口。 2.1  路由模式-主备典型组网应用 1. 组网需求 l              防火墙SecPathA和SecPathB工作在路由模式下。 l              SecPathA和SecPathB启用双机热备,两台防火墙上均配置一个RDO。 l              两台防火墙的HA接口都为各自的E1/0/0接口。 l              在正常情况下,PC1和PC2访问的业务流量都通过SecPathA转发,SecPathB监控SecPathA的状态。 l              当SecPathA或者链路出现故障,比如SecPathA脱机,或者相连的上下行链路故障等,业务流量都会自动切换到SecPathB,通过SecPathB转发。 l              假设SecPathA的Ethernet1/0/0接口的MAC地址为0001-0001-0001,SecPathB的Ethernet1/0/0接口的MAC地址为0002-0002-0002。 2. 组网图 3. 配置步骤 当前视图 配置命令 简单说明 设备SecpathA配置 system 进入系统视图 [SECPATHA]  interface Ethernet0/0/0 进入Ethernet0/0/0接口视图 [SECPATHA-Ethernet0/0/0] ip address 192.168.0.254 24 配置接口地址 [SECPATHA-Ethernet0/0/0] interface Ethernet0/0/1 进入Ethernet0/0/1接口视图 [SECPATHA-Ethernet0/0/1] ip address 100.100.1.254 24 配置接口地址 [SECPATHA-Ethernet0/0/1] Quit 退出接口视图 [SECPATHA] rdo 1 创建冗余设备对象RDO1 [SECPATHA-rdo1] ha-interface interface Ethernet 1/0/0 peer-mac 0002-0002-0002 配置HA接口;HA接口用来协商双方的主备状态并同步配置命令和状态信息 [SECPATHA-rdo1] vif 1 Ethernet 0/0/0 virtual-ip 192.168.0.1 虚接口配置 [SECPATHA-rdo1] vif 2 Ethernet 0/0/1 virtual-ip 100.100.1.1 虚接口配置 设备SecpathB配置 system 进入系统视图 [SECPATHB]  interface Ethernet0/0/0 进入Ethernet0/0/0接口视图 [SECPATHB-Ethernet0/0/0] ip address 192.168.0.253 24 配置接口地址 [SECPATHB-Ethernet0/0/0] interface Ethernet0/0/1 进入Ethernet0/0/1接口视图 [SECPATHB-Ethernet0/0/1] ip address 100.100.1.253 24 配置接口地址 [SECPATHB-Ethernet0/0/1] Quit 退出接口视图 [SECPATHB] rdo 1 创建冗余设备对象RDO1 [SECPATHB-rdo1] ha-interface 配置HA接口;HA接 当前视图 配置命令 简单说明 interface Ethernet 1/0/0 peer-mac 0001-0001-0001 口用来协商双方的主备状态并同步配置命令和状态信息 [SECPATHB-rdo1] vif 1 Ethernet 0/0/0 virtual-ip 192.168.0.1 虚接口配置 [SECPATHB-rdo1] vif 2 Ethernet 0/0/1 virtual-ip 100.100.1.1 虚接口配置 PC1配置 配置IP地址为:192.168.0.2 网关:192.168.0.1 PC2配置 配置IP地址为:100.100.1.2 网关:100.100.1.1   4. 验证结果 防火墙上执行,display rdo,显示: ID  Status    Priority  HA Interface              Enable(SCP)  Status(SCP) ---------------------------------------------------------------------------- 1   master    100       Ethernet 1/0/0        Yes          Sync(m5)

下载文档到电脑,查找使用更方便

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 5 金币 [ 分享文档获得金币 ] 0 人已下载

下载文档