传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通信中断,通信可靠性无法保证。
防火墙上的双机热备备份方式分为两类,具体如下。
1.主备备份方式
每个Eudemon防火墙上都配置相同编号的VRRP(虚拟路由冗余协议,Virtual Router Redundancy Protocol)管理组,但是优先级不同。主备备份组网图如图5.22所示。
当Master防火墙出现故障或相关链路故障时,状态发生切换,Backup防火墙变成Master,并开始承担全部会话业务。
图5.22 主备备份组网图
2.负载分担方式
所谓负载分担,也可以称为互为主备。每个Eudemon防火墙上分别配置两个不同编号的VRRP管理组,具有不同的优先级,负载分担方式组网图如图5.23所示。
图5.23 负载分担组网图
由于Eudemon A和Eudemon B的两个VRRP管理组的优先级存在交叉关系,即上文所说的Level1=Level4、Level2=Level3,所以Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A的A1、A2和A3接口,另一部分会话业务发送到Eudemon B防火墙的B1、B2和B3接口,由两台防火墙共同分担话务量。(www.xing528.com)
如果Eudemon B防火墙出现故障,则VRRP管理组2将重新裁决各设备的状态,Eudemon A状态切换为Master,Eudemon B状态切换为Backup。此时Eudemon A防火墙承担全部会话业务。当Eudemon B防火墙恢复正常后,Eudemon B将继续成为管理组2的Master,流量将在两个防火墙之间负载分担。
为了实现Master设备出现故障时能由Backup设备平滑地接替工作,需要在Master和Backup设备之间备份关键配置命令和会话表状态信息。
启动HRP(华为双机热备协议,Huawei Redundancy Protocol)双机热备份功能后,如果Master防火墙发生故障,导致VRRP管理组状态改变,VRRP管理组上报该状态到HRP模块,由HRP模块裁决当前是否完成配置命令和会话状态信息的同步备份。
下面以一个具体的实例说明双机热备的实现过程。
在不改变现有网络拓扑结构的前提下,在网络出口部署两台Eudemon防火墙,连接内外网络。要求防火墙与交换机相连,并采用主备备份方式工作。其中Eudemon A防火墙作为主用,Eudemon B防火墙作为备用。
防火墙的双机热备组网如图5.24所示。
图5.24 防火墙的双机热备组网图
配置Eudemon A上VRRP管理组配置优先级105,Eudemon B上VRRP管理组采用缺省优先级100,所以Eudemon A为主防火墙。如果Eudemon A出现故障或相关链路出现问题,优先级会降低,并触发主备切换。通过HRP,在主防火墙和备份防火墙之间备份了关键配置命令和会话表状态信息。Eudemon B将会切换状态而变成新的Master,并开始承担传输任务。具体的配置步骤请参见华为公司的《Eudemon300/500/1000配置指南》。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
