Network Huawei USG防火墙 双机热备

华为防火墙配置(双机热备)-云社区-华为云 (huaweicloud.com)

双机热备的工作模式:

•主备备份模式:两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断。

•负载分担模式:两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。

*镜像模式是实现主备备份双机热备的一种特殊技术手段,主要用于DCN和云管理场景中。

双机热备组网限制:

  1. 业务接口工作在三层,上下行连接交换机或路由器组网限制
    • 如果是镜像模式不支持VRRP 备份组监控接口故障,不支持BFD监控远端接口故障,不支持IP-LINK监控远端接口故障,不支持通过OSPF,BGP监控远端邻居故障。
  2. 业务接口工作在二层,上下行连接交换机组网限制
    • 在FW业务接口工作在二层、上下行连接交换机的组网下,FW推荐以主备备份方式工作,不建议以负载分担方式
    • 因为如果工作于负载分担方式,则两台FW上的VLAN都被启用,都能够转发流量,整个网络就会形成环路,需要在交换机上配置破环协议,以达到消除二层环路的目的。
  3. 业务接口工作在二层,上下行连接路由器组网限制
    • 在FW业务接口工作在二层、上下行连接路由器的组网下,FW支持主备备份和负载分担组网,但是这种主备备份组网,不是通过hrp standby-device选取备机,而是需要在上下行路由器上合理配置OSPF路由开销值,让流量只通过一台FW转发来实现。
    • 因为如果通过hrp standby-device来选取备机,备用FW上的VLAN被禁用,它的上下行路由器就无法进行通信,无法建立路由。这样主备切换时,备用FW就无法及时接替主用FW处理业务,导致业务中断。

配置注意要点

  1. 双机热备功能与跨数据中心集群功能互斥,不能同时开启。
  2. 接口配置要点
    • 如果FW的业务接口工作在三层,则业务接口的IP地址必须固定,因此双机热备特性不能与PPPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。
    • 如果FW的业务接口工作在二层,则需要将业务接口转换成二层接口后,加入同一VLAN。
    • 主备设备需要选择相同的业务接口和心跳口。例如,主用设备选择GigabitEthernet0/0/1作为业务接口,选择GigabitEthernet0/0/7作为心跳口,那么备用设备也需要这样选择
  3. 双机热备对安全区域的配置要点
    • 无论是二层还是三层接口,无论是业务接口还是心跳接口,都需要加入安全区域。
    • 主备设备的对应接口必须加入到相同的安全区域。例如,主用设备的GigabitEthernet0/0/1接口加入了Trust区域,那么备用设备的GigabitEthernet0/0/1接口也必须加入Trust区域。
  4. 双机热备对安全策略的配置要点
    • 主备设备通过心跳线传递心跳报文、VGMP报文、配置和表项备份报文、心跳链路探测报文、配置一致性检查报文,这些报文不受安全策略控制,无需配置安全策略。
    • 当FW的业务接口工作在三层、连接交换机时,FW会向交换机发送免费ARP报文。免费ARP报文是广播报文,不受安全策略控制,无需配置安全策略。当FW的业务接口工作在三层、连接路由器时,FW需要与路由器交互OSPF、BGP报文。OSPF、BGP报文受firewall packet-filter basic-protocol enable命令控制。缺省情况下,firewall packet-filter basic-protocol enable处于开启状态,即OSPF、BGP报文受安全策略控制,需要在上/下行业务接口所在安全区域与Local区域之间配置安全策略,允许协议类型为OSPF、BGP的报文通过。
    • 当FW的业务接口工作在二层时,上下行设备之间的OSPF报文需要通过防火墙。OSPF报文受firewall packet-filter basic-protocol enable命令控制。缺省情况下,firewall packet-filter basic-protocol enable处于开启状态,即OSPF报文受安全策略控制,需要在上行业务接口所在安全区域与下行业务接口所在安全区域之间配置安全策略,允许协议类型为OSPF的报文通过。
  5. VGMP 管理组监控故障的要点
    • 当FW业务接口工作在三层时,经常会存在上下行连接不同设备的组网,例如上行连接路由器,下行连接交换机。这其实没有什么特殊之处,只需在上行按照连接路由器的组网进行部署,下行按照连接交换机的组网进行部署即可。
  6. 备份方式的要点
    • 自动备份功能默认开启,建议不要关闭
    • 如果主备设备之间配置不同步,请在备用设备上清除相关配置后,再在主用设备上执行hrp sync命令,将主用设备的配置向备用设备同步。在来回路径不一致组网环境下,即来回两个方向的报文分别从不同的FW经过,如果主用设备的会话没有及时备份到备用设备,则备用设备会将到达的报文丢弃。为防止上述现象发生,需开启会话快速备份功能,将主用设备相应的会话快速备份到备用设备,使返回报文在备用设备上能够查找到相应的会话,从而保证内外部用户的业务不中断。开启会话快速备份后,由于会话备份的频率会加大,CPU使用率和心跳接口带宽使用率都会上升。

双机热备与其它特性结合使用的限制