2018 年 10 月 – 运维日常

Network Linux ssh 添加华为防火墙交换密钥算法

ubuntu22.04.2 在 /etc/ssh/ssh_config 根据提示添加，后重启sshd 服务

ssh admin@ipaddress -p 1122

KexAlgorithms +diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1

systemc restart sshd

Network Huawei USG防火墙双机热备

华为防火墙配置（双机热备）-云社区-华为云 (huaweicloud.com)

双机热备的工作模式：

•主备备份模式：两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时，备用设备接替主用设备处理业务流量，保证业务不中断。

•负载分担模式：两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时，另外一台设备会承担其业务，保证原本通过该设备转发的业务不中断。

*镜像模式是实现主备备份双机热备的一种特殊技术手段，主要用于DCN和云管理场景中。

双机热备组网限制：

业务接口工作在三层，上下行连接交换机或路由器组网限制
- 如果是镜像模式不支持VRRP 备份组监控接口故障，不支持BFD监控远端接口故障，不支持IP-LINK监控远端接口故障，不支持通过OSPF,BGP监控远端邻居故障。
业务接口工作在二层，上下行连接交换机组网限制
- 在FW业务接口工作在二层、上下行连接交换机的组网下，FW推荐以主备备份方式工作，不建议以负载分担方式。
- 因为如果工作于负载分担方式，则两台FW上的VLAN都被启用，都能够转发流量，整个网络就会形成环路，需要在交换机上配置破环协议，以达到消除二层环路的目的。
业务接口工作在二层，上下行连接路由器组网限制
- 在FW业务接口工作在二层、上下行连接路由器的组网下，FW支持主备备份和负载分担组网，但是这种主备备份组网，不是通过hrp standby-device选取备机，而是需要在上下行路由器上合理配置OSPF路由开销值，让流量只通过一台FW转发来实现。
- 因为如果通过hrp standby-device来选取备机，备用FW上的VLAN被禁用，它的上下行路由器就无法进行通信，无法建立路由。这样主备切换时，备用FW就无法及时接替主用FW处理业务，导致业务中断。

配置注意要点

双机热备功能与跨数据中心集群功能互斥，不能同时开启。
接口配置要点
- 如果FW的业务接口工作在三层，则业务接口的IP地址必须固定，因此双机热备特性不能与PPPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。
- 如果FW的业务接口工作在二层，则需要将业务接口转换成二层接口后，加入同一VLAN。
- 主备设备需要选择相同的业务接口和心跳口。例如，主用设备选择GigabitEthernet0/0/1作为业务接口，选择GigabitEthernet0/0/7作为心跳口，那么备用设备也需要这样选择
双机热备对安全区域的配置要点
- 无论是二层还是三层接口，无论是业务接口还是心跳接口，都需要加入安全区域。
- 主备设备的对应接口必须加入到相同的安全区域。例如，主用设备的GigabitEthernet0/0/1接口加入了Trust区域，那么备用设备的GigabitEthernet0/0/1接口也必须加入Trust区域。
双机热备对安全策略的配置要点
- 主备设备通过心跳线传递心跳报文、VGMP报文、配置和表项备份报文、心跳链路探测报文、配置一致性检查报文，这些报文不受安全策略控制，无需配置安全策略。
- 当FW的业务接口工作在三层、连接交换机时，FW会向交换机发送免费ARP报文。免费ARP报文是广播报文，不受安全策略控制，无需配置安全策略。当FW的业务接口工作在三层、连接路由器时，FW需要与路由器交互OSPF、BGP报文。OSPF、BGP报文受firewall packet-filter basic-protocol enable命令控制。缺省情况下，firewall packet-filter basic-protocol enable处于开启状态，即OSPF、BGP报文受安全策略控制，需要在上/下行业务接口所在安全区域与Local区域之间配置安全策略，允许协议类型为OSPF、BGP的报文通过。
- 当FW的业务接口工作在二层时，上下行设备之间的OSPF报文需要通过防火墙。OSPF报文受firewall packet-filter basic-protocol enable命令控制。缺省情况下，firewall packet-filter basic-protocol enable处于开启状态，即OSPF报文受安全策略控制，需要在上行业务接口所在安全区域与下行业务接口所在安全区域之间配置安全策略，允许协议类型为OSPF的报文通过。
VGMP 管理组监控故障的要点
- 当FW业务接口工作在三层时，经常会存在上下行连接不同设备的组网，例如上行连接路由器，下行连接交换机。这其实没有什么特殊之处，只需在上行按照连接路由器的组网进行部署，下行按照连接交换机的组网进行部署即可。
备份方式的要点
- 自动备份功能默认开启，建议不要关闭
- 如果主备设备之间配置不同步，请在备用设备上清除相关配置后，再在主用设备上执行hrp sync命令，将主用设备的配置向备用设备同步。在来回路径不一致组网环境下，即来回两个方向的报文分别从不同的FW经过，如果主用设备的会话没有及时备份到备用设备，则备用设备会将到达的报文丢弃。为防止上述现象发生，需开启会话快速备份功能，将主用设备相应的会话快速备份到备用设备，使返回报文在备用设备上能够查找到相应的会话，从而保证内外部用户的业务不中断。开启会话快速备份后，由于会话备份的频率会加大，CPU使用率和心跳接口带宽使用率都会上升。

双机热备与其它特性结合使用的限制

Network 开启Huawei USG tracert 报文回显

问题描述

组网：PC–内网设备—USG6680出口设备–ISP;

内网PC上网都是正常的，但是tracert 公网地址（8.8.8.8），出口设备USG6680的地址不会显示，显示的是星号；

处理过程

1.关闭tracert 防范攻击；undo firewall defend tracert enable命令用来关闭Tracert报文攻击防范功能。

2.开启设备发送icmp不可达报文：icmp host-unreachable send命令用来使能系统的ICMP主机不可达报文的发送功能。

3.开启设备ICMP ttl 超时报文发送功能；icmp ttl-exceeded send命令用来使能接口的ICMP TTL超时报文的发送功能。

Network 常见数据中心网络架构

三层组网架构
核心层通常为高端框式交换机，可以独立部署也堆叠部署（一般是采用独立部署，考虑堆叠有裂开的风险，核心之间只和汇聚有互联，核心之间无互联）
汇聚和接入层一般采用堆叠破除环路，汇聚和核心之间采用三层链路互联，用OSPF协议交换路由。
防火墙采用旁挂的方式，在汇聚交换机上划分VRF分离不同的“等保”汇聚交换机上的VRF和防火墙上对应的安全区域互联，达到流量控制的目的。

物理连接如下：

汇聚层，接入层，防火墙通常是双机或者堆叠，可以将上图重新绘制成如下；

相同安全级别的业务无需经过防火墙（单一等保），也就是汇聚下方的所有业务可以直接互相访问。

内部路由逻辑如下：

将防火墙放置在全局路由和VRF 之间，一个“单一等保”级别的，化旁路为串联的流量图就完成了

2个等保级别，就要求了2个等保级别内的业务在互访时，流量需要经过防火墙，这里一个等保对应一个VRF ，不同等保级别的流量要放在不同的VRF 。

如果是2个等保级别之间的业务互联，流量必须经过防火墙，在画双等保逻辑流量的时候，仍然把双机结构画成单机结构，防火墙和汇聚之间需要3条线，总之，汇聚下有N个等保，汇聚和防火墙之间就画N+1 条线。

用方框来代表汇聚层的设备，3个小方框代表拥有独立三层路由的虚拟设备。接入交换机换成2个分别代表等保1和等保2 。

Network 数据中心概念

Rack 机架

Border Router 边缘路由器：连接多个运营商

多线BGP 协议：既然是路由器，就需要跑路由协议，数据中心往往就是路由协议中的自治区域（AS）。数据中心里面的机器要想访问外面的网站，数据中心里面也是有对外提供服务的机器，都可以通过 BGP 协议，获取内外互通的路由信息。这就是我们常听到的多线 BGP 的概念。

TOR 交换机：这些交换机往往是放在机架顶端的，所以经常称为 TOR（Top Of Rack）交换机。这一层的交换机常常称为接入层（Access Layer）

Aggregation Switch 汇聚层交换机：当一个机架放不下的时候，就需要多个机架，还需要有交换机将多个机架连接在一起。这些交换机对性能的要求更高，带宽也更大。这些交换机称为汇聚层交换机（Aggregation Layer）。

Bond 网卡绑定：如果网卡坏了，或者不小心网线掉了，机器就上不去了。所以，需要至少两个网卡、两个网线插到 TOR 交换机上，但是两个网卡要工作得像一张网卡一样，这就是常说的网卡绑定（bond）。

LACP（Link Aggregation Control Protocol）：这就需要服务器和交换机都支持一种协议 LACP，它们互相通信，将多个网卡聚合称为一个网卡，多个网线聚合成一个网线，在网线之间可以进行负载均衡，也可以为了高可用作准备。

Stack 堆叠：将多个交换机形成一个逻辑的交换机，服务器通过多根线分配连到多个接入层交换机上，而接入层交换机多根线分别连接到多个交换机上，并且通过堆叠的私有协议，形成双活的连接方式。

POD (交货点）：汇聚层将大量的计算节点相互连接在一起，形成一个集群。在这个集群里面，服务器之间通过二层互通，这个区域常称为一个 POD（Point Of Delivery 交货点），有时候也称为一个可用区（Available Zone）。

Core Switch 核心交换机：当节点数目再多的时候，一个可用区放不下，需要将多个可用区连在一起，连接多个可用区的交换机称为核心交换机。核心交换机吞吐量更大，高可用要求更高，肯定需要堆叠，但是往往仅仅堆叠，不足以满足吞吐量，因而还是需要部署多组核心交换机。核心和汇聚交换机之间为了高可用，也是全互连模式的。

全互连模式下环路的问题：一种方式是，不同的可用区在不同的二层网络，需要分配不同的网段。汇聚和核心之间通过三层网络互通的，二层都不在一个广播域里面，不会存在二层环路的问题。三层有环是没有问题的，只要通过路由协议选择最佳的路径就可以了。

大二层：但是随着数据中心里面的机器越来越多，尤其是有了云计算、大数据，集群规模非常大，而且都要求在一个二层网络里面。这就需要二层互连从汇聚层上升为核心层，也即在核心以下，全部是二层互连，全部在一个广播域里面，这就是常说的大二层。

TRILL：如果大二层横向流量不大，核心交换机数目不多，可以做堆叠，但是如果横向流量很大，仅仅堆叠满足不了，就需要部署多组核心交换机，而且要和汇聚层进行全互连。由于堆叠只解决一个核心交换机组内的无环问题，而组之间全互连，还需要其他机制进行解决。于是大二层就引入了 TRILL（Transparent Interconnection of Lots of Link），即多链接透明互联协议。它的基本思想是，二层环有问题，三层环没有问题，那就把三层的路由能力模拟在二层实现。

RBridge:运行 TRILL 协议的交换机称为 RBridge，是具有路由转发特性的网桥设备，只不过这个路由是根据 MAC 地址来的，不是根据 IP 来的。

大二层的广播怎么分隔：对于大二层的广播包，也需要通过分发树的技术来实现。我们知道 STP 是将一个有环的图，通过去掉边形成一棵树，而分发树是一个有环的图形成多棵树，不同的树有不同的 VLAN，有的广播包从 VLAN A 广播，有的从 VLAN B 广播，实现负载均衡和高可用。

典型的数据中心网络架构：在核心交换上面，往往会挂一些安全设备，例如入侵检测、DDoS 防护等等。这是整个数据中心的屏障，防止来自外来的攻击。

南北流量：这是一个典型的三层网络结构。这里的三层不是指 IP 层，而是指接入层、汇聚层、核心层三层。这种模式非常有利于外部流量请求到内部应用。这个类型的流量，是从外到内或者从内到外，对应到上面那张图里，就是从上到下，从下到上，上北下南，所以称为南北流量。

东西流量：但是随着云计算和大数据的发展，节点之间的交互越来越多，例如大数据计算经常要在不同的节点将数据拷贝来拷贝去，这样需要经过交换机，使得数据从左到右，从右到左，左西右东，所以称为东西流量。

（Spine/Leaf)叶脊网络：为了解决东西流量的问题，演进出了叶脊网络（Spine/Leaf）。

叶子交换机（leaf），直接连接物理服务器。L2/L3 网络的分界点在叶子交换机上，叶子交换机之上是三层网络。

脊交换机（spine switch），相当于核心交换机。叶脊之间通过 ECMP 动态选择多条路径。脊交换机现在只是为叶子交换机提供一个弹性的 L3 路由网络。南北流量可以不用直接从脊交换机发出，而是通过与 leaf 交换机并行的交换机，再接到边界路由器出去。