【網(wǎng)絡(luò)知識(shí)點(diǎn)】防火墻主備冗余技術(shù)

【網(wǎng)絡(luò)知識(shí)點(diǎn)】防火墻主備冗余技術(shù)

站在用戶的角度思考問題，與客戶深入溝通，找到洪湖網(wǎng)站設(shè)計(jì)與洪湖網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗(yàn)，讓設(shè)計(jì)與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個(gè)性化、用戶體驗(yàn)好的作品，建站類型包括：網(wǎng)站建設(shè)、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣、主機(jī)域名、虛擬主機(jī)、企業(yè)郵箱。業(yè)務(wù)覆蓋洪湖地區(qū)。

本文以思科Failover技術(shù)為主備冗余技術(shù)，華為方面的主備冗余技術(shù)為VRRP+HRP，可自行查看華為相關(guān)配置資料，實(shí)際實(shí)現(xiàn)上兩者沒什么區(qū)別，只是實(shí)現(xiàn)原理上有點(diǎn)差別，華為做相互主備A/A會(huì)更容易些，如果思科做相互主備A/A需要用到多模式虛擬技術(shù)，較復(fù)雜一點(diǎn)。

A/S模式：

實(shí)驗(yàn)環(huán)境：

 

通過GNS3模擬搭建，防火墻鏡像為pix804.bin，路由器為c3640-jk9o3s-mz.124-10a.bin，交換機(jī)為c3640-jk9o3s-mz.124-10a.bin+交換端口板塊+no ip routing

 

注意：1.防火墻需要證書激活才能用更多功能：激活命令  activation-key 0xd2390d2c 0x9fc4b36d 0x98442d99 0xeef7d8b1然后reload 2.需要測(cè)試ping的，防火墻要開啟ICMP協(xié)議修正，開啟ICMP狀態(tài)化檢測(cè)，命令為fixup protocol icmp

 

主要配置詳解：

主防火墻配置：

 

#配置內(nèi)外接口地址

interface Ethernet0

 shutdown

 no nameif

 no security-level

 no ip address

 

interface Ethernet1

 nameif inside

 security-level 100

 ip address 192.168.1.254 255.255.255.0 standby 192.168.1.253 #必須有standby，用于檢測(cè)備用防火墻的端口地址，沒有standby它無法檢測(cè)主備端口狀態(tài)，然后根據(jù)狀態(tài)進(jìn)行主備防火墻切換

 

interface Ethernet2

 nameif outside

 security-level 0

 ip address 100.1.1.1 255.255.255.0 standby 100.1.1.2

 

interface Ethernet3 - 4

No shut #3,4只需要noshut

 

#配置默認(rèn)路由

route outside 0.0.0.0 0.0.0.0 100.1.1.3 1

route inside 1.1.1.1 255.255.255.255 192.168.1.1 1

 

#failover主要配置

failover

failover lan unit primary #定義主備，主備設(shè)備的配置差別就在這里而已

failover lan interface PZ Ethernet3 #配置配置同步端口

failover lan enable

failover key vrfxie #配置認(rèn)證

failover link ZT Ethernet4 #配置狀態(tài)同步端口

failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2

failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2

 

備用防火墻配置：

failover

failover lan unit secondary

failover lan interface PZ Ethernet3

failover lan enable

failover key vrfxie

failover link ZT Ethernet4

failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2

failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2

 

其他什么都不用配置！開啟e3，4端口后它會(huì)自動(dòng)同步主防火墻配置，這是整個(gè)配置的關(guān)鍵點(diǎn)，很多小伙伴多手配置了e1,2導(dǎo)致配置與主沖突，failover失敗

最后no shut e3,4端口，開始同步，出現(xiàn)以下信息則同步成功

Detected an Active mate

Beginning configuration replication from mate.

End configuration replication from mate.

 

測(cè)試：

關(guān)閉主防火墻上下聯(lián)交換機(jī)的端口或斷開其鏈路，主防火墻出現(xiàn)以下信息

pixfirewall(config)#

Switching to Standby

然后備變成activie，恢復(fù)主防火墻上下聯(lián)交換機(jī)的端口或?qū)?yīng)鏈路，然后關(guān)閉備防火墻上下聯(lián)交換機(jī)的端口或斷開其鏈路，主防火墻重新變?yōu)閍ctivite

Switching to Active

切換時(shí)間大概為30秒左右，對(duì)于實(shí)際商業(yè)應(yīng)用來說，不大理想！可能是模擬器的原因，真機(jī)也許不會(huì)這么慢。

 

R1在故障前保持與R2的TCP連接，故障切換后，TCP不需要重新連接能接著使用

 

測(cè)試成功！

 

分析：

0.對(duì)比VRRP+透明模式防火墻來做主備防火墻，其切換時(shí)間稍微慢了一些，但他有狀態(tài)備份，業(yè)務(wù)連接在主備切換后不需要重新連接

1.切換機(jī)制：outside和inside兩邊分別進(jìn)行輪詢檢測(cè)，如果檢測(cè)到對(duì)方的接口壞了才會(huì)切換，切換時(shí)間GN3模擬測(cè)試是30秒左右。PS：心跳線壞了，輪詢是好的，那是不會(huì)切換的

2.防火墻的切換不會(huì)搶占的，切換后就算主好了也不會(huì)恢復(fù)，需要使用命令fiallover active來手工切換回來 

3.默認(rèn)跟蹤所有物理接口，如果有子接口需要通過monitor-interface來配置

 

A/A模式：

實(shí)現(xiàn)環(huán)境：

 

通過GNS3模擬搭建，防火墻鏡像為pix804.bin，路由器為c3640-jk9o3s-mz.124-10a.bin，交換機(jī)為c3640-jk9o3s-mz.124-10a.bin+交換端口板塊+no ip routing

 

此架構(gòu)更符合實(shí)際運(yùn)用，兩個(gè)防火墻之間相互冗余備份，雙activite雙出口，不會(huì)浪費(fèi)一邊得帶寬資源，實(shí)在要找缺點(diǎn)的話就是需要兩邊帶寬要求比較高，畢竟故障發(fā)生時(shí)，一邊要承擔(dān)所有的流量，要規(guī)劃好。

 

主要配置詳解：

這里的交換機(jī)部分配置就不展示了，很簡(jiǎn)單的配置，幾乎都是二層交換來用，重點(diǎn)在防火墻通過多模式實(shí)現(xiàn)相互主備的配置

PIX1配置：

mode multiple #切換防火墻到多模式，才可以配置虛擬子防火墻

interface Ethernet0等等  #將所有要關(guān)聯(lián)到子防火墻的接口noshut

no shutdown

failover group 1 #配置failover組1，最多創(chuàng)建兩個(gè)failover group

  Primary  #組1在primary物理設(shè)備為上開啟搶占功能，優(yōu)先成active

  Preempt  #當(dāng)發(fā)生failover，原來由active狀態(tài)變?yōu)閟tandby狀態(tài)，若此時(shí)將failover組或者設(shè)備變?yōu)檎?，primary設(shè)備上的加入到組1的子防火墻搶占變?yōu)閍ctive

failover group 2

  Secondary   #組2在secondary的物理設(shè)備上開啟搶占功能，優(yōu)先preempt成為active

  Preempt

 

admin-context admin  #配置管理子防火墻，后面的admin可隨便寫，admin-context意思是創(chuàng)建管理子防火墻

context admin  #進(jìn)入admin子防火墻配置

  config-url flash:/admin.cfg     #配置文件存儲(chǔ)目錄    

 

context c1  #配置子防火墻，命令名c1

  allocate-interface Ethernet0  #關(guān)聯(lián)相關(guān)物理接口到子墻，這樣在子墻里才能看到有接口，下同

  allocate-interface Ethernet3

  config-url flash:/c1.cfg

  join-failover-group 1  #將c1子墻加入到failover group 1

 

context c2  #同上

  allocate-interface Ethernet0

  allocate-interface Ethernet4

  config-url flash:/c2.cfg

  join-failover-group 2

 

 

Failover #看上面A/S的解釋

failover lan unit primary

failover lan interface PZ Ethernet1

failover lan enable

failover key vrfxie

failover link ZT Ethernet2

failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2

failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2

#分析：通過failover的狀態(tài)鏈和配置鏈來讓右邊去同步左邊的配置，那就不需要右邊再配一次，狀態(tài)鏈和配置鏈?zhǔn)撬凶臃阑饓灿玫?/p>

 

PIX2防火墻配置：

show model  #查看防火墻是在多模式下還是單模式下

mode multiple#改變防火墻到多模式下工作

failover

failover lan unit secondary

failover lan interface PZ Ethernet1

failover lan enable

failover key vrfxie

failover link ZT Ethernet2

failover interface ip PZ 10.1.12.1 255.255.255.0 standby 10.1.12.2

failover interface ip ZT 10.2.12.1 255.255.255.0 standby 10.2.12.2

 

PIX2只需no shut e1,2口，等待PIX1，2同步！

 

PIX2防火墻配置完成，完成這些步驟后，兩臺(tái)防火墻開始選舉各自的Active還是Standby。選舉完成后PXI1防火墻的c1子墻成為Active狀態(tài)，c2子墻成為Standby狀態(tài)，PIX2的c1子墻成為Standby狀態(tài)，c2子墻成為Active狀態(tài)。所有的配置將在Active角色的子墻上配置，Standby狀態(tài)的子墻只能查看配置和同步Active的配置，并檢測(cè)Active健康狀態(tài)，做好切換的準(zhǔn)備。

 

查看failover狀態(tài)，在各自防火墻的主體（changeto system）上查看：

pixfirewall/pri/act(config)# show failover

Failover On

Cable status: N/A - LAN-based failover enabled

Failover unit Primary

Failover LAN Interface: PZ Ethernet1 (up)

Unit Poll frequency 15 seconds, holdtime 45 seconds

Interface Poll frequency 5 seconds, holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 4 of 250 maximum

Version: Ours 8.0(4), Mate 8.0(4)

Group 1 last failover at: 15:28:42 UTC Mar 23 2017

Group 2 last failover at: 14:34:48 UTC Mar 23 2017

 

  This host:    Primary

  Group 1       State:          Active

                Active time:    3615 (sec)

  Group 2       State:          Standby Ready

                Active time:    525 (sec)

 

  c1 Interface outside (100.1.1.1): Normal (Waiting)

  c1 Interface inside (192.168.10.254): Normal (Waiting)

  c2 Interface outside (100.1.1.4): Normal

  c2 Interface inside (192.168.20.253): Normal

 

  Other host:   Secondary

  Group 1       State:          Standby Ready

                Active time:    150 (sec)

  Group 2       State:          Active

                Active time:    3240 (sec)

 

  c1 Interface outside (100.1.1.3): Normal (Waiting)

  c1 Interface inside (192.168.10.253): Normal (Waiting)

  c2 Interface outside (100.1.1.2): Normal

  c2 Interface inside (192.168.20.254): Normal

 

 

配置c1，c2子防火墻的IP和路由，均要在處于Active狀態(tài)的子防火墻上配置，處于Standby狀態(tài)的不能做任何配置

 

prompt hostname priority state context#修改“#”前面的顯示字符，在物理設(shè)備下配置，這樣便于查看

 

在PIX1配置c1：

changeto context c1#切換到c1子防火墻進(jìn)行配置

 

interface Ethernet0    #參考上面A/S的解析，一樣的

 nameif outside

 security-level 0

 ip address 100.1.1.1 255.255.255.0 standby 100.1.1.3

 

interface Ethernet3

 nameif inside

 security-level 100

 ip address 192.168.10.254 255.255.255.0 standby 192.168.10.253

 

在PIX2配置c2：

changeto context c2

 

interface Ethernet0

 nameif outside

 security-level 0

 ip address 100.1.1.2 255.255.255.0 standby 100.1.1.4

 

interface Ethernet4

 nameif inside

 security-level 100

 ip address 192.168.20.254 255.255.255.0 standby 192.168.20.253

 

 

最后路由要配置好，這里路由的配置我就分享了，基本都是配默認(rèn)路由

 

測(cè)試：

斷開PIX1的上聯(lián)交換機(jī)口

恢復(fù)該交換機(jī)口

 

 

分析：

1.切換成功，恢復(fù)后，可以自動(dòng)恢復(fù)原來狀態(tài)，這點(diǎn)跟A/S模式不一樣！

2.切換速度很快！5秒內(nèi)！

3.對(duì)比A/S模式，無論從架構(gòu)還是效率上都有很大優(yōu)勢(shì)

如果本文中有什么問題，歡迎留言交流！謝謝！

名稱欄目：【網(wǎng)絡(luò)知識(shí)點(diǎn)】防火墻主備冗余技術(shù)
標(biāo)題URL：http://muchs.cn/article24/pidcje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供云服務(wù)器、網(wǎng)站內(nèi)鏈、品牌網(wǎng)站設(shè)計(jì)、定制網(wǎng)站、網(wǎng)站策劃、網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)