双机热备,主备&双主

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了双机热备,主备&双主相关的知识,希望对你有一定的参考价值。

参考技术A 双机热备
特指基于高可用系统中的两台服务器的热备(或高可用),因两机高可用在国内使用较多,故得名双机热备,双机高可用按工作中的切换方式分为:主-备方式(Active-Standby方式)和双主机方式(Active-Active方式),主-备方式即指的是一台服务器处于某种业务的激活状态(即Active状态),另一台服务器处于该业务的备用状态(即Standby状态)。而双主机方式即指两种不同业务分别在两台服务器上互为主备状态(即Active-Standby和Standby-Active状态)。

玩转华为ENSP模拟器系列 | IPSec网关主备双机热备

素材来源:华为防火墙配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验


目标

建立IPSec隧道的一端使用两台设备进行双机热备,可以将IPSec的配置信息、隧道建立信息等从主设备备份到备用设备上,保证即使主设备断开后隧道也不会拆除,提高了网络的可靠性。

组网需求

图1所示,公司总部(HQ)通过FW_A和FW_B接入外网。分支机构(Branch)员工使用FW_C接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。公司由多个分支机构组成,此举例中只以其中一个为例,其网关为FW_C。为提高网络可靠性,FW_A和FW_B配置组成主备方式的双机热备,其上下行设备均是交换机。

配置思路

  1. 配置FW_A和FW_B的双机热备功能。
  1. 配置FW_A的安全策略和IPSec业务。 FW_A和FW_B的双机热备功能启用以后,FW_A的安全策略和IPSec业务将会自动备份到FW_B。
  1. 在FW_C上配置IPSec隧道。

操作步骤

  1. 配置FW_A(总部)和FW_B(总部)的双机热备功能。

    1. 配置各接口的IP地址,并将接口加入相应的安全区域。
    2. <sysname> system-view
      [sysname] sysname FW_A
      [FW_A] interface gigabitethernet 1 / 0 / 1
      [FW_A-GigabitEthernet1/0/1] ip address 10.10.0.1  24
      [FW_A-GigabitEthernet1/0/1] quit
      [FW_A] interface gigabitethernet 1 / 0 / 2
      [FW_A-GigabitEthernet1/0/2] ip address 1.1.1.2  24
      [FW_A-GigabitEthernet1/0/2] quit
      [FW_A] interface gigabitethernet 1 / 0 / 3
      [FW_A-GigabitEthernet1/0/3] ip address 10.3.0.3  24
      [FW_A-GigabitEthernet1/0/3] quit
      [FW_A] firewall zone trust
      [FW_A-zone-trust] add interface gigabitethernet 1 / 0 / 3
      [FW_A-zone-trust] quit
      [FW_A] firewall zone untrust
      [FW_A-zone-untrust] add interface gigabitethernet 1 / 0 / 2
      [FW_A-zone-untrust] quit
      [FW_A] firewall zone dmz
      [FW_A-zone-dmz] add interface gigabitethernet 1 / 0 / 1
      [FW_A-zone-dmz] quit
      复制代码
    3. 在FW_A上配置VRRP备份组。
    4. [FW_A] interface gigabitethernet 1 / 0 / 2
      [FW_A-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 1.1.1.1  24 active
      [FW_A-GigabitEthernet1/0/2] quit
      [FW_A] interface gigabitethernet 1 / 0 / 3
      [FW_A-GigabitEthernet1/0/3] vrrp vrid 1 virtual-ip 10.3.0.2  24 active
      [FW_A-GigabitEthernet1/0/3] quit
      复制代码
    5. 在FW_A上指定心跳口并启用双机热备功能。
    6. [FW_A] hrp interface gigabitethernet 1 / 0 / 1 remote 10.10.0.2
      [FW_A] hrp enable
      复制代码
    7. 完成FW_B的配置,建立双机热备状态。
    8.   # FW_B和上述FW_A的配置基本相同,不同之处在于:
    9. FW_B各接口的IP地址与FW_A各接口的IP地址不相同。
    10. FW_B的业务接口GE1/0/2和GE1/0/3的VRRP备份组需要加入状态为Standby的VGMP组。
  1. 在FW_A上配置安全策略和IPSec业务。

    1. 配置安全策略。

      1. 配置Trust域与Untrust域的安全策略,允许封装前和解封后的报文能通过FW_A。
      2. [FW_A] security-policy
        [FW_A-policy-security] rule name policy_ipsec_1
        [FW_A-policy-security-rule-policy_ipsec_1] source-zone trust
        [FW_A-policy-security-rule-policy_ipsec_1] destination-zone untrust
        [FW_A-policy-security-rule-policy_ipsec_1] source-address 10.3.0.0  24
        [FW_A-policy-security-rule-policy_ipsec_1] destination-address 10.4.1.0  24 
        [FW_A-policy-security-rule-policy_ipsec_1] action permit
        [FW_A-policy-security-rule-policy_ipsec_1] quit
        [FW_A-policy-security] rule name policy_ipsec_2
        [FW_A-policy-security-rule-policy_ipsec_2] source-zone untrust
        [FW_A-policy-security-rule-policy_ipsec_2] destination-zone trust
        [FW_A-policy-security-rule-policy_ipsec_2] source-address 10.4.1.0  24 
        [FW_A-policy-security-rule-policy_ipsec_2] destination-address 10.3.0.0  24 
        [FW_A-policy-security-rule-policy_ipsec_2] action permit
        [FW_A-policy-security-rule-policy_ipsec_2] quit
        复制代码
      3. 配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过FW_A。
      4. [FW_A-policy-security] rule name policy_ipsec_3
        [FW_A-policy-security-rule-policy_ipsec_3] source-zone local
        [FW_A-policy-security-rule-policy_ipsec_3] destination-zone untrust
        [FW_A-policy-security-rule-policy_ipsec_3] source-address 1.1.1.1  32 
        [FW_A-policy-security-rule-policy_ipsec_3] destination-address 4.4.4.4  32
        [FW_A-policy-security-rule-policy_ipsec_3] action permit
        [FW_A-policy-security-rule-policy_ipsec_3] quit
        [FW_A-policy-security] rule name policy_ipsec_4
        [FW_A-policy-security-rule-policy_ipsec_4] source-zone untrust
        [FW_A-policy-security-rule-policy_ipsec_4] destination-zone local
        [FW_A-policy-security-rule-policy_ipsec_4] source-address 4.4.4.4  32 
        [FW_A-policy-security-rule-policy_ipsec_4] destination-address 1.1.1.1  32
        [FW_A-policy-security-rule-policy_ipsec_4] action permit
        [FW_A-policy-security-rule-policy_ipsec_4] quit
        [FW_A-policy-security] quit
        复制代码
    2. 配置FW_A的路由。

    3.   # 配置一条缺省路由,下一跳为1.1.1.254。

    4. [FW_A] ip route- static  0.0.0.0  0.0.0.0  1.1.1.254
      复制代码
    5.   # 配置到达分支机构内网的路由,下一跳为1.1.1.254。

    6. [FW_A] ip route- static  10.4.1.0  255.255.255.0  1.1.1.254
      复制代码
    7. 配置FW_A的IPSec隧道。

      1. 配置访问控制列表,定义需要保护的数据流。
      2. [FW_A] acl 3000
        [FW_A-acl-adv-3000] rule 5 permit ip source 10.3.0.0  0.0.0.255 destination 10.4.1.0  0.0.0.255
        [FW_A-acl-adv-3000] quit
        复制代码
      3. 配置序号为10的IKE安全提议。
      4. [FW_A] ike proposal 10
        [FW_A-ike-proposal-10] quit
        复制代码
      5. 配置IKE Peer。
      6. [FW_A] ike peer any
        [FW_A-ike-peer-any] ike-proposal 10
        [FW_A-ike-peer-any] pre-shared-key Admin @ 123
        [FW_A-ike-peer-any] quit
        复制代码
      7. 配置名称为tran1的IPSec安全提议。
      8. [FW_A] ipsec proposal tran1
        [FW_A-ipsec-proposal-tran1] encapsulation-mode tunnel
        [FW_A-ipsec-proposal-tran1] transform esp
        [FW_A-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
        [FW_A-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
        [FW_A-ipsec-proposal-tran1] quit
        复制代码
      9. 配置策略模板policy1,并在IPSec安全策略组map1中引用该策略模板。
      10. [FW_A] ipsec policy-template policy1 1
        [FW_A-ipsec-policy-templet-policy1-1] security acl 3000
        [FW_A-ipsec-policy-templet-policy1-1] proposal tran1
        [FW_A-ipsec-policy-templet-policy1-1] ike-peer any
        [FW_A-ipsec-policy-templet-policy1-1] quit
        [FW_A] ipsec policy map1 10 isakmp template policy1
        复制代码
      11. 在出接口GE1/0/2上应用安全策略组map1。
      12. [FW_A] interface gigabitethernet 1 / 0 / 2
        [FW_A-GigabitEthernet1/0/2] ipsec policy map1
        [FW_A-GigabitEthernet1/0/2] quit
        复制代码
  1. 在FW_B上配置路由。

配置一条缺省路由,下一跳为1.1.1.254。

HRP_S[FW_B] ip route- static  0.0.0.0  0.0.0.0  1.1.1.254
复制代码

配置到达分支机构内网的路由,下一跳为1.1.1.254。

HRP_S[FW_B] ip route- static  10.4.1.0  255.255.255.0  1.1.1.254
复制代码
  1. 配置FW_C(分支)。

    1. 配置接口IP地址。

    2. <sysname> system-view
      [sysname] sysname FW_C
      [FW_C] interface gigabitethernet 1 / 0 / 3
      [FW_C-GigabitEthernet1/0/3] ip address 10.4.1.1  24
      [FW_C-GigabitEthernet1/0/3] quit
      [FW_C] interface gigabitethernet 1 / 0 / 1
      [FW_C-GigabitEthernet1/0/1] ip address 4.4.4.4  24
      [FW_C-GigabitEthernet1/0/1] quit
      复制代码
    3. 配置接口加入相应安全区域。

    4. [FW_C] firewall zone trust
      [FW_C-zone-trust] add interface gigabitethernet 1 / 0 / 3
      [FW_C-zone-trust] quit
      [FW_C] firewall zone untrust
      [FW_C-zone-untrust] add interface gigabitethernet 1 / 0 / 1
      [FW_C-zone-untrust] quit
      复制代码
    5. 配置安全策略。

      1. 配置Trust域与Untrust域的安全策略,允许封装前和解封后的报文能通过FW_C。
      2. [FW_C] security-policy
        [FW_C-policy-security] rule name policy_ipsec_1
        [FW_C-policy-security-rule-policy_ipsec_1] source-zone trust
        [FW_C-policy-security-rule-policy_ipsec_1] destination-zone untrust
        [FW_C-policy-security-rule-policy_ipsec_1] source-address 10.4.1.0  24
        [FW_C-policy-security-rule-policy_ipsec_1] destination-address 10.3.0.0  24 
        [FW_C-policy-security-rule-policy_ipsec_1] action permit
        [FW_C-policy-security-rule-policy_ipsec_1] quit
        [FW_C-policy-security] rule name policy_ipsec_2
        [FW_C-policy-security-rule-policy_ipsec_2] source-zone untrust
        [FW_C-policy-security-rule-policy_ipsec_2] destination-zone trust
        [FW_C-policy-security-rule-policy_ipsec_2] source-address 10.3.0.0  24 
        [FW_C-policy-security-rule-policy_ipsec_2] destination-address 10.4.1.0  24
        [FW_C-policy-security-rule-policy_ipsec_2] action permit
        [FW_C-policy-security-rule-policy_ipsec_2] quit
        复制代码
      3. 配置Local域与Untrust域的安全策略,允许IKE协商报文能正常通过FW_C。
      4. [FW_C-policy-security] rule name policy_ipsec_3
        [FW_C-policy-security-rule-policy_ipsec_3] source-zone local
        [FW_C-policy-security-rule-policy_ipsec_3] destination-zone untrust
        [FW_C-policy-security-rule-policy_ipsec_3] source-address 4.4.4.4  32 
        [FW_C-policy-security-rule-policy_ipsec_3] destination-address 1.1.1.1  32
        [FW_C-policy-security-rule-policy_ipsec_3] action permit
        [FW_C-policy-security-rule-policy_ipsec_3] quit
        [FW_C-policy-security] rule name policy_ipsec_4
        [FW_C-policy-security-rule-policy_ipsec_4] source-zone untrust
        [FW_C-policy-security-rule-policy_ipsec_4] destination-zone local
        [FW_C-policy-security-rule-policy_ipsec_4] source-address 1.1.1.1  32 
        [FW_C-policy-security-rule-policy_ipsec_4] destination-address 4.4.4.4  32
        [FW_C-policy-security-rule-policy_ipsec_4] action permit
        [FW_C-policy-security-rule-policy_ipsec_4] quit
        [FW_C-policy-security] quit
        复制代码
    6. 配置FW_C的路由。

    7.   # 配置一条缺省路由,下一跳为4.4.4.254。

    8. [FW_C] ip route- static  0.0.0.0  0.0.0.0  4.4.4.254
      复制代码
    9.   # 配置到达总部内网的路由,下一跳为4.4.4.254。

    10. [FW_C] ip route- static  10.3.0.0  255.255.255.0  4.4.4.254
      复制代码
    11. 配置FW_C的IPSec隧道。

      1. 配置访问控制列表,定义需要保护的数据流。
      2. [FW_C] acl 3000 
        [FW_C-acl-adv-3000] rule 5 permit ip source 10.4.1.0  0.0.0.255 destination 10.3.0.0  0.0.0.255
        [FW_C-acl-adv-3000] quit
        复制代码
      3. 配置序号为10的IKE安全提议。
      4. [FW_C] ike proposal 10
        [FW_C-ike-proposal-10] quit
        复制代码
      5. 配置IKE Peer。
      6. [FW_C] ike peer a
        [FW_C-ike-peer-a] ike-proposal 10
        [FW_C-ike-peer-a] remote-address 1.1.1.1
        [FW_C-ike-peer-a] pre-shared-key Admin @ 123
        [FW_C-ike-peer-a] quit
        复制代码
      7. 配置名称为tran1的IPSec安全提议。
      8. [FW_C] ipsec proposal tran1
        [FW_C-ipsec-proposal-tran1] encapsulation-mode tunnel
        [FW_C-ipsec-proposal-tran1] transform esp
        [FW_C-ipsec-proposal-tran1] esp authentication-algorithm sha2- 256
        [FW_C-ipsec-proposal-tran1] esp encryption-algorithm aes- 256
        [FW_C-ipsec-proposal-tran1] quit
        复制代码
      9. 配置IPSec安全策略组map1。
      10. [FW_C] ipsec policy map1 10 isakmp
        [FW_C-ipsec-policy-isakmp-map1-10] security acl 3000
        [FW_C-ipsec-policy-isakmp-map1-10] proposal tran1
        [FW_C-ipsec-policy-isakmp-map1-10] ike-peer a
        [FW_C-ipsec-policy-isakmp-map1-10] quit
        复制代码
      11. 在出接口GE1/0/1上应用安全策略组map1。
      12. [FW_C] interface gigabitethernet 1 / 0 / 1
        [FW_C-GigabitEthernet1/0/1] ipsec policy map1
        [FW_C-GigabitEthernet1/0/1] quit
        复制代码
  1. 配置交换机。 将图1中交换机的各接口加入到同一个VLAN。 具体配置命令请参考交换机的相关文档。

结果验证

  1. 分支机构10.4.1.0/24网段的内网设备访问总部10.3.0.0/24网段服务器,可以访问成功。
  1. 在FW_A和FW_B上执行display ike sadisplay ipsec sa命令,IPSec SA表项生成说明IPSec隧道建立成功且隧道备份成功。
  1. 将FW_A的GE1/0/3接口或GE1/0/2接口断开,业务可以正常切换到FW_B。

以上是关于双机热备,主备&双主的主要内容,如果未能解决你的问题,请参考以下文章

主备切换,双机热备,负载均衡,nginx

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)

华为防火墙配置(双机热备)

玩转华为ENSP模拟器系列 | IPSec网关主备双机热备

MySQL双机热备

常见防火墙的双机热备功能配置