双机热备份典型故障现象及定位
当前现网组网基本上都是双机热备份组网,而现在由于双机热备份配置或者是组网带来的问题导致现网业务中断也是多有案例出现,下面就几个典型案例来介绍防火墙双机热备份组网中的常见故障及故障定位解决办法。
1案例一:双机热备份组网部分业务中断的问题
业务与软件部门在河北某局点于2007年11月用两台Eudemon 1000替换NetScreen的防火墙NS500,业务割接之后发现部分业务不通,最终定位为双机热备份配置的问题。
1.1组网图:
组网图如下所示,其中图中注明的新增的两台Eudemon 1000是替换掉NS500割入的设备,防火墙使用路由模式组网,使用的版本是EU300&500&1000&SP1800-VRP3.30-0359(08)。
1.2防火墙配置:
防火墙配置如下附件所示:
由于此次割接是Eudemon 防火墙替换NS500的防火墙,所以防火墙的配置基本上是把NS500的配置翻译成防火墙的配置之后割接上去。
1.3故障现象:
防火墙割接上去之后,发现用一个测试软件从trust到dmz域做NAT outbound出去访问一个指定的server不通,但是可以从防火墙上ping通此server服务器,查看防火墙会话,有从测试PC到server的会话。
刚开始业务与软件部门的兄弟开始检查配置,找自己的部门人员分析,反复查看配置及组网,对比防火墙和NS500的配置之后,仍然没有发现任何疑点,因为NAT地址的地址以前在NS500上使用是可以的对外发起访问的,但是在Eudemon 1000上却对外发起访问不成功,由于此次割接只是用防火墙Eudemon 1000替换NS500,其他设备没有什么改动,初步定位问题出现在防火墙上。但是防火墙上已经建立了从内网访问server的会话,如果按照防火墙的转发原理,只要回来的报文能到达防火墙,都能命中会话转发到测试PC上。
1.4定位过程:
最后现场技术支持和用服找到防火墙研发,防火墙研发登陆到防火墙上,开始进行定位。首先查看从测试PC到指定Server的会话,确实是存在从测试PC到指定Server的TCP会话,同时存在从F5到Server的会话。当时让现场工程师从F5 ping Server,发现ping不通,然后查看防火墙上的从测试PC到Server的会话,发现会话的老化时间都是10S钟。
根据上面的现象,初步断定是报文从防火墙做NAT出去之后回来的报文没有达到防火墙上,因为如果报文能回到防火墙上,会命中会话转发到F5或者是测试PC上,ping和TCP的三次握手能完成,F5能ping通Server,从测试PC到Server的TCP连接的会话老化时间应该是20分钟而不是10S。
首先让现场工程师查看从防火墙的上行设备上是否有地址池地址的路由能到达防火墙,查看路由没有问题,然后查看防火墙上行设备上的对应的地址池的ARP表项是否正确,发现此设备上没有到地址池的ARP表项,所以导致到防火墙NAT地址池的地址的报文因为没有ARP转发不到防火墙上。通过在防火墙上行设备上ping防火墙的NAT地址的地址,使上行设备
主动请求防火墙的NAT地址池的ARP,还是得不到防火墙NAT地址池的ARP。
最后查看防火墙的NAT地址池的配置,发现配置的NAT地址池的VRRP ID和回来的报文的接口上的VRRP的ID不一致,把VRRP ID修改成回来报文的入接口的VRRP的ID,F5能ping通Server,测试PC能正确和Server建立连接,问题解决。
1.5原因分析:
防火墙做双机热备份,配置的NAT地址池的地址需要带上出接口的VRRP的ID,保证和防火墙相连的设备请求NAT地址池地址的ARP的时候,主防火墙能正确的回应ARP报文而备防火墙不回应此ARP请求。如果出接口的VRRP ID和NAT地址池上的VRRP的ID不一致,主备防火墙都不会回应此ARP请求,导致业务中断。如果NAT地址池不带VRRP的ID,主备防火墙都会使用接口MAC地址回应此ARP请求,会导致报文被转发到备防火墙上,出现业务时而通时而不通的情况。如果出接口没有配置VRRP的ID,配置NAT地址池或者是NAT Server的时候不带VRRP的ID,也不能带其他接口的VRRP的ID。
1.6问题定位思路:
此问题虽然是由配置引起的,但是也涵盖了双机热备份定位的思路,这些问题基本上是部分业务中断。
1:首先排除包过滤的原因,以及攻击防范的原因。
2:查看防火墙上的会话的状态,用ping进行测试,查看如果有对应的ICMP的会话,但是仍然ping不通,就要查看icmp的回应报文是否达到发火墙了。
3:对于判断是回应的报文没有到达防火墙上,可以查看防火墙上下行的路由是否配置正确,ARP表项是否正确,如果不正确,查看并修改配置。
4:如果配置没有问题,查看业务故障的时候备防火墙的日志信息,如果有出现主备倒换的日志,说明备防火墙发生备->主->备的倒换,更新了上下行设备的ARP表,
导致业务异常,此时需要在防火墙上下行配置静态ARP,恢复业务,并寻求技术支
持。
1.7类似问题的其他局点:
坦桑尼亚局点曾经也因为NAT地址池和NAT Server的问题导致业务中断,最后在NAT地址池和NAT Server上配置上VRRP的ID后业务恢复。
2案例二:双机热备份组网全网业务中断的问题。
PS部门2007年8月在江苏某局点新上线2套GPRS设备,其中涉及到四台防火墙,分别部署在两个机房,两个机房的配置和组网完全对称,其中一个机房在运行中发生业务全网业务中断,主备倒换之后业务恢复,另外一个机房的防火墙没有出现此问题。问题没有复现,后来研发到现网支持,并进行相关业务割接的时候复现问题,最终定位为防火墙双机热备的问题。
2.1组网图:
组网图如下所示,两个机房形成对称组网,其中左边的机房出现了全网业务中断的情况,二右边的机房业务一直都运行正常,两边机房组网配置几乎完全一样。图中虚线表示是备份链路,防火墙上下行设备都起VRRP,防火墙起HRP。
2.2防火墙配置:
防火墙下行是交换机,做二层转发用,防火墙上行是NE40,上面配置二层板,能透传组播及广播报文。附件中是防火墙的配置,除了主备防火墙的ACL不一致之外,其他的配置
都没有什么问题。
2.3故障现象:
当时发生故障的时候,现场工程师正在防火墙上做配置同步的操作,当时现场工程师发现不能连接到公网上,并且GGSN上报GTP隧道中断,打开包过滤,没有任何效果,业务仍然中断,后来直接通过拔掉主防火墙和NE40相连的接口的光模块,防火墙发生主备倒换,业务恢复正常。再把主防火墙上的光模块插上,主防火墙重新抢占为主,此时业务正常,由于业务中断时间10分钟左右,客户并不知道,业务恢复之后,防火墙研发人员赶赴南京进行问题的定位。
2.4定位过程:
当时现场操作的是合作方工程师,根据他们的描述,业务发生中断的时候没有在防火墙上做任何的操作,并且后来问题一直都没有复现,给问题定位带来了比较大的困难(现场工程师对发生故障的前后细节准确而详细的描述能给定位问题带来极大的帮助)。
后来通过查看防火墙当时记录的日志信息,发现发生故障之前,防火墙上有做配置同步的操作(现场工程师一直都没有反馈这一点)。在做了好几次配置同步的操作之后,备防火墙上出现主VGMP出现备->主->备的倒换。出现这种日志之后,现场工程师发现业务中断,在NE40的和CISCO相连的接口抓包显示,所有的业务都能从6502经过防火墙转发到NE40上,但是从NE40回来的报文在NE40至防火墙上被丢掉了,6502和防火墙直连的接口上抓不到报文。初步结论是回来的报文在NE40的上行口到防火墙的下行口之间被丢掉了,但是不能确定是防火墙丢包还是NE40丢包。
根据日志分析,发生故障前在主防火墙上做了配置同步的操作,由于此局点ACL的配置非常的多,接近5000条规则,ACL下发到NP板很消耗CPU资源,导致CPU占用率比较高,所以此时主备防火墙收到的主防火墙的VGMP的报文没有备即使送到VGMP模块,导致备防火墙VGMP 超时,发生备->主的切换,而切换之后又收到了VGMP的报文,备防火墙上的VGMP重新切换成备状态。在VGMP备->主的切换的时候,会发送VRRP虚地址的免费ARP,由于防火墙上行是
NE40,备防火墙发送VRRP虚地址的ARP导致NE40更新了自身的ARP表,使得报文转发到备防火墙上,业务中断。
根据上面日志分析的结论,后来在南京进行现网业务调整的时候,通过在备防火墙上下发ACL和应用策略路由等,业务中断的现象复现,在业务中断的时候,采集防火墙以及上下行设备的诊断信息,以及ARP表的信息,发现NE40上的ARP表确实是被更新了,导致流量转发到备防火墙上,备防火墙接口有大量的流量进入防火墙,但是没有报文从备防火墙出来,业务中断,证实了通过日志分析的结论。
2.5原因分析:
此现网故障原因是防火墙主备组网,备防火墙瞬间发生备->主->备的倒换,备防火墙发送VRRP虚地址和NAT地址池地址的免费ARP,导致NE40的ARP表项被更新,报文被转发到被防火墙上。防火墙双机热备份组网,防火墙如果收到目的MAC是VRRP虚MAC报文,会判断此虚MAC的VRRP是否为主,如果为主,则正常进行转发,如果是为备,直接丢弃报文。防火墙收到的报文的目的MAC是接口的MAC地址,主备防火墙都会进行转发。
防火墙上行的NE40到防火墙的下一跳的目的IP地址是VRRP虚地址,在备防火墙发送了VRRP虚地址的免费ARP之后,NE40更新了VRRP虚地址的ARP,报文备转发到备防火墙上,所有的报文备丢弃。
防火墙下行的6502来说,因为GGSN/SGSN的网关的地址是VRRP的虚地址,所以GGSN/SGSN 发往防火墙的报文的目的MAC都是VRRP的虚MAC,而6502为二层转发,主防火墙每秒钟会发一次VRRP的Hello报文,更新6502的MAC表,所以GGSN/SGSN发送到6502上的报文能备正确的转发到主防火墙上。
对于此问题,当防火墙上ACL的配置很多,是在主防火墙上执行配置同步或者是在备防火墙上配置ACL的时候出现的,所以不进行配置的操作就不会出现这个问题。同时如果由于这个原因导致业务中断,可以通过手动使防火墙发生主备倒换来恢复业务。如果不做任何操作,NE40的ARP在发生老化之前(ARP表项20分钟老化)会请求VRRP虚地址的ARP,这个时候主防火墙会回应此ARP请求,业务能在20分钟内自动恢复正常。可以通过升级防火墙最新维护版本解决此问题。
2.6问题定位思路:
对于发生全网业务中断的问题,通常就是因为备防火墙VGMP发生主备倒换,导致上下行设备的ARP表发生错误,报文转发到备防火墙上导致的。基本定位思路如下:1:首先排除包过滤的原因,以及攻击防范的原因。
2:查看防火墙上的会话的状态,用ping进行测试,查看如果有对应的ICMP的会话,但是仍然ping不通,就要查看icmp的回应报文是否达到发火墙了。
3:对于判断是回应的报文没有到达防火墙上,可以查看防火墙上下行的路由是否配置正确,ARP表项是否正确,如果不正确,查看并修改配置。
4:如果配置没有问题,查看业务故障的时候备防火墙的日志信息,如果有出现主备倒换的日志,说明备防火墙发生备->主->备的倒换,更新了上下行设备的ARP表,
导致业务异常,此时需要在防火墙上下行配置静态ARP,恢复业务,并寻求技术支
持。
2.7类似问题的其他局点:
防火墙双机热备份组网,备防火墙发生主备倒换导致全网业务中断,也在其他局点发生过,其中南非局点也是因为备防火墙VGMP发生了备->主->备的倒换,导致上下行设备的ARP表项错误,业务中断。
下面附件中是南非问题的分析报告:
10-08
南非E500双机热备出现
3案例三:双机热备份组网业务瞬断的问题。
2007年6月重庆某局点,防火墙透明模式割接上线之后,出现部分业务瞬断的情况,防火墙双机热备组网情况下,业务出现瞬断,现网出现此种情况的原因大部分是由于透明模式下防火墙备份MAC转发表导致的问题。
3.1组网图:
现网组网图如下所示,防火墙上下行都是交换机,防火墙透明模式接入,上下行交换机起STP协议,保证链路不成环,防火墙配置允许备机转发。
简化后的组网图如下所示:
3.2防火墙配置:
防火墙上下行都是交换机,防火墙透明模式接入,上下行交换机二层接入,起STP协议,防火墙不支持STP协议,直接透传STP的报文。配置入下附件所示:
3.3故障现象:
割接的主要过程分为几部分:
1 割接一台Eudemon到主用链路过程
割接组网:
首先,割接Eudemon500到主用链路DCN6506和IDC6506上,同时上下行分别串入一台交换机,串入交换机主要的目的是为了能够镜像抓包。
观察DCN6506,5500和IDC6506的MAC转发表正常,STP状态稳定,IDC6506的ARP表也正常。
DCN网管中心从DCN的维护终端登陆IDC的服务器操作正常,通过防火墙上下行交换机对比抓包,没有报文丢弃。
连续观察两个整点,IDC服务器向DCN的多个网元取数据正常,通过防火墙上下行交换机对比抓包,没有报文丢弃。
2 割接另一台Eudemon到备用链路过程
主用链路防火墙割接上网后,观察了两个多小时,业务都是正常的,说明防火墙转发业务没有问题,所以准备割接另一台Eudemon到备用链路DCN5500和IDC6506之间。
割接备用链路之前,参考韩工的建议,将主用链路的两台交换机撤下来,组网变成了:
观察了一下,业务恢复正常后,在备用链路串入了另外一台防火墙:
这时候,出现了一个问题:从IDC6506下的测试PC,ping DCN的网关10.190.44.254出现
不定期的丢包。
3.4定位过程:
通过察看DCN6506,5500和IDC6506的信息都没有看出什么异常信息。为了确定是不是防
火墙丢弃的报文,决定在主用链路上再串入交换机进行抓包分析:
1)将业务先倒到备用链路上。
2)主用链路Eudemon两侧分别串入一台交换机。
3)将业务倒回到主用链路上。
4)交换机上下行进行抓包,同时对比分析。
上下行抓包进行对比分析,发现丢包是IDC6506向网关10.190.44.254发送的icmp
request报文有时候被防火墙丢弃了。
再查询两台防火墙的MAC转发表,主用链路防火墙的MAC转发表是正确的:
HRP_M
Vlan-ID Mac-address Action Interface Type Aging-time TTL
3 0000-0c07-ac03 permit G1/0/0 dynamic 00:20:00 00:20:00
3 0050-0b79-4140 permit G1/0/0 dynamic 00:20:00 00:19:11
3 00e0-fcce-87b6 permit G2/0/0 dynamic 00:20:00 00:20:00
3 0009-124d-ba42 permit G2/0/0 dynamic 00:20:00 00:20:00
3 0009-127d-7735 permit G2/0/0 dynamic 00:20:00 00:09:47
3 000f-e250-3c90 permit G2/0/0 dynamic 00:20:00 00:09:51
3 000f-e21f-77a0 permit G1/0/0 dynamic 00:20:00 00:12:28
3 00e0-fc09-bcf9 permit G2/0/0 dynamic 00:20:00 00:19:24
3 0006-d6ff-8140 permit G1/0/0 dynamic 00:20:00 00:12:48
3 000b-5fdb-a4e1 permit G1/0/0 dynamic 00:20:00 00:20:00
3 000a-4124-b126 permit G1/0/0 dynamic 00:20:00 00:12:20
其中:0000-0c07-ac03是DCN网关MAC,对应IP地址10.190.44.254;
0009-124d-ba42是IDC VLAN3接口MAC,对应IP地址10.190.44.251;
防火墙的G1/0/0连接DCN的6506;G2/0/0连接IDC6506。
备用链路防火墙的MAC转发表是错误的:
HRP_S
Vlan-ID Mac-address Action Interface Type Aging-time TTL
3 0006-d6ff-8140 permit G2/0/0 dynamic 00:20:00 00:02:01
3 0000-0c07-ac03 permit G2/0/0 dynamic 00:20:00 00:02:01
3 0010-7bd2-051d permit G1/0/0 dynamic 00:20:00 00:02:12
3 0009-127d-7736 permit G2/0/0 dynamic 00:20:00 00:02:16
3 00e0-fcce-87b6 permit G2/0/0 dynamic 00:20:00 00:05:31
3 0009-124d-ba42 permit G2/0/0 dynamic 00:20:00 00:08:59
0000-0c07-ac03是DCN网关MAC,对应IP地址10.190.44.254,在备用链路上从G2/0/0学
习到了。备用防火墙从G2/0/0学习到该MAC地址的原因是:
如上图所示:DCN6506,5500和IDC6506组成了一个VLAN3的环,防火墙放在中间的链路
只是起到透明的作用,不影响STP协议状态。现网的STP协议稳定后的状态如蓝色线所示:只
有DCN5500到Eudemon500之间的接口是处于block阻塞状态;其他的接口都是forwarding状
态,可以转发报文。
那么DCN6506和IDC6506在VLAN3内发送的组播(CISCO路由器启用了HSRP协议,会周期发送HELLO报文)和广播报文(ARP报文)都会广播到备用链路的Eudemon500上,如绿色线所示,备用链路防火墙就会从GE2/0/0学习到DCN网关MAC。
3.5原因分析:
主备防火墙同时在线后,出现丢包的原因就找到了:主备链路的防火墙通过中间心跳线备份配置,状态表(session表,ARP表,MAC转发表)。备用链路防火墙因为组网的关系,从GE2/0/0学习到DCN网关MAC,这个表项备份到主设备后,会刷新主防火墙的MAC转发表,此时如果有报文从IDC6506发送到DCN6506的时候,防火墙会因为查不到DCN网关的MAC而丢弃报文。因为主用链路报文很多,所以主用链路防火墙会从GE1/0/0口重新学习到正确的DCN网关的MAC,这样主用链路通信就会正常。
由于防火墙是透明模式,依靠MAC表进行转发,所以一旦MAC出错,就会影响到报文的转发,出现业务中断,同时由于所有的报文都能更新防火墙的MAC转发表,所以在业务出现中断的时候,只要有其他报文过来刷新MAC表,防火墙就能正常转发。但是由于备防火墙能学习到MAC表并且备份到主防火墙上,所以导致业务又出现中断,这样就形成了业务瞬断的现象,或者是业务不稳定。
对于此问题防火墙最新维护版本已经解决此问题,可以升级到最新维护版本。在最新维护版本上,如果配置允许备机转发,将不再备份MAC转发表,如果不配置允许备机转发,备防火墙将学习不到MAC转发表,也不会带来问题。
3.6问题定位思路:
所有的双机热备份的问题的定位思路都是差不多的,在配置没有问题的情况下,需要查看转发的关键的表项如ARP表和MAC表。由于透明模式下防火墙要靠MAC转发表进行转发,所以在在业务出现故障的时候,不仅要查看防火墙上下行的ARP表,MAC转发表,STP状态,还需要查看防火墙的MAC转发表。基本定位思路如下:
1:首先排除包过滤的原因,以及攻击防范的原因。
2:透明模式,直接查看防火墙及上下行设备的MAC转发表,如果MAC转发表出错,可是shut down防火墙之间的心跳线,不让MAC表进行备份,或者是升级到最新维护版本,以及寻求技术支持。
3.7类似问题的其他局点:
对于防火墙透明模式,在浙江省某局点也因为备防火墙向主防火墙备份MAC转发表导致业务瞬断的问题,大致情况描述如下:
现网情况说明:
组网结构S3553 E300 SBC成口字型组网。S3552和SBC都启VRRP,E300透明模式,组网如下所示:
S3552-E300-SBC
| | |
S3552-E300-SBC
SBC光纤接口地址SBC1主172.16.254.8.SBC2备172.16.254.9,虚地址172.16.254.10,其中从S3552和E300 PING我SBC虚地址会丢包,没有规律信,有时候几个包丢一个,有时后十几个包丢一个,ping接口实地址没有丢包是正常的,拔掉一备用的SBC连接E300的光纤,从S3552和E300PING SBC虚地址没有丢包是正常的。从SBC主PING S3552虚地址没有丢包是正常的。从SBC备PING SBC虚地址也会丢包。
测试尝试:
1.在SBC和S3552和E300绑定SBC的虚地址17
2.16.254.10的MGC地址,PING还是丢包。
2.倒换SBC,把主用切换到SBC2,测试还是丢包。
3.从S3552到SBC做地址的静态路由,测试还是丢包
原因分析:
防火墙上下行都起VRRP,由于VRRP的报文是广播报文,并且S3552和SBC都是使用的VRRP 的虚地址作为指向对方的网关地址,在VRRP报文通过E300转发的过程中,主备防火墙都能学习到的VRRP虚地址的MAC转发表,如果备防火墙把学习到的MAC转发表备份到主防火墙上,将导致主防火墙MAC转发表出错,出现业务中断。
由于备防火墙每个8秒左右备份一次MAC转发表,MAC表从备防火墙备份到主防火墙的时候,主防火墙MAC转发表错误,发生丢包。3553和SBC的VRRP每秒钟会发送一个VRRP的Hello 报文,更新主防火墙的MAC转发表,MAC转发表恢复正常,业务正常。由于以上原因所以出现没有规律性的丢包。
此问题通过升级到防火墙最新维护版本之后解决。
SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP
目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)
并发连接数 并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。 并发连接数是衡量防火墙性能的一个重要指标。在目前市面上常见防火墙设备的说明书中大家可以看到,从低端设备的500、1000个并发连接,一直到高端设备的数万、数十万并发连接,存在着好几个数量级的差异。那么,并发连接数究竟是一个什么概念呢?它的大小会对用户的日常使用产生什么影响呢?要了解并发连接数,首先需要明白一个概念,那就是“会话”。这个“会话”可不是我们平时的谈话,但是可以用平时的谈话来理解,两个人在谈话时,你一句,我一句,一问一答,我们把它称为一次对话,或者叫会话。同样,在我们用电脑工作时,打开的一个窗口或一个Web页面,我们也可以把它叫做一个“会话”,扩展到一个局域网里面,所有用户要通过防火墙上网,要打开很多个窗口或Web页面发(即会话),那么,这个防火墙,所能处理的最大会话数量,就是“并发连接数”。 像路由器的路由表存放路由信息一样,防火墙里也有一个这样的表,我们把它叫做并发连接表,是防火墙用以存放并发连接信息的地方,它可在防火墙系统启动后动态分配进程的内存空间,其大小也就是防火墙所能支持的最大并发连接数。大的并发连接表可以增大防火墙最大并发连接数,允许防火墙支持更多的客户终端。尽管看上去,防火墙等类似产品的并发连接数似乎是越大越好。但是与此同时,过大的并发连接表也会带来一定的负面影响: 并发连接数的增大意味着对系统内存资源的消耗 以每个并发连接表项占用300B计算,1000个并发连接将占用300B×1000×8bit/B≈2.3Mb内存空间,10000个并发连接将占用23Mb内存空间,100000个并发连接将占用230Mb内存空间,而如果真的试图实现1000000个并发连接的话那么,这个产品就需要提供2.24Gb内存空间! 并发连接数的增大应当充分考虑CPU的处理能力 CPU的主要任务是把网络上的流量从一个网段尽可能快速地转发到另外一个网段上,并且在转发过程中对此流量按照一定的访问控制策略进行许可检查、流量统计和访问审计等操作,这都要求防火墙对并发连接表中的相应表项进行不断的更新读写操作。如果不顾CP U的实际处理能力而贸然增大系统的并发连接表,势必影响防火墙对连接请求的处理延迟,造成某些连接超时,让更多的连接报文被重发,进而导致更多的连接超时,最后形成雪崩效应,致使整个防火墙系统崩溃。 物理链路的实际承载能力将严重影响防火墙发挥出其对海量并发连接的处理能力 虽然目前很多防火墙都提供了10/100/1000Mbps的网络接口,但是,由于防火墙通常都部署在Internet出口处,在客户端PC与目的资源中间的路径上,总是存在着瓶颈链路——该瓶颈链路可能是2Mbps专线,也可能是512Kbps乃至64Kbps的低速链路。这些拥挤的低速链路根本无法承载太多的并发连接,所以即便是防火墙能够支持大规模的并发访问连接,也无法发挥出其原有的性能。 有鉴于此,我们应当根据网络环境的具体情况和个人不同的上网习惯来选择适当规模的并发连接表。因为不同规模的网络会产生大小不同的并发连接,而用户习惯于何种网络服务
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
双机热备解决方案 1.1 双机备份方案描述 现代IT技术认为,一个成功系统中数据及作业的重要性已远超过硬件设备本身,在一套完善的系统中对数据的安全及保障有着极高的要求。双机容错系统是由IBM公司提出的全套集群解决方案,结合IBM 服务器产品的安全可靠性和集群技术的优点,为用户提供一个完善的系统。 1.1.1 双机备份方案的原理 两台服务器通过磁盘阵列或纯软件模式,连接成为互为备份的双机系统,当主服务器停机后,备份服务器能继续工作,防止用户的工作被中断。 1.1.2 双机备份方案的适用范围 用户对系统的连续工作性和实时性要求较高,系统停机对系统的影响很大,造成很大的损失。 1.1.3 双机备份的方式及优缺点 磁盘阵列备份方式—— 两台服务器通过磁盘阵列连接起来,形成备份系统,此方法硬件投资 大,价格较贵,但系统易于安装,也相对稳定。 磁盘阵列备份模式示意图 1.2双机备份方案 由IBM系列产品组成硬盘备份模式 主机:采用IBM X255 主机网卡:采用IBM 10/100/1000MM网卡 磁盘阵列:采用EXP300 磁盘阵列, 配制RAID 5 具体实现方法参见后面章节附图和说明 IBM X255结合EXP300磁盘阵列的双机方案
系统简述: 整个系统由两台IBM高端服务器X255和EXP 300磁盘阵列构成双机备份模式,双台服务器互为备份,当一台服务器出现问题停机时,另一台服务器能实时接管中断的工作,保证业务系统的正常运行。EXP 300磁盘柜磁盘具有热插拔功能,具可以灵活组成RAID模式,当一块硬盘损坏,数据可以恢复,保证数据不丢失。 1 .3 IBM PC 服务器双机容错系统解决方案 由于采用了双机容错的集群结构,系统具有极高的可靠性。两台服务器可以作为一个整体对网络提供服务,且相互间互为监控。集群具有一定的负载平衡功能,可将一个任务的多个进程分摊到两台服务上运行,提高系统的整体性能。当一台服务器发生故障时,其上所运行的进程及服务可以自动地由另一台服务器接管,保证网络用户的工作不受影响。同时,如果系统采用RAID技术对数据进行保护,可确保重要数据不因系统故障而造成损失。 特点: 高可靠性 支持冗余磁盘阵列 冗余电源和风扇设计 所有部件均支持热插拔 主机可各自运行自己的应用,互为备份,共享磁盘数据 高性能单块IBM ServeRAID卡数据传输带宽可达 160MB/s 数据传输I/O可达3000次/s 主机与磁盘间的距离可达20米 高可用性 可扩展性强/性能价格比高/高容错性,系统安全高效 产品介绍(略,有兴趣的朋友可以去IBM网站看看详细的介绍)
防火墙设备技术要求 一、防火墙参数要求: 1.性能方面: 1.1网络吞吐量>10Gbps,应用层吞吐率>2Gbps,最大并发连接数>400万(性能要求真实可靠,必须在设备界面显示最大并发连接数不少于400万),每秒新建连接>15万。 1.2万兆级防火墙,网络接口数量不少于12个接口,其中千兆光口不少于4个、千兆电口不少于6个、万兆光接口不少于2个,另外具有不少于2个通用扩展插槽。 1.3冗余双电源,支持HA、冗余或热备特性。 1.4具备外挂日志存储系统,用于存储防火墙日志文件等相关信息,另外支持不同品牌网络设备、服务器等符合标准协议的日志格式,日志存储数量无限制。 1.5内置硬盘,不小于600G,用于日志存储。 2.功能方面(包含并不仅限于以下功能): 2.1具有静态路由功能,包括基于接口、网关、下一跳IP地址的静态路由功能。 2.2具有OSPF动态路由功能,符合行业通用的OSPF协议标准。 2.3具有网络地址转换功能,支持一对一、多对一、多对多的网络地址转换功能。
2.4具有OSI网络模型三层至七层访问控制功能,可基于IP、端口号、应用特征、数据包大小、URL、文件格式、内容、时间段等进行安全访问控制和过滤。 2.5具有基于资源和对象的流量分配功能,包括基于单个IP、网段、IP组、访问源地址及目标地址、应用等的流量管理、分配。 2.6完善的日志及审计系统,防火墙内所有功能均具备相应的日志可供查看和审计。 2.7具有内置或第三方CA证书生成、下发及管理功能。 2.8具有身份认证、身份审计功能,支持用户ID与用户IP 地址、MAC地址的绑定,支持基于CA证书、AD域、短信、微信等多种身份认证方式。 2.9具有入侵检测模块,支持入侵防护、DoS/DDoS防护,包含5年特征库升级服务。 2.10具有上网行为管理模块,支持上网行为检测、内容过滤等功能,包含5年应用特征库升级服务。 2.11具有病毒防护模块,可包含5年病毒库升级服务。 2.12具备基于WEB页面的管理、配置功能,可通过WEB 页面实现所有功能的配置、管理和实时状态查看。 2.13具有SSL VPN模块,含不低于50人的并发在线数。针对手机和电脑,有专门的SSL VPN客户端。 3.质保和服务
论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为 USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。1、如何使两台防火墙形成双机热备负载分担状态 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】
UPS电源安装实施方案 1.双机集群介绍 1.1.双机集群的原理说明 双机容错是计算机应用系统稳定、可靠、有效、持续运行的重要保证。它通过系统冗余的方法解决计算机应用系统的可靠性问题,并具有安装维护简单、稳定可靠、监测直观等优点。当一台主机出现故障的时候,可及时启动另一台主机接替原主机任务,保证了用户数据的可靠性和系统的持续运行。在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。 双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前采用较多的一种模式。
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
华为USG6000系列下一代防火墙详细性能参数表
能,与Agile Controller配合可以实现微信认证。 应用安全●6000+应用协议识别、识别粒度细化到具体动作,自定义协议类型,可与阻断、限流、审计、统计等多种手段自由结合在线协议库升 级。注:USG6320可识别1600+应用。 ●应用识别与病毒扫描结合,发现隐藏于应用中的病毒,木马和恶意软件,可检出超过500多万种病毒。 ●应用识别与内容检测结合,发现应用中的文件类型和敏感信息,防范敏感信息泄露。 入侵防御●基于特征检测,支持超过3500漏洞特征的攻击检测和防御。 ●基于协议检测,支持协议自识别,基于协议异常检测。 ●支持自定义IPS签名。 APT防御与沙箱联动,对恶意文件进行检测和阻断。 Web安全●基于云的URL分类过滤,支持8500万URL库,80+分类。 ●提供专业的安全URL分类,包括钓鱼网站库分类和恶意URL库分类。 ●基于Web的防攻击支持,如跨站脚本攻击、SQL注入攻击。 ●提供URL关键字过滤,和URL黑白名单。 邮件安全●实时反垃圾邮件功能,在线检测,防范钓鱼邮件。 ●本地黑、白名单,远程实时黑名单、内容过滤、关键字过滤、附件类型、大小、数量。 ●支持对邮件附件进行病毒检查和安全性提醒。 数据安全●基于内容感知数据防泄露,对邮件,HTTP,FTP,IM、SNS等传输的文件和文本内容进行识别过滤。 ●20+文件还原和内容过滤,如Word、Excel、PPT、PDF等),60+文件类型过滤。 安全虚拟化安全全特性虚拟化,转发虚拟化、用户虚拟化、管理虚拟化、视图虚拟化、资源虚拟化(带宽、会话等)。 网络安全●DDoS攻击防护,防范多种类型DDoS攻击,如SYN flood、UDP flood、ICMP flood、HTTP flood、DNS flood、ARP flood和ARP 欺骗等。 ●丰富的VPN特性,IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE等。 路由特性●IPv4:静态路由、RIP、OSPF、BGP、IS-IS。 ●IPv6:RIPng、OSPFv3、BGP4+、IPv6 IS-IS、IPv6RD、ACL6。 部署及可靠性透明、路由、混合部署模式,支持主/主、主/备HA特性。 智能管理●支持根据应用场景模板生成安全策略,智能对安全策略进行优化,自动发现冗余和长期不使用的策略。 ●全局配置视图和一体化策略管理,配置可在一个页面中完成。 ●可视化多维度报表呈现,支持用户、应用、内容、时间、流量、威胁、URL等多维度呈现报表。 标准服务●USG6300-AC:SSL VPN 100用户。 ●USG6300-BDL-AC:IPS-AV-URL功能集升级服务时间12个月,SSL VPN 100用户。 可选服务●IPS升级服务:12个月/36个月 ●URL过滤升级服务:12个月/36个月●反病毒升级服务:12个月/36个月 ●IPS-AV-URL功能集:12个月/36个月 注:√表示为支持此项功能,—表示为不支持此项功能。
双机热备的数据备份和灾难备份方案 一、方案背景 1. 用户目前数据环境及需求 根据提供的信息,目前用户的系统环境如下描述:操作系统:Windows 操作系统,关键数据:VSS 数据库现在用户要备份的服务器为2台数据库服务器做双机热备集群,整个系统对于备份的要求:备份系统稳定可靠,保证随时能够备份/还原关键数据;对服务器有灾备的考虑,操作系统崩溃时能通过灾难备份快速恢复操作系统。同时考虑远期建设目标平滑过渡,避免重复投资。 2. 用户目前状态和存在的问题 目前用户双机服务器拓扑图如下,这样的方式存在以下问题: a) 由于主机与备机及磁盘阵列中的数据都没有备份,一旦发生磁盘阵列数据丢失、主机与备机数据丢失事故时,将会造成重大损失。 b) 当服务器操作系统崩溃时,无法快速恢复。 二、设计方案 1. 设计原则 根据上述问题建议的备份方案应该遵循以下原则:备份系统应该支持Open File 热备份功能磁盘阵列连接在专用的备份服务器上、对双机集群中的2台机器都能进行数据备份、备份软件支持定时计划备份、备份软软件支持服务器灾难备份、备份软件提供网络集中备份功能,能集中备份网络上其余SQL Server、ORACLE或文件数据,提供良好的扩展性。 2. 方案的设计 依据上述设计原则,建议采用爱数备份软件专业备份软件安装在一台备份服务器上,通过网络对双机系统进行数据备份和操作系统灾难备份。Backup Exec 作为专业的备份软件,具有以下优点: c) 专业的企业网络集中备份解决方案,一台备份服务器可以备份网络上多台服务器数据(文件服务器、VSS服务器、数据库服务器、邮件服务器等) d) 备份软件支持Open file 热备份功能,能对正在使用的数据进行备份。 e) 能根据需要制定灵活多变的备份计划任务 f) 支持服务器操作系统崩溃灾难备份/恢复
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
防火墙性能测试综述 摘要 作为应用最广泛的网络安全产品,防火墙设备本身的性能如何将对最终网络用户得到的实际带宽有决定性的影响。本文从网络层、传输层和应用层三个层面对防火墙的常用性能指标及测试方法进行了分析与总结,并提出了建立包括网络性能测试、IPSec VPN性能测试及安全性测试在内的完整测试体系及衡量标准的必要性。 1 引言 防火墙是目前网络安全领域广泛使用的设备,其主要目的就是保证对合法流量的保护和对非法流量的抵御。众所周知,在世界范围内网络带宽(包括核心网络及企业边缘网络)总的趋势是不断的提速升级,然而从网络的整体结构上看,防火墙恰处于网络的末端。显而易见,防火墙的网络性能将对最终网络用户得到的实际带宽有决定性的影响,特别是骨干网上使用的千兆防火墙,性能的高低直接影响着网络的正常应用。所以,目前防火墙的网络性能指标日益为人们所重视,地位也越来越重要。因此,在防火墙测试工作中性能测试是极其重要的一部分。 作为网络互联设备,参考RFC1242/2544对其在二、三层的数据包转发性能进行考量,是大部分网络设备性能测试的基本手段和方法,同时进行二、三层的测试也可以帮助确定性能瓶颈是存在于下层的交换转发机制还是在上层协议的处理,并检测所采用的网卡及所改写的驱动程序是否满足性能要求,它有利于故障的定位。作为防火墙来说,最大的特点就是可以对4~7层的高层流量进行一定的控制,这就必然对性能造成一定的影响,而这种影响有多大,会不会成为整个网络的瓶颈,就成为人们所关心的问题。据此,我们认为完整的防火墙网络性能测试应该由网络层测试、传输层测试和应用层测试三部分组成。 2 网络层性能测试 网络层性能测试指的是防火墙转发引擎对数据包的转发性能测试,RFC1242/2544是进行这种测试的主要参考标准,吞吐量、时延、丢包率和背对背缓冲4项指标是其基本指标。这几个指标实际上侧重在相同的测试条件下对不同的网络设备之间作性能比较,而不针对仿真实际流量,我们也称其为“基准测试”(Base Line Testing)。 2.1 吞吐量 (1)指标定义 网络中的数据是由一个个数据帧组成,防火墙对每个数据帧的处理要耗费资源。吞吐量就是指在没有数据帧丢失的情况下,防火墙能够接受并转发的最大速率。IETF RFC1242中对吞吐量做了标准的定义:“The Maximum Rate at Which None of the Of fered Frames are Dropped by the Device.”,明确提出了吞吐量是指在没有丢包时的最大数据帧转发速率。吞吐量的大小主要由防火墙内网卡及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大打折扣。 (2)测试方法 在RFC2544中给出了该项测试的步骤过程及测试方法:在测试进行时,测试仪表的发送端口以一定速率发送一定数量的帧,并计算所发送的字节数和分组数,在接收端口也计算
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。
存储集群双机热备方案
目录 一、前言 (3) 1、公司简介 (3) 2、企业构想 (3) 3、背景资料 (4) 二、需求分析 (4) 三、方案设计 (5) 1.双机容错基本架构 (5) 2、软件容错原理 (6) 3、设计原则 (7) 4、拓扑结构图 (7) 四、方案介绍 (10) 方案一1对1数据库服务器应用 (10) 方案二CLUSTER数据库服务器应用 (11) 五、设备选型 (12) 方案1:双机热备+冷机备份 (12) 方案2:群集+负载均衡+冷机备份 (13) 六、售后服务 (15) 1、技术支持与服务 (15) 2、用户培训 (15)
一、前言 1.1、公司简介 《公司名称》成立于2000年,专业从事网络安全设备营销。随着业务的迅速发展,经历了从计算机营销到综合系统集成的飞跃发展。从成立至今已完成数百个网络工程,为政府、银行、公安、交通、电信、电力等行业提供了IT相关系统集成项目项目和硬件安全产品,并取得销售思科、华为、安达通、IBM、HP、Microsoft等产品上海地区市场名列前茅的骄人业绩。 《公司名称》致力于实现网络商务模式的转型。作为国内领先的联网和安全性解决方案供应商,《公司名称》对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全国各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。 《公司名称》推出的一系列互联网解决方案,提供所需的安全性和性能来支持国内大型、复杂、要求严格的关键网络,其中包括国内的20余家企事业和政府机关. 《公司名称》成立的唯一宗旨是--企业以诚信为本安全以创新为魂。今天,《公司名称》通过以下努力,帮助国内客户转变他们的网络经济模式,从而建立强大的竞争优势:(1)提出合理的解决方案,以抵御日益频繁复杂的攻击 (2)利用网络应用和服务来取得市场竞争优势。 (3)为客户和业务合作伙伴提供安全的定制方式来接入远程资源 1.2、企业构想 《公司名称》的构想是建立一个新型公共安全网络,将互联网广泛的连接性和专用网络有保障的性能和安全性完美地结合起来。《公司名称》正与业界顶尖的合作伙伴协作,通过先进的技术和高科产品来实施这个构想。使我们和国内各大企业可通过一个新型公共网络来获得有保障的安全性能来支持高级应用。 《公司名称》正在帮助客户改进关键网络的经济模式、安全性以及性能。凭借国际上要求最严格的网络所开发安全产品,《公司名称》正致力于使联网超越低价商品化连接性的境界。《公司名称》正推动国内各行业的网络转型,将今天的"尽力而为"网络改造成可靠、安全的高速网络,以满足今天和未来应用的需要。 1.3、背景资料 随着计算机系统的日益庞大,应用的增多,客户要求计算机网络系统具有高可靠,高
DPtech FW1000系列应用防火墙 典型配置 手册版本:v3.2 软件版本:FW1000-S211C011D001P15 发布时间:2018-12-07
声明 Copyright ? 2008-2018杭州迪普科技股份有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 为杭州迪普科技股份有限公司的商标。 对于本手册中出现的其他所有商标或注册商标,由各自的所有人拥有。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技股份有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技股份有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技股份有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。 杭州迪普科技股份有限公司 地址:杭州市滨江区通和路68号中财大厦6层 邮编:310051 网址:https://www.doczj.com/doc/8115428128.html, 技术论坛:https://www.doczj.com/doc/8115428128.html, 7x24小时技术服务热线:400-6100-598
约定图形界面格式约定 各类标志约定 表示操作中必须注意的信息,如果忽视这类信息,可能导致数据丢失、功能失效、设备损坏或不可预知的结果。 表示对操作内容的描述进行强调和补充。
目录 1产品介绍 ........................................................................................................................................... 1-1 1.1产品概述.................................................................................................................................. 1-1 1.2产品特点.................................................................................................................................. 1-1 2设备基本配置维护案例...................................................................................................................... 2-1 2.1登陆防火墙设备Web界面....................................................................................................... 2-1 2.1.1组网说明........................................................................................................................ 2-1 2.1.2配置前提........................................................................................................................ 2-1 2.1.3注意事项........................................................................................................................ 2-1 2.1.4配置思路........................................................................................................................ 2-2 2.1.5配置步骤........................................................................................................................ 2-2 2.1.6结果验证........................................................................................................................ 2-3 2.2 Telnet/SSH远程管理防火墙..................................................................................................... 2-4 2.2.1组网说明........................................................................................................................ 2-4 2.2.2配置前提........................................................................................................................ 2-5 2.2.3注意事项........................................................................................................................ 2-5 2.2.4配置思路........................................................................................................................ 2-5 2.2.5配置步骤........................................................................................................................ 2-5 2.2.6结果验证........................................................................................................................ 2-6 2.3限制特定IP/特定协议管理防火墙 ............................................................................................ 2-7 2.3.1组网说明........................................................................................................................ 2-7 2.3.2配置前提........................................................................................................................ 2-7 2.3.3注意事项........................................................................................................................ 2-7 2.3.4配置思路........................................................................................................................ 2-7 2.3.5配置步骤........................................................................................................................ 2-8 2.3.6结果验证........................................................................................................................ 2-9 2.4保存/下载/导入防火墙配置文件.............................................................................................. 2-10 2.4.1组网说明...................................................................................................................... 2-10 2.4.2配置前提...................................................................................................................... 2-10 2.4.3注意事项...................................................................................................................... 2-10 2.4.4配置思路...................................................................................................................... 2-10 2.4.5配置步骤....................................................................................................................... 2-11 2.4.6结果验证...................................................................................................................... 2-13 2.5 Web页面升级防火墙软件版本 ............................................................................................... 2-13