練振興

摘要：該文介紹了防火墻熱備（H0t standby）的技術(shù)原理。并通過VGMP（VRRP Group Management Protocol）對虛擬路由冗余協(xié)議VRRP（Virmal Router Redundancy Protocol）進(jìn)行統(tǒng)一管理來實現(xiàn)防火墻雙機(jī)熱備的具體實例，探索了防火墻雙機(jī)熱備在生產(chǎn)環(huán)境下的應(yīng)用，提高了企業(yè)網(wǎng)絡(luò)的性能和高可靠性。

關(guān)鍵詞：防火墻;VGMP;雙機(jī)熱備;高可靠性

中圖分類號：TP399 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）01-0017-01

1概述

防火墻熱備，是指在真實的企業(yè)網(wǎng)絡(luò)中，通過部署兩臺或多臺防火墻，防火墻之間相互協(xié)作工作，互為備份，實現(xiàn)負(fù)載均衡，提高企業(yè)網(wǎng)絡(luò)的可靠性。

VRRP可以用于路由器網(wǎng)關(guān)冗余，也可以用于防火墻熱備。在VRRP模式下，在多臺防火墻中選舉出主設(shè)備Master（一般選優(yōu)先級最高的設(shè)備），其他作為備用設(shè)備Backup，正常情況下，由主設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)，當(dāng)主設(shè)備有故障，則從備用設(shè)備中選優(yōu)先級高的設(shè)備成為新的主設(shè)備，承擔(dān)轉(zhuǎn)發(fā)數(shù)據(jù)，保證業(yè)務(wù)的不會因某一臺設(shè)備有故障而中斷。

VRRP有其缺點，如果防火墻兩端兩個VRRP備份組獨立工作，會造成訪問外網(wǎng)數(shù)據(jù)來回路徑不一致，甚至收到無法返回的數(shù)據(jù)。VGMP是VRRP組管理協(xié)議，將一臺設(shè)備上的多個VRRP備份組加入一個VGMP組，VGMP組的狀態(tài)決定設(shè)備的角色（Master還是Backup）。當(dāng)主設(shè)備Master的某一個VRRP備份組的接口發(fā)生故障時，VGMP組優(yōu)先級降低，從設(shè)備成為主設(shè)備，轉(zhuǎn)發(fā)數(shù)據(jù)，確保通信正常。

2部署防火墻熱備

2.1配置安全策略

4.2驗證結(jié)果

使用PING命令測試，發(fā)現(xiàn)只丟失幾個包，主設(shè)備從FWl切換到FW2，防火墻熱備驗證成功。

5結(jié)束語

在以上企業(yè)實際生產(chǎn)環(huán)境通過VGMP對VRRP進(jìn)行統(tǒng)一管理來實現(xiàn)防火墻雙機(jī)熱備的具體實例中，正在轉(zhuǎn)發(fā)數(shù)據(jù)的防火墻FWI某一個端口發(fā)生故障時，防火墻FW2將成為主設(shè)備，承擔(dān)轉(zhuǎn)發(fā)數(shù)據(jù)，保證數(shù)據(jù)通信的正常進(jìn)行，提高了企業(yè)網(wǎng)絡(luò)的可靠性。

值得注意的是，用于防火墻雙機(jī)熱備的兩臺防火墻一定要型號相同，用于心跳線的接口必須編號相同且要加入相同的安全區(qū)域，否則有可能影響防火墻雙機(jī)熱備功能的實現(xiàn)。