织梦做网站简单吗,太原微网站制作,长春 建网站,公司宣传册设计样本设计具体的NAT和双机热备实验请到#xff1a;NAT与双机热备实验 目录
1、ALG
2、NAT ALG
3、NAT域间双向转换
4、NAT域内双向转换
5、双出口NAT
6、防火墙的双机热备
解决方案1#xff1a;VGMP
6.1 双机热备份技术产生的背景#xff1a;
6.2 VRRP在多区域防火墙组网中的… 具体的NAT和双机热备实验请到NAT与双机热备实验 目录
1、ALG
2、NAT ALG
3、NAT域间双向转换
4、NAT域内双向转换
5、双出口NAT
6、防火墙的双机热备
解决方案1VGMP
6.1 双机热备份技术产生的背景
6.2 VRRP在多区域防火墙组网中的应用
6.3 VRRP在防火墙中应用的缺陷
6.4 VGMP的基本原理
6.5 VGMP组管理
解决方案2HRP
6.6 备份内容会话表备份配置备份
6.7 备份方向
6.8 备份通道
6.9 防火墙双机热备份主备切换的故障场景 1、ALG
应用网关用来处理上述应用层在nat转换场景转换问题。
ALG 作用之一观测多通道协议的协商包
2、NAT ALG
某些协议会在应用层携带通信ip即没有有nat转换前的ip这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层而是转三层ip这就是导致某些协议的通信阶段在nat场景下失败。 问题1由于nat在转发过程中破坏了源ip的完整性
所以需要使用server-map创建一条隐形通道用来让nat地址进出
问题2TCP的校验和检验ip的源目IP地址
NAT转换的动作把IP改掉然后去TCP的校验和中把修改后的校验和再校验一遍未首部校验
NAT转换不仅仅和IP首部还有TCP的首部
防火墙的解决方案
1、创建一个nat
2、创建server-map隐形通道 注意防火墙设置nat只写真实地址 服务映射NAT外-内 目标写内网服务器ip 内-外 源写本地主机ip 3、NAT域间双向转换
外网访问内网服务器内网服务器访也需要问外网的场景
4、NAT域内双向转换
使用场景内网的人要想访问内网的服务器但是dns解析需要到外网解析然后pc的访问与服务器的响应路径不一致的问题
5、双出口NAT
双NAt会出现nat地址转换错乱
解决方案
启动防火墙多出口选项网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法
原理就是通过上述手段把路由与NAT转换通过系一条做了关联 注意在防火墙图形化配置ip时一定要写默认网关然后记着勾着多出口选项 6、防火墙的双机热备
解决方案1VGMP
6.1 双机热备份技术产生的背景
当内部用户和和外部用户的交互式报文全部通过防火墙A。如果防火墙A出现故障则内部网络中所有以防火墙A作为默认网关的通讯将会中断通讯可靠性无法保证。
为了防止一台设备出现意外故障而导致网络中断业务中断可以采用两台防火墙形成双机备份
6.2 VRRP在多区域防火墙组网中的应用
为了防止多个区域提供双机如被功能时需要在每一台防火墙上配置多个VRRP备份组
6.3 VRRP在防火墙中应用的缺陷
使用传统的VRRP方式无法实现主、备防火墙状态信息和多组VRRP状态的一致性
6.4 VGMP的基本原理
为了保证所有的VRRP备份组切换的一致性在VRRP的基础上进行了扩展推出了VGMPVRRP组协议管理协议来弥补次局限。将同一台防护墙上的多个VRRP备份组都加入到一个VGMP管理组由管理组统一管理所有VRRP备份组的状态来保证管理组内的所有VRRp备份状态都是一致的 防火墙VGMP组状态分为三类load-balance负载均衡 Active、standy 防火墙VGMP组通过发送VGMP报文通告自身的运行状态从而根据hello优先级决定主备设备主设备VGMP组的状态为Active备设备的状态为standby 当防火墙上的VGMP组为Active/standby时组内的所有VRRP备份组的状态都是Active/standby; 当发生故障时VGMP统一切换到VRRP备份组1与VRRP备份组2的状态。当VGMP组状态为Active时VRRP备份组的状态都是Master当VGMP组状态都是backup
6.5 VGMP组管理
状态一致性管理VGMP管理组控制所有的VRRP备份组统一切换VRRP备份组加入到管理组后状态不能单独切换
抢占管理 当原来出现故障的主设备故障恢复时其VGMP管理组优先级也会恢复此时可以重新将自己的VGMP管理组状态抢占为主; 当VRRP备份组加入到VGMP管理组后备份组上原来的抢占功能将失效抢占行为发生与否必须由VGMP管理组统一决定
通道管理所谓通道管理就是为了确定双机热备的两台防火墙之间有哪些接口是可用的VGMP、HRP模块将自动选用可用接口来发送VGMP、HRP报文。
注 VGMP自己选举主备 VRRP的主备由VGMP选举产生
解决方案2HRP
HRPhuawei redundancy protocol协议用来实现防火墙双机之间状态信息和关键配置命令的动态备份
6.6 备份内容会话表备份配置备份 策略: 安全策、NAT策略、认证策略、攻击防范和ASPF等; 对象: 地址、地区、服务、应用、用户、认证服务器、时间段地址池、URL分类、关键字组、邮件地址组、签名和安全配置文件等; 网络: 新建逻辑接口、安全区域、DNS、静态路由(配置hrpauto-sync config static-route后才可以备份)、IPSec和SSLVPN等 系统:管理员、虚拟系统、日志配置等。 状态信息:会话表、Sever-map表、黑白名单、地址映射表、MAC表、用户表、IPSec安全联盟和隧道等。
6.7 备份方向 支持备份的配置命令默认只能在配置主设备上执行这些命令会自动备份到备设备上例如安全策略配置命令、NAT策略配置命令等 主备备份组网中只有主备份会处理业务主设备上生成业务表项并向备份设备备份。负载均衡分担组网中两台防火墙设备都会处理业务都会生成业务表项并向对端设备备份
6.8 备份通道 配置和状态需要网络管理员指定备份通道接口进行备份。一般情况下在两台设备上直连的端口作为备份通道有时候也称为“心跳线”
备份方式 自动备份 手动批量备份 设备重启主备防火墙的配置自动同步 会话快速备份
6.9 防火墙双机热备份主备切换的故障场景 业务线路故障 整机故障 心跳线故障
