雙機(jī)熱備技術(shù)的研究與實(shí)現(xiàn)

摘 ?要：雙機(jī)熱備是在網(wǎng)絡(luò)出口處部署兩臺(tái)網(wǎng)關(guān)設(shè)備，以防一臺(tái)設(shè)備出現(xiàn)故障而導(dǎo)致網(wǎng)絡(luò)中斷。使用華為路由器仿真模擬軟件（eNSP）設(shè)計(jì)防火墻雙機(jī)熱備實(shí)驗(yàn)方案，分析了組管理協(xié)議（VGMP）和冗余備份協(xié)議（HRP），構(gòu)建了以命令行方式配置防火墻雙機(jī)熱備的方案，并對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了有效性驗(yàn)證。在具體的實(shí)驗(yàn)教學(xué)設(shè)計(jì)中，給出詳細(xì)的配置方案設(shè)計(jì)，繪制了網(wǎng)絡(luò)拓?fù)鋱D，完成了防火墻的命令配置，最后進(jìn)行了連通測(cè)試。

關(guān)鍵詞：eNSP；雙機(jī)熱備；VGMP；HRP；實(shí)驗(yàn)研究

中圖分類號(hào)：TP393.1 ? 文獻(xiàn)標(biāo)識(shí)碼：A ? ? 文章編號(hào)：2096-4706（2023）14-0084-04

Research and Implementation of Dual-Machine Hot Standby Technology

YANG Yumei

（Department of Computer Science and Technology， Huaibei Vocational & Technical College， Huaibei ?235000， China）

Abstract： Dual-machine hot standby is to deploy two gateway devices at the network egress to prevent network interruption caused by the failure of one device. Using Huawei Router Simulation Software （eNSP） to design a firewall dual machine hot standby experimental scheme， analyze the Group Management Protocol （VGMP） and Redundant Backup Protocol （HRP）， construct a solution for configuring firewall dual machine hot standby through command line mode， and validate the effectiveness of the experimental results. In the specific experimental teaching design， detailed configuration scheme design is provided， network topology diagram is drawn， firewall command configuration is completed， finally， connectivity testing is conducted.

Keywords： eNSP; dual-machine hot standby; VGMP; HRP; experimental research

0 ?引 ?言

互聯(lián)網(wǎng)的高速發(fā)展推動(dòng)了企業(yè)的不斷發(fā)展，為保護(hù)企業(yè)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)安全，企業(yè)需要部署防火墻并設(shè)置安全策略，但是傳統(tǒng)網(wǎng)絡(luò)中一臺(tái)防火墻出現(xiàn)故障后，會(huì)引起企業(yè)網(wǎng)絡(luò)癱瘓，為確保網(wǎng)絡(luò)在業(yè)務(wù)傳輸中不中斷，可通過(guò)雙機(jī)熱備備份重要的數(shù)據(jù)信息，因此，雙機(jī)熱備在企業(yè)網(wǎng)絡(luò)中發(fā)揮非常重要的應(yīng)用。

通過(guò)網(wǎng)絡(luò)安全技術(shù)課程的教學(xué)研究，探索出一條通過(guò)華為eNSP軟件實(shí)現(xiàn)防火墻雙機(jī)熱備技術(shù)的方案，將兩臺(tái)安全設(shè)備防火墻部署在出口業(yè)務(wù)節(jié)點(diǎn)上，它的上下行設(shè)備都是交換機(jī)，兩臺(tái)防火墻是以主備備份方式工作。

1 ?雙機(jī)熱備技術(shù)

1.1 ?雙機(jī)熱備

雙機(jī)熱備技術(shù)是在網(wǎng)絡(luò)出口處使用兩臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)主備備份，如果防火墻主用設(shè)備有故障，鏈路不會(huì)出現(xiàn)中斷，流量會(huì)切換到防火墻備用設(shè)備，備用設(shè)備立即切換成主用設(shè)備，從而保證內(nèi)外部網(wǎng)絡(luò)間業(yè)務(wù)的正常開(kāi)展，提高了網(wǎng)絡(luò)穩(wěn)定性和可靠性，雙機(jī)熱備的實(shí)驗(yàn)中使用的是自動(dòng)備份的方式，可以完成實(shí)時(shí)備份[1]。

1.2 ?VRRP協(xié)議

VRRP（Virtual Router Redundancy Protocol）是一種虛擬路由冗余協(xié)議，把多臺(tái)物理設(shè)備虛擬為一臺(tái)設(shè)備實(shí)現(xiàn)冗余備份。它包括主用路由器、備用路由器和備份組，主用路由器相當(dāng)于網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文和發(fā)送VRRP報(bào)文，備用路由器處于備份狀態(tài)，不轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文，備份組是由VRRP路由器組成的虛擬組，提供一個(gè)虛擬IP地址對(duì)外部提供服務(wù)[2]。

VRRP在防火墻上使用時(shí)，傳統(tǒng)的VRRP方式不能實(shí)現(xiàn)主備狀態(tài)一致，因?yàn)榉阑饓εc路由器的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)機(jī)制是不一樣的，路由器的報(bào)文查找路由表進(jìn)行匹配后轉(zhuǎn)發(fā)，鏈路切換也不會(huì)影響后續(xù)報(bào)文的轉(zhuǎn)發(fā)，而防火墻在鏈路切換后會(huì)使后續(xù)報(bào)文找不到會(huì)話表項(xiàng)而中斷[3]。

1.3 ?VGMP和HRP

要使VRRP備份組狀態(tài)都一致，使用VGMP（VRRP Group Management Protocol）組管理協(xié)議，將一臺(tái)防火墻上的多個(gè)VRRP備份組都加入一個(gè)VRRP管理組，由管理組統(tǒng)一管理所有VRRP備份組對(duì)備份組統(tǒng)一管理來(lái)實(shí)現(xiàn)管理組中的VRRP備份組的狀態(tài)一致性，VGMP的狀態(tài)為ACTIVE（活躍）狀態(tài)的防火墻為是主用防火墻，另外一臺(tái)為備用防火墻，如果管理組有故障，它的優(yōu)先級(jí)降低，要重新協(xié)商ACTIVE組和備份組[4]。

HRP（Huawei Redundancy Protocol）是冗余備份協(xié)議，當(dāng)設(shè)備發(fā)生故障時(shí)以使網(wǎng)絡(luò)業(yè)務(wù)不中斷，在雙機(jī)熱備網(wǎng)絡(luò)中，主用防火墻故障切換到備用防火墻，兩臺(tái)之間的備份數(shù)據(jù)是使用心跳口發(fā)送和接收，通過(guò)備份鏈路傳輸，心跳口是一個(gè)物理接口或多個(gè)物理接口組成的鏈路聚合口，有無(wú)效、關(guān)閉、對(duì)端關(guān)閉、準(zhǔn)備和運(yùn)行五種狀態(tài)[5]。

1.4 ?網(wǎng)絡(luò)構(gòu)建

根據(jù)網(wǎng)絡(luò)實(shí)際的需求分析，進(jìn)行網(wǎng)絡(luò)的整體規(guī)劃，要充分考慮企業(yè)網(wǎng)絡(luò)系統(tǒng)的優(yōu)化性能：管理容易、擴(kuò)展性好和安全性等，選取先進(jìn)的網(wǎng)絡(luò)設(shè)備。在實(shí)驗(yàn)中，選取華為防火墻和交換機(jī)設(shè)備，搭建實(shí)驗(yàn)環(huán)境拓?fù)淙鐖D1所示，在運(yùn)行Windows 10操作系統(tǒng)的電腦上安裝路由器模擬軟件和終端軟件，搭建實(shí)驗(yàn)環(huán)境，防火墻FW1和FW2兩臺(tái)，交換機(jī)和PC機(jī)各兩臺(tái)。

使用eNSP（Enterprise Network Simulation Platform）軟件來(lái)完成，eNSP是一款華為模擬器軟件，提供圖形化的網(wǎng)絡(luò)仿真工具平臺(tái)，可以模擬企業(yè)網(wǎng)絡(luò)防火墻、交換機(jī)和路由器、接入控制器（AC）、無(wú)線訪問(wèn)節(jié)點(diǎn)（AP）和PC機(jī)等，還能完成與真實(shí)設(shè)備的對(duì)接[4]。

2 ?命令行方式雙機(jī)熱備方案

2.1 ?安全區(qū)域配置

防火墻安全區(qū)域通常分為本地、受信任、非受信任和非軍事化四個(gè)區(qū)域，本地區(qū)域安全級(jí)別最高，非受信任區(qū)域安全級(jí)別最低，除了本地區(qū)域之外，安全區(qū)域使用前，必須將接口加入安全域，而且安全區(qū)域與網(wǎng)絡(luò)的關(guān)聯(lián)要遵循一定的規(guī)則[6]。

兩臺(tái)防火墻接口的IP地址配置完成后，將接口加入相應(yīng)的安全區(qū)域。

防火墻的主要配置如下：

firewall zone trust ；trust區(qū)域

add interface GigabitEthernet 1/0/1；接口G1/0/1劃入trust區(qū)域

firewall zone untrust；untrust區(qū)域

add interface GigabitEthernet 1/0/4；接口G1/0/4劃入untrust區(qū)域

firewall zone dmz；DMZ區(qū)域

add interface GigabitEthernet 1/0/3；接口G1/0/4劃入DMZ區(qū)域

2.2 ?VRRP與VGMP配置

VRRP這個(gè)容錯(cuò)協(xié)議是先從一組VRRP路由器中選舉一個(gè)主路由器Master，然后將Master關(guān)聯(lián)到一個(gè)虛擬路由器，作為所連接網(wǎng)段的網(wǎng)關(guān)，實(shí)現(xiàn)設(shè)備冗余，還需要VGMP組管理，VGMP管理組控制所有的VRRP備份組統(tǒng)一切換。

防火墻的主要配置如下：

interface GigabitEthernet 1/0/1；進(jìn)入G1/0/1接口

vrrpvrid 1 virtual-ip 1.1.2.3 24 active ；設(shè)置虛擬IP地址，把G1/0/1的備份組1劃入ACTIVE狀態(tài)的VGMP管理組

interface GigabitEthernet 1/0/4；進(jìn)入G1/0/4接口

vrrpvrid 2 virtual-ip4.1.1.3 24 active；設(shè)置虛擬IP地址，把G1/0/4的備份組2劃入ACTIVE狀態(tài)的VGMP管理組

2.3 ?設(shè)置心跳口與備份

hrp是承載在VGMP報(bào)文上進(jìn)行傳輸?shù)?，可以?shí)現(xiàn)防火墻雙機(jī)之間動(dòng)態(tài)狀態(tài)數(shù)據(jù)和關(guān)鍵配置命令的備份[5]，心跳接口是連接主備鏈路的接口，VGMP通過(guò)心跳線協(xié)商VGMP狀態(tài)信息。

防火墻FW1的hrp配置如下：

interface GigabitEthernet1/0/3；進(jìn)入G1/0/3接口

ip address 3.1.1.1 255.255.255.0；設(shè)置G1/0/7接口的IP地址

firewall zone dmz；DMZ區(qū)域

add interface GigabitEthernet1/0/3；G1/0/3劃入DMZ 區(qū)域

hrp interface GigabitEthernet 1/0/3remote 3.1.1.2 ;心跳口GigabitEthernet1/0/3

hrp enable; HRP 備份開(kāi)啟

防火墻FW1的hrp配置如下：

hrp interface GigabitEthernet 1/0/3 remote 3.1.1.1 ;心跳口GigabitEthernet1/0/3

hrp enable; HRP 備份開(kāi)啟

hrp auto-sync；HRP自動(dòng)備份

2.4 ?安全策略配置

安全策略是對(duì)通過(guò)的防火墻流量進(jìn)行檢測(cè)，符合條件的流量允許通過(guò)，否則禁止，防火器trust和untrust域間轉(zhuǎn)發(fā)策略yy配置如下：

security-policy；安全策略視圖

rule name yy ? ;安全規(guī)則名稱為yy

source-zone trust ；安全規(guī)則源地址trust

destination-zone untrust；安全規(guī)則目標(biāo)地址untrust

service icmp ? ;icmp包允許通過(guò)

action permit ；安全規(guī)劃允許

配置安全策略http如下所示，使內(nèi)網(wǎng)主機(jī)Client1能訪問(wèn)外網(wǎng)服務(wù)器Server1：

security-policy；安全策略視圖

rule name http ? ;安全規(guī)則名稱為http

source-zone trust；安全規(guī)則源地址trust

destination-zone untrust；安全規(guī)則目標(biāo)地址untrust

source-address 10.1.1.0 24；源網(wǎng)段

destination-address 100.1.1.0 24 ? ;目標(biāo)網(wǎng)段

service http ? ; http服務(wù)允許

action permit ? ; 安全規(guī)劃允許

3 ?實(shí)驗(yàn)結(jié)果驗(yàn)證

3.1 ?Server1和Client1通信

使用PING命令測(cè)試兩臺(tái)主機(jī)是否正常通信，連通測(cè)試如圖2所示。

3.2 ?VRRP組內(nèi)接口狀態(tài)信息

檢查VRRP組內(nèi)接口的狀態(tài)信息如圖3所示，VRRP組建立成功，F(xiàn)W1上接口G1/0/1狀態(tài)為Master，F(xiàn)W2上G1/0/1接口狀態(tài)為Backup。

3.3 ?HRP狀態(tài)

當(dāng)前HRP狀態(tài)如圖4所示，HRP建立成功，F(xiàn)W1提示符為HRP_M，F(xiàn)W1為主用防火墻，F(xiàn)W2提示符為HRP_S，F(xiàn)W2為備用防火墻。

3.4 ?服務(wù)器驗(yàn)證

測(cè)試HTTP報(bào)文是否通過(guò)防火墻，在Server1上指定文件目錄為http，添加一個(gè)文件http.html，啟動(dòng)HTTP服務(wù)，在Client1的地址欄輸入http：//4.1.1.100測(cè)試HTTP服務(wù)，如圖5所示，Client1可以成功訪問(wèn)Server1。

4 ?結(jié) ?論

雙機(jī)熱備實(shí)驗(yàn)中使用eNSP軟件，通過(guò)命令行方式配置實(shí)現(xiàn)，易于操作，方便實(shí)現(xiàn)，主要為主備方式，F(xiàn)W1是主用防火墻，F(xiàn)W2是備用防火墻，實(shí)施時(shí)FW2和FW1的設(shè)置基本類同，安全策略是主備同步的，在安全策略配置好，主用設(shè)備有（+B）標(biāo)識(shí)，說(shuō)明配置被同步到備份設(shè)備；http安全規(guī)則的配置使客戶機(jī)能夠成功訪問(wèn)服務(wù)器。

通過(guò)eNSP軟件實(shí)現(xiàn)防火墻雙機(jī)熱備的實(shí)驗(yàn)，使學(xué)生熟悉掌握正確的配置方法，不但構(gòu)建了安全可靠的企業(yè)網(wǎng)絡(luò)，而且有利于教學(xué)的實(shí)施。學(xué)生先使用模擬軟件進(jìn)行操作練習(xí)，然后在真實(shí)設(shè)備上實(shí)練，有效地避免昂貴設(shè)備的損壞，經(jīng)過(guò)教學(xué)實(shí)踐證明，該教學(xué)方法適合學(xué)生，可以使學(xué)生更好地掌握信息安全技術(shù)應(yīng)用所需的專業(yè)技能。

參考文獻(xiàn)：

[1]坎香，金海峰.基于IRF的網(wǎng)絡(luò)核心層雙機(jī)熱備系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].通化師范學(xué)院學(xué)報(bào)，2021，2（20）：24-29.

[2] 華為技術(shù)有限公司.網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)維（中級(jí)）[M].北京：人民郵電出版社，2020：97.

[3]劉洪亮，楊志茹.信息安全技術(shù)（HCIA-Security）[M].北京：人民郵電出版社，2020：145.

[4]劉婧.基于eNSP的防火墻二層雙機(jī)熱備實(shí)驗(yàn)教學(xué)設(shè)計(jì)[J].信息系統(tǒng)工程，2021，7（20）：165-166.

[5]孫友凱，賈立輝，董濤.基于虛擬IP的雙機(jī)熱備系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].信息技術(shù)與信息化，2020，10（28）：147-149.

[6]曾麗娟，楊平，徐涢基，等.基于防火墻雙機(jī)熱備IPsec VPN穿越仿真實(shí)驗(yàn)設(shè)計(jì)[J]現(xiàn)代信息科技，2022，8（25）：96-99.

作者簡(jiǎn)介：楊玉梅（1969—），女，漢族，安徽淮

北人，副教授，碩士，研究方向：網(wǎng)絡(luò)系統(tǒng)建設(shè)與運(yùn)維。