华为USG防火墙及NGFW高可用性的规划与实施详解
课程目标:
该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一、从真正意义上去理解防火墙的双机热备的工作原理;二、让工程人员能够实施基于不同防火墙工作模式的双机热备并结合实践的环境进行故障排除;三、突破学员仅在安全认证学习过程中所理解的防火墙双机热备的内容,在实践的环境中防火墙的双机热备技术及可能引发的问题远不止安全认证学习中所描述的内容。
为USG防火墙及NGFW高可用性的规划与实施详解共计18课
课程位置:http://edu.51cto.com/course/course_id-5404.html
备注:如果需要防火墙基础部分技术内容可参考:
华为USG统一安全边界网关的设计、演示、经验鉴证实评-卷A
完整课程的位置:http://edu.51cto.com/course/course_id-4932.html
群:195228906
不回答无来源的疑问!
不回答无环境、描述不清的疑问!
只答来电邮的疑问!
课程内容及知识点摘要:
第一课:对防火墙高可用性课程的教与学的解说并引入双机热备
本课主要对华为防火墙双机热备整个课程作为一个教与学的分解,首先解释出为什么就防火墙的双机热备就需要独立为一个整卷来描述,而在别的课程中描述防火墙的双机热备也就1-2小时的课程则毕。在其中举证出常规描述防火墙双机热备技术的经典拓扑环境,说明这种经典拓扑环境的教与学在逻辑上的优势与不足,那么本课程将如何应用这些优势而弥补相关问题所带来的不足,并在本卷课程的一开始就使用定位目标的方案,:总结出近年来学习防火墙双机热备技术的人群最常见的典型疑问,而整个课程将面对这些典型疑问为引索来进行描述。整卷课程即适合于初学者从零入手,也适合于有一定双机热备基础的人群加强。
第二课: 初识防火墙的高可用性及VRRP、VGMP
本课将描述防火墙双机热备的一个经典组件VRRP,并概述指出VRRP会引发状态不一致的问题在常规的数通设备(RS)和安全设备上不一样的后果,提出VGMP如何弥补安全设备上VRRP状态不一致的缺陷。最后结总出初学者常见的典型提问: 1、VGMP是凭什么依据来接管VRRP的状态管理的?2、VGMP与VRRP都要通过选举来确定主从设备,如果它们同时存在,选举是否会有冲突?3、如果VGMP与VRRP同时存在,那么VRRP仅存意义是什么?4、VGMP是否可以独立于VRRP使用?5、可否把VGMP看成一种更高级的VRRP或者是VRRP的扩展?相当于引出下一堂课的内容
第三课:逐步深入理解防火墙双机热备中VRRP与VGMP报文及传递位置和差异
本课将以上堂课提出的各种疑问,来分析在防火墙双机热备中,常规的VRRP报文的结构及相关字段、报文传递的位置,并说明在标准的多组VRRP报文中那些字段是造成状态不一致的关键原因;然后再分析VGMP报文及传递位置及报文的结构,通过VGMP的关键字段说明VGMP到底是凭什么去接管VRRP的状态一致性问题的。有了VGMP报文后仍然有VRRP标准报文的存在,但是此时VRRP标准报文的意义仅存为什么等。最后解答上一课所留下的疑问。
第四课:进一步理解双机热备、心跳线、HRP的作用与意义
本堂课将在具备前面的基础之上,正式的来理解双机热备及规划双机热备的限制、心跳线、HRP的作用与意义、双机热备典型的组件和不同的热备形式、心跳线的作用、运作在心跳线上的数据信息、如何维护并探测主从设备之间心跳接口及链路的健康状态、理解HRP的作用和封装形式、HRP能同步两台防火墙之间的哪些数据信息、关于HRP报文的完整体现形式等。
第五课:区别HRP与VRRP、VGMP及动态路由协议之间的关系
本堂课主要是进一步的对双机热备的协议、报文、术语进行区别,因为在前面的课程中反复的提到HRP、VRRP、VGMP三种报文,但是根据一般的描述它们时而分开工作、时而又好似一个整体,然在不同报头中层层引出,哪么它们之前存在一个什么样的关系,区别又在哪里,各个报文何时独立出现,何时又层层引出后继封装。以及它们和动态路由协议之间又有着一个怎样的关系?为什么有时候用户使用协议分析器不能明确得到VGMP和HRP的报文,防火墙双机热备与动态路由协议之间有一个什么样的关系,心跳线的连接形式关系HRP报文是以单播或者多播传递。
第六课:关于双机热备的两种方式(主-从和负载均衡)
本堂课主要指出单纯的双机热备存在利用率低下的关问题,那么如何在双机热备的情况下提高利用率,达到负载均衡的效果。负载均衡的双机热备对哪些业务场景有限制。总结双机热备的规划原则与注意事项,为开始正式实施双机热备做好准备。
第七课:演示:防火墙处于三层模式上下链路皆为二层的最常见双机热备
本堂课建立在已经具备防火墙双机热备的理论基础之上,主要对防火墙处于三层模式上下链路皆为二层的最常见双机热备环境进行配置演示,其中包括:主、从防火墙三层接口+心跳线+VRRP+VGMP+HRP的完整实施过程,观察主从防火墙配置文件及会话同步的过程,及双机热备时的各种状态,当双机热备成功后,默认只有主设备向从设备同步,如果需要主从防火墙设备相互同步怎么办?最后总结配置心跳线的注意事项,并说明在模拟器eNSP上完成双机热备的相关问题,eNSP是能完成多数双机热备类型的,很多时候是初学者的不全面思考和错误配置所导致。
第八课:演示:防火墙处于三层模式上下链路皆为路由器的双机热备
本堂课主要描述并演示:当防火墙的业务接口处于三层模式,上下链路皆为路由器的防火墙双机热备的完整过程,通过该演示可以看出HRP如何针对不同VGMP组来自动控制路由协议的度量值,从而使流量经主设备进行转发,直到主设备故障再将状态自动切换到从设备,同时也完成路由的态收敛,在这个过程中必须注意动态路由的收敛延时,一定要大于抢占延时。同时在整个基于路由协议的双机热备过程中,可以看到HRP可以直接监控设备的接口。
第九课:演示:防火墙处于二层模式上下链路为路由器或者交换机的双机热备
本课程主要描述防火墙工作在二层模式及其业务接口都属于二层接口,此时使用HRP来监控VLAN及其VLAN接口的变化完成防火墙的双机热备,并理解Link-group的意义,以及双机热备如何与Link-Group协同来加速路由协议的收敛
第十课:理解并演示:在防火墙双机热备环境下与NAT集成的相关问题
本课程主要描述防火墙在实施双机热备后与NAT业务集成的相关问题,比如:双机热备与NAT业务集成会受到哪些限制,在客户端请求NAT网关的MAC地址,主从设备都会使用虚拟MAC进行应答,这样会造成冲突,那么在双机热备+NAT的环境如何来解决相关的冲突以及完整演示它的配置过程
第十一课:工业环境中规划防火墙双机热备的经验及其它协同技术
本课主要针对前面典型环境中的防火墙双机热备进行经验总结,因为前面的课堂说实话它有一定的理想性,比如存在如下几种典型的问题:一、双机热备中的心跳线仍然处于单点故障;二、只演示了双机热备环境下的本地故障,如果是非本地(远端节点产生故障)防火墙双机热备如何切换;三、仅在讨论主-备模式的双机热备,这样防火墙的利用率就太低了,如何在双机热备的环境中引入负载均衡;四、防火墙与交换网络中其它更多技术的结合问题。并描述一些在防火热备过程中的典型的错误规划与设计。
第十二课:演示:防火墙双机热备与IP-Link技术的联动
本课程主要描述并取证了IP-Link的基本工作原理;并对应相关的工业环境,当链路故障发生在非双机热备环境本地,而是远端产生故障时,防火墙的双机热备可以联动IP-Link技术进行侦测远端故障并执行故障转移,并演示了整个完整的侦测与故障切换过程。申明IP-Link执行远端探测时的局限。
第十三课:演示:防火墙双机热备与BFD技术的联动
本课程主要描述什么是BFD并取证BFD的基本工作原理,它具备更好的开放性,与协议无关的检测机制,可以对任何介质任何协议层执行检测,然后完整的演示了防火墙双机热备与BFD技术的联动。
第十四课:演示:防火墙双机热备与以太通道技术的协同
本课程主要帮助学员理解如何使用以太通道来加固防火墙双机热备环境的稳定性,其中包括如何部署使用以太通道技述来加强心跳线及上、下行业务链路的稳定性,防止单链路失败。并对整过程作了完整的演示。
第十五课:演示:防火墙双机热备中VRRP+VGMP+HRP的负载均衡
本课开始主要对防火墙双机热备中的负载均衡进行描述,说明双机热备情况下负载均衡模式的一些限制,然后完整演示一个防火墙双机热备中VRRP+VGMP+HRP的负载均衡的案例,以建立多个VGMP组来实现互为主备执行负载均衡的实例,检测负载均衡与故障切换的效果。
第十六课:演示:防火墙双机热备中VGMP+HRP+动态路由的负载均衡
本课主要针对防火墙双机热备中VGMP+HRP+动态路由的负载均衡进行描述,在课程中分别给出一个实现防火墙双机热备中VGMP+HRP+动态路由的负载均衡理想状态和非理想状态下的网络环境,然后描述不论是哪种环境都是通过动态路由协议的度量值来达到双机热备的负载均衡的效果,并指明在这个过程中必须要注意参与双机热备的两台防火墙上的会话快速同步功能。
第十七课:演示:防火墙处于二层模式中双机热备的负载均衡
本课主要针对防火墙处于二层模式中双机热备的负载均衡进行描述,其实就其真正的技术意义和规划原则来理解二层与三层的双机热备都是制定多个VGMP组,然后互为主备关系,当发生故障时进行切换。但是二层模式的双机热备主要的重点是放在描述这些问题:参与双机热备两台防火墙的上下行业务接口都工作在二层,必须加入到同一个VLAN中,收到的所有报文都在VLAN内转发;监控的是VLAN接口;上下行业务接口加入同一个Link-group组,当其中一个接口故障而状态变为Down,将会触发组内所有接口的状态变为Down,从而保证上、下行路由器上的路由快速收敛;以及会话状态快速同步的问题。
本文出自 “无名的基督” 博客,谢绝转载!
原文地址:http://7658423.blog.51cto.com/7648423/1760212