USG6650产品虚拟防火墙间实现VRRP部署

发布时间:  2015-07-08 浏览次数:  1033 下载次数:  45
问题描述

USG6650版本:V100R001C20SPC200

CE12804版本:V100R002C00SPC200

组网概述:两个USG6650用属于root的物理接口和深信服链路负载均衡设备对接,USG6650端使用VRRP技术。深信服做双机热备两个设备相同接口共享一个IP地址。

USG6650A、B所虚拟出来的防火墙分别和CE12804虚拟出来的同一台虚拟交换机互联。

组网拓扑:

故障现象:由于USG6650VFW之间不能配置VRRP而且128USG6650互联的接口都属于虚拟系统的不能配置hrp 跟踪,如果图中VSW1的主上行断掉不会导致USG6650备切换而USG6650处于备模式不会转发业务从而导致VS1下所有业务中断。

处理过程

1.分别在USG6650root系统CLI界面配置属于虚拟防火墙的接口如下命令:主设备, hrp track active;备设备, hrp track standby起到虚拟交换机上行主链路断掉会引发USG6650主备切换保证业务正常转发。

2.在USG6650root系统CLI界面配置属于虚拟防火墙接口如下配置:

主USG6650,

#

interface GigabitEthernet1/0/X        

 ip binding vsys vfwa

 ip address 172.16.20.26 255.255.255.248

 vrrp vrid 4 virtual-ip 172.16.20.25 active

#

备USG6650,

#                                         

interface GigabitEthernet1/0/x

 ip binding vsys vfwa

 ip address 172.16.20.27 255.255.255.248

 vrrp vrid 4 virtual-ip 172.16.20.25 standby

 hrp track standby

#

通过此配置可以使两台USG6650中所虚拟出来的对应虚拟防火墙运行VRRP协议

解决方案

如拓扑图所示两台CE12804分别通过相同的千兆链路和两台USG6650互联提供物理上的冗余设计。两台CE12804先进行集群配置然后根据业务需求划分多个虚拟交换系统,每一个VS所属物理端口资源分别来自两台CE12804相同的槽位号和端口号。每一个VS通过不同CE12804相同槽位相同端口号做为上行分别和两台USG6650互联,这两个上行端口同属于一个互联VLAN通过VLANIFIP地址和USG6650进行网络通信。

两台USG6650用业务口互联做为VRRP心跳口进行VRRP配置,配置成功后登录USG6650VRRP主设备进行VFW的配置该配置会自动同步到备USG6650上。此时服务器区域交换机相当于上行和两个不同的FW进行互联此时采用VRRP的配置比较合适即在USG6650-AUSG6650-B上的VFW1之间配置VRRP利用根系统互联做为心跳虚拟出一个网关,下行VS指定一条默认路由到该虚拟网关即可。但是USG6650VFW间不支持VRRP的配置该办法不可行,那么如何解决呢?经过对VRRP的原理分析以及实际测试采用如下方法即可实现该需求。方法如下:VFW虽然不支持VRRP那么在根系统的CLI界面中的VFW的接口上配置命令: 

#

interface GigabitEthernet1/0/x//该接口资源已经分配给VFW

 ip binding vsys vfwa

 ip address 172.16.20.26 255.255.255.248

 vrrp vrid 5 virtual-ip 172.16.20.25 active//备机用standby

 hrp track active//备机用hrp track standby

#

    通过这样的配置两个VFW之间即可正常使用VRRP功能通过根系统心跳交互VFW之间的VRRP报文信息维护VRRP主备状态。每个服务器区域访问互联网的流量通过公用根系统和友商负载均衡设备互联的上行线路流出,配置VFW默认路由指向根系统以及根系统回程路由回指到每个VFW即可实现。

END