Académique Documents
Professionnel Documents
Culture Documents
06 Firewall Hot Standby Technologies
06 Firewall Hot Standby Technologies
Avant-propos
⚫ Avec le développement rapide de services tels que le bureau mobile, les achats en
ligne, la messagerie instantanée, la finance sur Internet et l'éducation sur Internet,
les réseaux transportent des services de plus en plus importants. Par conséquent,
comment assurer une transmission de service ininterrompue sur les réseaux
devient un problème urgent à résoudre lors du développement du réseau.
⚫ Les technologies de veille à chaud permettent de déployer des pare-feu à la sortie
du réseau afin de garantir la fiabilité des communications entre les réseaux
internes et externes.
2 Huawei Confidential
Objectifs
3 Huawei Confidential
Table des matières
▫ Groupe VGMP
▫ HRP
4 Huawei Confidential
Historique des technologies de veille à chaud
⚫ Comme le montre l'image de gauche, tous les paquets échangés entre les utilisateurs de l'intranet et de l'Internet passent par le
pare-feu A. Si le pare-feu A est défectueux, tous les hôtes qui utilisent le pare-feu A comme passerelle par défaut sur l'intranet ne
peuvent pas communiquer avec l'Internet. Par conséquent, la fiabilité de la communication ne peut être garantie.
⚫ En tant que dispositif de sécurité, un pare-feu est généralement déployé entre un réseau à protéger et un réseau non protégé, c'est-
à-dire à la frontière de réseau. Si un seul pare-feu est déployé à la frontière de réseau, le système peut être confronté au risque
d'interruptions du réseau causées par un point de défaillance unique, quel que soit le degré de fiabilité du pare-feu. Pour éviter ce
problème, deux pare-feux peuvent être déployés pour mettre en œuvre la mise en veille à chaud.
Intranet Intranet
!
Pare-feu A
PC PC
!
Pare-feu A
Serveur Serveur
Pare-feu B
5 Huawei Confidential
Déploiement de la redondance des routeurs basée sur VRRP
⚫ Le protocole de redondance de routeur virtuel (VRRP) est un protocole de tolérance aux pannes qui permet à un routeur de secours
de remplacer automatiquement un routeur maître défectueux — le prochain saut (passerelle par défaut) d'un hôte. De cette façon,
le routeur de secours peut acheminer les paquets en cas de défaillance, assurant ainsi la continuité et la fiabilité de la
communication réseau. Les routeurs d'un groupe VRRP jouent deux rôles : le maître et la sauvegarde.
6 Huawei Confidential
Application du VRRP dans un réseau de pare-feu multizone
⚫ Lorsque la veille à chaud est nécessaire pour les pare-feu de plusieurs zones, vous devez configurer
plusieurs groupes VRRP sur chaque pare-feu.
Untrust
Groupe VRRP 3
Adresse IP virtuelle
202.38.10.1
Pare-feu A Pare-feu B
Maître Sauvegarde
Trust DMZ
10.100.10.0/24 10.100.20.0/24
8 Huawei Confidential
Défauts du VRRP dans les applications de pare-feu
⚫ Le VRRP classique ne peut pas garantir la cohérence des informations du statut et la cohérence du statut VRRP
entre les pare-feu maître et de secours dans plusieurs groupes VRRP.
PC2
Untrust ⚫ Lorsque le statut VRRP du pare-feu A est le même que celui du pare-
4 feu B :
5
Lorsque le PC1 de la zone sécurisée accède au PC2 de la zone
3
Groupe VRRP 3 Untrust, les chemins d'aller et de retour des paquets sont les
mêmes, le pare-feu A passe l'inspection dynamique et la
Entrée en Pare-feu A Pare-feu B communication est normale.
session Maître Sauvegarde
⚫ Lorsque le statut VRRP du pare-feu A est différent de celui du pare-feu
B:
2 Groupe VRRP 1 Groupe VRRP 2 La liaison amont du pare-feu A est défectueuse, et le pare-feu B
devient le nouveau dispositif maître du groupe VRRP 3.
9 Huawei Confidential
Table des matières
▫ HRP
11 Huawei Confidential
Principes de base du VGMP (1)
⚫ Pour garantir le statut cohérent des groupes VRRP, le
protocole de gestion de groupe VRRP (VGMP) est introduit sur Untrust
la base du VRRP. Plusieurs groupes VRRP sur un pare-feu sont
ajoutés au même groupe VGMP. Le groupe VGMP gère le
VGMP actif VGMP en veille
statut de tous les groupes VRRP de manière unifiée afin de Groupe
VRRP 2
garantir le statut cohérent des groupes VRRP.
Salut
Le statut du groupe VGMP des pare-feu peut être équilibré, actif ou Pare-feu B
Pare-feu A
Sauvegarde
en veille. VRRP maître Salut du VRRP
Groupe
Un groupe VGMP notifie son statut de fonctionnement en envoyant VRRP 1
des paquets VGMP, et élit les dispositifs VGMP actifs et en attente en
fonction de la priorité Hello. Le statut du groupe VGMP du dispositif
VGMP actif est actif, et celui du dispositif VGMP en veille est en Trust
veille.
12 Huawei Confidential
Principes de base du VGMP (2)
⚫ Lorsqu'une panne se produit, le VGMP change le statut des groupes VRRP 1 et 2. Lorsqu'un groupe VGMP est en
état actif, le statut de tous les groupes VRRP du groupe VGMP est maître. Lorsqu'un groupe VGMP est en état de
veille, le statut de tous les groupes VRRP du groupe VGMP est la sauvegarde.
Untrust Untrust
Pare-feu B Pare-feu A
Pare-feu A Pare-feu B
Sauvegarde Sauvegarde
VRRP maître VRRP maître
Groupe du VRRP du VRRP Groupe
VRRP 1 VRRP 1
Trust Trust
14 Huawei Confidential
Gestion de groupe VGMP
⚫ Gestion de la cohérence des statuts
Un groupe VGMP contrôle le changement de statut de tous les groupes VRRP de manière unifiée. Après qu'un
groupe VRRP soit ajouté à un groupe VGMP, le statut du groupe VRRP ne peut pas être changé
indépendamment.
⚫ Gestion de la préemption
Lorsque le dispositif actif d'origine se rétablit, la priorité de son groupe VGMP est également restaurée. Dans ce
cas, le dispositif actif d'origine est préempté pour être le dispositif actif.
Après l'ajout d'un groupe VRRP à un groupe VGMP, la fonction de préemption du groupe VRRP devient inefficace,
et le groupe VGMP détermine s'il doit effectuer la préemption.
▫ Groupe VGMP
◼ HRP
17 Huawei Confidential
Concepts de base du protocole HRP
⚫ Le protocole de redondance Huawei (HRP) sauvegarde dynamiquement
les données du statut et les commandes de configuration clés entre les
pare-feux actifs et de secours.
Untrust
⚫ Direction de sauvegarde
Les commandes de configuration qui peuvent être sauvegardées ne peuvent être
exécutées que sur le dispositif actif. Ces commandes sont automatiquement
VGMP actif VGMP en veille
Groupe
sauvegardées sur le périphérique de secours, par exemple, les commandes de VRRP 2
configuration de la politique de sécurité et de NAT. Lien de
pulsation
Dans un réseau actif/de secours, seul le dispositif actif traite les services, génère Pare-feu A Pare-feu B
VRRP maître Sauvegarde
des entrées de service et sauvegarde les entrées de service sur le dispositif de Groupe du VRRP
secours. Dans un réseau à répartition de charge, les deux dispositifs traitent les VRRP 1
services, génèrent des entrées de service et sauvegardent les entrées de service
sur le dispositif homologue.
⚫ Canal de sauvegarde
Trust
L'administrateur réseau doit spécifier une interface de canal de secours pour
sauvegarder les données de configuration et du statut. En général, les ports
directement connectés de deux pare-feu établissent le canal de secours,
également appelé lien de pulsation (le VGMP utilise ce canal pour communiquer).
18 Huawei Confidential
Sauvegarde de la configuration et du statut
⚫ Pour assurer une transition de service sans heurts entre deux dispositifs, ces derniers doivent sauvegarder leurs
configurations et leurs informations de statut.
Mode de sauvegarde Contenu de la sauvegarde
⚫ Sauvegarde automatique : Cette fonction permet de ⚫ Configuration du dispositif
sauvegarder automatiquement les commandes de Politiques : comprennent la politique de sécurité, la politique
configuration en temps réel et de sauvegarder périodiquement NAT, la politique d'authentification, la défense contre les
les informations de statut. Cette fonction est activée par attaques et l'ASPF.
défaut et s'applique à divers réseaux qui nécessitent une mise Objets : comprennent l'adresse, la région, le service,
en veille à chaud. l'application, l'utilisateur, le serveur d'authentification, la plage
⚫ La sauvegarde manuelle par lot doit être déclenchée de temps, le pool d'adresses, la catégorie d'URL, le groupe de
manuellement par l'administrateur. Chaque fois que la mots-clés, le groupe d'adresses de messagerie, la signature et
commande de sauvegarde manuelle par lot est exécutée, le le profil de sécurité.
dispositif actif synchronise immédiatement les commandes de Réseaux : comprend l'interface logique, la zone de sécurité, le
configuration et les informations de statut avec le dispositif en DNS, la route statique (les routes statiques peuvent être
veille. sauvegardées uniquement après la configuration de la
⚫ Synchronisation automatique de la configuration entre le pare- commande hrp auto-sync config static-route), IPsec et VPN
feu actif et le pare-feu de secours après le redémarrage du SSL.
dispositif : Le dispositif qui a été redémarré avec succès Système : comprend la configuration de l'administrateur, du
synchronise automatiquement la configuration du pare-feu qui système virtuel et du journal.
transporte les services. ⚫ Informations sur le statut : comprend le tableau des sessions, le
⚫ Sauvegarde rapide de session : Cette fonction s'applique au tableau des cartes de serveur, la liste de blocage, la liste de
scénario d'équilibrage de charge où les chemins d'aller et de confiance, le tableau de mappage d'adresses, le tableau d'adresses
retour des paquets sont incohérents. MAC, le tableau des utilisateurs, la SA IPsec et le tunnel.
19 Huawei Confidential
Lien de pulsation HRP
⚫ Dans un réseau de veille à chaud, deux pare-feux apprennent le statut de l'autre et sauvegardent les commandes
de configuration ainsi que diverses entrées en échangeant des messages par le biais d'un lien de pulsation.
Les interfaces situées aux deux extrémités d'un lien de pulsation sont appelées interfaces de pulsation.
Une interface de pulsation peut être une interface physique (interface GE) ou une interface logique (Eth-Trunk) qui est formée en
regroupant plusieurs interfaces physiques.
Une interface physique fonctionne
comme une interface de pulsation.
GE1/0/1 GE1/0/1
Pare-feu Pare-feu
Une interface Eth-Trunk fonctionne
comme une interface de pulsation
GE1/0/1 GE1/0/1
GE1/0/2 GE1/0/2
GE1/0/3 GE1/0/3
Interface de pulsation
Pare-feu Pare-feu
Eth-Trunk1 Paquets de données HRP
Eth-Trunk1
20 Huawei Confidential
Statut d'interface de pulsation
⚫ Une interface de pulsation HRP dispose de cinq statuts : Invalide, Down, Peerdown, Ready et Running.
Une interface physique
fonctionne comme une
interface de pulsation.
Invalid Peerdown
Pare-feu GE1/0/1 GE1/0/1 Pare-feu
1.1.1.1 1.1.1.2
21 Huawei Confidential
Table des matières
▫ Groupe VGMP
▫ HRP
◼ Pare-feu en veille à chaud
23 Huawei Confidential
Scénario d'application du pare-feu en veille à chaud en
mode Actif/Veille
⚫ Scénario d'application
La veille à chaud du pare-feu s'applique aux scénarios qui exigent une grande
fiabilité, comme les scénarios de bureau d'entreprise. Afin d'améliorer la
fiabilité du réseau, deux pare-feux peuvent être déployés à la sortie d'un
réseau d'entreprise pour mettre en œuvre la réserve à chaud. Pour répondre
aux exigences du service, les pare-feu fonctionnent en mode Actif/Veille. Commutateur C Commutateur D
24 Huawei Confidential
Processus de travail du pare-feu en veille à chaud en mode
Actif/Veille.
⚫ Statut du Pare-feu : Le pare-feu A est le dispositif maître, son statut de
groupe VGMP est actif et son statut dans les groupes VRRP 1 et 2 est
maître. Le pare-feu B est l'unité de sauvegarde, son statut dans le groupe
VGMP est en veille, et son statut dans les groupes VRRP 1 et 2 est de
sauvegarde. Commutateur C Commutateur D
25 Huawei Confidential
Commutation Actif/Veille du pare-feu en veille à chaud (1)
⚫ Défaut de port ou de ligne de service
Comme le montre la figure, lorsque l'interface de service ou la
ligne de service du pare-feu A est défectueuse, la priorité du
groupe VGMP sur le pare-feu A diminue et le pare-feu A envoie Commutateur C Commutateur D
un paquet de requête VGMP.
Groupe VRRP 2
Après avoir reçu le paquet de requête VGMP, le pare-feu B
Pare-feu A Pare-feu B
compare la priorité du groupe VGMP dans le paquet avec sa Sauvegarde Maître
propre priorité de groupe VGMP et envoie un paquet de réponse
Groupe VRRP 1
VGMP.
Après avoir reçu le paquet de réponse, le pare-feu A fait passer le Commutateur A Commutateur B
26 Huawei Confidential
Commutation Actif/Veille du pare-feu en veille à chaud (2)
⚫ Défaut du dispositif
Le pare-feu A est défectueux et n'envoie pas de
paquets HRP Hello. Le pare-feu B ne reçoit pas de
Commutateur C Commutateur D
paquets HRP Hello du pare-feu A dans les cinq
intervalles de transmission de paquets et devient le Groupe VRRP 2
Commutateur A Commutateur B
Hôte A Hôte B
Intranet
27 Huawei Confidential
Commutation Actif/Veille du pare-feu en veille à chaud (3)
⚫ Défaut du lien de pulsation
Si le lien de pulsation est défectueux et que le
pare-feu B ne reçoit pas de paquets HRP Hello du
Commutateur C Commutateur D
pare-feu A dans les cinq intervalles de transmission
de paquets, le pare-feu B devient le dispositif Groupe VRRP 2
Hôte A Hôte B
Intranet
28 Huawei Confidential
Basculement Actif/Veille du pare-feu en veille à chaud
⚫ Après le rétablissement du pare-feu A, la priorité de son
groupe VGMP est restaurée. Après 60 s, le pare-feu A
envoie un paquet de requête VGMP.
Commutateur C Commutateur D
⚫ Après avoir reçu le paquet de requête VGMP, le pare-feu B
compare la priorité du groupe VGMP dans le paquet avec Groupe VRRP 2
29 Huawei Confidential
Table des matières
30 Huawei Confidential
Exemple de configuration de la veille à chaud du pare-feu
en mode Actif/Veille (1)
⚫ Exigences :
Les interfaces de service des Pare-feu A et B fonctionnent au niveau
de la couche 3 et sont connectées aux commutateurs de la couche 2
dans les directions amont et aval. Le commutateur amont se
connecte à l'interface fournie par l'opérateur qui a attribué l'adresse
IP 1.1.1.1 à l'entreprise. Les pare-feu A et B doivent fonctionner en
Groupe VRRP 1
mode Actif/Veille. Dans les cas normaux, le trafic est acheminé par
10GE 0/0/1 10GE 0/0/1
le pare-feu A. Si le pare-feu A tombe en panne, le trafic est
Pare-feu A 10GE0/0/7 10GE0/0/7 Pare-feu B
acheminé par le pare-feu B pour assurer la continuité du service. Maître Sauvegarde
Adresse IP virtuelle du groupe VRRP 1 : 1.1.1.1/24 10GE0/0/3 10GE0/0/3
Adresse IP virtuelle du groupe VRRP 2 : 10.3.0.3/24 Groupe VRRP 2
Adresse IP de l'interface de pulsation 10GE0/0/7 sur le pare-feu A :
10.10.0.1/24
Adresse IP de l'interface de pulsation 10GE0/0/7 sur le pare-feu B : Intranet
10.10.0.2/24
31 Huawei Confidential
Exemple de configuration de la veille à chaud du pare-feu
en mode Actif/Veille (2)
⚫ Feuille de route de configuration : Démarrer
Effectuer des configurations réseau de base, notamment en configurant
Effectuer les configurations de base du
des adresses IP pour les interfaces de deux pare-feu, en ajoutant des réseau.
interfaces aux zones de sécurité et en configurant des routes par défaut.
Configuration d'un groupe VRRP.
Configurer un groupe VRRP sur les deux pare-feu.
Configurer une politique de sécurité pour autoriser les interfaces de
Configurer une politique de sécurité.
battement de cœur à échanger des paquets HRP.
Spécifiez les interfaces de battement de cœur, configurer la clé Spécifiez une interface de pulsation et
d'authentification et activez la veille à chaud. activez la veille à chaud.
32 Huawei Confidential
Exemple de configuration de la veille à chaud du pare-feu
en mode Actif/Veille (3)
⚫ Configurer le groupe VRRP 1 sur l'interface de service amont 10GE0/0/1 du pare-feu A et définir le statut sur actif.
⚫ Configurer le groupe VRRP 1 sur l'interface de service amont 10GE0/0/1 du pare-feu B et définir le statut sur veille.
33 Huawei Confidential
Exemple de configuration de la veille à chaud du pare-feu
en mode Actif/Veille (4)
⚫ Spécifiez une interface de pulsation sur le pare-feu A, configurez la clé d'authentification et activez la
veille à chaud.
⚫ Spécifiez une interface de pulsation sur le pare-feu B, configurez la clé d'authentification et activez la
veille à chaud.
34 Huawei Confidential
Quiz
A. Vrai
B. Faux
A. Vrai
B. Faux
35 Huawei Confidential
Sommaire
⚫ Ce cours décrit les scénarios d'application, les principes techniques, le processus de transfert
des paquets et la logique de commutation actif/veille de la veille à chaud, ainsi que les
configurations clés et les processus de configuration de la veille à chaud dans différents
modes de mise en réseau.
⚫ À l'issue de ce cours, vous serez en mesure de comprendre les scénarios d'application de la
mise en veille à chaud, de configurer de manière indépendante la mise en veille à chaud
pour les pare-feu Huawei sur la base du laboratoire dans l'environnement réel, et de
maîtriser le déploiement des pare-feu dans les scénarios de mise en veille à chaud.
36 Huawei Confidential
Recommandations
⚫ Sites Web officiels de Huawei
Service d'entreprise : https://e.huawei.com/en/
Assistance technique : https://support.huawei.com/enterprise/en/index.html
Apprentissage en ligne : https://learning.huawei.com/en/
37 Huawei Confidential
Acronymes et abréviations
38 Huawei Confidential
Thank you. 把数字世界带入每个人、每个家庭、
每个组织,构建万物互联的智能世界。
Bring digital to every person, home, and
organization for a fully connected,
intelligent world.