華爲USG防火牆及NGFW高可用性的規劃與實施詳解
課程目標:
該課程程爲卷B,它緊接卷A所描述的基礎內容,開始進入防火牆的高可性的規劃與實施,本課程卷B的核心目標是:一、從真正意義上去理解防火牆的雙機熱備的工作原理;二、讓工程人員能夠實施基於不同防火牆工作模式的雙機熱備並結合實踐的環境進行故障排除;三、突破學員僅在安全認證學習過程中所理解的防火牆雙機熱備的內容,在實踐的環境中防火牆的雙機熱備技術及可能引發的問題遠不止安全認證學習中所描述的內容。
爲USG防火牆及NGFW高可用性的規劃與實施詳解共計18課
課程位置:http://edu.51cto.com/course/course_id-5404.html
備註:如果需要防火牆基礎部分技術內容可參考:
華爲USG統一安全邊界網關的設計、演示、經驗鑑證實評-卷A
完整課程的位置:http://edu.51cto.com/course/course_id-4932.html
羣:195228906
不回答無來源的疑問!
不回答無環境、描述不清的疑問!
只答來電郵的疑問!
課程內容及知識點摘要:
第一課:對防火牆高可用性課程的教與學的解說並引入雙機熱備
本課主要對華爲防火牆雙機熱備整個課程作爲一個教與學的分解,首先解釋出爲什麼就防火牆的雙機熱備就需要獨立爲一個整捲來描述,而在別的課程中描述防火牆的雙機熱備也就1-2小時的課程則畢。在其中舉證出常規描述防火牆雙機熱備技術的經典拓撲環境,說明這種經典拓撲環境的教與學在邏輯上的優勢與不足,那麼本課程將如何應用這些優勢而彌補相關問題所帶來的不足,並在本卷課程的一開始就使用定位目標的方案,:總結出近年來學習防火牆雙機熱備技術的人羣最常見的典型疑問,而整個課程將面對這些典型疑問爲引索來進行描述。整卷課程即適合於初學者從零入手,也適合於有一定雙機熱備基礎的人羣加強。
第二課: 初識防火牆的高可用性及VRRP、VGMP
本課將描述防火牆雙機熱備的一個經典組件VRRP,並概述指出VRRP會引發狀態不一致的問題在常規的數通設備(RS)和安全設備上不一樣的後果,提出VGMP如何彌補安全設備上VRRP狀態不一致的缺陷。最後結總出初學者常見的典型提問: 1、VGMP是憑什麼依據來接管VRRP的狀態管理的?2、VGMP與VRRP都要通過選舉來確定主從設備,如果它們同時存在,選舉是否會有衝突?3、如果VGMP與VRRP同時存在,那麼VRRP僅存意義是什麼?4、VGMP是否可以獨立於VRRP使用?5、可否把VGMP看成一種更高級的VRRP或者是VRRP的擴展?相當於引出下一堂課的內容
第三課:逐步深入理解防火牆雙機熱備中VRRP與VGMP報文及傳遞位置和差異
本課將以上堂課提出的各種疑問,來分析在防火牆雙機熱備中,常規的VRRP報文的結構及相關字段、報文傳遞的位置,並說明在標準的多組VRRP報文中那些字段是造成狀態不一致的關鍵原因;然後再分析VGMP報文及傳遞位置及報文的結構,通過VGMP的關鍵字段說明VGMP到底是憑什麼去接管VRRP的狀態一致性問題的。有了VGMP報文後仍然有VRRP標準報文的存在,但是此時VRRP標準報文的意義僅存爲什麼等。最後解答上一課所留下的疑問。
第四課:進一步理解雙機熱備、心跳線、HRP的作用與意義
本堂課將在具備前面的基礎之上,正式的來理解雙機熱備及規劃雙機熱備的限制、心跳線、HRP的作用與意義、雙機熱備典型的組件和不同的熱備形式、心跳線的作用、運作在心跳線上的數據信息、如何維護並探測主從設備之間心跳接口及鏈路的健康狀態、理解HRP的作用和封裝形式、HRP能同步兩臺防火牆之間的哪些數據信息、關於HRP報文的完整體現形式等。
第五課:區別HRP與VRRP、VGMP及動態路由協議之間的關係
本堂課主要是進一步的對雙機熱備的協議、報文、術語進行區別,因爲在前面的課程中反復的提到HRP、VRRP、VGMP三種報文,但是根據一般的描述它們時而分開工作、時而又好似一個整體,然在不同報頭中層層引出,哪麼它們之前存在一個什麼樣的關係,區別又在哪裏,各個報文何時獨立出現,何時又層層引出後繼封裝。以及它們和動態路由協議之間又有着一個怎樣的關係?爲什麼有時候用戶使用協議分析器不能明確得到VGMP和HRP的報文,防火牆雙機熱備與動態路由協議之間有一個什麼樣的關係,心跳線的連接形式關係HRP報文是以單播或者多播傳遞。
第六課:關於雙機熱備的兩種方式(主-從和負載均衡)
本堂課主要指出單純的雙機熱備存在利用率低下的關問題,那麼如何在雙機熱備的情況下提高利用率,達到負載均衡的效果。負載均衡的雙機熱備對哪些業務場景有限制。總結雙機熱備的規劃原則與注意事項,爲開始正式實施雙機熱備做好準備。
第七課:演示:防火牆處於三層模式上下鏈路皆爲二層的最常見雙機熱備
本堂課建立在已經具備防火牆雙機熱備的理論基礎之上,主要對防火牆處於三層模式上下鏈路皆爲二層的最常見雙機熱備環境進行配置演示,其中包括:主、從防火牆三層接口+心跳線+VRRP+VGMP+HRP的完整實施過程,觀察主從防火牆配置文件及會話同步的過程,及雙機熱備時的各種狀態,當雙機熱備成功後,默認只有主設備向從設備同步,如果需要主從防火牆設備相互同步怎麼辦?最後總結配置心跳線的注意事項,並說明在模擬器eNSP上完成雙機熱備的相關問題,eNSP是能完成多數雙機熱備類型的,很多時候是初學者的不全面思考和錯誤配置所導致。
第八課:演示:防火牆處於三層模式上下鏈路皆爲路由器的雙機熱備
本堂課主要描述並演示:當防火牆的業務接口處於三層模式,上下鏈路皆爲路由器的防火牆雙機熱備的完整過程,通過該演示可以看出HRP如何針對不同VGMP組來自動控制路由協議的度量值,從而使流量經主設備進行轉發,直到主設備故障再將狀態自動切換到從設備,同時也完成路由的態收斂,在這個過程中必須注意動態路由的收斂延時,一定要大於搶佔延時。同時在整個基於路由協議的雙機熱備過程中,可以看到HRP可以直接監控設備的接口。
第九課:演示:防火牆處於二層模式上下鏈路爲路由器或者交換機的雙機熱備
本課程主要描述防火牆工作在二層模式及其業務接口都屬於二層接口,此時使用HRP來監控VLAN及其VLAN接口的變化完成防火牆的雙機熱備,並理解Link-group的意義,以及雙機熱備如何與Link-Group協同來加速路由協議的收斂
第十課:理解並演示:在防火牆雙機熱備環境下與NAT集成的相關問題
本課程主要描述防火牆在實施雙機熱備後與NAT業務集成的相關問題,比如:雙機熱備與NAT業務集成會受到哪些限制,在客戶端請求NAT網關的MAC地址,主從設備都會使用虛擬MAC進行應答,這樣會造成衝突,那麼在雙機熱備+NAT的環境如何來解決相關的衝突以及完整演示它的配置過程
第十一課:工業環境中規劃防火牆雙機熱備的經驗及其它協同技術
本課主要針對前面典型環境中的防火牆雙機熱備進行經驗總結,因爲前面的課堂說實話它有一定的理想性,比如存在如下幾種典型的問題:一、雙機熱備中的心跳線仍然處於單點故障;二、只演示了雙機熱備環境下的本地故障,如果是非本地(遠端節點產生故障)防火牆雙機熱備如何切換;三、僅在討論主-備模式的雙機熱備,這樣防火牆的利用率就太低了,如何在雙機熱備的環境中引入負載均衡;四、防火牆與交換網絡中其它更多技術的結合問題。並描述一些在防火熱備過程中的典型的錯誤規劃與設計。
第十二課:演示:防火牆雙機熱備與IP-Link技術的聯動
本課程主要描述並取證了IP-Link的基本工作原理;並對應相關的工業環境,當鏈路故障發生在非雙機熱備環境本地,而是遠端產生故障時,防火牆的雙機熱備可以聯動IP-Link技術進行偵測遠端故障並執行故障轉移,並演示了整個完整的偵測與故障切換過程。申明IP-Link執行遠端探測時的侷限。
第十三課:演示:防火牆雙機熱備與BFD技術的聯動
本課程主要描述什麼是BFD並取證BFD的基本工作原理,它具備更好的開放性,與協議無關的檢測機制,可以對任何介質任何協議層執行檢測,然後完整的演示了防火牆雙機熱備與BFD技術的聯動。
第十四課:演示:防火牆雙機熱備與以太通道技術的協同
本課程主要幫助學員理解如何使用以太通道來加固防火牆雙機熱備環境的穩定性,其中包括如何部署使用以太通道技述來加強心跳線及上、下行業務鏈路的穩定性,防止單鏈路失敗。並對整過程作了完整的演示。
第十五課:演示:防火牆雙機熱備中VRRP+VGMP+HRP的負載均衡
本課開始主要對防火牆雙機熱備中的負載均衡進行描述,說明雙機熱備情況下負載均衡模式的一些限制,然後完整演示一個防火牆雙機熱備中VRRP+VGMP+HRP的負載均衡的案例,以建立多個VGMP組來實現互爲主備執行負載均衡的實例,檢測負載均衡與故障切換的效果。
第十六課:演示:防火牆雙機熱備中VGMP+HRP+動態路由的負載均衡
本課主要針對防火牆雙機熱備中VGMP+HRP+動態路由的負載均衡進行描述,在課程中分別給出一個實現防火牆雙機熱備中VGMP+HRP+動態路由的負載均衡理想狀態和非理想狀態下的網絡環境,然後描述不論是哪種環境都是通過動態路由協議的度量值來達到雙機熱備的負載均衡的效果,並指明在這個過程中必須要注意參與雙機熱備的兩臺防火牆上的會話快速同步功能。
第十七課:演示:防火牆處於二層模式中雙機熱備的負載均衡
本課主要針對防火牆處於二層模式中雙機熱備的負載均衡進行描述,其實就其真正的技術意義和規劃原則來理解二層與三層的雙機熱備都是制定多個VGMP組,然後互爲主備關係,當發生故障時進行切換。但是二層模式的雙機熱備主要的重點是放在描述這些問題:參與雙機熱備兩臺防火牆的上下行業務接口都工作在二層,必須加入到同一個VLAN中,收到的所有報文都在VLAN內轉發;監控的是VLAN接口;上下行業務接口加入同一個Link-group組,當其中一個接口故障而狀態變爲Down,將會觸發組內所有接口的狀態變爲Down,從而保證上、下行路由器上的路由快速收斂;以及會話狀態快速同步的問題。