【WAF】【配置管理】双机VRRP配置说明

李莉02发表于:2021年06月28日 11:51:20更新于:2021年06月29日 18:43:33

1    WAF设备VRRP原理

    1)   配置VRRP需要对WAF的上行和下行接口配置IP地址,WAF设备不再透明;

    2)   两台WAF设备运行VRRP协议,共属于一个VRRP组,设备的上行和下行接口分别虚拟出一个虚拟IP,若WAF为反向代理模式,此虚拟IP也作为代理服务器的代理IP(任意一个虚拟IP都可以);

    3)   当主WAF异常时,备WAF在一定时间内接收不到主WAF的VRRP报文,则会自动变为主设备;

    4)   上下行的流量转发地址始终为WAF的虚拟IP,全程透明切换;

    5)   上下行连接WAF的交换机接口,需要同属于一个VLAN。

 

2    应用场景

    1)串联部署(流模式、反向代理模式)

    注意:串联部署流模式,WAF设备的接口需要配置IP地址,不再是透明模式。

                                               image.png

 

    2)旁路(反向代理模式)

    WAF设备旁路部署若为反向代理模式,此旁路仍然存在单点故障,当WAF设备出现异常时,代理同时也会失效,会导致业务访问中断,所以为解决单点故障问题,建议旁路使用反向代理模式部署时,在增加一台WAF设备,部署为主-备模式。

 

3    配置步骤

3.1    串联双机VRRP

3.1.1     配置拓扑

image.png

 

3.1.2     配置说明

    每台WAF设备:

    上行接口属于桥br10,桥IP:192.168.10.10/24;

    下行接口属于桥br20,桥IP:192.168.20.10/24;

 

    每台WAF设备各创建2个vrrp实例:

    实例1绑定上行桥接口br10,优先级为100,虚拟IP配置为192.168.10.100/24,物理链路接口为WAF上行接口;

    实例2绑定下行桥接口br20,优先级为100,虚拟IP配置为192.168.20.200/24,物理链路接口为WAF下行接口。

 

    最后,每台WAF设备创建1个vrrp实例组,将上面创建的2个vrrp实例添加进来。

 

3.1.3     详细操作

3.1.3.1   创建网桥和配置桥IP

    1)打开【网络管理】-网络接口-网桥接口,点击“增加”,创建网桥;

image.png

 

2)网桥编号填写10,状态选择“启用”,点击“下一步”;

image.png

 

    3)在第二步中,点击“添加”,设置网桥IP;

image.png

 

4)填写网桥IP:192.168.10.10/24,点击“保存”;

image.png

 

    5)回到网桥编辑模式,点击“保存”,完成网桥及桥IP的设置。

image.png

 

6)同样步骤,创建下行接口桥br20及桥IP。

image.png

 

3.1.3.2   将接口划入网桥

    1)打开【网络管理】-网络接口-Port接口,分别双击编辑连接上下行链路的接口,将接口划入相应网桥,点击“保存”。

image.png

 

image.png

 

3.1.3.3   创建vrrp实例

    1)打开【HA管理】-VRRP配置-VRRP实例,点击“增加”,创建vrrp实例;

image.png

 

    2)冗余ID填写10(建议绑定哪个网桥,ID号可与该网桥号一致),绑定接口选择上行接口所在网桥,优先级100,点击“下一步”;

image.png

 

    3)点击“增加”,创建vrrp实例虚拟地址,IP地址:192.168.10.100/24;

image.png

 

image.png

 

    4)点击“下一步”,点击“增加”,填写此vrrp实例绑定物理接口(WAF设备上行接口),最后点击“完成”,完成vrrp实例1的创建;

image.png

 

image.png

 

    5)同样操作步骤,完成vrrp实例2的创建和配置;

image.png

 

    同样操作,完成第二台WAF设备的vrrp实例配置,优先级为50,模式为备模式。

 

3.1.3.4   创建vrrp组

    打开【HA配置】-VRRP配置-VRRP组,点击增加,依次将已创建的vrrp实例添加进来。

image.png

 

image.png

 

    以上相同操作步骤,完成第二台WAF设备的vrrp组配置。

3.1.3.5   测试vrrp

    1)能够ping通vrrp虚拟地址

内网和外网分别测试,能否ping通WAF的两个虚拟IP,若可以ping通,则vrrp搭建完成。

 

    2)测试切换

从外网一直长ping内部服务器,断掉任意一台WAF设备的上行或下行接口,丢失几个数据包后,能够重新ping通内部服务器,则说明vrrp切换正常。

 

3.2    旁路双机VRRP

3.2.1     配置拓扑

image.png

 

3.2.2     配置说明

    每台WAF设备:

    业务接口属于桥br10,桥IP分别为:192.168.10.10/24和192.168.10.20/24;

    每台WAF设备各创建1个vrrp实例:

    实例1绑定业务桥接口br10,优先级为100,虚拟IP配置为192.168.10.100/24,物理链路接口为WAF业务接口;

    最后,每台WAF设备创建1个vrrp实例组,将上面创建的1个vrrp实例添加进来。

 

3.2.3     详细操作

3.2.3.1   创建网桥和配置桥IP

    1)打开【网络管理】-网络接口-网桥接口,点击“增加”,创建网桥;

image.png

 

    2)网桥号填写10,点击“下一步”;

image.png

 

    3)点击“增加”,配置网桥IP;

image.png

 

    4)填写网桥IP:192.168.10.10/24,点击“保存”;

image.png

 

    5)返回网桥编辑页面,点击“保存”,完成业务网桥及桥IP创建。

image.png

 

image.png

 

    6)相同操作步骤,完成另外一台WAF设备的业务网桥及桥IP配置。

 

3.2.3.2   将接口划入网桥

    1)打开【网络管理】-网络接口-Port接口,双击要编辑的接口,打开接口编辑页面;

image.png

 

    2)将接口划入相应网桥,点击“保存”。

image.png

 

    3)相同操作,将另外一台WAF的接口划入网桥。

 

3.2.3.3   创建vrrp实例

    1)打开【HA管理】-VRRP配置-VRRP实例,点击“增加”,新增VRRP实例;

image.png

 

    2)冗余ID填写10,绑定接口选择br10(建议绑定哪个网桥,ID号可与该网桥号一致),点击下一步;

image.png

 

    3)点击“增加”,创建vrrp实例虚拟地址,IP地址:192.168.10.100/24;

image.png

 

    4)点击“下一步”,点击“增加”,填写此vrrp实例绑定物理接口(WAF设备业务接口),最后点击“完成”,完成vrrp实例的创建。

image.png

 

5)相同操作,完成另外一台WAF的VRRP实例创建,优先级为50,模式为备模式。

 

3.2.3.4   创建vrrp组

打开【HA配置】-VRRP配置-VRRP组,点击增加,将已创建的vrrp实例添加进来。

image.png

 

    相同操作,完成另外一台WAF设备的VRRP组创建。

3.2.3.5   测试vrrp

    1)能够ping通vrrp虚拟地址

    外网测试,能否ping通WAF的虚拟IP,若可以ping通,则vrrp搭建完成。

 

    2)测试切换

    从外网一直长ping内部服务器,断掉任意一台WAF设备的业务接口,丢失几个数据包后,能够重新ping通内部服务器,则说明vrrp切换正常。