具体的NAT和双机热备实验请到：NAT与双机热备实验

目录

1、ALG

2、NAT ALG

3、NAT域间双向转换

4、NAT域内双向转换

5、双出口NAT

6、防火墙的双机热备

解决方案1：VGMP

6.1 双机热备份技术产生的背景：

6.2 VRRP在多区域防火墙组网中的应用

6.3 VRRP在防火墙中应用的缺陷：

6.4 VGMP的基本原理

6.5 VGMP组管理

解决方案2：HRP

6.6 备份内容：会话表备份，配置备份

6.7 备份方向：

6.8 备份通道：

6.9 防火墙双机热备份主备切换的故障场景

---

1、ALG

应用网关，用来处理上述应用层在nat转换场景转换问题。

ALG 作用之一：观测多通道协议的协商包

2、NAT ALG

某些协议会在应用层携带通信ip（即，没有有nat转换前的ip），这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层而是转三层ip，这就是导致某些协议的通信阶段在nat场景下失败。

问题1：由于nat在转发过程中破坏了源ip的完整性

所以需要使用server-map创建一条隐形通道用来让nat地址进出

问题2：TCP的校验和检验ip的源目IP地址

NAT转换的动作：把IP改掉，然后去TCP的校验和中把修改后的校验和再校验一遍（未首部校验）

NAT转换不仅仅和IP首部，还有TCP的首部

防火墙的解决方案：

1、创建一个nat 

2、创建server-map隐形通道

注意：防火墙设置nat只写真实地址

    服务映射NAT：外->内 目标写内网服务器ip    

    内->外 源写本地主机ip

3、NAT域间双向转换

外网访问内网服务器，内网服务器访也需要问外网的场景；

4、NAT域内双向转换

使用场景：内网的人要想访问内网的服务器，但是dns解析需要到外网解析，然后pc的访问与服务器的响应路径不一致的问题；

5、双出口NAT

双NAt会出现nat地址转换错乱

解决方案：

启动防火墙多出口选项，网关、缺省、源进源出路由控制三种必须启用。不管是多出口是在一个安全区域还是多个安全区域都是如此做法

原理就是通过上述手段把路由与NAT转换通过系一条做了关联

注意：在防火墙图形化配置ip时一定要写默认网关，然后记着勾着多出口选项；

6、防火墙的双机热备

解决方案1：VGMP

6.1 双机热备份技术产生的背景：

当内部用户和和外部用户的交互式报文全部通过防火墙A。如果防火墙A出现故障，则内部网络中所有以防火墙A作为默认网关的通讯将会中断，通讯可靠性无法保证。

为了防止一台设备出现意外故障而导致网络中断业务中断，可以采用两台防火墙形成双机备份

6.2 VRRP在多区域防火墙组网中的应用

为了防止多个区域提供双机如被功能时，需要在每一台防火墙上配置多个VRRP备份组

6.3 VRRP在防火墙中应用的缺陷：

使用传统的VRRP方式无法实现主、备防火墙状态信息和多组VRRP状态的一致性

6.4 VGMP的基本原理

为了保证所有的VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRP组协议管理协议）来弥补次局限。将同一台防护墙上的多个VRRP备份组都加入到一个VGMP管理组，由管理组统一管理所有VRRP备份组的状态，来保证管理组内的所有VRRp备份状态都是一致的；

• 防火墙VGMP组状态分为三类：load-balance负载均衡  Active、standy；

• 防火墙VGMP组通过发送VGMP报文通告自身的运行状态，从而根据hello优先级决定主备设备，主设备VGMP组的状态为Active，备设备的状态为standby；

• 当防火墙上的VGMP组为Active/standby时，组内的所有VRRP备份组的状态都是Active/standby;

• 当发生故障时，VGMP统一切换到VRRP备份组1与VRRP备份组2的状态。当VGMP组状态为Active时，VRRP备份组的状态都是Master；当VGMP组状态都是backup

6.5 VGMP组管理

状态一致性管理：VGMP管理组控制所有的VRRP备份组统一切换，VRRP备份组加入到管理组后状态不能单独切换

抢占管理：

• 当原来出现故障的主设备故障恢复时，其VGMP管理组优先级也会恢复，此时可以重新将自己的VGMP管理组状态抢占为主;

• 当VRRP备份组加入到VGMP管理组后，备份组上原来的抢占功能将失效，抢占行为发生与否必须由VGMP管理组统一决定

通道管理：所谓通道管理，就是为了确定双机热备的两台防火墙之间有哪些接口是可用的，VGMP、HRP模块将自动选用可用接口来发送VGMP、HRP报文。

注：

• VGMP自己选举主备；

• VRRP的主备由VGMP选举产生；

解决方案2：HRP

HRP（huawei redundancy protocol）协议，用来实现防火墙双机之间状态信息和关键配置命令的动态备份

6.6 备份内容：会话表备份，配置备份

• 策略: 安全策、NAT策略、认证策略、攻击防范和ASPF等;

• 对象: 地址、地区、服务、应用、用户、认证服务器、时间段地址池、URL分类、关键字组、邮件地址组、签名和安全配置文件等;

• 网络: 新建逻辑接口、安全区域、DNS、静态路由(配置hrpauto-sync config static-route后才可以备份)、IPSec和SSLVPN等

• 系统:管理员、虚拟系统、日志配置等。

• 状态信息:会话表、Sever-map表、黑白名单、地址映射表、MAC表、用户表、IPSec安全联盟和隧道等。

6.7 备份方向：

• 支持备份的配置命令默认只能在配置主设备上执行，这些命令会自动备份到备设备上，例如：安全策略配置命令、NAT策略配置命令等

• 主备备份组网中，只有主备份会处理业务，主设备上生成业务表项，并向备份设备备份。负载均衡分担组网中，两台防火墙设备都会处理业务，都会生成业务表项并向对端设备备份

6.8 备份通道：

• 配置和状态需要网络管理员指定备份通道接口进行备份。一般情况下，在两台设备上直连的端口作为备份通道，有时候也称为“心跳线”

备份方式：

• 自动备份

• 手动批量备份

• 设备重启主备防火墙的配置自动同步

• 会话快速备份

6.9 防火墙双机热备份主备切换的故障场景

• 业务线路故障

• 整机故障

• 心跳线故障