防火墙双机热备,主备备份双机热备

最新推荐文章于 2024-05-10 10:47:33 发布
最新推荐文章于 2024-05-10 10:47:33 发布
阅读量352 收藏 4
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77023501/article/details/134465382
版权

 双机热备简介

FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。

图1 双机热备典型组网图

 

基于VRRP实现主备备份双机热备

如果要两台FW工作在主备备份模式,需要将一台FW的所有VRRP备份组状态都配置为active,另一台FW的所有VRRP备份组状态都配置为standby

如图1所示,FW_A的所有VRRP备份组状态都被配置成active,FW_B的所有VRRP备份组状态都被配置成standby。正常情况下,两台FW的VGMP组状态都是load-balance,VRRP备份组的运行状态由配置决定。因此,FW_A的VRRP备份组运行状态都是Master,FW_B的VRRP备份组运行状态都是Backup

由于内部网络中主机的网关都被设置成了VRRP备份组2的虚拟IP地址10.0.0.1,这些主机在访问外部网络时,会广播一个ARP请求报文,请求10.0.0.1的MAC地址。FW_A的VRRP备份组1状态为Master,会响应内网主机的ARP请求。FW_B的VRRP备份组1状态为Backup,不会响应内网主机的ARP请求。FW_A响应的ARP报文会刷新交换机的MAC地址表和主机的ARP缓存表,使主机发往外部网络的流量都被引导到FW_A上处理。

同理,路由器R1和R2到内部网络路由的下一跳地址被设置成了VRRP备份组1的虚拟IP地址10.0.1.1。外部网络发往内部网络的流量也被引导到FW_A上处理。

图1 基于VRRP实现主备备份(双机状态正常)

 如图2所示,FW_A的上行业务接口故障,FW_A的VRRP备份组1的状态变为Initialize。同时,FW_A和FW_B的VGMP组状态也发生了变化。FW_A的VGMP组状态变为standby,FW_B的VGMP组状态变为active。FW_A和FW_B基于VGMP组状态对VRRP备份组状态进行调整。FW_A上VRRP备份组2的状态被调整为Backup。FW_B上VRRP备份组1和2的状态都被调整为Master

FW_B上VRRP备份组状态由Backup变为Master时会广播免费ARP报文,报文中携带VRRP备份组的虚拟IP地址和接口的MAC地址(开启接口虚MAC地址功能时,携带虚MAC地址)。免费ARP报文会刷新交换机的MAC地址表、主机和路由器的ARP缓存表。这样,内外部网络之间的流量都会被引导到FW_B上转发。

图2 基于VRRP实现主备备份(FW_A故障)

综上所述,正常情况下,只有FW_A在处理内外部网络之间的流量,FW_B没有处理流量。FW_A和FW_B之间形成主备备份模式的双机热备,FW_A为主机,FW_B为备机。当FW_A故障时,FW_B能自动接替FW_A继续处理内外部网络之间的流量,保证业务不中断。 

实验拓扑图

 

实验步骤 

FW1 防火墙配置 

FW1 防火墙

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.	
[USG6000V1]sysname FW1
Nov 17 2023 07:46:03 FW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3
.1 configurations have been changed. The current change number is 1, the change 
loop count is 0, and the maximum number of records is 4095.
[FW1]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
	
[FW1]interface GigabitEthernet 1/0/0	
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.1 24	
[FW1-GigabitEthernet1/0/0]quit 

[FW1]interface GigabitEthernet 1/0/6	
[FW1-GigabitEthernet1/0/6]ip address 192.168.2.1 24	
[FW1-GigabitEthernet1/0/6]quit 
	
[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 172.16.1.1 24	
[FW1-GigabitEthernet1/0/2]quit 
	
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/0	
[FW1-zone-trust]quit 
	
[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6	
[FW1-zone-dmz]quit 
	
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2	
[FW1-zone-untrust]quit 
	
[FW1]ip route-static 0.0.0.0 0 10.1.1.10
	
[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 10.1.1.1 24 active  //在FW1上行业务接口GE1/0/2上配置VRRP备份组1,并设置其状态为Active	
[FW1-GigabitEthernet1/0/2]quit 

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.3 active  //在FW1下行业务接口GE1/0/0上配置VRRP备份组2,并设置其状态为Active
[FW1-GigabitEthernet1/0/0]quit 
	
[FW1]hrp interface GigabitEthernet 1/0/6 remote 192.168.2.2	 //指定心跳口并启用双机热备功能
[FW1]hrp enable

HRP_M[FW1]security-policy  (+B)	 //在FW1上配置安全策略。双机热备状态成功建立后,FW1的安全策略配置会自动备份到FW_B上 
HRP_M[FW1-policy-security]rule name t_to_u (+B)	
HRP_M[FW1-policy-security-rule-t_to_u]source-zone trust  (+B)
HRP_M[FW1-policy-security-rule-t_to_u]destination-zone untrust  (+B)
HRP_M[FW1-policy-security-rule-t_to_u]source-address 192.168.1.0 24 (+B)
HRP_M[FW1-policy-security-rule-t_to_u]action permit  (+B)	
HRP_M[FW1-policy-security-rule-t_to_u]quit 	
HRP_M[FW1-policy-security]quit 
	
HRP_M[FW1]nat address-group benet1	//配置NAT地址池
HRP_M[FW1-address-group-benet1]section 0 10.1.1.2 10.1.1.5	
HRP_M[FW1-address-group-benet1]quit 
	
HRP_M[FW1]nat-policy  (+B)  //配置NAT策略
HRP_M[FW1-policy-nat]rule name policy_nat1 (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]source-zone trust  (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]destination-zone untrust  (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]source-address 192.168.1.0 16 (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]action source-nat address-group benet1 (+B
)	
HRP_M[FW1-policy-nat-rule-policy_nat1]quit 
HRP_M[FW1-policy-nat]quit

 

 FW2 防火墙配置

FW2 防火墙

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.	
[USG6000V1]sysname FW2
Nov 17 2023 07:58:47 FW2 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3
.1 configurations have been changed. The current change number is 1, the change 
loop count is 0, and the maximum number of records is 4095.
[FW2]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
	
[FW2]interface GigabitEthernet 1/0/0	
[FW2-GigabitEthernet1/0/0]ip address 192.168.1.2 24	
[FW2-GigabitEthernet1/0/0]quit
	
[FW2]interface GigabitEthernet 1/0/6	
[FW2-GigabitEthernet1/0/6]ip address 192.168.2.2 24	
[FW2-GigabitEthernet1/0/6]quit 
	
[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]ip address 172.16.1.2 24	
[FW2-GigabitEthernet1/0/2]quit 
	
[FW2]firewall zone trust 	
[FW2-zone-trust]add interface GigabitEthernet 1/0/0	
[FW2-zone-trust]quit 
	
[FW2]firewall zone dmz 
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6	
[FW2-zone-dmz]quit 
	
[FW2]firewall zone untrust 	
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2
[FW2-zone-untrust]quit 
	
[FW2]ip route-static 0.0.0.0 0 10.1.1.10

[FW2]interface GigabitEthernet 1/0/2	
[FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 10.1.1.1 24 standby  //在FW2上行业务接口GE1/0/2上配置VRRP备份组1,并设置其状态为standby	
[FW2-GigabitEthernet1/0/2]quit 
	
[FW2]interface GigabitEthernet 1/0/0	
[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 192.168.1.3 standby  //在FW2下行业务接口GE1/0/2上配置VRRP备份组2,并设置其状态为Standby	
[FW2-GigabitEthernet1/0/0]quit 
	
[FW2]hrp interface GigabitEthernet 1/0/6 remote 192.168.2.1  //指定心跳口并启用双机热备功能
[FW2]hrp enable

R1 配置 

R1 配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1

[R1]undo info-center enable 
Info: Information center is disabled.

[R1]interface GigabitEthernet 0/0/0	
[R1-GigabitEthernet0/0/0]ip address 10.1.1.10 24	
[R1-GigabitEthernet0/0/0]quit 
	
[R1]interface LoopBack 0	
[R1-LoopBack0]ip address 1.1.1.1 32	
[R1-LoopBack0]quit

  FW1成为了Master(主)

FW2成为了Backup(备) 

 

私网主机PC1 ping通了R1的loopback接口,成功访问公网 

 

陈建华01
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
¤转 Mysql双机热备实现
yunnick的专栏
04-11 1367
  ★预知识 :1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,备份,共同执行同一服务。当一服务器出现故障时,可以由另一服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备就是使用备份两台服务器共同执行同一服务,...
H3C SetchPath F1000e 防火墙双机热备
01-06
H3C SetchPath F1000e 防火墙双机热备。里面有二层和三层配置方法都有。
防火墙——双机热备理论讲解
热门推荐
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设的软件版本不一致、某端配置错误、对端设的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台一主一,正常情况下业务流量由主设处理,当主设故障时,业务流量平滑切换到用设进行处理,业务不中断。开启自动备份后,当主用设配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份用设上。
H3C 推荐2防火墙用RBM+VRRP做双主配置
最新发布
normanhere的博客
05-10 980
RBM是H3C私有防火墙HA技术,默认能够管理同步VRRP状态信息;同步2防火墙之间的状态化信息,同步安全策略。但是RBM链路不跑流量。和IRF之间的区别就是没有2防火墙之间的横向流量,也就不存在堆叠造成的各种问题。但是需要分别配置2防火墙H3C目前推荐防火墙高可用使用RBM+VRRP实现,如果内网网关设置为1个,即VRRP组为1, 则防火墙主备模式;故障时切换(毫秒级)。如果内网网关设置为多个,VRRP组为2个,则防火墙为主主模式,为2个组的主备
什么是双机热备技术?华为和思科如何实现双机热备
网络技术联盟站
06-08 2927
双机热备是一种通过在网络之间建立冗余的、实时同步的备份系统,以实现在主设故障时无缝切换到用设的高可用性技术。双机热备通常由两个或多个相同配置的设组成,其中一个设处于活动状态(主设),而其他设处于待命状态(用设)。用设通过实时同步数据和状态信息,以便在主设发生故障时立即接管网络服务的运行。
高可用性和双机热备浅析
ldcaws的专栏
05-30 1510
在用户眼里,业务需要永远正常对外提供服务,这就要求应用系统的高可用(High availability,即 HA)。高可用主要是针对架构而言,第一步一般会采用分层的思想将一个庞大的应用系统拆分成应用层、中间件、数据存储层等独立的层,每一层再拆分成更细粒度的组件;第二步就是让每个组件对外提供服务,毕竟每个组件都不是孤立存在的,都需要相协作,对外提供服务才有意义;第三步就是保证架构中所有组件以及对外暴露服务都要做到高可用,任何一个组件或其服务没做高可用,都意味着系统存在风险。
防火墙防火墙双机热备
2301_76769041的博客
08-30 4218
双机热备需要两台硬件和软件配置均相同的华为防火墙两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一防火墙出现故障时,业务流量能平滑地切换到另一上处理,使业务不中断。
主备备份防火墙双机热备.pdf
12-14
主备备份防火墙双机热备.pdf
主备份和防火墙双机热备.pdf
11-29
主备份和防火墙双机热备.pdf
华为防火墙双机热备配置及组网.doc
10-07
华为防火墙双机热备配置是一种冗余备份的功能,旨在提供防火墙的高可用性和避免业务中断。在防火墙双机热备组网中,分为路由模式下的双机热备组网和透明模式下的双机热备组网。下面将逐步介绍防火墙双机热备配置涉及...
mstp及vrrp双机热备负载均衡
12-27
当主路由器出现故障时,VRRP允许备份路由器接管IP地址,确保网络连接不中断,从而实现路由器的热备份。 在华为HCIE(Huawei Certified ICT Expert)认证中,这两个技术是重要的组成部分,尤其是对于构建高可用性和...
防火墙双机热备配置(素材来源于老师上课和网络
10-20
双机热备份技术原理: 通过在网络出口位置部署两台或多网关设,保证了内部网络于外部网络之间的通讯畅通。...防止一出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份
园区基础网络配置系列——华三防火墙双机主备
茉清语
03-24 4024
基础拓扑结构 设型号:H3C-F100-S-G3 需求:双机主备
防火墙————双机热备
xiazhui1的博客
11-17 1088
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一FW出现故障时,业务流量能平滑地切换到另一上处理,使业务不中断。
H3C防火墙双机热备实验
m0_62621003的博客
08-11 2749
primary:表示设为HA中的主管理设。PS:secondary:表示设为HA中的从管理设。configuration sync-check interval 1 开启一致性配置检查,1小时检查一次,默认为24小时。standby:设置VRRP备份组与HA关联,当前路由器加入到VRRP Standby组中,设初始角色为Backup。active:设置VRRP备份组与HA关联,当前路由器加入到VRRP Active组中,设初始角色为Master。
双机热备主备备份
hey1616的博客
11-17 395
双机热备简介、心跳线、主备备份实验
双机热备实验——(VRRP技术+HSRP技术)讲解+配置
qq_62311779的博客
03-10 7348
目录 一、双机热备(冗余技术)简介: 二、HSRP 技术简介: 三、VRRP技术简介: 四、HSRP配置: 五、VRRP配置: 一、双机热备(冗余技术)简介: 两核心交换机,业务流量优先从主核心交换机上传递,当核心宕机或者出现故障,业务流量会从交换机上传递,(交换机承接主交换机的任务)10-15s 当过了三个周期后还没有收到主设的hello包,就认为主设宕机出现故障,就升级为主设,负责下面业务转发 ———————————————————————————...
keepalived 实现双机热备
weixin_42132143的博客
07-18 1656
当我们配置好了双机热备后,两台节点之间会产生一个 vip,他同一时间只会漂移到一个节点上,我们可以用这个 vip 访问该节点的资源,他就如同你使用这个节点原本的 ip 去访问他一样。我们经常听说 nginx + keepalived 双机热备,其实在这里,双机热备只是利用 keepalived 实现两个节点的故障切换,当主节点挂了,用节点顶上,保证高可用群集中的热效果。这时,我们手动去停掉主节点,或者直接 kill 掉主节点的 keepalived 的进程。他会自动切换到节点。
双机热备简介
m0_73258133的博客
11-17 245
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一FW出现故障时,业务流量能平滑地切换到另一上处理,使业务不中断。
负载分担防火墙双机热备配置
09-24
总结以上步骤,负载分担防火墙双机热备配置的关键是启用HRP协议、配置会话快速备份功能以及配置双机热备。这样可以确保防火墙的状态数据和配置命令得到备份,保证流量的正常转发,并提高网络的可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值