防火墙双机热备,基于VRRP实现负载分担双机热备

已于 2023-11-20 10:42:09 修改
阅读量667 收藏 4
点赞数 1
文章标签: 网络 服务器 运维
于 2023-11-17 18:32:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77023501/article/details/134467647
版权

 基于VRRP实现负载分担双机热备

如果要两台FW工作在负载分担模式,两台FW上都要有状态配置为active的VRRP备份组

如图1所示,FW_A的VRRP备份组1和3状态被配置成active,VRRP备份组2和4状态被配置成standby。FW_B的VRRP备份组2和4状态被配置成active,VRRP备份组1和3状态被配置成standby。正常情况下,两台设备的VGMP组状态都是load-balance,VRRP备份组的运行状态由配置决定。因此,FW_A的VRRP备份组1和3运行状态是Master,VRRP备份组2和4运行状态是Backup。FW_B的VRRP备份组2和4运行状态都是Master,VRRP备份组1和3运行状态是Backup

内部网络中部分主机的网关被设置成了VRRP备份组3的虚拟IP地址10.0.0.1。这些主机在访问外部网络时,会广播一个ARP请求报文,请求10.0.0.1的MAC地址。FW_A的VRRP备份组3状态为Master,会响应内网主机的ARP请求。FW_B的VRRP备份组3状态为Backup,不会响应内网主机的ARP请求。FW_A响应的ARP报文会刷新交换机的MAC地址表和主机的ARP缓存表,使这部分主机发往外部网络的流量都被引导到FW_A上处理。

而另一部分主机的网关被设置成了VRRP备份组4的虚拟IP地址10.0.0.2。这些主机在访问外部网络时,同样会广播一个ARP请求报文,请求10.0.0.2的MAC地址。此时,只有FW_B会响应这个ARP请求。因此,这部分主机的流量都被引导到FW_B上转发。

同理,路由器R1到内部网络路由的下一跳地址被设置成了VRRP备份组1的虚拟IP地址10.0.1.1,路由器R1发往内部网络的流量会被引导到FW_A上处理。路由器R2到内部网络路由的下一跳被设置成了VRRP备份组2的虚拟IP地址10.0.1.2,路由器R2发往内部网络的流量会被引导到FW_B上处理。

图1 基于VRRP实现负载分担(双机状态正常)

 如图2所示,FW_A的上行业务接口故障,FW_A的VRRP备份组1和2的状态变为Initialize。同时,FW_A和FW_B的VGMP组状态也发生了变化。FW_A的VGMP组状态变为standby,FW_B的VGMP组状态变为active。FW_A和FW_B基于VGMP组状态对VRRP备份组状态进行调整。FW_A上VRRP备份组3和4的状态被调整为Backup。FW_B上所有VRRP备份组的状态都被调整为Master

FW_B上VRRP备份组状态由Backup变为Master时会广播免费ARP报文,报文中携带VRRP备份组的虚拟IP地址和接口的MAC地址(开启接口虚MAC地址功能时,携带虚MAC地址)。免费ARP报文会刷新交换机的MAC地址表、主机和路由器的ARP缓存表。这样,内外部网络之间的流量会被引导到FW_B上转发。

同理,如果FW_B发生故障,FW_A无故障,内外部网络之间的流量会被引导到FW_A上转发。

图2 基于VRRP实现负载分担(FW_A故障)

综上所述,正常情况下,FW_A和FW_B都会处理内外部网络之间的流量。FW_A和FW_B之间形成负载分担模式的双机热备。FW_A和FW_B中任意一台故障时,流量都会自动切换到未故障的FW上处理,保证业务不中断。 

实验拓扑图 

实验步骤  

FW1 配置 

FW1 防火墙
 
<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.	
[USG6000V1]sysname FW1
Nov 17 2023 07:46:03 FW1 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3
.1 configurations have been changed. The current change number is 1, the change 
loop count is 0, and the maximum number of records is 4095.
[FW1]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
	
[FW1]interface GigabitEthernet 1/0/0	
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.1 24	
[FW1-GigabitEthernet1/0/0]quit 
 
[FW1]interface GigabitEthernet 1/0/6	
[FW1-GigabitEthernet1/0/6]ip address 192.168.2.1 24	
[FW1-GigabitEthernet1/0/6]quit 
	
[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 172.16.1.1 24	
[FW1-GigabitEthernet1/0/2]quit 
	
[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/0	
[FW1-zone-trust]quit 
	
[FW1]firewall zone dmz 
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6	
[FW1-zone-dmz]quit 
	
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2	
[FW1-zone-untrust]quit 
	
[FW1]ip route-static 0.0.0.0 0 10.1.1.10
	
在FW1上行业务接口GE1/0/2上配置VRRP备份组1,并将其状态设置为Active;配置VRRP备份组2,并将其状态设置为Standby

[FW1]interface GigabitEthernet 1/0/2 	
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 10.1.1.1 24 active 
[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.1.1.2 24 standby	
[FW1-GigabitEthernet1/0/2]quit 
	
在FW1下行业务接口GE1/0/0上配置VRRP备份组3,并将其状态设置为Active;配置VRRP备份组4,并将其状态设置为Standby

[FW1]interface GigabitEthernet 1/0/0	
[FW1-GigabitEthernet1/0/0]vrrp vrid 3 virtual-ip 192.168.1.3 active 
[FW1-GigabitEthernet1/0/0]vrrp vrid 4 virtual-ip 192.168.1.4 standby 	
[FW1-GigabitEthernet1/0/0]quit 
	
[FW1]hrp mirror session enable //负载分担组网下,两台FW都转发流量,为了防止来回路径不一致,需要在两台FW上都配置会话快速备份功能
		
[FW1]hrp interface GigabitEthernet 1/0/6 remote 192.168.2.2	 //在FW上指定心跳口
[FW1]hrp enable   //启用双机热备功能
Info: NAT IP detect function is disabled.
	
HRP_M[FW1]security-policy (+B)	//在FW1上配置安全策略。双机热备状态成功建立后,FW1的安全策略配置会自动备份到FW2上
HRP_M[FW1-policy-security]rule name t_to_u (+B)	
HRP_M[FW1-policy-security-rule-t_to_u]source-zone trust  (+B)	
HRP_M[FW1-policy-security-rule-t_to_u]destination-zone untrust  (+B)	
HRP_M[FW1-policy-security-rule-t_to_u]source-address 192.168.1.0 24 (+B)	
HRP_M[FW1-policy-security-rule-t_to_u]action permit  (+B)	
HRP_M[FW1-policy-security-rule-t_to_u]quit 	
HRP_M[FW1-policy-security]quit 
	
HRP_M[FW1]nat address-group benet1	//配置NAT地址池
HRP_M[FW1-address-group-benet1]section 0 10.1.1.20 10.1.1.25	
HRP_M[FW1-address-group-benet1]quit 
	
HRP_M[FW1]nat-policy  (+B)  //配置NAT策略
HRP_M[FW1-policy-nat]rule name policy_nat1 (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]source-zone trust  (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]destination-zone untrust  (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]source-address 192.168.1.0 16 (+B)	
HRP_M[FW1-policy-nat-rule-policy_nat1]action source-nat address-group benet1 (+B
)	
HRP_M[FW1-policy-nat-rule-policy_nat1]quit 	
HRP_M[FW1-policy-nat]quit 
	
HRP_M[FW1]hrp nat resource primary-group  (+B)  //对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在FW_A和FW_B上分别配置可用的端口范围

FW2 配置 

FW2 防火墙
 
<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.	
[USG6000V1]sysname FW2
Nov 17 2023 07:58:47 FW2 DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3
.1 configurations have been changed. The current change number is 1, the change 
loop count is 0, and the maximum number of records is 4095.
[FW2]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
	
[FW2]interface GigabitEthernet 1/0/0	
[FW2-GigabitEthernet1/0/0]ip address 192.168.1.2 24	
[FW2-GigabitEthernet1/0/0]quit
	
[FW2]interface GigabitEthernet 1/0/6	
[FW2-GigabitEthernet1/0/6]ip address 192.168.2.2 24	
[FW2-GigabitEthernet1/0/6]quit 
	
[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]ip address 172.16.1.2 24	
[FW2-GigabitEthernet1/0/2]quit 
	
[FW2]firewall zone trust 	
[FW2-zone-trust]add interface GigabitEthernet 1/0/0	
[FW2-zone-trust]quit 
	
[FW2]firewall zone dmz 
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6	
[FW2-zone-dmz]quit 
	
[FW2]firewall zone untrust 	
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2
[FW2-zone-untrust]quit 
	
[FW2]ip route-static 0.0.0.0 0 10.1.1.10
 
在FW2上行业务接口GE1/0/2上配置VRRP备份组1,并将其状态设置为Standby;配置VRRP备份组2,并将其状态设置为Active。

[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 10.1.1.1 24 standby 	
[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.1.1.2 24 active 	
[FW2-GigabitEthernet1/0/2]quit 
	
在FW2下行业务接口GE1/0/0上配置VRRP备份组3,并将其状态设置为Standby;配置VRRP备份组4,并将其状态设置为Active。

[FW2]interface GigabitEthernet 1/0/0	
[FW2-GigabitEthernet1/0/0]vrrp vrid 3 virtual-ip 192.168.1.3 standby 
[FW2-GigabitEthernet1/0/0]vrrp vrid 4 virtual-ip 192.168.1.4 active 	
[FW2-GigabitEthernet1/0/0]quit 
	
[FW2]hrp mirror session enable  //负载分担组网下,两台FW都转发流量,为了防止来回路径不一致,需要在两台FW上都配置会话快速备份功能
	
[FW2]hrp interface GigabitEthernet 1/0/6 remote 192.168.2.1 //在FW上指定心跳口并启用双机热备功能
[FW2]hrp enable

 R1配置

R1 配置
 
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
 
[R1]undo info-center enable 
Info: Information center is disabled.
 
[R1]interface GigabitEthernet 0/0/0	
[R1-GigabitEthernet0/0/0]ip address 10.1.1.10 24	
[R1-GigabitEthernet0/0/0]quit 
	
[R1]interface LoopBack 0	
[R1-LoopBack0]ip address 1.1.1.1 32	
[R1-LoopBack0]quit

私网PC1 ping公网R1的loopback已通 

 FW1防火墙上行接口捉包结果,可看出PC1的包是往FW1防火墙走的

 私网PC2 ping公网R1loopback接口已通

 FW2防火墙上行接口捉包结果,可看出PC2的包是往FW2防火墙走的

陈建华01
关注
虚拟路由冗余协议VRRP——双机热备份基础
qq_40741808的博客
06-13 2855
VRRP一、概述产生背景VRRP简介相关概念二、VRRP的报文结构三、VRRP的状态机四、VRRP中Master的选举和工作过程Master路由器的选举工作过程正常工作VRRP的故障切换VRRP认证方式五、VRRP提供的功能主备备份负载分担监视功能监视上行链路Backup监视Master工作状态虚拟IP地址Ping开关VGMP和mVRRP将在其他博文中详解HSRPVRRP的区别: 一、概述 产生背景 随着Internet的发展,人们对网络可靠性的要求越来越高。特别是对于终端用户来说,能够实时与网络其他部分
华为NAT
HARDYxiaoyao的博客
04-14 998
nat分类: Nat no-pat:相当于思科 动态NAT(多对多) Napt :相当于思科PAT(IP地址不能是接口地址)(多对一) EASY-IP :相当于思科PAT(IP地址是接口地址)()多对一) SMART NAT智能转换):多对多 多对一 三元组NAT:内部服务器发布到网络 IP对应IP 端口对端口 一对一 EASY-IP配置 : 192.168.3.0-(接口)100.0.0.1 1 配置安全策略 security-policy -----配置NAT策略 rule name tu
华为防火墙-双机热备
m0_59605653的博客
01-17 2804
双机热备是两台设备共同承担业务流量,以此来提高可靠性的技术。两台设备之间通过“心跳线”进行连接。当主用设备故障时,备用设备可以平滑接替主用设备工作。
VRRP+双机热备
weixin_63264424的博客
07-19 360
VRRP+双机热备综合实验。
双机热备份-VRRP
cangqiong_xiamen的博客
06-14 1575
今天我们来聊一下VRRP (Virtual Router Redundancy Protocol-虚拟路由冗余协议),首先我们要知道VRRP是一种容错性协议,它是通过将多台设备虚拟化成一台设备,如果其中一台设备出现故障,那么另一台设备可以迅速接替其工作,已保证通讯的可靠性和连续性。 工作原理: 在企业网当中,PC一般是需要使用"网关"来与外部网络进行通讯,这样如果网关出现了故障那么整一个子网...
华为VRRP+DHCP双机热备配置
normanhere的博客
04-27 900
创建VLAN并配置二层转发功能。
mstp及vrrp双机热备负载均衡
12-27
所有修改都已在示例中注明,这意味着读者可以直接查看示例了解如何配置和调整MSTP和VRRP实现双机热备负载均衡。 文件名称列表看似是随机生成的字符串,它们可能代表的是实验步骤、配置文件或网络设备的模拟模型...
网络防火墙双机热备技术
最新发布
09-10
本文介绍了防火墙双机热备技术,包括其背景...1. 防火墙双机热备技术原理,包括VRRP、VGMP和HRP等协议的作用。 2. 防火墙主备备份应用场景和优势。 3. 防火墙双机热备配置方法和步骤。 4. 防火墙主备切换和切回的流程。
华为防火墙双机热备VRRP+VGMP+HRP
weixin_45724795的博客
02-21 5072
前言:在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致的网络中断的风险 防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更新更高的可靠性,此时需要使用防火墙双机热备组网 双机热备组网的建立和运行需要解决以下几个关键问题: 设备的主备状态是如何决定的 如何监控并发现接口或者设备故障 发现故障后...
防火墙双机热备
ATM_32的博客
12-10 3902
防火墙双机热备概述 防火墙双机热备功能通过提供一条备份链路(心跳线),协商防火墙之间的主备状态
防火墙双机热备技术
qq_43704340的博客
10-27 2380
备份/冗余:提高网络的可靠性,防止单点故障 二层冗余机制:STP,链路聚合,浮动静态路由,VRRP虚拟路由器冗余协议,HA高可用性,热备,冷备 热备:通过冗余技术/协议实现动态的主备切换/负载分担 可靠性高 冷备:备份设备下电状态,当主设备失效后,进行物理替换 节省费用(电费) 双机热备技术产生的原因: 1.防火墙通过VRRP协议实现备份—主备设备会话表无法同步 2.通过防火墙的流量路径来回不一致造成数据丢失(不同VRRP组主备切换不一致) 防火墙双机热备: 组成: VRRP虚拟路由器冗余
第九课:eNSP VRRP虚拟路由冗余协议配置教程(防火墙双机热备
qq_41555586的博客
12-18 2782
三、验证一、术语&命令说明,即虚拟路由冗余协议,它是一种容错协议。它通过把几台路由设备联合组成一台虚拟的路由设备,实现网关设备的主备备份,保障网络的可靠通信。VRRPVRRPVRRPVRRPVRRPIPIPVRRPVRRPVRIDVRRPPCIPARPBackupVRRPMasterMasterMasterVRRP0~255100IPIPVRRPIP224.0.0.18TTL255112,即华为冗余备份协议,用来实现防火墙双机之间动态状态数据和关键配置命令的备份。
双机热备VRRP原理详解(附实验)
码海小虾米_的博客
03-21 3528
VRRP协议一、 熟悉VRRP的工作原理1.1 技术背景1.2 概述1.3 VRRP术语1.4 虚拟的MAC地址1.5 VRRP状态机1.6 Master、 Backup二、 掌握VRRP的基本配置2.1 常用配置命令2.2 实验 一、 熟悉VRRP的工作原理 1.1 技术背景 如下图所示,当路由器和互联网之间只有一个选择路径,很容易出现单点故障,使我们的主机无法正常联网工作。 如下图所示,VRRP可以带给我们一个双重保障 当R1出现故障时,可以平滑的切换到R2 ,R2自动变成Master。 1.2 概
双机热备VRRP协议介绍及其工作原理
仙女肖消乐的博客
05-20 4151
VRRP协议: 为了更好的解决由于网关故障引起的网络中断问题,网络开发者提出了VRRP协议,VRRP协议是一种容错协议,他保证当链路中路由器出现故障的时候,由备份路由器自动替代路由器进行工作,从而保证网络通信的持续性和可靠性 虚拟路由器: 由一个Master和多个Backuo路由器组成。其中所有Master路由器和Backup路由器都属于一个VRRP组,下行设备将虚拟路由器作为网关。 VRID: 虚拟路由器表示,在同一个VRRP组内的路由器必须有相同的VRID,VRID相当于一个组织,所有的主
防火墙双机热备VRRP与VGMP
Mario_Ti的博客
01-05 2118
本文将收录防火墙双机热备合集专栏,此文主要是讲解一下防火墙双机热备VRRP与VGMP技术,让大家知道如何配置防火墙双机热备
华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置
博客之路,前途漫漫
05-06 4350
华为防火墙双机热备是一种高可用性解决方案,可以将两台防火墙设备组成一个双机热备组,实现主备切换。当主用防火墙出现故障时,备用防火墙可以自动切换为新的主用防火墙,确保网络流量不中断。
双机热备VRRP与VGMP的故事(2)
weixin_33720078的博客
12-05 425
上篇我们在学习了VRRP实现原理,以及如何通过VGMP解决VRRP问题后,提出了两个问题。第一个问题是“两台防火墙的VGMP组是如何传递VGMP的优先级信息的?”。答案是防火墙的VGMP组通过备份通道(心跳线),利用VGMP报文来传递优先级信息。第二个问题是“两台防火墙的VGMP组的状态协商和切换过程,以及报文交互过程到底是怎样的呢?”,我们还没有给出答案。在本...
华为交换机VRRP负载均衡+双机热备
qq_43036356的博客
03-02 2436
Master设备故障工作过程:当组内的备份设备一段时间(Master_Down_Interval定时器取值为:3×Advertisement_Interval+Skew_Time,单位为秒)内没有接收到来自Master设备的报文,则将自己转为Master设备。一个VRRP组里有多台备份设备时,短时间内可能产生多个Master设备,此时,设备将会对收到的VRRP报文中的优先级与本地优先级做比较,从而选取优先级高的设备成为Master。
负载分担防火墙双机热备配置
09-24
负载分担防火墙双机热备配置中,需要进行以下步骤: 1. 启用HRP协议:HRP(Huawei Redundancy Protocol)协议用于实现动态状态数据和关键配置命令的备份。在双机热备组网中,主防火墙出现故障时,所有流量将切换到备防火墙。为了保证流量的正常转发,需要启用HRP协议。 2. 配置会话快速备份功能:会话快速备份功能用于负载分担的工作方式,以应对报文来回路径不一致的场景。在负载分担组网下,由于两台防火墙都是主用设备,可能存在报文来回路径不一致的情况。为了防止业务中断,需要配置会话快速备份功能,使两台防火墙能够实时相互备份会话,保证回程报文能够查找到相应的会话表项。 3. 配置双机热备:通过冗余技术/协议实现动态的主备切换/负载分担双机热备技术提高了网络的可靠性,防止单点故障。可以使用VRRP虚拟路由器冗余协议来实现主备设备会话表的同步,并确保流量路径来回一致。 总结以上步骤,负载分担防火墙双机热备配置的关键是启用HRP协议、配置会话快速备份功能以及配置双机热备。这样可以确保防火墙的状态数据和配置命令得到备份,保证流量的正常转发,并提高网络的可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值