华为防火墙双机热备(VGMP+HRP)理论+实操!

最新推荐文章于 2024-05-06 20:32:50 发布
最新推荐文章于 2024-05-06 20:32:50 发布
阅读量6.2k 收藏 44
点赞数 2
分类专栏: 华为网络原理与应用 文章标签: huawei 华为防火墙 华为防火墙VGMP 华为防火墙HRP 华为防火墙双机热备
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CN_TangZheng/article/details/104317797
版权

文章目录

前言

一:华为防火墙双机热备理论

1.1:概念

  • 平常多个VRRP备份组会存在状态不一致的问题,于是华为防火墙引入了VGMP来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。

  • VGMP(VRRP Group Management Protocol)组管理协议:由于双机热备导致设备出问题时可能会来回路径不一致,因此,我们将防火墙上的所有VRRP备份组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP备份组状态。如果有一个VRRP备份组有状态变化,则全部VRRP备份组进行状态切换,保证各VRRP备份组状态的一致性。

    • 实现对VRRP备份组的统一管理
    • 保证设备在各个备份组中的状态一致性

  • HRP(Huawei Redundancy Protocol)双机热备协议(华为冗余协议):协议是承载在VGMP报文上进行传输的,用于主设备出现问题时,备能快速切换至主,同时保证了主备之间的配置命令和会话表状态信息同步。

  • VGMP、HRP是华为私有协议

1.2:特点

  • VGMP组的状态决定了VRRP备份组的状态
  • VGMP组的状态通过比较优先级决定
  • 默认情况下,VGMP组的优先级为45000
  • 通过心跳线协商VGMP状态信息
  • 一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2

1.3:华为防火墙双机热备的方式

  • 1、自动备份:
    • 该模式下,和双机热备有关的配置命令只能再主用设备上配置,并自动同步到备用设备中,主用设备自动将装填信息同步到备设备中。该模式是华为防火墙默认开启模式,主要用于热备模式 hrp auto-sync
  • 2、手工批量备份:
    • 该模式下,主要设备上所有的配置命令和状态信息,只有在手工执行执行批量备份命令时才会自动同步到备用设备,该模式主要用于主备设备配置不同步,需要立即进行同步的场景中
  • 3、快速备份
    • 该模式下,不同步配置命令,只同步状态信息,在负载均衡方式的双机热备环境中,该模式必须启动,以快速更新状态信息

二:华为防火墙双机热备实验

2.1:环境

  • 一台PC机,用于测试
  • 两台三层交换机
  • 两台USG6000V防火墙:做双机热备

2.2:拓扑图

  • mark

2.3:实验目的

  • 通过配置,实现华为防火墙的双机热备

2.4:实验过程

  • 配置所有的IP地址

    '//此处以R1路由器为例,其他配置IP地址的方式都是一样的,不在赘述'
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[R1-GigabitEthernet0/0/0]un sh
[R1-GigabitEthernet0/0/0]int loo 0
[R1-LoopBack0]ip add 1.1.1.1 32
[R1-LoopBack0]q
'//下面是防火墙的登陆信息,需要注意'
Username:admin
Password:	'//输入Admin@123'
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 	'//输入Admin@123'
Please enter new password: 	'//输入自定义新密码,如abcd@123'
Please confirm new password: 	'//重复输入自定义新密码'
'//接下来就可以配置接口的IP地址了'

    mark

  • 将防火墙接口加入相应的区域

    '//仅展示了FW1的操作,FW2的操作相同,不在赘述'
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/2	
[FW1-zone-trust]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1	
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface g1/0/0
[FW1-zone-untrust]q

  • 防火墙添加默认路由,R1路由器添加静态路由

    [R1]ip route-static 192.168.10.0 24 10.1.1.100
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
[FW2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

  • 配置防火墙安全规则

    '//FW1和FW2操作相同,此处仅展示FW1'
'//配置心跳线的安全规则'
[FW1]security-policy 
[FW1-policy-security]rule name permit_heat
[FW1-policy-security-rule-permit_heat]source-zone local
[FW1-policy-security-rule-permit_heat]destination-zone dmz	
[FW1-policy-security-rule-permit_heat]action permit 
[FW1-policy-security-rule-permit_heat]q
'//配置其他的安全规则'
[FW1-policy-security]rule name permit_trust_untrust	
[FW1-policy-security-rule-permit_trust_untrust]source-zone trust 	
[FW1-policy-security-rule-permit_trust_untrust]destination-zone untrust 
[FW1-policy-security-rule-permit_trust_untrust]action permit 
[FW1-policy-security-rule-permit_trust_untrust]q

  • 配置VRRP备份组

    '//FW1和FW2的配置相同,此处仅展示FW1的配置'
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 192.168.10.101 24	
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.10.100 active 
[FW1-GigabitEthernet1/0/2]un sh
[FW1-GigabitEthernet1/0/2]q
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0] ip address 10.1.1.101 255.255.255.0	
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active 
[FW1-GigabitEthernet1/0/0]un sh

  • 配置心跳接口

    [FW1] hrp interface g1/0/1 remote 172.16.1.2

[FW2] hrp interface g1/0/1 remote 172.16.1.1

  • 启动双机热备

    [FW1] hrp enable

[FW2] hrp enable
'//两个都开启双机热备后,会发现[FW1]变成了HRP_M[FW1](主),[FW2]变成了HRP_S[FW2](从)'
'//或者查看双机热备的状态信息,此处仅展示了FW1的操作,FW2的操作相同'
HRP_M[FW1]dis hrp state
2020-02-14 10:35:30.900 
 Role: active, peer: standby
 Running priority: 45000, peer: 45000
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 1 minutes
 Last state change information: 2020-02-14 10:33:49 HRP core state changed, old_
state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
rity = 45000.

  • 查看心跳接口状态

    HRP_M[FW1]dis hrp interface 	'//FW2操作相同'
2020-02-14 10:36:21.260 
             GigabitEthernet1/0/1 : running

2.5:验证

  • 进入SW1交换机,关闭e/0/01接口

    <Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn SW1
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]shutdown	'//关闭接口'

  • 回到FW1和FW2上查看双机热备状态

    HRP_S[FW1]dis hrp state	'//相同方式查看FW2'
2020-02-14 10:40:29.350 
 Role: standby, peer: active (should be "active-standby")'//可以发现已经变成从了,FW2变成了主'
 Running priority: 44998, peer: 45000
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 1 minutes
 Last state change information: 2020-02-14 10:39:09 HRP core state changed, old_
state = normal, new_state = abnormal(standby), local_priority = 44998, peer_prio
rity = 45000.

  • 将交换机接口重新开启

    [SW1-Ethernet0/0/1]un sh

  • 再次查看防火墙状态

    '//等到系统通告信息发出后,发现主又变回了FW1'
HRP_M[FW1]dis hrp state
2020-02-14 10:42:52.450 
 Role: active, peer: standby
 Running priority: 45000, peer: 45000
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 0 minutes
 Last state change information: 2020-02-14 10:42:47 HRP core state changed, old_
state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
rity = 45000.

  • 主又变回FW1了,因为当时在FW1的vrrp配置的时候选择了active,所以会变回来

飞翔的驴
关注
  • 2
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙双机热备配置及组网.pdf
11-03
华为防火墙双机热备配置及组网.pdf
ensp华为防火墙的VRRP、HRP双机热备配置
jjc321506301915的博客
03-31 8442
作业十三:防火墙双机热备 实验环境 实验思路 规划并配置IP 安全区域划分 配置静态路由 配置VRRP 配置心跳接口 配置安全策略 检验连通性 主备切换 备用设备抢占 实验步骤 规划并配置IP R1: [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 200.1.1.3 24 FW1: [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24 [FW1-GigabitEthernet1/
华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置
最新发布
博客之路,前途漫漫
05-06 3558
华为防火墙双机热备是一种高可用性解决方案,可以将两台防火墙设备组成一个双机热备组,实现主备切换。当主用防火墙出现故障时,备用防火墙可以自动切换为新的主用防火墙,确保网络流量不中断。
防火墙双机热备三大协议(VRRP-VGMP-HRP)原理
热门推荐
曹世宏的博客
03-30 2万+
防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时。 防火墙双机热备产生的原因,详细内容可参考:防火墙双机热备技术 三大协议框架: VRRP------虚拟路由冗余协议 VGMP------VRRP组管理协议(华为私有) HRP--------华为冗余协议(华为私有) ...
防火墙双机热备命令行配置
Skye's Blog
06-07 2518
文章目录实验要求实验内容步骤一步骤二步骤三步骤四步骤五步骤六 实验要求 部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪 进行故障模拟,在双机热备的部署完成之后,关闭主设备,查看业务连通性是否收到影响 连通性要求: 内网用户可以访问外网、服务器 外网用户可以访问服务器 实验内容 步骤一 搭建拓扑,规划网段。配置终端和防火墙各个接口IP地址。 FW1: [USG6000V1]in...
防火墙双机设备(旁挂组网),HRP双主原因
weixin_46639226的博客
10-25 1592
防火墙双机热备配置、HRP双主
ENSP-----华为USG6000防火墙
qq_42761527的博客
02-11 8910
本篇来讲一下USG6000的各种配置命令,此外还有配置web登录和ssh登录 一.防火墙简介 防火墙的工作模式 路由模式:当防火墙处于内部网络和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域不同地址段的时候,这个时候防火墙首先是一台路由器,其后在提供其他的防火墙功能 透明模式:华为防火墙和外层相连的时候,则防火墙处于透明模式下 混合模式:既处于路由接口模式又处于透明模...
华为防火墙双机热备HRP配置
Ddfgxfgg的博客
10-18 5715
华为hrp备份配置
华为防火墙双机热备配置及组网.doc
10-07
首先,防火墙双机热备配置主要涉及到 HRP 的配置,VGMP 的配置,以及 VRRP 的配置。HRP华为的冗余备份协议,用于备份防火墙的会话表、servermap 表、黑名单、配置等。VGMP华为的私有协议,用于管理 VRRP。VRRP...
华为防火墙双机热备.docx
09-06
华为防火墙双机热备.docx
华为防火墙双机热备配置与组网.doc
10-09
华为防火墙双机热备配置与组网.doc
华为网络----防火墙双机热备实验(VGMPHRP协议)
weixin_45726050的博客
02-26 1万+
文章目录前言:一、华为防火墙双机热备概述1.1 防火墙双机热备概念1.2 防火墙双机热备特点1.2.1 VGMP的优先级1.3 华为防火墙双机热备方式1.4 VGMP的状态转换与工作过程1.5 VGMP的工作原理(主备模式下)1.6 HRP协议基本原理1.7 HRP的备份方式1.8 备份通道状态1.9 心跳线二、防火墙双机热备实验2.1 实验拓扑图2.2 路由器R1配置2.3 防火墙FW1配置2....
HRP协议详解
永远是少年
07-30 1万+
今天继续给大家介绍HCIE安全系列相关内容。本文给大家介绍HRP协议的相关理论知识,包括概述、数据备份范围、数据备份方式、备份通道状态和备份通道选择五个方面。 一、HRP协议概述 HRPHuawei Redundancy Protocol),华为冗余协议,主要用于实现防火墙双机之间动态状态数据和关键配置命令实时备份。 HRP协议功能的实现借助了HRP报文,而HRP报文实际上上是一种VGMP报文,承载在VGMP报文的Data区域。通常而言,HRP协议以VGMP心跳线作为备份通道传输备份数据和命令。 HRP
防火墙双机热备配置
zszfs的博客
10-26 2764
防火墙双机热备实验
华为防火墙二层透明模式下双机热备主备备份配置(两端为交换机)
IT技术
11-11 1059
华为防火墙二层透明模式下双机热备主备备份配置(两端为交换机)
华为ensp实现简单静态路由实验
ZLQiang_csdn的博客
06-03 919
实现网络拓扑图如下:
正确停止standby的方法
Linucle的专栏
04-23 2429
首先 主库中修改log_archive_dest_state_n参数,使其暂时不向standby库发送日志 SYS@PROD> alter system set log_archive_dest_state_2=DEFER;大写 然后 在standby端停止redo运用 SYS@SBDB> alter database recover managed standby data
华为热备份hrp实验
m0_57207884的博客
07-02 1300
华为Hrp热备份实验报告 一. 实验环境拓扑 二.实验要求 1.配置好指定的ip 2.配置hrp热备份 3.测试断开活跃路由器后的反应 三.实验思路步骤 R1,FW1 .FW2.配置ip地址 静态路由 将指定端口加入安全区域 R1配置 ip,静态路由条指向 sy Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 改名 [R1]int g0/0/0 [R1-G
华为设备为企业配置OSPF,防火墙上的nat,nat server,ip-link,hrp(2)
wz18819790551的博客
10-01 1490
ospf ip-link 防火墙 nat, nat server
hrp _m与hrp_s的区别
06-09
HRP-M和HRP-S都是基于人形机器人的研究平台,其主要区别在于机器人的外形和尺寸。 HRP-M是一种较小的人形机器人,主要用于研究人形机器人的行走和运动控制等方面。它的身高为1.3米,重量为39公斤,具有14个自由度。 HRP-S则是一种较大的人形机器人,主要用于研究人形机器人的协作和运动控制等方面。它的身高为1.5米,重量为58公斤,具有30个自由度。 因此,HRP-M和HRP-S的主要区别在于尺寸和自由度数量,适用于不同的研究领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值