双机热备份

于 2023-11-17 17:43:14 发布
阅读量280 收藏 1
点赞数
分类专栏: 华为项目 文章标签: 服务器 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IP_LiangHuan/article/details/134465484
版权

双机热备简介

FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。

心跳线

双机热备组网中,心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。

心跳线主要传递如下消息:

  • 心跳报文(Hello报文):两台FW通过定期(默认周期为1秒)互相发送心跳报文检测对端设备是否存活。
  • VGMP报文:了解对端设备的VGMP组的状态,确定本端和对端设备当前状态是否稳定,是否要进行故障切换。
  • 配置和表项备份报文:用于两台FW同步配置命令和状态信息。
  • 心跳链路探测报文:用于检测对端设备的心跳口能否正常接收本端设备的报文,确定是否有心跳接口可以使用。
  • 配置一致性检查报文:用于检测两台FW的关键配置是否一致,如安全策略、NAT等。

上述报文均不受FW的安全策略控制。因此,不需要针对这些报文配置安全策略。

心跳线和心跳接口的配置建议
  • 心跳接口的连线方式可以是直连,也可以通过交换机或路由器连接。建议将组成双机热备的两台FW安装在同一个机架或者相邻的机架上,心跳接口使用网线或者光纤直连。

  • 建议规划专门的接口作为心跳接口,该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文,不要将业务报文引导到该接口上转发。同时,建议将多个以太网接口绑定成Eth-Trunk接口,使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性,又可以增加备份通道的带宽。

  • 对于USG9000V系列设备,vLPU上的接口均可作为心跳接口。请安装多个vLPU,并将不同接口板上的以太网接口绑定成Eth-Trunk接口,使用该Eth-Trunk接口作为心跳接口。
  • 心跳接口需要发送业务相关的表项备份报文,心跳接口的流量大小与业务流量大小有关。心跳接口的带宽建议不低于峰值业务流量的30%。
  • 建议至少配置2个心跳接口。一个心跳接口作为主用,另一个心跳接口作为备份。
心跳线和心跳接口的配置注意事项
  • MGMT接口(GigabitEthernet0/0/0)不能作为心跳接口。
  • 配置了vrrp virtual-mac enable命令的接口不能用作心跳接口。
  • 两台FW心跳接口的类型、接口编号、链路协议类型必须相同。如果使用Eth-Trunk接口作为心跳接口,Eth-Trunk接口的成员接口也要相同。如果使用VLAN接口(VLANIF)作为心跳接口,实际收发报文的二层物理接口也必须相同。
  • 两台FW心跳接口必须加入相同的安全区域。
  • 接口MTU值小于1500的接口不能作为心跳接口。

  • 配置和表项备份报文的最大长度为1500字节,且报文不支持分片。如果心跳接口MTU值小于1500,会导致报文发送失败。

  • 心跳接口通过交换机或路由器连接时,交换机或路由器上转发心跳报文和备份报文的接口的MTU值不能小于1500。
  • 如果FW上配置了虚拟系统,心跳接口不能是虚拟系统的接口,必须是根系统的接口。虚拟系统的配置命令和表项也能通过规划在根系统的心跳接口备份到对端设备。

 实验拓补图

 实验步骤

配置好FW1和FW2的IP地址与要加入的区域

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.2.0.1 24
[FW1-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW1-GigabitEthernet1/0/3]interface GigabitEthernet 1/0/6
[FW1-GigabitEthernet1/0/6]ip address 10.10.0.1 24
[FW1-GigabitEthernet1/0/6]q

[FW1]firewall zone dmz		
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/3
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/0
[FW1-zone-untrust]q
[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]ip address 10.2.0.2 24
[FW2-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/6
[FW2-GigabitEthernet1/0/6]ip address 10.2.0.2 24
[FW2-GigabitEthernet1/0/6]interface GigabitEthernet 1/0/3
[FW2-GigabitEthernet1/0/3]ip address 10.3.0.2 24

[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6
[FW2-zone-dmz]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 1/0/0
[FW2-zone-untrust]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/3

 r1的配置

[r1]interface LoopBack 0
[r1-LoopBack0]ip address 11.11.11.11 32
[r1-LoopBack0]q
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]ip address 1.1.1.10 24

配置好缺省路由

[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10 

[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

 配置VRRP备份组 

[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip  1.1.1.1 24 active 
[FW1]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 active 



[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 24 standby 
[FW2-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/3
[FW2-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 standby

 指定心跳口并启用双机热备功能

[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2

[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1

在FW1上配置安全策略,上面的双机热备配好后,FW1上的安全策略会同步到FW2

HRP_M[FW1]security-policy (+B)	
HRP_M[FW1-policy-security]rule name huan (+B)	
HRP_M[FW1-policy-security-rule-huan]source-zone trust  (+B)	
HRP_M[FW1-policy-security-rule-huan]destination-zone untrust  (+B)	
HRP_M[FW1-policy-security-rule-huan]source-address 10.3.0.0 24 (+B)
HRP_M[FW1-policy-security-rule-huan]action permit  (+B)
HRP_M[FW1-policy-security-rule-huan]q

在FW1上配置NAT策略,上面的双机热备配好后,FW1上的NAT策略会同步到FW2

HRP_M[FW1]nat address-group bdqn
HRP_M[FW1-address-group-bdqn]section  0 1.1.1.2 1.1.1.5
HRP_M[FW1-address-group-bdqn]q	

HRP_M[FW1]nat-policy (+B)
HRP_M[FW1-policy-nat]rule name policy-nat1 (+B)
HRP_M[FW1-policy-nat-rule-policy-nat1]source-zone trust  (+B)
HRP_M[FW1-policy-nat-rule-policy-nat1]destination-zone untrust  (+B)	
HRP_M[FW1-policy-nat-rule-policy-nat1]source-address 10.3.0.0 16 (+B)
HRP_M[FW1-policy-nat-rule-policy-nat1]action source-nat address-group bdqn (+B)

IP_LiangHuan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器心跳信号,服务器心跳线设置
weixin_30775883的博客
08-11 1660
服务器心跳线设置 内容精选换一换该任务指导用户以Syslog方式将MRS Manager的告警事件上报到指定的监控运维系统中。Syslog协议未做加密,传输数据容易被窃取,存在安全风险。对接服务器对应的弹性云服务器需要和MRS集群的Master节点在相同的VPC,且Master节点可以访问对接服务器的IP地址和指定端口。“Syslog服务”的开关默认为关闭,单击启用Sy检测IDE-daemon-c...
rosemirrorha 4.4 for linux启停脚本,RoseMirrorHA 4.4 for Linux配合Oracle11g配置文档
weixin_32709413的博客
05-01 240
每台服务器至少配置2片以上的物理网卡,服务器之间推荐配置2条以上的直连心跳,直连心跳的网线采用交叉网线连接,如果网卡有自适应功能,也可以用直通网线连接,要求直连的网线最好有一条是6类线,通过这条网线能够实现千兆数据传输,具体的接入方式说明如下。如每台服务器有3片以上的物理网卡:两台服务器之间,建议使用2条网线直连,其中,1条网线兼做数据和心跳的通信,1条网线专做心跳通信。如果物理条件允许,还可以再...
服务器心跳线设置
weixin_50121233的博客
10-28 2559
心跳线连接2台机器。业务网卡和心跳网卡。2个网卡的ip不要再同一个网段。 业务网卡设置ip,netmask,gateway,心跳网卡只需设置ip,netmask即可。 如果心跳网卡也设置gateway,出现问题:2台机器之间可以ping通,但是ping不通其他网段的机器。 ...
LINUX+Heartbeat 通过心跳实现双机高可用
完颜振江
01-26 915
这个实验采用的是Heartbeat2.0版本的,也就是说是老版本的。老版本的HA是一个整体的项目,而新版本(3.0之后)出现了很大的改变,就是把HA的这个项目拆开成几个相对分散的项目,由不同的项目组来开发维护。 Heartbeat2.0集成的模块: 1、 heartbeat:节点间的通信检测模块 2、 ha-logd:集群事件日志服务 3、 CCM(consensus Cluster Membership):集群成员一致性管理模块 4、 LRM(Local Resource Manager):
防火墙可靠性之---双机热备技术(上下行接口连接三层设备)
zljszn的博客
10-26 2764
hrp interface GigabitEthernet1/0/2 remote 192.168.1.20 //指定心跳接口以及对端接口地址。7. 抓包查看,当主链路或者是主设备没有发生故障的时候全部流量走的都是主链路,当主链路或者是主故障发生故障的时候数据走的就是备用链路了。hrp track interface GigabitEthernet1/0/0 //监听接口。hrp track interface GigabitEthernet1/0/1 //监听接口。
概述双机热备伺服系统
01-20
 所谓双机热备系统就是整个系统的组织结构采用双套设备,用两个相同的设备组织成为一个系统,每套设备既能够单独工作,也能够同时工作,任何一套设备出现故障,另外一套能够正常工作保证系统不间断工作。...
mysql双机热备的实现步骤
10-01
MySQL 双机热备的实现步骤 MySQL 双机热备是指两个 MySQL 服务器之间的实时数据同步,以确保数据的一致性和可靠性。下面是 MySQL 双机热备的实现步骤: 1. 设置同步用户帐号:在两个 MySQL 服务器上,创建一...
NT双机热备系统实例
01-20
所谓双机热备是指系统对主机及硬盘、通讯线路等核心设备,采用双机备,当系统正常时主机进行工作,并且每隔设定时间系统自动检测,若发现问题,系统能够自动切换到备机继续工作,保证不影响系统的正常运行。...
心跳线是什么
顺其自然~专栏
04-12 2126
心跳线,主要用于主从服务器之间,是连接工作机与备机的网线,作用:连接工作机与备机。 连接工作机与备机的网线,通过软件的方式监视工作机,备机一旦发现工作机由于某种原因停止服务,则立即投入使用,以保证网络的畅通和服务的正常运行。 心跳线是用于连接A、B两台服务器间的网线。在这两台服务器A、B中,A为工作机,B为备机,它们之间通过一根心跳线来连接。一般在服务器上都配有两块网卡,其中一块专门用于两台服务器(节点)间的通讯。安装在服务器上的软件通过心跳线来实时监测对方的运行状态。一旦正在工作的主机A因为
防火墙——双机热备理论讲解
热门推荐
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备后,当主用设备配置了一条可备的命令或产生了可备的会话表状态时,会直接备到备用设备上。
服务器实现心跳机制的两种策略
daemonh
12-04 1万+
<br />大部分CS的应用需要心跳机制。心跳机制一般在Server和Client都要实现,两者实现原理基本一样。Client不关心性能,怎么做都行。<br />如果应用是基于TCP的,可以简单地通过SO_KEEPALIVE实现心跳。TCP在设置的KeepAlive定时器到达时向对端发一个检测TCP segment,如果没收到ACK或RST,尝试几次后,就认为对端已经不存在,最后通知应用程序。这里有个缺点是,Server主动发出检测包,对性能有点影响。<br /> <br />应用自己实现<br />   
什么是心跳线
caiguazheng4921的博客
03-24 3909
主要用于主从服务器之间,连接工作机与备机的网线,通过软件的方式监视工作机,备机一旦发现工作机由于某种原因停止服务,则立即投入使用,以保证网络的畅通和服务的正常运行。 心跳线是用于连接A、B两台服务器间的网线。在这两台服务器A、B中,A为工作机,B为备机,它们之间通过一根心跳线来连接。一般在服务器上都配有两块网卡,其中一块专门用于两台服务器(节点)间的通讯。安装在服...
连接、短连接心跳(有图有案例)
统木木的博客
08-27 6005
目录 前言 一 TCP连接 二 长连接心跳 1 概念 2 优缺点 3 长连接的生命周期 4 使用场景 5 心跳 三 短连接 1 概念 2 优缺点 3 使用场景 四 长连接和短连接的选择 1 长连接:高频、服务端主动推送和有状态 2 短连接使用场景:低频、无状态 五 参考博客 前言 两个进程之间如果要通信,很显然必须要建立一个连接,通过它来相互传输数据。在网络通...
关于RAC心跳连接方式
02-15 508
昨天一个用户问到我这方面的问题,他们遇到一个这样的问题,环境是两台服务器做RAC. 通过单独网线直连方式 . 在更换设备的时候拨掉网线. 发现另一台机器ORACLE实例自动挂死.并报出ORA-29740错误. 其实对于这种情况,...
双机通信之连接心跳包思路
weixin_43614541的博客
03-03 887
从机代码 uint8_t Link_flag;//连接状态 uint8_t TIME_flag;//定时器连接状态变量 /* ********************************************************************************************************* * 函 数 名: vTaskTIME * 功能说明: 连...
华为路由器双机热备
最新发布
07-25
华为路由器的双机热备是一种高可用性设计,主要用于提高网络设备的稳定性和可靠性。当主设备发生故障或需要维护时,系统会自动切换到备用设备,并维持网络连接和服务的连续性,避免了因单点故障导致的服务中断。 ### 华为路由器双机热备的工作原理 1. **配置备路由协议**:例如HSRP(Hot Standby Router Protocol)、VRRP(Virtual Router Redundancy Protocol)等,这些协议负责监控主备设备之间的状态并管理IP地址的分配和转发路径的选择。 2. **心跳检测机制**:主设备定期向对端发送心跳包,用于确认对方是否在线。如果收到回应,则继续工作;若长时间未收到回应,则认为对方已失效,将主动切换到备设备上。 3. **IP地址共享**:在备模式下,两台设备共享相同的IP地址作为对外服务的入口。这使得客户端无法感知设备切换,保证了网络服务的一致性。 4. **负载均衡**:在某些高级配置中,可以实现流量在主备之间动态均衡,进一步提升网络性能和稳定性。 ### 实现步骤及注意事项: 1. **规划IP地址**:确保主备设备之间有相同的IP地址,并且设置为动态获取方式(如DHCP),以适应切换过程中的IP地址变化。 2. **安装配置软件**:使用统一的软件版本和配置文件,以便在切换过程中减少兼容性问题。 3. **测试切换机制**:通过模拟断电、硬件故障等情况,验证双机热备功能的可靠性和响应时间。 4. **持续监控与优化**:利用网管工具实时监测设备运行状态,及时发现潜在问题并进行优化调整。 ### 相关问题: 1. 双机热备对于哪种场景特别重要? - 高并发、关键业务网络保障,如金融交易、远程医疗、企业核心数据传输等。 2. 双机热备配置的主要步骤有哪些? - 安装并配置热备协议(如HSRP、VRRP) - 设置设备间的通讯方式和心跳检测周期 - 分配共享的IP地址资源 - 测试切换机制的可靠性 3. 双机热备可能遇到哪些挑战? - 资源冲突问题,特别是在配置不当的情况下可能出现的环路问题 - 网络延迟增加,因为设备间需要频繁交换状态信息 - 维护成本较高,包括备设备的额外投资以及维护人员的培训需求
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值