防火墙高可用性(HA)

最新推荐文章于 2024-02-18 07:00:00 发布
最新推荐文章于 2024-02-18 07:00:00 发布
阅读量1.5w 收藏 51
点赞数 6
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gengzhikui1992/article/details/89212834
版权

双机热备

防火墙高可用性也称双机热备,指基于两台设备的高可用性。双机热备的模式分为主备模式和主主模式。

主备模式

主-备方式即指的是一台设备处于某种业务的激活状态(即Active状态),另一台设备处于该业务的备用状态(即Standby状态)。

工作机和备用机通过心跳线连接,备用机实时监视工作机的情况,当工作机出现问题,备用机就接管工作。

在这个状态下,工作防火墙响应ARP请求,并且转发网络流量;备用防火墙不响应ARP请求,也不转发网络流量。主备之间同步状态信息和配置信息。

主主模式

而双主机方式即指两种不同业务分别在两台设备上互为主备状态(即Active-Standby和Standby-Active状态)。

主主模式下,两个防火墙并行工作,都响应ARP请求,并且都转发网络流量。主主模式可以提高数据包处理的吞吐量,平衡网络负载,优化网络性能。

双机热备原理

防火墙的双机热备功能实在虚拟路由冗余协议(VRRP)的基础上扩展而来。VRRP是一种容错协议,它保证当主机的下一条路由出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务。

在这里插入图片描述
如上图所示,将局域网内的一组路由器划分为一个VRRP备份组,相当于一个虚拟路由器,这台虚拟路由器有自己的虚拟IP和虚拟MAC。局域网的主机可以将默认网关设置为虚拟IP地址,在主机看来是和虚拟路由器通信的。

在这里插入图片描述
VRRP备份组中的多个路由器会根据管理员制定的VRRP备份组优先级确定各自的状态。优先级高的路由器为Master,其余路由器为Backup。

Master 周期性向备份组内所有 Backup 发送 VRRP 通告报文,以公布其配置信息(优先级等)和工作状况。

Keepalived

Keepalived是基于vrrp协议的一款高可用软件。但是它一般不会单独出现,而是与其它负载均衡技术(如lvs、haproxy、nginx)一起工作来达到集群的高可用。

Keepalived + LVS

在这里插入图片描述

配置步骤:

  1. 安装软件

在LVS-1和LVS-2两台主机上安装ipvsadm和keepalived

yum install ipvsadm keepalived -y

  1. 配置Keepalived

keepalived底层有关于IPVS的功能模块,可以直接在其配置文件中实现LVS的配置,不需要通过ipvsadm命令再单独配置。

Master配置:/etc/keepalived/keepalived.conf

global_defs {
   router_id LVS        ## 不一定要与主机名相同,也不必与BACKUP的名字一致
}
vrrp_instance VI_1 {      
    state MASTER        ## LVS-1配置了为主,另外一台LVS-2配置为BACKUP
    interface eth0       ## 注意匹配网卡名
    virtual_router_id 51    ## 虚拟路由ID(0-255),在一个VRRP实例中主备服务器ID必须一样
    priority 150        ## 优先级值设定:MASTER要比BACKUP的值大
    advert_int 3        ## 通告时间间隔:单位秒,主备要一致
    authentication {      ##认证机制
        auth_type PASS     ## 默认PASS; 有两种:PASS或AH 
        auth_pass 1111     ## 默认1111; 可多位字符串,但仅前8位有效
    }
    virtual_ipaddress {
        138.138.82.222     ## 虚拟IP;可多个,写法为每行一个
    }
}
virtual_server 138.138.82.222 80 {
    delay_loop 3       ## 设置健康状态检查时间
    lb_algo rr        ## 调度算法,这里用了rr轮询算法,便于后面测试查看
    lb_kind DR        ## 这里测试用了Direct Route 模式,
   # persistence_timeout 1  ## 持久连接超时时间,先注释掉,不然在单台上测试时,全部会被lvs调度到其中一台Real Server
    protocol TCP
    real_server 138.138.82.12 80 {
        weight 1
        TCP_CHECK {
            connect_timeout 10    ##设置响应超时时间
            nb_get_retry 3       ##设置超时重试次数
            delay_before_retry 3   ##设置超时重试间隔时间
            connect_port 80
        }
    }
    real_server 138.138.82.13 80 {
        weight 1
        TCP_CHECK {
            connect_timeout 10
            nb_get_retry 3
            delay_before_retry 3
            connect_port 80
        }
    }
}

BACKUP配置:/etc/keepalived/keepalived.conf

global_defs {
   router_id LVS
}

vrrp_instance VI_1 {
    state BACKUP
    interface eth0
    virtual_router_id 51
    priority 120
    advert_int 3
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        138.138.82.222
    }
}
virtual_server 138.138.82.222 80 {
    delay_loop 3
    lb_algo rr
    lb_kind DR
   # persistence_timeout 1
    protocol TCP
    real_server 138.138.82.12 80 {
        weight 1
        TCP_CHECK {
            connect_timeout 10
            nb_get_retry 3
            delay_before_retry 3
            connect_port 80
        }
    }
    real_server 138.138.82.13 80 {
        weight 1
        TCP_CHECK {
            connect_timeout 10
            nb_get_retry 3
            delay_before_retry 3
            connect_port 80
        }
    }
}

参考:
Keepalived+Nginx+Apache主备及双活搭建测试

网络安全研发随想
关注
  • 6
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
hadoop 高可用性HA部署
01-07
hadoop HA 高可用性 本文提供了一个HDFS 的高可用性HA )功能的概述,以及如何配置和管理HDFS 高可用性(HA) 集群。本文档假定读者具有对HDFS 集群的组件和节点类型具有一定理解
HA双机热备典型功能——HA单机配置同步、会话同步配置
君逍遥o
09-26 507
从5.0版本开始,全新NGFW下一代防火墙支持单机配置同步、会话同步功能,在一些应用场景中它可以代替双机HA功能,实现控制异步流量的目的。
HA双机热备典型功能——HA工作模式和设备配置要求
君逍遥o
09-26 861
集群中的所有防火墙必须工作在同一个模式下。可以对运行中的HA集群进行模式的修改,但会造成一定的延时,因为集群需要重新协商并选取新的主设备。A-P模式提供了备机保护。HA集群中由一台主设备,和一台以上到从设备组成。
防火墙HA详解
weixin_73134956的博客
02-17 1188
4. 灾备恢复:当主防火墙设备恢复正常工作后,HA系统会自动将流量切回主设备,并进行数据同步和状态恢复等操作,以确保系统在故障恢复后的正常运行。5. 故障恢复:当主设备恢复正常工作后,HA系统会自动将流量切回主设备,并进行数据同步和状态恢复等操作,以确保系统在故障恢复后的正常运行。3. 状态同步:主备设备会定期进行状态同步,将配置和流量状态等信息进行交换和同步,以确保备设备的状态与主设备一致。2. HA监控:使用HA监控技术对防火墙设备进行实时监测,如心跳检测、设备状态监控等,以确保防火墙设备的可用性。
防火墙HA详细实验配置
最新发布
weixin_73134956的博客
02-18 456
在实际环境中进行防火墙HA的详细实验配置时,还需根据具体的设备和环境进行进一步调整和优化。建议参考设备和协议的官方文档,并确保具备足够的网络知识和配置经验。1. 确保拥有两台防火墙设备(设备A和设备B),并设置基本配置,如IP地址和网络连接。- 断开设备A或故意模拟设备A故障,观察设备B是否能够自动切换并正常处理流量。- 当设备A恢复时,观察设备A和设备B是否能够进行状态同步和数据恢复。- 使用命令行工具或网络监控工具,监测设备A和设备B的状态和性能。- 在设备A上发送流量,并确保设备A正常工作。
防火墙的几种部署模式和方法
热门推荐
居上
07-01 2万+
防火墙的部署模式 路由模式 当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。 如下图所示,防火墙的Trust区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连。值得注意的是,Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。 采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改
防火墙HA配置
悦分享
07-15 4380
高可靠性(HighAvailability),简称为HA,能够在通信线路或设备产生故障时提供备用方案,从而保证数据通信的畅通,有效增强网络的可靠性。实现HA功能,用户需要配置两台采用完全相同的硬件平台、固件版本,均启用VR及防病|毒功能、安装防病毒许可证的安全网关,组成HA簇。当一台设备不可用或者不能处理来自客户端的请求时,该请求会及时转到另外的可用设备来处理,这样就保证了网络通信的不间断进行,极大地提高了通信的可靠性。2、HA基础概念HAHA簇是实现HA功能的设备的组合。HAHANode。...
day21、3 - 防火墙HA
Edimade的博客
05-12 2348
一、HA概述
Cisco防火墙HA实例
大熊猫的博客
04-20 567
ASA5508-Active(config)#failover //主防火墙的所有配置都设置OK后,输入该命令,即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在。ASA5508-Active(config)#failover //即启用热备模式,注意,此命令一定要先在主设备上输入,否则如果先在备用设备输入后,如果互联线连接了,ASA5508-Standby/sec/stby(config)# //红色字体表示该设备为备用设备的状态为stby备用状态,即当前工作的是该主设备。
网络安全笔记-25-防火墙HA
wwxxee
08-12 2607
防火墙热备份(HA) 防火墙HA原理: 两个防火墙之间通过心跳线连接. 心跳线的作用: 检测对方 同步数据 在设置完主备防火墙之后,备份防火墙除了心跳线端口之外,其他所有端口都处于down状态. ②端口可以追踪防火墙1的其他端口,当其他端口出现故障时,通过心跳线告知备份防火墙自己出现故障,防火墙2则立即成为主防火墙.同时,防火墙1通过心跳线将自己的静态数据(配置信息…)和动态数据(会话维持状态…)同步到防火墙2. 两个防火墙除了心跳线端口IP不一样之外,其余所有配置都相同. 备份防火墙是不工作的,内网
HA主备路由模式的原理
02-16 1万+
HA是High Availability缩写,即高可用性 ,可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断,保证网络服务的连续性和安全强度。目前,ha功能已经是防火墙内一个重要组成部分。         主备模式(Active-standby):在一个冗余组中,有两台防火墙,一台处于主状态。在这个状态下,防火墙响应ARP请求,并且转发网络流量;另一台处于备份状态,该防火墙不响应ARP
ontap高可用性配置指南
07-21
ontap高可用性配置指南 针对联想凌拓 fas 设备 搭载的 ontap 软件平台的高可用说明,HA状态说明等。若需要了解可及时下载;
OpenStack HA 高可用性参考
01-07
OpenStack HA 高可用性参考,如何配置OpenStack高可用系统
sap 高可用性 HA 方案
05-14
sap 高可用性 HA 方案,行业结局方案, sap basis 阅读收益更多
高可用(HA).docx
05-11
今天又是一个夜班,也不知道写点啥,所以就打算和大家聊聊高可用,即HA.说起这个概念大家应该不会陌生,毕竟只要是干运维的基本都用过,最起码也听说过吧!!!咱们先说说什么是高可用,所谓的高可用就是其实就是指...
Hadoop高可用配置HA.docx
04-21
Hadoop高可用配置HA.docx
入侵检测系统原理和实现
网络安全研究
04-08 1万+
1. 入侵检测系统简介 1.1 入侵检测分类 按信息源分类 根据信息源的不同,入侵检测技术分为基于主机型和基于网络型两大类。 1)基于主机的入侵检测技术 基于主机的入侵检测技术可监测系统、事件和WindowsNT下的安全记录,以及Unix环境下的系统记录。当有文件被修改时,入侵检测系统将采用新的记录条目与已知的攻击特征进行比对的技术,如果匹配,就会向系统管理员报警或者作出适当的响应。 2)基于网络...
sparkstreaming的driver高可用ha
04-06
Spark Streaming的Driver高可用可以通过以下方式实现: 1. 使用Spark的高可用模式,启用Zookeeper作为协调服务,然后将Spark Streaming的Driver注册到Zookeeper上。这样在Driver宕机时,Zookeeper会自动将任务转移到备用Driver上。 2. 在运行Spark Streaming应用程序的堆栈中包含HA代理,例如HAProxy。HA代理将请求路由到多个Driver节点中的一个,从而实现高可用性。如果一个Driver节点宕机,HA代理可以将请求转移到另一个节点上。 需要注意的是,在实现高可用性方案时,要确保所有相关的组件都是高可用的,例如Zookeeper、HA代理等。同时,对于一些需要外部数据源支持的应用程序,例如Kafka、HDFS等,也需要考虑相关的高可用性方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值