华为防火墙(VRRP)

最新推荐文章于 2024-06-06 09:48:43 发布
最新推荐文章于 2024-06-06 09:48:43 发布
阅读量4.9k 收藏 33
点赞数 2
分类专栏: 华为 文章标签: 华为 负载均衡 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j2669283004/article/details/121815773
版权

目录

一、双机热备概述

   1.1、双机热备模式

   1.2、双机热备需求

二、VRRP

   2.1、VRRP概述

   2.2、VRRP与HSRP的区别

   2.3、VRRP的角色

   2.4、VRRP状态机

   2.5、VRRP工作原理

      2.5.1、总结

三、VGMP

   3.1、VGMP工作原理

   3.2、VGMP的需求

四、防火墙负载均衡热备实例

   4.1、拓扑图

   4.2、配置命令

   4.3、测试结果

一、双机热备概述

  华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。

1.1、双机热备模式

热备模式

  同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。

负载均衡模式

  同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。

1.2、双机热备需求

  1. 两台防火墙用于心跳线的接口加入相同的安全区域。
  2. 两台防火墙用于心跳线的接口的设备编号必须一致,如都是G1/0/3。
  3. 建议用于双机热备的两台防火墙采用同型号,相同的VRP版本。

二、VRRP

  在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当由于某种原因主控路由器发生故障时,其中的一台备份路由器能在瞬间的时延后升级为主控路由器,由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。

2.1、VRRP概述

VRRP路由器

  运行VRRP协议的路由器。

虚拟路由器

  由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组对客户端提供一个虚拟网关。

VRID

  Virtual Router ID,虚拟路由器标识,用来唯一的标识一个备份组。
虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。

虚拟IP地址

  提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。

虚拟MAC地址

  基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址。

IP地址拥有者

  若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
优先级

  用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。

抢占模式

  在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器。

非抢占模式

  在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等)。

2.2、VRRP与HSRP的区别

  1. VRRP是公有协议,而HSRP是Sisco私有协议。
  2. VRRP中的虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以。
  3. VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号。
  4. VRRP的状态机有三个,而HSRRP的状态机包含五个(初始、学习、监听、发言、备份、活动)。
  5. VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主用路由器的选举。而HSRP有三种报文(Hello、政变、辞职)。
  6. VRRP不支持接口跟踪,而HSRP支持。

2.3、VRRP的角色

Master路由器

  正常情况下由master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告master路由器当前的状态信息。

Backup路由器

  是master路由器的备用路由器,正常情况下不提供数据包的转发,当master路由器发生故障时,在所有的backup路由器中优先级高的路由器将成为新的master路由器,接替转发数据包的工作,从而保证业务不中断。

2.4、VRRP状态机

Initialize状态

  刚配置了VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时也将进入该状态。

Master状态

  当前设备选举成为主用路由器时一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起的ARP请求,并将模拟MAC地址回送客户机,当接口关闭时,将立即切换至Initialize状态。

Backup状态

  当前设备选举成为备用路由器时的一种状态。该状态下不转发任何业务报文,工作在

最低0.47元/天 解锁文章
绊情一生
关注
  • 2
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷防火墙(WEB)——高级功能——VRRP
君逍遥o
09-28 410
开启防火墙的internal口上开启VRRP功能。 注意: 如果要提高网络的可靠性,建议优先使用HA功能。
基于防火墙VRRP技术--华为防火墙双机热备--VGMP
热门推荐
谢公子的博客
08-17 1万+
目录 主备备份双机热备配置 负载分担双机热备配置 为了解决多个VRRP备份组状态不一致的问题,华为防火墙引入VGMP(VRRP Group Management Protocol)来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。我们将防火墙上的所有VRRP备份组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP备份组状态。如果VGMP组检测到其中一个V...
华为VRRP实操+理论
最新发布
2302_80770707的博客
06-06 1352
本章节主要介绍VRRP的概念和配置
华为防火墙VRRP知识点
weixin_34050389的博客
11-29 535
一、VRRP初步了解二、虚拟MAC的作用三、四、VGMP组五、六、配置步骤缺省情况下,未启用允许配置备用设备的功能,所有可以备份的信息都只能在主用设备上配置,不能在备用设备上配置vrrp vrid 1 virtual-ip 192.168.100.254 255.255.255.0 activehrp enable #启用HRP备份功能(必须)hrp interface g0...
5.0.0 防火墙基础-2(可靠性应用VRRP、HRP、虚墙)
Hades_Ling的CSDN博客
02-01 1124
**虚拟系统**(**Virtual System**)是在一台物理设备上划分出的多台**相互独立**的逻辑设备。 可以从逻辑上将一台FW设备划分为多个虚拟系统。**每个虚拟系统相当于一台真实的设备**,有自己的接口、地址集、用户/组、路由表项以及策略,并可通过虚拟系统管理员进行配置和管理。
VRRP原理与配置
qhycvbjs的博客
08-25 3599
文章目录1、定义2、作用3、好处4、工作原理5、图解三级目录 1、定义 虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。 2、作用 出口网关的备份,保证出口网
华为防火墙VRRP双机热备配置及组网.pdf
09-04
华为防火墙VRRP双机热备配置及组网.pdf
华为防火墙VRRP双机热备配置及组网.doc
11-20
华为防火墙VRRP双机热备配置及组网.doc
华为配置VRRP与NQA联动监视上行链路示例.docx
09-30
华为配置VRRP与NQA联动监视上行链路示例 本文档将详细介绍如何使用华为设备配置VRRP与NQA联动监视上行链路,实现网络高可用性和故障自动切换。 一、组网需求 在本示例中,我们将创建一个局域网,包括五个交换机:...
华为防火墙(VRRP)双机热备配置及组网.pdf
11-02
华为防火墙(VRRP)双机热备配置及组网 本文档主要讲述华为防火墙(VRRP)双机热备配置及组网的相关知识点。下面是该文档的详细分析: VRRP基本概念 VRRP(Virtual Router Redundancy Protocol)是一种虚拟路由器冗余...
华为防火墙笔记-双机热备
weixin_46622350的博客
12-06 4997
文章整理自《华为防火墙技术漫谈》 双机热备概述 防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,我们都必然要承受因设备单点故障而导致网络中断的风险。 于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机)或多台设备,以提升网络的可靠性。当一台防火墙出现故障时,流量会通过另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。 路由...
华为防火墙双机热备配置手册
12-01
华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
华为VRRP配置
万物皆可学
04-10 1845
指定ip192.168.10.1 网关192.18.10.254。将10网段丢给100.1.1.2,不然10网段请求过来,返回不去。回去有两条路,LSW2路由器出现故障挂掉的还可以走右边。默认优先级100,所有LSW2是主,LSW3是备。VRRP虚拟ip:192.168.10.254。现在PC1和3台交换机是通的,但是到不了互联网。VRRP虚拟ip:192.168.10.254。将10网段指向100.1、200.1。
华为vrrp(虚拟路由冗余协议)
weixin_73918876的博客
10-22 421
三层交换机(先创建vlan 10 20,三层交换机与二层交换机的接口为trunk,允许vlan通过,再设置链路聚合模式,之后进入vlan配置网关ip(这个ip地址不能与vrrp里面的虚拟ip进行重合,进入vlan之后,在vlan模式下配置vrrp相关命令)3. 网络透明性:对于网络中的其他设备来说,VRRP提供了一个统一的虚拟路由器,无需了解路由器的具体配置和故障转移过程。5. 备份路由器监听VRRP通告,一旦主路由器故障或离线,备份路由器中的一个将会接管主路由器的IP地址和网络流量处理。
eNSP防火墙任务配置
m0_64118193的博客
10-17 6500
进入untrust区域。#进入trust区域。
VRRP协议(虚拟路由器冗余协议)及实验
咸鱼吧的博客
04-12 1626
VRRP协议(虚拟路由器冗余协议)一. VRRP概述二、 vrrp术语1.vrrp路由器2. vrrp组3.虚拟路由器4.虚拟ip地址、mac地址三、vrrp状态机初始状态(initialize)master(主)backup(从)四、vrrp工作过程五、vrrp小实验六、vrrp+静态路由实验七、vrrp+mstp实验 一. VRRP概述 vrrp是针对接口的协议,组播地址224.0.0.18,支持认证,0为不认证,1为认证,2为md5认证 它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由
华为防火墙双机热备(VRRP+VGMP+HRP)
weixin_45724795的博客
02-21 4833
前言:在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致的网络中断的风险 防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更新更高的可靠性,此时需要使用防火墙双机热备组网 双机热备组网的建立和运行需要解决以下几个关键问题: 设备的主备状态是如何决定的 如何监控并发现接口或者设备故障 发现故障后...
防火墙双机热备VRRP、VGMP
ai_hanghang的博客
11-03 1465
实验拓扑图: 推荐实验步骤; Ø 接口配置IP地址加入不同的区域 Ø 配置安全策略和缺省路由 Ø 配置NAT地址转换(NAPT) Ø 配置相互传输心跳信息及vrrp Ø 配置生成树 Ø 验证数据包往返路径 1、接口配置IP地址加入不同的区域 1)配置Ip地址 [R1]interface LoopBack 0 [R1-LoopBack0]ip address 1.1.1.1 32 [R...
华为VRRP、BFD实验配置
m0_49864110的博客
01-14 3875
与所有的OSPF邻居(Full状态)建立BFD会话(邻居也需要配置)-即为所有有Full邻居状态的接口建立BFD会话。接口上配置BFD for OSPF特性的优先级高于进程中配置BFD for OSPF特性的优先级。以上创建的BFD会话,可以与策略、路由协议等联动起来,实现快速收敛。与静态BFD联动(只介绍一边的配置,对端配置相同)与动态BFD联动(只介绍一边的配置,对端配置相同)标识符要与对端会话配置的标识符相应。只介绍一边的配置,对端配置相同。只介绍一边的配置,对端配置相同。中的优先级(越大越优先)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值