双机热备+NAT

最新推荐文章于 2024-06-24 20:52:32 发布
最新推荐文章于 2024-06-24 20:52:32 发布
阅读量52 收藏
点赞数
分类专栏: 学安全必备网络知识(不包括命令) 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73932844/article/details/132863796
版权

1**)知识点列举**

1.传统VRRP缺陷

2.VGMP

3.HRP

4.NAT作用和产生原因

5.NAT分类

2**)学习流程**

(**1)传统VRRP缺陷**

路由器

使用vrrp解决单点故障问题,每个经过路由器的报文都会先查看路由表再查看策略表,若都符合才进行转发,因此可以切换链路不受影响

状态检测防火墙

①主备不一致导致数据转发时来回路径不一致,导致业务流量中断

②若首包通过就会建立会话并形成会话表,链路切换到备份设备时会话表不会进行同步,数据回包找不到对应的会话表便会被丢包,导致业务流量中断

2)VGMP(VRRP Group Management Protocol)**

作用:可以让一台防火墙要么都是主设备状态,要么都是备用设备状态。

3)HRP(Huawei Redundancy Protocol)**

可以同步防火墙之间的会话表信息,策略信息,默认路由器(需要手动开启功能)等重要信息。

心跳接口:两台设备之间用来备份和传输数据的独立接口,数据通过心跳线传输

心跳线:连接两设备心跳接口的线

备份通道:由心跳线连接两设备的心跳接口所形成的链路

注意点:①两设备的心跳接口必须具有独立的IP地址 ②心跳接口除了trust区域和untrust区域外都可以加入,也可以单独创建一个区域使用 ③若只配置心跳协议可不放行服务

(**4)NAT(Network Address Translation)**

网络地址转换,当局域网内主机想要访问互联网时使用的技术,将批量的私有IP转换成公网IP进行上网

原因:ipv4地址不够用,全球有大约2^32=42亿个公网IP地址,但大部分IP地址都归美国拥有

想要ping通一般是两个因素:

1.路由可达

2.安全策略放行

(**5)NAT分类**

①源NAT(SNAT)

源NAT:可以修改数据包中源IP。

②目的NAT(DNAT)

作用:可以修改数据包中的目的IP

做双击热备,最好是对称性接线。

アイシン
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
华为HCIE-Security面试培训视频教程【共36集】.rar
10-17
目录: 网盘文件 永久链接 00.华为安全HCIE面试辅导导论 01.防火墙转发流程上 02.防火墙转发流程下 03.应用识别及Server-map 04.TCP三次握手及会话表 05.ASPF与NAT ALG对比上 06.ASPF与NAT ALG对比下 07.SIP排错 08.虚拟防火墙 09.防火墙高可用性 10.多出口选路 11.双机场景 12.双机细节 13.双机数据包转发过程 14.双机升级 15.IKEV1主模式与野蛮模式区别1 16.IKEV1主模式与野蛮模式区别2 17.IKEV1与IKEV2比较 18.对称和非对称 19.数字证书 20.IPSEC与NAT-T 21.IPSEC高可用性 22.单机双ISP IPSEC 23 双机双ISP IPSEC 24.SSL 25.DSVPN 26.L2TP 27.SACG 32.反病毒和入侵检测 33.URL过滤 34.NIP部署模式 35.带宽100M 36.带宽策略优化
防火墙综合拓扑(NAT双机)
求大佬师傅带
01-30 1249
防火墙综合拓扑(NAT双机)
eNSP下模拟企业网双机应用及实现部署方案及其原理
qq_43288686的博客
06-13 1531
** 1.详细描述防火墙安全策略匹配原则和流程? ** 答: 匹配原则: 首包流程,做安全策略过滤,建立新会话列表—>未命中会话列表执行首包流程—>命中会话列表执行后续包流程 【首包流程做安全策略匹配,后续包(已通过会话包检查的)流程不做安全匹配(满足会话表要求)】 匹配流程: 1)匹配条件: 流量进防火墙,匹配源安全区域,目的安全区域,源地址,目的地址,用户,服务,应用,时间段等 第一条不满足,匹配第二个条,如果还不满足,继续,如果都不满足,禁止 匹配到某一条 服务:源端口号,目的端 口号 2
NAT双机方案
810364804
07-02 939
一般的NAT组网中,内网用户通过单台设进行NAT转换访问外网,NAT承担了所有内外网之间的流量,无法规避单点故障。一旦发生单点故障,将导致内网用户无法与外网通信。 随着用户对网络可靠性的要求越来越高,发生单点故障导致网络间断是不可接受的。因此在重要节点处一般都部署两台或者多台设,构成冗余份组网,但如果设之间不能实时的进行数据份的话,链路切换时还是会导致用户的业务中断。双机方案可...
防火墙ASPF技术、NAT、接口模式、双机
weixin_57507186的博客
04-14 669
(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。通 过旁观设的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。
NAT,域间双向NAT和域内双向NAT,双机思维导图及试验
weixin_71008408的博客
07-26 243
NAT中server2先不管先配置pc,server,及防火墙端口上的ipPC1 IP10.1.1.3/24 网关10.1.1.1/24server3 IP10.1.1.2/24 网关10.1.1.1/24PC2 IP200.1.1.2/24 网关200.1.1.1/24Client IP200.1.1.3/24 网关200.1.1.1/24。
防火墙之nat转换和双机技术
m0_70349048的博客
07-25 438
VGMP(VRRP Group Management Protocol) 提出VRRP管理组的概念,将同一台防火墙上的多个VRRP份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP份组。通过统一控制各VRRP份组状态的切换,来保证管理组内的所有VRRP份组状态都是一致的。虚拟IP地址的意思是,两个防火墙同时对内的IP是虚拟的同一个一样的,当防火墙作为网关时,还需要更改左边设的网关地址。做内网转外网的服务映射,用客户端访问服务端,需要在firewall上面做一个映射。
ENSP配置防火墙和路由器双机
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
SecPath-防火墙双机典型配置.doc
12-23
SecPath-防火墙双机典型配置.doc
lvs+keepalived双机.zip
02-03
《LVS+Keepalived双机技术详解》 在现代互联网服务中,高可用性和负载均衡是保障系统稳定运行的关键因素。LVS(Linux Virtual Server)与Keepalived结合,提供了一种高效且可靠的双机解决方案,使得服务...
双机篇你所不知道的HRP.docx
07-06
【标题】:双机技术详解——HRP协议解析 【描述】:本文深入探讨了双机中的HRP(Huawei Redundancy Protocol)协议,阐述了其在防火墙系统中的作用,包括配置命令份和会话表同步,确保业务连续性。 ...
华为ENSP全系实验.zip
07-06
目录 小型企业网组网实训 企业组网实训 静态 vxlan 同网段不同网段实验 WLAN配置拓扑 MX7 AR2220 中小型园区分支综合配置示例 ...详解防火墙VRRP、双机、OSPF、链路聚合、MSTP综合配置 详解防火墙........
防火墙与nat以及双机
weixin_42902697的博客
09-13 571
当内网pc通过公网域名访问内网服务器时,源ip不会被nat转换,所以服务器回包时会直接通过内网以内网ip回复,导致pc无法接受此包,无法正常与服务器通信。解决方案就是使用域内双向nat,将源地址一并转换,这样回包就能原路返回。问题1:主防火墙挂掉后,VRRP会将流量转到用防火墙,但是用防火墙无法新建会话表,因为建立会话表需要首包,所以流量不能通过。问题2:当主防火墙一边的链路断了,虽然VRRP能够进行链路追踪,进行主切换,但另一边的设并不知情,仍会错误地转发流量。
防火墙以及IDS知识详解(NAT实验,双机实验)
weixin_59181877的博客
03-26 1592
IDS是入侵检测系统(Intrusion Detection System)的英文缩写,是一种能够检测计算机网络或系统中可能存在的入侵行为的安全设或软件。IDS能够通过实时监视计算机网络或系统中的流量、事件和行为等信息,来检测并报告可能存在的入侵行为,帮助管理员及时发现和处理安全威胁。IDS可以分为两种类型:主机IDS和网络IDS。主机IDS是安装在单个主机上的入侵检测软件,主要用于检测主机操作系统和应用程序的安全性。
防火墙————双机
xiazhui1的博客
11-17 986
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机双机需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设上处理,使业务不中断。
防火墙NAT双机简介
dyslhl的博客
09-09 956
防火墙NAT、防火墙双机
防火墙NAT ALG及双机原理
qq_47175413的博客
08-05 163
将同一台防护墙上的多个VRRP份组都加入到一个VGMP管理组,由管理组统一管理所有VRRP份组的状态,来保证管理组内的所有VRRp份状态都是一致的。普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如FTP、TCP/UDP等载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。状态一致性管理:VGMP管理组控制所有的VRRP份组统一切换,VRRP份组加入到管理组后状态不能单独切换。
理论+实操:防火墙双机
Lfwthotpt的博客
02-15 5140
文章目录一:双机的工作原理1.1 双机概述1.2 VRRP(虚拟路由冗余协议Virtual Router Redundancy Protocol)1.3 VGMP二:双机配置2.1 双击份方式2.2 开启双机功能2.3 配置自动份模式2.4 配置手工批量份模式2.5 配置快速份模式2.6 连接路由器时的双机三:实操配置3.1 环境3.2 需求3.3 思路步骤3.4...
Qt | QSS自定义部件的外观
最新发布
m0_45463480的博客
06-24 198
Qt | QSS自定义部件的外观
华为usg6000配置vrrp双机+负载均衡
08-23
华为USG6000的配置VRRP双机和负载均衡的步骤如下: 1. 首先,确保已经部署了两台或多台华为USG6000防火墙,并将其连接到网络中。 2. 在每台防火墙上进行VRRP配置。通过登录到每台防火墙的管理界面,进入VRRP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

アイシン

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值