HUAWEI FW双击热备

最新推荐文章于 2024-07-14 21:23:25 发布
最新推荐文章于 2024-07-14 21:23:25 发布
阅读量819 收藏 19
点赞数 17
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74091541/article/details/135466854
版权

Vrrp 组相互独立  但是上行下行的vrrp状态 一旦不一致就会是得流量路径不一致

 

机热备需要两台硬件和软件配置均相同的防火墙组成

双机热备系统通过独立的链路连接(心跳线),通过心跳线了解对端的健康状况,向对端备份配置和表项

 

 

进行部署时需要注意的地方

  1. 目前只支持两台设备进行双机热备。
  2. 主备设备的产品型号和版本必须相同。
  3. 主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题

配置防火墙的关键组件

1、VRRP

2、VGMP 华为的私有协议 将网络的vrrp都进行加组  由VGMP进行集中管理 并检测转态  发生变化统一切换 保证一致性

3、HRP 实现防火墙双机之间动态状态数据和关键配置命令的备份

每台FW上有一个VGMP组。VGMP组有四种状态:

Initialize:启用双机热备功能后,VGMP组的短暂初始状态。

Load Balance:当防火墙本端的VGMP组与对端的VGMP组优先级相等时,两端的VGMP组都处于Load Balance状态。

Active:当本端的VGMP组优先级高于对端时,本端的VGMP组处于Active状态。

      Standby:当本端的VGMP组优先级低于对端时,本端的VGMP组处于Standby状态

FW组成双机热备组网后正常情况下两台FW的VGMP组优先级相等,且都处于Load Balance状态。负载分担状态

可以通过VRRP配置和手工指定备设备这两种方式,使两台FW形成主备备份状态。

VRRP配置的方式适用于FW连接二层交换机的组网,指定备设备的方式适用于FW其他方式的双机热备组网。

FW的VGMP优先级有一个初始优先级,当FW的接口或者单板等出现故障时,会在初始优先级基础上减去一定的降低值。

FW 接口故障优先级减去 -2

HRP 及心跳线

HRP 华为的私有协议 用于冗余备份 同步链路状态和配置信息

主备备份组网下,配置命令和状态信息都由主用设备备份到备用设备

防火墙能够备份的配置如下:

策略:安全策略、NAT策略(包括NAT地址池)、NAT Server等。

对象:地址、地区、服务、应用、用户等。

网络:安全区域、DNS、IPsec、SSL VPN等。

系统:管理员、虚拟系统、日志配置。

防火墙能够备份的状态信息如下:

会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地址映射表、二层转发表(静态MAC备份)、AAA用户表(缺省用户admin不备份)、在线用户监控表、PKI证书、IPsec备份等。

静态路由需要手动配置

1、连接二层设备

FW1

#

interface GigabitEthernet1/0/0

 ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 ip address 2.2.2.1 255.255.255.0

 vrrp vrid 1 virtual-ip 2.2.2.254 active

#

interface GigabitEthernet1/0/2

 ip address 1.1.1.1 255.255.255.0

 vrrp vrid 2 virtual-ip 1.1.1.254 active

#

心跳线和HRP 的配置

FW1

#

 hrp enable

 hrp interface GigabitEthernet1/0/0 remote 10.1.1.2

#

FW 2

#

 hrp enable

 hrp interface GigabitEthernet1/0/0 remote 10.1.1.1

#

 

 

查看vrrp 状态

FW-1

FW-2 

查看HRP 的状态

2.连接三层设备

FW1

下行端口

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 2.2.2.10 255.255.255.0

 vrrp vrid 1 virtual-ip 2.2.2.1 active

 service-manage http permit

 service-manage https permit

 service-manage ping permit

 service-manage ssh permit

 service-manage snmp permit

 service-manage telnet permit

#

 

心跳口

#

interface GigabitEthernet1/0/0

 undo shutdown

 ip address 10.1.1.1 255.255.255.0

#

 

 

FW2

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 2.2.2.20 255.255.255.0

 vrrp vrid 1 virtual-ip 2.2.2.1 standby

 service-manage http permit

 service-manage https permit

 service-manage ping permit

 service-manage ssh permit

 service-manage snmp permit

 service-manage telnet permit

#

心跳口

#

interface GigabitEthernet1/0/0

 undo shutdown

 ip address 10.1.1.2 255.255.255.0

#

FW-2 通过心跳线同步配置

#

security-policy

 rule name 1

  source-zone trust

  destination-zone trust

  action permit

 rule name 2

  source-zone untrust

  destination-zone trust

  action permit

 rule name 3

  source-zone local

  source-zone trust

  destination-zone trust

  destination-zone untrust

  action permit

FW-1  lsdb

FW-2 在lsdb中携带 我不是最优的路径实现 主备

但是这样会有弊端 一段上行链路断掉后 下行链路无法感知

# 在FW上配置根据VGMP状态调整OSPF Cost值功能

hrp ospf-cost adjust-enable

 

#在FW 上配置HRP 追踪上行接口的链路状态

hrp track interface GigabitEthernet 1/0/1

在次断开 长ping包 会丢失几个 因为只是 路由会进行收敛 以及触发hrp进行主备切换

部分基本命令跳过了 

Geeniac0
关注
华为防火墙双机热备-VGMP
qq_32044265的博客
07-20 4889
VGMP协议是华为公司的私有协议。VGMP协议定义了VGMPFW基于VGMP实现设备主备状态管理。 每台FW都有一个VGMP,用户不能删除这个VGMP,也不能再创建其他的VGMPVGMP优先级和状态两个属性。VGMP优先级决定了VGMP的状态。 FW能根据VGMP的状态调整VRRP备份状态、动态路由(OSPF、OSPFv3和BGP)的开销值、VLAN的状态以及接口的状态(镜像模式),从而实现主备备份或负载分担模式的双机热备。.........
华为防火墙双机热备
不定期分享一些自己的学习笔记
10-16 1171
华为防火墙双机热备
你知道VGMP、VRRP和HRP之间的区别是什么吗
qq_40427481的博客
08-21 1041
HRP适用于对路由器冗余要求较高的大规模企业网络,尤其在与华为设备结合使用,能够实现高效的冗余备份。VGMP、VRRP和HRP作为常见的冗余协议,适用于不同规模和要求的网络环境。选择适合自己网络特点和需求的协议,合理配置和管理,将有助于确保网络的持续运行和高效工作。无论是企业网络还是数据心,了解这些冗余协议的区别与应用,都是网络管理员和技术从业者不可或缺的知识。HRP:支持多主备模式的冗余协议,适用于大规模企业网络,特别是与华为设备配合使用。HRP:多个路由器充当主节点和备用节点,实现多主备模式。
VGMP协议、VGMP场景和HRP协议详解
最新发布
V_vevive的博客
07-14 1139
VGMP(VRRP Group Management Protocol),VRRP管理协议,是实现对多个VRRP进行统一管理的协议。该协议由H3C公司开发,是一种私有协议,广泛应用于华为防火墙等网络设备上,是配置防火墙双机热备技术的一大基础协议。VGMP协议是在VRRP协议的基础上开发而来的,其最主要的作用便是集管理VRRP备份,控制VRRP状态的统一切换。:HRP---华为冗余协议---华为的私有协议---可以同步防火墙上的配置和状态信息。
防火墙双机热备之VRRP与VGMP
Mario_Ti的博客
01-05 2177
本文将收录防火墙双机热备合集专栏,此文主要是讲解一下防火墙双机热备的VRRP与VGMP技术,让大家知道如何配置防火墙双机热备
【Ensp pro模拟实验】华为FW防火墙双机热备-HRP-1
qq_43751649的博客
11-10 1970
HRSP,FW关键网元的冗余技术,来使用新的Ensp pro模拟吧
华为模拟器之双机热备建议收藏
qq_60582114的博客
10-24 1162
目录 1.双机热备的要求 2.双机热备协议架构 3.心跳线配置建议 4.心跳线配置注意事项 5.心跳线报文 6.VGMP (VRRP Group Management Protocol) 1.双机热备的要求 ①硬件要求 双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同;两台FW的硬盘配置可以不同。 ②软件要求 双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的件包都必须相...
华为防火墙双机热备实验
weixin_44371774的博客
11-23 908
华为防火墙双机热备实验 拓扑 说明 防火墙的G1/0/0口接外网,开启easy-ip NAT转发 虚拟ip为192.168.1.200/24 防火墙的G1/0/1口接内网 虚拟IP为172.16.1.200/24 防火墙G1/0/6用作hrp心跳线,区域为DMZ区域 配置 FW1(主) # G1/0/0 interface GigabitEthernet1/0/0 undo shutdown ip address 192.168.1.254 255.255.255.0 vr
防火墙双击热备实验
weixin_62976579的博客
11-03 815
sys[USG6000V1]sy FW1分别进入三个接口,配置IP地址[FW1]int g1/0/1[FW1-GigabitEthernet1/0/1]ip add 10.1.2.1 24[FW1-GigabitEthernet1/0/1]int g1/0/3[FW1-GigabitEthernet1/0/3]ip add 30.1.1.1 24[FW1-GigabitEthernet1/0/3]int g1/0/4[FW1-GigabitEthernet1/0/4]ip add 40
华为防火墙VRRP双机热备的原理及配置详解
看清所以看轻
10-30 5651
一、何为双机热备? 所谓的双机热备无非就是以7X24小断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。 华为双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。 二、VRRP的概念 VRRP(virtual router redundancy protocol,虚拟路由冗余协议),用来解...
华为防火墙双机热备-HRP
qq_32044265的博客
07-21 7029
为了实现主用设备出现故障备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了 HRP( Huawei Redundancy Protocol)协议,实现防火墙双机之间动态状态数据和关键配置命令的备份。...
防火墙双机热备三大协议(VRRP-VGMP-HRP)原理
热门推荐
曹世宏的博客
03-30 2万+
防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分防火墙双机热备产生的原因,详细内容可参考:防火墙双机热备技术 三大协议框架: VRRP------虚拟路由冗余协议 VGMP------VRRP管理协议(华为私有) HRP--------华为冗余协议(华为私有) ...
USG双机热备vrrp+hrp配置(上接二层,下接三层的交叉组网模式)
My Inspiration World _" Franz °
01-08 1万+
1.配置各接口IP以及vrrp,并加入相应的zone (写vrid的候一定要加入掩码比如/24,否则不允许不同网段的vrid存在) 2.给配置vrrp的接口下面启用vrrpvirtual-mac enable 这样vrid才可以ping到,尤其是在ensp 3.isp1的vrrp为master,而isp2的vrrp为slave 4.暂打开防火墙的所有通路 firewallpac
基于防火墙的VRRP技术--华为防火墙双机热备--VGMP
谢公子的博客
08-17 1万+
目录 主备备份双机热备配置 负载分担双机热备配置 为了解决多个VRRP备份状态不一致的问题,华为防火墙引入VGMP(VRRP Group Management Protocol)来实现对VRRP备份的统一管理,保证多个VRRP备份状态的一致性。我们将防火墙上的所有VRRP备份都加入到一个VGMP,由VGMP来集监控并管理所有的VRRP备份状态。如果VGMP检测到其一个V...
华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!
CCIE21820的博客
08-03 5751
华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!
华为防火墙双机热备(VRRP+VGMP+HRP)
weixin_45724795的博客
02-21 5122
前言:在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致的网络断的风险 防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务断,要求防火墙必须提供更新更高的可靠性,此需要使用防火墙双机热备组网 双机热备组网的建立和运行需要解决以下几个关键问题: 设备的主备状态是如何决定的 如何监控并发现接口或者设备故障 发现故障后...
华为热备份路由协议 vrrp 双主双备
qianyiweiliang的博客
11-11 8998
拓扑图: 实验要求   PC1属于vlan10  PC2属于vlan20 pc1流量通过r1走 pc2 流量通过SW2走,当主路由器挂了,流量可以自动切换通过备路由器通信   配置文件   [r2]int g0/0/0 [r2-GigabitEthernet0/0/0]ip add 12.0.0.2 24   [r2-GigabitEthernet0/
华为 USG6000防火墙配置镜像模式双机热备
友人A的博客
05-28 1万+
网络拓扑 要求: 企业前期是一台防火墙,为了提高网络可靠性,并且在不影响原先防火墙配置情况下,新增一台防火墙双机热备。两台FW的业务接口都工作在三层,下行为三层核心交换机。上行为二层交换机连接运营商的接入点,运营商为企业分配的IP地址为100.1.1.1-100.1.1.5 配置思路: 两台防火墙型号必须要求一样,配置镜像模式前需要先完成双机热备的网络连接和基本配置,但是不需要配置业...
华为交换机双击热备配置
04-04
华为交换机双击热备配置指的是将两台华为交换机配置成双机热备模式,以实现高可用性和容错能力的配置。下面是具体的配置步骤: 1. 配置两台交换机的基本参数,包括主备机的设备名称、管理IP地址、掩码、网关等。 2. 配置两台交换机之间的物理连接,可以使用光纤、网线等方式连接。 3. 配置交换机的VRRP协议,将两台交换机之间的VRRP优先级设置为不同的值,确保主交换机的优先级高于备份交换机。 4. 配置交换机的双机热备功能,包括主备机的状态同步、配置同步等。 5. 配置交换机的端口镜像功能,将主交换机的所有端口镜像到备份交换机上,确保备份交换机可以实获取主交换机的流量数据。 6. 测试双机热备功能是否正常,包括主交换机故障备份交换机是否能够正常接管业务等。 以上是华为交换机双击热备配置的基本步骤,具体操作过程还需根据实际情况进行调整和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值