04-防火墙双机热备

最新推荐文章于 2024-09-23 10:20:55 发布
最新推荐文章于 2024-09-23 10:20:55 发布
阅读量9.3k 收藏 30
点赞数 5
分类专栏: 华为安全HCIA 文章标签: 网络 华为 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianlai22/article/details/123297483
版权

双机热备的系统要求

  • 硬件要求

    • 组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。

    • 两台FW的硬盘配置可以不同。例如,一台FW安装硬盘,

    • 另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。

  • 软件要求

    • 组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。

    • 实际上,在系统软件版本升级或回退的过程中,两台FW可以暂时运行不同版本的系统软件。例如,一台设备的软件版本为V500R001C50,另一台设备的软件版本为V500R001C30SPC300。

  • License要求

    • 双机热备功能自身不需要License。但对于其他需要License的功能,如IPS、反病毒等功能,组成双机热备的两台FW需要分别申请和加载License,两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

1.双机热备技术原理

双机热备技术产生的原因

USG防火墙作为安全设备,一般会部署在需要保护的网络和不受保护的网络之间,即位于业务接口点上。在这种业务点上,如果仅仅使用一台USG防火墙设备,无论其可靠性多高,系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份。

路由器冗余部署方案

路由器组网中通过VRRP协议实现设备冗余:
在这里插入图片描述

  • 采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。

  • VRRP(VirtualRouter Redundancy Protocol)是一种基本的容错协议。

  • 备份组:同一个广播域的一组路由器组织成一个虚拟路由器,备份组中的所有路由器一起,共同提供一个虚拟IP地址,作为内部网络的网关地址。

  • 主(Master)路由器:在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。

  • 备份(Backup)路由器:在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。

    • 主路由器通过组播方式定期向备份路由器发送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。由于VRRPHELLO报文为组播报文,所以要求备份组中的各路由器通过二层设备相连,即启用VRRP时上下行设备必须具有二层交换功能,否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足,则不能使用VRRP。

由接口的优先级选举Master
优先级越大,优先成为master
优先级的取值范围 0-255,可配置范围 1-254
默认优先级是100
如果优先级相同,则比较接口IP地址的大小,大的优先成为master

VRRP在多区域防火墙组网中的应用

为防火墙上多个区域提供双机备份功能时,需要在每一台防火墙上配置多个VRRP备份组。
在这里插入图片描述

由于USG防火墙是状态防火墙,它要求报文的来回路径通过同一台防火墙。为了满足这个限制条件,就要求在同一台防火墙上的所有VRRP备份组状态保持一致,即需要保证在主防火墙上所有VRRP备份组都是主状态,这样所有报文都将从此防火墙上通过,而另外一台防火墙则充当备份设备。

VRRP在防火墙应用中存在的缺陷

在这里插入图片描述

假设USGA和USGB的VRRP状态不一致,例如,当USGB与Trust区域相连的接口为备用状态,但与Untrust区域的接口为主用状

最低0.47元/天 解锁文章
我是一条胖咸鱼
关注
专栏目录
防火墙————双机热备
xiazhui1的博客
11-17 1654
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
高可靠性部署系列(1)--- 防火墙双机热备
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
04-25 1161
本文介绍混合模式部署的主备备份的防火墙双机热备系统。
防火墙防火墙双机热备
2301_76769041的博客
08-30 5400
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙双机热备(HCIA)
qq_45022073的博客
12-22 1099
了解什么是双机热备,了解VRRP、VGMP、HRP。
华为防火墙配置双机热备
Richardlygo的博客
09-23 2196
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点,故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙设备出现故障时不中断网络,公司A利用两台设备实现防火墙主备功能。
防火墙双机热备
qq_67758645的博客
07-17 1739
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
防火墙双机热备
qixusiyu的博客
07-16 1030
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理。hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上。3,快速备份 : 该备份方式仅针对负载分担的场景。
防火墙--双机热备
banliyaoguai的博客
07-17 1436
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。再创建一个VGMP组,两台设备互为两个VGMP组的主设备,然后这种情况可能会两条链路都会走,如下图上去的时候走1这边,下去的时候走二这边,所以是不是两台设备需要快速同步状态信息,不然业务就会收到影响。
理论+实操:防火墙双机热备
Lfwthotpt的博客
02-15 5514
文章目录一:双机热备的工作原理1.1 双机热备概述1.2 VRRP(虚拟路由冗余协议Virtual Router Redundancy Protocol)1.3 VGMP二:双机热备配置2.1 双击热备的备份方式2.2 开启双机热备功能2.3 配置自动备份模式2.4 配置手工批量备份模式2.5 配置快速备份模式2.6 连接路由器时的双机热备三:实操配置3.1 环境3.2 需求3.3 思路步骤3.4...
SecPath-防火墙双机热备典型配置.doc
12-23
SecPath-防火墙双机热备典型配置.doc
华为防火墙双机热备配置及组网.pdf
11-03
华为防火墙双机热备配置及组网.pdf
防火墙双机热备实验.zip
03-03
防火墙双机热备实验
网络防火墙双机热备技术
09-10
本文介绍了防火墙双机热备技术,包括其背景、目标、原理、组网和配置等方面的内容。重点阐述了双机热备技术的工作原理和配置方法,包括VGMP、HRP等协议的作用和配置步骤,以及防火墙主备切换和切回的过程。 重点内容...
防火墙双机热备
2301_76769041的博客
06-26 1168
于是,在做网络架构设计时,通常会在网络的关键位置部署两台网络设备,以提升网络的可靠性。防火墙是状态检测设备,它会对一条流量的首包进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。如果VGMP组检测到其中一个VRRP组的状态变化,则VGMP组会控制组中的所有VRRP组统一进行状态切换,保证各VRRP备份组状态的一致性。主备设备业务板和接口卡的位置、类型和数目都须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。
华为防火墙双机热备
weixin_53049621的博客
04-13 4003
双机热备双机热备的必要性VGMPVGMP基本原理VGMP组管理HRP协议心跳接口实验和配置实验拓扑图配置结果如图 双机热备的必要性 在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致网中断的风险。防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。 1.备份前 2.备份后 VGMP 传统备份 1.防火墙上多个区域提供双机备份功能时,需要在每一台防火墙上配置多个V
防火墙---双机热备技术
Thewei666的博客
07-16 654
防火墙不仅需要同步配置信息,还需要同步状态信息(会话表)等,所以防火墙并不能像路由器那样单纯的靠动态协议来实现切换,因此需要双机热备技术来实现切换。一种系统高可用性的解决方案,旨在通过配置两台或多台服务器来实现业务连续性,以防止因单台服务器故障而导致的应用中断。当主服务器出现故障时,备份服务器可以立即接管主服务器的业务,确保业务的连续运行目前双机热备技术只支持两台防火墙的互备将两台服务器配置为相同的系统状态和数据,热备设备与目标设备共同运转,当目标设备发现故障或停机时,热备设备立即承担起故障设备的工作任务。
防御保护--防火墙双机热备
m0_72210904的博客
01-29 1538
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。但是,因为这里启用VGMP在,则VRRP 切换状态将由VGMP接管,VRRP的机制名存实亡。
华为防火墙双机热备实验详解及其命令操作
最新发布
11-18
内容概要:本文详细介绍了基于华为防火墙双机热备配置方法,通过设置VGMP协议和HRP协议实现高可用性和故障恢复能力。主要包括接口配置、VRRP配置、HRP心跳配置以及安全策略等步骤的具体实施。 适合人群:熟悉网络...
华为防火墙双机热备配置及组网.doc
10-07
"华为防火墙双机热备配置及组网" 华为防火墙双机热备配置是一种冗余备份的功能,旨在提供防火墙的高可用性和避免业务中断。在防火墙双机热备组网中,分为路由模式下的双机热备组网和透明模式下的双机热备组网。下面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值