ENSP-----VGMP与HRP协议---防火墙的双机热备

最新推荐文章于 2024-07-14 21:23:25 发布
最新推荐文章于 2024-07-14 21:23:25 发布
阅读量5.5k 收藏 36
点赞数 6
分类专栏: ensp(华为设备)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42761527/article/details/104326584
版权

一.防火墙双机热备介绍

双机热备的概述

  • 双机热备是为了解决单点故障,实现业务的平滑过渡(会话表需要同步)
  • 华为防火墙的双机热备模式有:热备模式、负载均衡模式

  • 主备备份指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口,链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务
  • 所谓负载分担,也可以称为“互为主备”,即两台设备同时处理业务,当其中一台设备发送故障时,另外一台设备会立即承担其业务,保证原来需要通过这台设备转发的业务不中断

VGMP简介

  • VGMP协议是华为公司的私有协议。VGMP协议中定义了VGMP组,FW基于VGMP组是实现设备主备状态管理
  • VGMP协议解决备份组切换不一致性的问题

VGMP的优先级

  • 中低端:Active设备优先级为65001,Standby设备优先级为6500
  • 高端:VGMP组初始优先级=45000+1000*LPU板上的插卡个数+2*SPU板上的CPU个数
  • USG6000,NGFW Module的初始化优先级都为45000

VGMP的状态转换与工作过程

  • 启用双机热备功能后,各VGMP组进入Initialize(初始化)状态。
  • 启用Active组后,Active组的状态由Initialize切换成Active。
  • 启用Standby组后,Standby组的状态由Initialize切换成Standby。
  • 本端VGMP组监控的接口故障时,状态由Active切换成A to S,并发送VGMP请求报文给对端设备的VGMP组。
  • 本端VGMP组收到对端的VGMP请求报文,发现自身优先级高,则将状态由Standby切换成Acitve,并发送VGMP确认报文给对端设备的VGMP组。
  • 本端VGMP组收到对端的VGMP确认报文,确认本端需要进行状态切换,则本端的VGMP组状态由A to S切换成Standby。
  • 对端VGMP组确认本端的VGMP组不需要进行状态切换或连续三次没有回应本端的VGMP请报文,则本端的VGMP组状态由A to S切换成Active。
  • 本端VGMP组监控的接口故障恢复后,如果本端VGMP组优先级高于对端且配置了抢占功能,则本端VGMP组状态由Standby切换成S to A,并向对端发送VGMP请求报文。
  • 本端VGMP组收到对端的VGMP请求报文,发现对端优先级高,则将状态由Active切换成Standby,并发送VGMP确认报文给对端设备的VGMP组。
  • 本端VGMP组收到对端的VGMP确认报文,确认本端需要进行状态切换,则本端的VGMP组状态由S to A切换成Active,完成抢占过程。
  • 对端VGMP组确认本端的VGMP组不需要进行状态切换或连续三次没有回应本端的VGMP请报文,则本端的VGMP组状态由S to A切换成Standby。
     

VGMP的工作原理(主备模式下)

  • 指定设备为Active和Standby
  • 将VGMP组内所有VRRP备份组状态为指定的Active standby(VRRP备份组状态的一致性)
  • Active设备发送免费ARP,刷新交换机MAC地址表(引导流量)
  • 周期性发送HRP心跳报文(周期1s 死亡3s),监控Active和Standby

VGMP的故障检测

  • 针对直连故障
A. 检测VRRP备份组状态
适用场景:防火墙业务接口工作在三层,上下接交换机(二层)

B. 检测三层接口的状态
适用场景: 防火墙业务接口工作在三层,上下接路由器
int xxxx
hrp track xxxx

C 检测VLAN接口状态
适用场景:防火墙业务接口工作在二层,上下接交换机(或者上下接路由器)
vlan xxx
hrp track XXXX
  • 非直连故障
IP-LINK
BFD

###IP-LINK
IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答,
来判断链路是否发生故障。
FW发送探测报文后,在三个探测周期(默认为15s)内未收到响应报文,
则认为当前链路发生故障,IP-Link的状态变为Down。随后,
FW会进行IP-Link Down相关的后续操作,例如双机热备主备切换等。
当链路从故障中恢复,FW能连续地收到3个响应报文,则认为链路故障已经消除,
IP-Link的状态变为Up。也就是说,链路故障恢复后,IP-Link的状态并不会立即变为Up,
而是要等三个探测周期(默认为15s)才会变为Up。

HRP协议基本原理

  • HRP协议实现备份会话表等状态信息和关键的配置
  • HRP报文实际上是一种VGMP报文,承载在VGMP报文的Data区域。即存在两种封装方式
  • 管理面上的HRP报文会携带:指定自动备份还是批量备份,指定发送还是应答,备份的数据类型,两种方式如下

  • 转发层面的两种方式

  • 封装VRRP,组播224.0.0.18,不需要考虑受安全策略监控
  • 封装UDP,单播,需要考虑安全策略监控
  • 配置心跳线的时候需要考虑remote

HRP的备份方式

  • 自动备份,默认方式
  • 手动备份,批量方式(hrp sync config 手动触发批量备份)
  • 快速备份,针对分载分担

备份通道状态

  • 当设备两边均配置心跳口,防火墙会判断心跳接口的物理与协议状态。心跳链路一共存在五种状态
  • running:正常运行,能够发送报文
  • ready:正常运行,此接口为备份通道,当前未使用
  • peerdown:本段正常,但是收不到对端的心跳报文
  • invaild:未指定心跳地址的IP地址,心跳口工作在二层
  • down:心跳接口的物理状态与协议状态都为DOWN

当有多根心跳线时,哪个接口先配置的心跳线,即哪个接口的状态先成为ready,当两端心跳线通信时,先成为ready的接口就会成为running

当本端running接口down时,第二成为ready的接口会代替down的接口成为本端设备的running口。

继承顺序按照成为ready的时间,没有比较优先级等。只看时间戳。

当两端心跳有多根时,如果两端的running口不是一根链路,也可以正常通信

心跳线

  • 双机热备组网中,心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常称为“心跳接口”
  • 心跳线主要传递如下消息
心跳报文(hello报文):两台FW通过定期(默认周期为1秒)互相发送心跳报文检测对端设备是否存活
VGMP报文:了解对端设备的VGMP组状态,确定本端和对端设备当前状态是否稳定,是否要进行故障切换
配置和表项备份报文:用于两台FW同步配置命令和状态信息
心跳链路探测报文:用于检测对端设备的心跳口能否正常接收本端设备的报文,确定是否有心跳接口可以使用
配置一致性检查报文:用于检测两台FW的关键配置是否一致,比如安全策略、NAT等

二.防火墙双机热备实例

网络拓扑图

具体配置与分析

R1的配置

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]un in en
Info: Information center is disabled.
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[R1-GigabitEthernet0/0/0]un sh
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]q
[R1]int loo0
[R1-LoopBack0]ip add 1.1.1.1 32
[R1-LoopBack0]q	
[R1]ip route-static 192.168.10.0 24 10.1.1.100    //向下配置静态回程路由

FW1的配置

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW1
[FW1]un in en
Info: Saving log files...
Info: Information center is disabled.
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.101 24
[FW1-GigabitEthernet1/0/0]un sh
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[FW1-GigabitEthernet1/0/0]q
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 172.16.1.1 24
[FW1-GigabitEthernet1/0/1]un sh
Info: Interface GigabitEthernet1/0/1 is not shutdown.
[FW1-GigabitEthernet1/0/1]q
[FW1]firewall zone untrust    //定义各个区域的接口
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1
[FW1-zone-dmz]firewall zone trust
[FW1-zone-trust]add int g1/0/2
[FW1-zone-trust]q
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1    //向上配置回程路由	
[FW1]security-policy    //配置安全策略	
[FW1-policy-security]rule name permit_heat    //定义规则名字
[FW1-policy-security-rule-permit_heat]source-zone local    //定义源区域
[FW1-policy-security-rule-permit_heat]destination-zone dmz    //定义目的区域
[FW1-policy-security-rule-permit_heat]action permit    //动作设为允许
[FW1-policy-security-rule-permit_heat]q
[FW1-policy-security]rule name permit_trust_untrust    //配置trust与untrust区域规则
[FW1-policy-security-rule-permit_trust_untrust]source-zone trust
[FW1-policy-security-rule-permit_trust_untrust]destination-zone untrust
[FW1-policy-security-rule-permit_trust_untrust]action permit
[FW1-policy-security-rule-permit_trust_untrust]q
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 192.168.10.101 24
###定义下联口VRRP主组,以及虚拟IP地址
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.10.100 active 
[FW1-GigabitEthernet1/0/2]un sh
Info: Interface GigabitEthernet1/0/2 is not shutdown.
[FW1-GigabitEthernet1/0/2]q
[FW1]int g1/0/0
###定义上联口VRRP主组,以及虚拟IP地址
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active
[FW1-GigabitEthernet1/0/0]un sh
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[FW1-GigabitEthernet1/0/0]q
[FW1]hrp int g1/0/1 remote 172.16.1.2    //配置心跳接口
[FW1]hrp enable    //启动双机热备
Info: NAT IP detect function is disabled.
HRP_S[FW1]hrp auto-sync    //定义双机热备方式为自动备份
HRP_S[FW1]display hrp state    //查看双机热备状态信息
2020-02-16 11:25:47.720 
 Role: standby, peer: unknown
 Running priority: 45000, peer: unknown
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 0 minutes
 Last state change information: 2020-02-16 11:25:11 HRP core state changed, old_
state = initial, new_state = abnormal(standby), local_priority = 45000, peer_pri
ority = unknown.

HRP_S[FW1]dis hrp int    //查看心跳接口状态信息
2020-02-16 11:26:14.920 
             GigabitEthernet1/0/1 : negotiation failed

HRP_S[FW1]

FW2的配置

<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW2
[FW2]un in en
Info: Saving log files...
Info: Information center is disabled.
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 10.1.1.102 24
[FW2-GigabitEthernet1/0/0]un sh
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[FW2-GigabitEthernet1/0/0]q
[FW2]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 172.16.1.2 24
[FW2-GigabitEthernet1/0/1]un sh
Info: Interface GigabitEthernet1/0/1 is not shutdown.
[FW2-GigabitEthernet1/0/1]q	
[FW2]firewall zone untrust 
[FW2-zone-untrust]add int g1/0/0
[FW2-zone-untrust]q
[FW2]firewall zone dmz
[FW2-zone-dmz]add int g1/0/1
[FW2-zone-dmz]firewall zone trust
[FW2-zone-trust]add int g1/0/2
[FW2-zone-trust]q
[FW2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
[FW2]security-policy 
[FW2-policy-security]rule name permit_heat
[FW2-policy-security-rule-permit_heat]source-zone local	
[FW2-policy-security-rule-permit_heat]destination-zone dmz	
[FW2-policy-security-rule-permit_heat]action permit
[FW2-policy-security-rule-permit_heat]q
[FW2-policy-security]rule name permit_trust_untrust
[FW2-policy-security-rule-permit_trust_untrust]source-zone trust	
[FW2-policy-security-rule-permit_trust_untrust]destination-zone untrust	
[FW2-policy-security-rule-permit_trust_untrust]action permit 
[FW2-policy-security-rule-permit_trust_untrust]q
[FW2-policy-security]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 192.168.10.102 24
###定义下联口虚拟IP地址,以及VRRP为备组状态
[FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.10.100 standby 
[FW2-GigabitEthernet1/0/2]un sh
Info: Interface GigabitEthernet1/0/2 is not shutdown.
[FW2-GigabitEthernet1/0/2]q
[FW2]int g1/0/0
###定义上联口虚拟IP地址,以及VRRP为备组状态
[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby 
[FW2-GigabitEthernet1/0/0]un sh
Info: Interface GigabitEthernet1/0/0 is not shutdown.
[FW2-GigabitEthernet1/0/0]q
[FW2]hrp int g1/0/1 remote 172.16.1.1
[FW2]hrp enable
Info: NAT IP detect function is disabled.	
HRP_S[FW2]hrp auto-sync 
HRP_S[FW2]dis hrp state
2020-02-16 11:34:15.410 
 Role: standby, peer: active
 Running priority: 45000, peer: 45000
 Backup channel usage: 0.02%
 Stable time: 0 days, 0 hours, 0 minutes
 Last state change information: 2020-02-16 11:34:08 HRP core state changed, old_
state = abnormal(active), new_state = normal, local_priority = 45000, peer_prior
ity = 45000.

HRP_S[FW2]dis hrp int
2020-02-16 11:34:28.650 
             GigabitEthernet1/0/1 : running

HRP_S[FW2]

实验验证

  • 抓取心跳线处的数据包,其协议为UDP

  • 由PC1处pingR1的环回地址

  • 模拟故障切换,在FW1上down掉下联口,再从pc1pingR1

  • 恢复故障之后,由于抢占机制,fw1由standby变为active

 

 

EoinXu
关注
  • 6
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT
有谁需要地图吗?
02-28 8862
前言 本实验使用华为模拟器eNSP中USG6000v完成实验。USG6000v是虚拟防火墙。 实验拓扑 配置过程 一、导入设备包 由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接进行设备包的下载。 下载设备包需要一个华为账户...
华为Ensp防火墙双机热备Hrp
qq_51444009的博客
07-05 1万+
HRP(华为冗余协议)备份方式 自动备份,默认方式 手动备份,批量方式(hrp sync config 手动触发批量备份) 快速备份,针对分载分担 备份通道状态 当设备两边均配置心跳口,防火墙会判断心跳接口的物理与协议状态。 心跳链路一共存在五种状态 ① running:正常运行,能够发送报文 ② ready:正常运行,此接口为备份通道,当前未使用 ③ peerdown:本段正常,但是收不到对端的心跳报文 ④ invaild:未指定心跳地址的IP地址,心跳口工作在二层 ⑤ down:心跳接口的物理状态与协议
华为网络----防火墙双机热备实验(VGMPHRP协议
热门推荐
weixin_45726050的博客
02-26 1万+
文章目录前言:一、华为防火墙双机热备概述1.1 防火墙双机热备概念1.2 防火墙双机热备特点1.2.1 VGMP的优先级1.3 华为防火墙双机热备方式1.4 VGMP的状态转换与工作过程1.5 VGMP的工作原理(主备模式下)1.6 HRP协议基本原理1.7 HRP的备份方式1.8 备份通道状态1.9 心跳线二、防火墙双机热备实验2.1 实验拓扑图2.2 路由器R1配置2.3 防火墙FW1配置2....
VGMP协议、VGMP场景和HRP协议详解
最新发布
V_vevive的博客
07-14 900
VGMP(VRRP Group Management Protocol),VRRP组管理协议,是实现对多个VRRP组进行统一管理的协议。该协议由H3C公司开发,是一种私有协议,广泛应用于华为防火墙等网络设备上,是配置防火墙双机热备技术的一大基础协议。VGMP协议是在VRRP协议的基础上开发而来的,其最主要的作用便是集中管理VRRP备份组,控制VRRP状态的统一切换。:HRP---华为冗余协议---华为的私有协议---可以同步防火墙上的配置和状态信息。
智能选路(四种)防火墙的可靠性(VGMP HRP
weixin_65785894的博客
01-30 1521
一开始,我们FW1将两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,使用场景比较单一。
HRP协议详解
永远是少年
07-30 1万+
今天继续给大家介绍HCIE安全系列相关内容。本文给大家介绍HRP协议的相关理论知识,包括概述、数据备份范围、数据备份方式、备份通道状态和备份通道选择五个方面。 一、HRP协议概述 HRP(Huawei Redundancy Protocol),华为冗余协议,主要用于实现防火墙双机之间动态状态数据和关键配置命令实时备份。 HRP协议功能的实现借助了HRP报文,而HRP报文实际上上是一种VGMP报文,承载在VGMP报文的Data区域。通常而言,HRP协议以VGMP心跳线作为备份通道传输备份数据和命令。 HRP
eNSP模拟器上使用USG6000v实现服务器负载均衡(加权轮询算法)
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
06-16 2499
eNSP模拟器上使用USG600v实现服务器负载均衡(加权轮询算法)拓扑图设备选型配置思路操作步骤结果验证 拓扑图 设备选型 AR1设备为AR2220型号路由器 FW1设备为USG6000型号防火墙 Server1-2为Server型号终端设备 Cloud2为其他设备中的Cloud设备,主要用来做桥接,实现对FW1的WEB界面管理 配置思路 1.完成终端设备网络参数配置以及网络设备基本配置(重命名+接口IP) 2.根据终端类型划分FW设备的端口所属安全区域,并放行相应的域间安全策略 3.登录FW的WEB
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
### HUAWEI-Ensp模拟器 双机热备传统方式 #### 双机热备份简介 **定义**:双机热备份(Hot-Standby Backup)是一种高可用性的解决方案,通过设置主用(Master)设备和备用(Backup)设备来确保系统的连续性和稳定...
新版华为模拟器eNSP-Lite-V002R022C10SPC100-Software
05-13
新版华为模拟器eNSP-Lite_V002R022C10SPC100_Software eNSP Lite V002R022C10SPC100 产品文档 eNSP-Lite_V002R022C10SPC100_Software_X8664_release.tar eNSP-Lite_V002R022C10SPC100_Software_X8664_release.qcow2
12800-CloudEngine配置指南 eNSP 实现VxLAN
06-02
eNSP(Enterprise Network Simulation Platform,企业网络仿真平台)是华为提供的一个网络仿真工具,可以模拟多种网络设备和协议,包括VXLAN。在eNSP中实现VXLAN配置,用户可以创建网络拓扑,配置VXLAN相关的参数,...
NE4K-ENSP 1.30 100支持镜像NE40E
02-04
这款路由器支持多种路由协议,如OSPF(开放最短路径优先)、BGP(边界网关协议)、IS-IS(中间系统到中间系统)等,还具备强大的QoS(服务质量)管理能力,能够有效保障不同业务的带宽和延迟需求。 ENSP...
华为新一代模拟器eNSP-Pro-V100R001C00SPC100下载
10-23
华为新一代模拟器eNSP-Pro_V100R001C00SPC100下载
华为eNSP防火墙双机热备的实现以及在HRP配置错误时的现象
muxia_jhy的博客
01-22 8405
华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 官方教材《HCIA-Securty实验手册V3.0》...
华为计算机网络--防火墙双机热备及其实验配置
爱学习的JackYang的博客
12-15 2728
华为网络 防火墙 双机热备
华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置
博客之路,前途漫漫
05-06 4109
华为防火墙双机热备是一种高可用性解决方案,可以将两台防火墙设备组成一个双机热备组,实现主备切换。当主用防火墙出现故障时,备用防火墙可以自动切换为新的主用防火墙,确保网络流量不中断。
ensp华为防火墙的VRRP、HRP双机热备配置
jjc321506301915的博客
03-31 8700
作业十三:防火墙双机热备 实验环境 实验思路 规划并配置IP 安全区域划分 配置静态路由 配置VRRP 配置心跳接口 配置安全策略 检验连通性 主备切换 备用设备抢占 实验步骤 规划并配置IP R1: [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 200.1.1.3 24 FW1: [FW1]int g1/0/2 [FW1-GigabitEthernet1/0/2]ip add 200.1.1.1 24 [FW1-GigabitEthernet1/
华为防火墙双机热备-VGMP
qq_32044265的博客
07-20 4835
VGMP协议是华为公司的私有协议。VGMP协议中定义了VGMP组,FW基于VGMP组实现设备主备状态管理。 每台FW都有一个VGMP组,用户不能删除这个VGMP组,也不能再创建其他的VGMP组。VGMP组有优先级和状态两个属性。VGMP组优先级决定了VGMP组的状态。 FW能根据VGMP组的状态调整VRRP备份组状态、动态路由(OSPF、OSPFv3和BGP)的开销值、VLAN的状态以及接口的状态(镜像模式),从而实现主备备份或负载分担模式的双机热备。.........
ensp之静态路由负载均衡和备用路由
k0sec的安全路
05-17 3887
01配置静态路由 02静态路由负载均衡和备用路由
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值