防火墙双机热备技术

最新推荐文章于 2024-07-17 19:59:21 发布
最新推荐文章于 2024-07-17 19:59:21 发布
阅读量1.1k 收藏 3
点赞数 6
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43710889/article/details/114292902
版权
本文深入探讨防火墙双机热备技术,分析了VRRP的缺陷并介绍了VGMP(VRRP Group Management Protocol)与HRP(Huawei Redundancy Protocol)的原理和操作。VGMP通过统一管理VRRP备份组确保状态一致性,而HRP则负责动态状态数据和关键配置的备份。文章详细阐述了VGMP和HRP的状态机、报文类型以及双机热备的基本组网与配置策略,旨在确保网络服务的连续性和可靠性。
摘要由CSDN通过智能技术生成

防火墙双机热备技术

文章目录

双机热备技术产生的原因

在这里插入图片描述

USG防火墙作为安全设备,一般 会部署在需要保护的网络和不受保护的网络之间,即位于业务接口点上。在这种业务点上,如果仅仅使用一台USG防火墙设备,无论其可靠性多高,系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份。

VRRP在防火墙的缺陷

在这里插入图片描述

问题产生的原因:报文转发机制不同。

  • 路由器:每个报文都会查路由表当匹配上后才进行转发,当链路切换后,后续报文不会受到影响,继续进行转发。
  • 状态监测防火墙:如果首包允许通过会建立一条五元组的会话连接,只有命中该会话表项的后续报文(包括返回报文)才能通过防火墙,如果链路切换后,后续报文找不到正确的表项,会导致业务中断。

VGMP(VRRP Group Management Protocol)

VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。

VGMP基本原理

在这里插入图片描述

  • 当防火墙上的VGMP为Active状态时,组内所有VRRP备份组的状态统一为 Active状态,所有报文都将从该防火墙.上通过,该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态,该防火墙成为备用防火墙。
  • VGMP的优先级会根据组内的VRRP备份组状态为Active的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)。成员的状态动态调整,以此完成两台防火墙的主备倒换。
  • 与VRRP类似,与VRRP不同的是,Standby端收到HELLO报文后,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等。
  • VGMP HELLO报文发送周期缺省为1秒。当Standby端 三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态。

VGMP组管理

状态一致性管理

各备份组的主/备状态变化都需要通知其所属的VGMP管理组,由VGMP管理组决定是否允许VRRP备份组进行主/备状态切换。如果需要切换,则VGMP管理组控制所有的VRRP备份组统一切换。 VRRP 备份组加入到管理组后,状态不能自行单独。
切换。

抢占管理

  • VRRP备份组本身具有抢占功能。即当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。
  • VGMP管理组的抢占功能和VRRP备份组类似,当管理组中出现故障的备份组故障恢复时,管理组的优先级也将恢复。此时VGMP可以决定是否需要重新抢占称为主设备。
  • 当VRRP备份组加入到VGMP管理组后,备份组.上原来的抢占功能将失效,抢占行为发生与否必须由VGMP管理组统一决定。

VGMP报文

在这里插入图片描述

  • 标准VRRP报文的“Type”字段只有“1”一个取值,我们增加了“2”取值。也就是说如果Type=1,就是标
    准的VRRP报文;如果Type=2,就是我们修改后的VRRP报文。

  • 标准VRRP报文的“Virtual Rtr ID”字段代表VRRP备份组ID,而修改后的VRRP报文“Virtual Rtr ID”取值固定为“0”。

  • 修改后的VRRP报文中去掉了标准VRRP报文的“IP Address”字段。

  • 标准VRRP报文中的“Priority”字段在VRRP报文头中被修改成“Type2”字段。

  • 当Type2=1时,报文封装成心跳链路探测报文。心跳链路探测报文用于检测对端设备的心跳口能否正常接收本端设备的报文,以确定是否有心跳口可以使用。

  • 当Type2=5时,报文封装成 一致性检查报文。一致性检查报文用于检测双机热备状态下的两台防火墙是否配置了相同的策略。

  • 当Type2=2时,VRRP报文才会进一步封装VGMP报文头,并根据VGMP报文头中

  • “vType”字段继续分成以下三种报文 :

  1. VGMP 报文(VGMP Hello 报文)。VGMP Hello 报文用于两台防火墙间的VGMP组协商主备状态。这也正是我们问题的答案所在。
  2. HRP 心跳报文(HRP Hello 报文)。HRP心跳报文用于探测对端设备是否处于工作状态。主用设备会每隔一段时间(缺省为1s)向备用设备发HRP心跳报文,用来通知主用设备处于工作状态。如果备用设备在三个周期内没有收到HRP心跳报文,则认为主用设备故障,而自身切换成主用备。
  3. HRP 数据报文。我们还需要在VGMP报文头后继续增加HRP报文头,才能封装成HRP数据报文。HRP数据报文用于主备设备之间的数据备份,包括命令行配置的备份和各种状态信息的备份。

VGMP状态机

在这里插入图片描述

启用双机热备内功能后,各VGMP组进入Initialize(初始化)状态。

1.启用Active组后,Active组的状态由Initialize切换成Active。

2.启用Standby组后,Standby组的状态由Initialize切换成Standby。

3.本端VGMP组监控的接口故障时,状态由Active切换成A to S,并发送VGMP请求报文给对端设备的VGMP组。

4.本端VGMP组收到对端的VGMP请求报文,发现自身优先级高,则将状态由Standby切换成Acitve,并发送VGMP确认报文给对端设备的VGMP组。

5.本端VGMP组收到对端的VGMP确认

最低0.47元/天 解锁文章
南岸青栀*
关注
专栏目录
04-防火墙双机热备
qianlai22的博客
03-05 9251
双机热备的系统要求 硬件要求 组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。 两台FW的硬盘配置可以不同。例如,一台FW安装硬盘, 另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。 软件要求 组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。 实际上,在系统软件版本升级或回退
防御保护--防火墙双机热备
m0_72210904的博客
01-29 1457
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。但是,因为这里启用VGMP在,则VRRP 切换状态将由VGMP接管,VRRP的机制名存实亡。
防火墙双机热备
qq_67758645的博客
07-17 1352
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
防火墙防火墙双机热备
2301_76769041的博客
08-30 4925
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙双机热备
qixusiyu的博客
07-16 841
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理。hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上。3,快速备份 : 该备份方式仅针对负载分担的场景。
防火墙双机热备
dz804355207的博客
06-14 1106
两台FW之间通过一条独立的链路连接(可以跨交换机、路由器或者直连)传递双端FW的状态、配置等信息,不传递业务报文,称之为心跳线,心跳线两端端口被称为心跳端口。对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等。
网络防火墙双机热备技术
最新发布
09-10
本文介绍了防火墙双机热备技术,包括其背景、目标、原理、组网和配置等方面的内容。重点阐述了双机热备技术的工作原理和配置方法,包括VGMP、HRP等协议的作用和配置步骤,以及防火墙主备切换和切回的过程。 重点内容...
HCSCA112 防火墙双机热备技术.pptx
10-06
HCSCA112 防火墙双机热备技术
SecPath-防火墙双机热备典型配置.doc
12-23
SecPath-防火墙双机热备典型配置.doc
防火墙--双机热备
banliyaoguai的博客
07-17 1177
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。再创建一个VGMP组,两台设备互为两个VGMP组的主设备,然后这种情况可能会两条链路都会走,如下图上去的时候走1这边,下去的时候走二这边,所以是不是两台设备需要快速同步状态信息,不然业务就会收到影响。
理论+实操:防火墙双机热备
Lfwthotpt的博客
02-15 5380
文章目录一:双机热备的工作原理1.1 双机热备概述1.2 VRRP(虚拟路由冗余协议Virtual Router Redundancy Protocol)1.3 VGMP二:双机热备配置2.1 双击热备的备份方式2.2 开启双机热备功能2.3 配置自动备份模式2.4 配置手工批量备份模式2.5 配置快速备份模式2.6 连接路由器时的双机热备三:实操配置3.1 环境3.2 需求3.3 思路步骤3.4...
防火墙————双机热备
xiazhui1的博客
11-17 1541
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙双机热备实验
weixin_64033212的博客
04-04 275
HRP_M[USG6000V1]telnet server enable //开启Telnet服务。HRP_M[USG6000V1]telnet server enable //开启Telnet服务。
华为防火墙双机热备
weixin_53049621的博客
04-13 3935
双机热备双机热备的必要性VGMPVGMP基本原理VGMP组管理HRP协议心跳接口实验和配置实验拓扑图配置结果如图 双机热备的必要性 在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致网中断的风险。防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。 1.备份前 2.备份后 VGMP 传统备份 1.防火墙上多个区域提供双机备份功能时,需要在每一台防火墙上配置多个V
华为防火墙双机热备
Tony_long7483的博客
03-05 662
1.FW1配置 配置各接口加入相关区域 [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/1 [FW1]firewall zone untrust [FW1-zone-untrust]add int g1/0/4 [FW1]firewall zone dmz [FW1-zone-dmz]add interface g1/0/3 [FW1-GigabitEthernet1/0/1]service-manage.
Eudemon防火墙双机热备技术详解及配置
DS002005Eudemon防火墙双机热备业务特性与配置ISSUE1.pptx文档详细介绍了这一技术,着重探讨了在Eudemon防火墙中实施双机热备份的原理、配置方法以及使用的关键协议。 首先,双机热备技术的目的是确保在主防火墙...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南岸青栀*

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值