防火墙之双机热备篇

已于 2024-07-17 20:45:57 修改
阅读量1.5k 收藏 25
点赞数 10
文章标签: 服务器 网络 运维
于 2024-07-17 19:59:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67758645/article/details/140501499
版权

为什么要在防火墙上配置双机热备技术呢?

相信大家都知道,为了提高可靠性,避免单点故障

肯定有聪明的小伙伴会想到那为什么不直接多配置两台防火墙,然后再将他们进行线路冗余,不就完成备份了吗?

答案是不可以这样,如果是路由器,这样做当然是没什么问题,但是这是防火墙,不仅要同步配置信息,而且还要同步状态信息,所以不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。

1.双机概论:目前双机热备仅支持两台防火墙设备。

2.热备概论:两台设备共同运行,在一台设备出现故障的情况下,另外一台设备可以立即替代原设备。

不仅有热备概念,还存在冷备概论。

冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。

双机热备三剑客:VRRP、VGMP、HRP

VRRP   ---   虚拟路由冗余协议

VRRP在一个组内可以存在多台3层设备,存在一个master和多个backup

正常产生一个虚拟IP(可以为真实接口ip)和一个虚拟MAC

默认每1s来检测一次master是否活动   224.0.0.18  TTL=1   hold time 3s

选举规则:先优先级,默认100,大优;再接口ip地址大优;

特点:切换速度快;可以使网关的IP和MAC地址不用变化;网关的切换对主机是透明的;

可以实施上行链路追踪

在网关冗余技术中,ICMP重定向是失效的;故当上行链路DOWN时,网关将不会切换;

可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效,且两台设备间的优先级差值小于下调值; 若本地存在多条上行或下行链路,建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时,才让备份设备抢占;下行链路大部分down时,可以让备份设备抢占;

VGMP ---  vrrp Group Management Protocol   (华为私有协议)

为什么会有这个?

因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙的双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。所以,设计了VGMP协议,和VRRP组进行统一的切换管理。

来VGMP是怎么玩的:

首先,在一个VGMP组中,有active组和standby俩个组。每个组里面有两个状态,一个active状态,一个standby状态。

HRP:华为冗余协议

可以同步防火墙的状态和配置信息

配置信息:策略,NAT,认证,服务等等

状态信息:会话表,server-map ,黑白名单等

but!!!    HRP不能同步基本的接口和路由信息

主备的形成场景

1,FW1被设定为主设备 --- FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉
入到VGMP的active组中,并且状态都是ACTIVE
2,FE2被设定为备设备 --- FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入
到VGMP的standby组中,并且状态都是standby
(VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先
级为65000,并且,在VGMP中,所有的主都被成为active,所有的备成为standby)
3,主设备上下两个VRRP组的接口将发送免费ARP报文

这就是主备的形成。

在接口出现故障时,它是怎么处理的呢?

FW1接口故障的切换场景

1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障
的一个过渡状态)
2,VGMP组感知到接口状态变化,会降低自身的优先级(每一个接口发生故障,则优先级会
降低2。)
3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;
4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状
态从standby切换为active状态
5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切
换到active
6,FW2回复FW1应答报文,表示允许切换
7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,并且,其
中的VRRP组同步将状态切换到standby,不包含故障接口的状态,依旧是initialize状态
8,FW2上下两个VRRP组将发送免费ARP报文,让交换机切换MAC地址表,之后所有的流量
将从FW2通过

主备故障切换场景 --- 整机故障

整机故障可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文,
备设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;(周期1s ,hold time 3s)

原主设备故障恢复的场景

根据有没有开启抢占分为两种不同的情况
1,如果没有开启抢占 --- 原主设备继续以备设备的身份工作
2,如果开启了抢占

  

负载分担场景

注意:抢占模式中,默认开启60s抢占延迟

不设置立马抢占的原因是为了防止接口动荡,一会没问题,一会有问题这种情况

李的阿洁
关注
H3C SetchPath F1000e 防火墙双机热备
01-06
H3C SetchPath F1000e 防火墙双机热备。里面有二层和三层配置方法都有。
华为防火墙配置双机热备
最新发布
Richardlygo的博客
09-23 2024
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点,故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙设备出现故障时不中断网络,公司A利用两台设备实现防火墙主备功能。
防火墙————双机热备
xiazhui1的博客
11-17 1616
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
华为防火墙 双机热备负载均衡实验
荆盼的博客
12-27 7166
双机热备 FW1的配置 FW2的配置 interface GigabitEthernet 1/0/1  ip address 10.1.1.2 255.255.255.0  vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active //将接口GE1/0/1加入VRRP备份...
防火墙——双机热备理论讲解
热门推荐
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。
防火墙防火墙双机热备
2301_76769041的博客
08-30 5190
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙双机热备
dz804355207的博客
06-14 1124
两台FW之间通过一条独立的链路连接(可以跨交换机、路由器或者直连)传递双端FW的状态、配置等信息,不传递业务报文,称之为心跳线,心跳线两端端口被称为心跳端口。对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等。
04-防火墙双机热备
qianlai22的博客
03-05 9306
双机热备的系统要求 硬件要求 组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。 两台FW的硬盘配置可以不同。例如,一台FW安装硬盘, 另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。 软件要求 组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。 实际上,在系统软件版本升级或回退
ENSP配置防火墙和路由器双机热备
10-22
涉及的技术NAT、VRRP、OSPF、HA、VGMP,里面含命令和讲解,在我的博客上面有写Cisco的配置欢迎大家一起交流学习
网络防火墙双机热备技术
09-10
本文介绍了防火墙双机热备技术,包括其背景、目标、原理、组网和配置等方面的内容。重点阐述了双机热备技术的工作原理和配置方法,包括VGMP、HRP等协议的作用和配置步骤,以及防火墙主备切换和切回的过程。 重点内容...
Centos 7.4 DHCP 双机热备
07-23
Centos 7.4 DHCP 双机热备配置指南 在本文中,我们将详细介绍如何在 Centos 7.4 环境中搭建 DHCP 双机热备系统。本文将分为五个部分,分别是环境准备、Yum 安装 DHCP 及相关软件、配置 NTP、配置 DHCP 和测试热备高...
防火墙双机热备实验.zip
03-03
防火墙双机热备实验
Windows Server 2019 双机热备(MSCS)下Sql Server 2019 群集部署-图文
03-27
《Windows Server 2019 双机热备(MSCS)下Sql Server 2019 群集部署详解》 Windows Server 2019 的微软群集服务(MSCS)与Sql Server 2019的群集部署是一项旨在提高企业数据库系统高可用性的关键技术。这种双机热备...
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
11-26
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
防火墙双机热备3.3配置案例.pdf
03-27
防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf防火墙双机热备3.3配置案例.pdf
什么是双机热备技术?华为和思科如何实现双机热备
网络技术联盟站
06-08 3268
双机热备是一种通过在网络设备之间建立冗余的、实时同步的备份系统,以实现在主设备故障时无缝切换到备用设备的高可用性技术。双机热备通常由两个或多个相同配置的设备组成,其中一个设备处于活动状态(主设备),而其他设备处于待命状态(备用设备)。备用设备通过实时同步数据和状态信息,以便在主设备发生故障时立即接管网络服务的运行。
防火墙双机热备配置
zszfs的博客
10-26 2961
防火墙双机热备实验
防火墙双机热备配置实例(一)
永远是少年
07-31 4711
今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式。 一、实验目的及拓扑 实验拓扑如上所示,现在两台防火墙上下行设备都是交换机,防火墙都是运行于路由模式,现在要求按照图示要求配置防火墙A/S模式双机热备组网。 二、实验配置命令 (一)接口VRRP配置命令 在本实验中,防火墙双机热备检测的是接口上的VRRP状态,其命令配置与普通VRRP配置大致相同,但是vrrp后面必须配置active或者standby表明此VRRP
ensp防火墙双机热备云端
08-27
Ensp(Enterprise Network Security Platform)防火墙是一种企业级网络安全解决方案,通常用于提供高级别的网络访问控制和安全保护。所谓的“双机热备”是指通过部署两台或多台防火墙设备,并配置它们之间同步和备份策略,当主设备出现问题时,可以快速切换到备用设备,确保网络服务的连续性和高可用性。 云环境下的ensp防火墙双机热备,意味着这些防火墙系统是在云计算平台如AWS、Azure或阿里云上运行,通过虚拟化技术实现资源的弹性伸缩和故障转移。这种架构的优势包括: 1. 灵活性:可以根据需要动态调整资源,适应业务流量变化。 2. 高可用性:云环境中的冗余设计提高了系统的可靠性。 3. 节省成本:按需付费,避免了传统硬件投资和维护成本。 4. 易于管理:云服务商通常提供统一的管理和监控工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值