双机热备-技术原理和组网实验

于 2024-05-21 09:59:30 发布
阅读量1k 收藏 13
点赞数 40
文章标签: 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44256357/article/details/139084161
版权

1、双机热备技术的产生原因:

防止单点故障,防止因出口防火墙故障而导致整个网络故障。因此多配置几个出口防火墙以确认冗余。

在路由器组网中使用VRRP协议实现设备冗余。

2、VRRP冗余方案:虚拟路由冗余协议:

VRRP可以构成一个备份组,并将多个路由虚拟成一台设备,并给这个虚拟设备配置ip地址。无论哪个设备down了,最后都有一台设备能连接网络。(内部网关指向这个虚拟路由器)

按照优先级选一台设备为Master,不能成为Master的会成为Backup。当Master下线后,Backup可重新选举成Master。原Master上线后,可以重新抢回Master位置(也可配置为不抢占)

注意:只有防火墙一边连接二层设备(交换机)的时候才能开启VRRP,是三层设备(路由器)时就不能开启。

2、VRRP的具体运用环境

同一台设备可以虚拟出多个VRRP备份组,同一台设备的备份组和ip都会不一样。需要注意。

比如:
 

在TRUST区域,开启了一个备份组1,并且该备份组中,防火墙A是一个MASTER。

(防火墙在配置VRRP的时候,会在参数后面加上ACTIVE或者STANDBY的参数,如果是ACTIVE,就直接会是MASTER,反之则是BACKUP)

在DMZ区域、UNTRUST区域都是同理的。

3、VGMP的基本原理

VRRP可能会有配置不一致的问题。如果备份组3的A路由端口出现,3组会主备切换到B口。但备份组1、2不会自动切换,这会导致来回路径不一致,TRUST和DMZ还是会走A防火墙,最终访问不通。

这就需要有VGMP来管理(VRRP的组管理协议)

开启VGMP,并将所有的备份组都加入VGMP后,只要有一个备份组进行主备切换,就会将剩下的备份组联动一起切换。

当防火墙上的VGMP为ACTIVE/STANDBY的时候,组内的所有VRRP备份组的状态统一为ACTIVE/STANDBY状态。

两个路由器之间会建立一个心跳线,告知端口的ACTIVE/STANDBY的状态。因此连接时型号和端口环境等都需要一致。

(VGRP默认Master故障恢复时优先级也恢复,会进行抢占)

4、HRP基本概念

HRP协议用来实现防火墙双机之间动态状态和关键配置命令的备份。

(关键配置:地址池、服务等,会有+b提示)

配置好后会发送vgrp的报文。它可以是物理接口,也可以是eth-trunk(捆绑口)。

心跳协议的5种状态:

1、Invalid:物理是up、协议是down(比如没配ip的情况)。

2、down:本端物理和协议都down。

3、Peerdown:邻居down,本端是up。

4、ready:本、对端都是up。

5、running:工作中。首先进入ready的端口会先进入running。

5、双机热备的备份方式:

自动备份:默认开启,可以备份会话表信息、配置命令的信息,会话10秒备份一次,配置实时备份。

会话快速备份:负载均衡的场景。(fw1、fw2都有业务流量的转发)

手工批量备份:手工开启,执行一次手工立马把会话表和配置备份。(一般是自动备份不行的情况)

设备重启后主备fw的配置自动同步。

实验目标:

完成防火墙双机热备的组网实验。

上下行的业务接口工作在三层模式、连接二层设备。

配置区域如下:
 

Fw1配置:

sys

int g1/0/0

ip add 10.2.0.1 24

vrrp vrid 1 virtual-ip 10.2.0.254 24 active

service-manage enable

service-manage all permit

qu

int g1/0/1

ip add 10.3.0.1 24

vrrp vrid 2 virtual-ip 10.3.0.254 24 active

service-manage enable

service-manage all permit

qu

int g1/0/2

ip add 1.1.1.1 24

service-manage enable

service-manage all permit

//端口配置

firewall zone trust

add int gi1/0/0

qu

firewall zone dmz

add int gi 1/0/2

qu

firewall zone untrust

add int gi 1/0/1

qu

//区域配置

security-policy

rule name TtoU

source-zone trust

destination-zone untrust

action permit

qu

qu

//安全策略配置

FW2配置同理,将端口ip更正即可。

(注:在fw1配置完成后,可检查ip是否配置,并在pc上进行测试:


 

以证明链路通畅。)

查看vrrp配置情况:
 

(创建vrrp后,自动加入vgmp中)

下面进行心跳线的配置:

hrp interface g1/0/2 remote 1.1.1.2(remote对端ip)

两边配置都完成后,开启心跳线:

Hrp enable

可以看见在对端也开启心跳线协议后,fw1从hrp-s选举成为hrp-m。

完成后做测试,对rule进行修改:
security-policy

undo rule name TtoU

 rule name TtoU

  source-zone trust

  destination-zone untrust

  source-address 10.2.0.0 mask 255.255.255.0

  destination-address 10.3.0.0 mask 255.255.255.0

  action permit

可以发现安全策略配置后面都有+B:

证明正进行同步。实验完成。

康笛声
关注
  • 40
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
双机热备技术基本原理、配置流程及双机热备的故障解决
bluepangzi的博客
09-06 6196
双机热备技术一、双机热备协议架构(一)VRRP1、VRRP状态机2、VRRP状态切换3、VRRP的不足(二)VGMP1. 基本原理1)VGMP产生 一、双机热备协议架构 (一)VRRP 1、VRRP状态机   加入VRRP备份组的接口有三种状态,只有处于主用状态的设备才可响应ARP请求,转发业务报文。并且发送VRRP报文,主动联系备用设备。 配置完VRRP后,如果接口处于Up状态,则从Initialize状态进入Standby状态。 处于Standby状态的接口,如果超时未收到对端的VRRP通告报文,或
双机热备实验记录
CHECKS1101的博客
07-30 940
双机热备实验记录实验拓扑实验内容交换机SW1SW2(公网)路由R1防火墙FW1FW2NAT地址转换实验效果查看当前设备状态的命令补充 实验拓扑 红圈里是备份组以及备份组的虚拟IP 注意事项: 1.两台防火墙的型号和版本必须一致 2.连接网络的接口编号要相同(两台防火墙相同编号接口连到同一个网络,如g1/0/0都连接到公网,g1/0/1都连接到了vlan10) 3.两台防火墙要连接心跳接口(传输防火墙配置、状态信息) 不要连接防火墙管理接口g0/0/0 实验内容 交换机 划分vlan,关闭stp SW1 基
【HCIE安全】双机热备-主备备份
qq_40733491的博客
07-24 4339
VRRP双机热备
双机热备试验
weixin_34194087的博客
06-05 206
双机热备试验1、先画拓扑图,在虚拟机中安装三台windows2008R2,一台xp操作系统2、将一台winows2008安装成域服务器,另外两台windows2008R2加入域3、在域服务器上新建一个账号,如sql使其有在域上面加入计算机的权限,并将这人账号加入到两台成员服务器的本地管理员权限4、在xp安装starwind做iscsi数库存储设备分三块共享硬盘,一块...
[eNSP] 双机热备基本组网
ZXW_NUDT的博客
04-21 622
注:左边为trust区,右边为untrust区,防火墙之间为DMZ区。 1、配置默认路由 [FW 1]ip route-static 0.0.0.0 0 10.3.0.3 [FW 2]ip route-static 0.0.0.0 0 10.3.0.3 2、配置心跳线规则 [FW 1-policy-security]rule name permit_heat [FW 1-policy-security-rule-permit_heat]source-zone local [FW 1-policy-se.
LVS+keepalived群集(双机热备效果测试)
繁星若渺的博客
12-09 333
目录1、Keepalived概述1.1、为什么要用Keepalived1.2、Keepalived工具介绍1.3、Keepalived实现原理剖析1.4、Keepalived安装与启动1.5、配置Keepalived master服务器1.6、配置Keepalived slave服务器1.7、Keepalived双机热备效果测试2、实例:使用Keepalived搭建双机热备测试2.1、进入NFS服务器查看服务是否安装,并开启2.2、创建挂载源目录并编辑查看共享情况2.3、进入web1和web2安装apach
防火墙的双机热备实验
weixin_65621133的博客
03-25 382
防火墙的双机热备实验基本配置流程。
usg双机热备-检测物理单点故障.docx
09-30
usg双机热备-检测物理单点故障
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
HUAWEI-Ensp模拟器上实现双机热备(传统方式),适合学生在做实验时遇到错误查看是否命令有错误。
8.双机热备技术原理.pdf
09-02
防火墙
IP-guard 双机热备使用说明
10-10
双机热备使用说明 一、简介 服务器双机热备功能把主从服务器、数据库分别部署到 3 台机器上,实现主-从服务器 共享一个数据库,并且保持三者之间的通讯。当主服务器出现故障时,从服务器能及时响应 进入运行状态,...
Windows Server 2019 双机热备(MSCS)下Sql Server 2019 群集部署-图文
03-27
对于群集系统,常使用高可用性,而不是容错性,这是由于容错技术提供了高度的恢复能力。容错服务器通常使用高度的硬件冗余,加上特定的软件,对任意单个的硬件或软件故障,提供了近于即时的恢复功能。这些解决方案的...
利用apache做热备的测试
zhoujinhuang
10-09 342
生产要利用apache做热备了。 做了个测试,验证热备的效果和切换的时间。 测试客户端为loadruner, 10个并发用户 apache配置如下:<Proxy balancer://databuscluster>BalancerMember http://10.17.34.226:38085 BalancerMember http://10.17.34.226:38084 statu...
双机热备技术
ada的博客
09-06 5577
双机热备技术 一、双机热备概述 防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网——当一台防火墙出现故障时,业务流量能平滑地切换到备份防火墙上,保证流量不中断,使内外网用户交互时完全感知不到曾经出现过网络故障。 二、双机热备基本原理 1、双机热备协议架构 (1)VRRP <1>作用 ① 负责单个接口的故障检测和流量引导。每个VRRP备份组拥有一个 虚拟IP地址 ,作为网络的网关地址;
【实战教程】掌握防火墙双机热备,确保业务不间断!
didiplus
01-25 1229
网络安全的领域中,保障连续性和可靠性至关重要。而防火墙双机热备技术,宛如网络的安全双保险,确保在一台防火墙发生故障或停机时,另一台能够即时接管,实现无缝切换,保持网络的不间断运行。这种高可用性的设计为网络架构提供了额外的安全层,应对潜在风险,确保网络的稳定与安全。
关于双机热备,你应该了解这些问题
weixin_47985676的博客
07-15 761
双机热备是什么意思? 双机热备包括了广义与狭义两种意义。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过软件诊
Linux--Keepalived双机热备_linux lo 0(2),2024年最新Linux运维高级开发工程师面试题
最新发布
2401_83946509的博客
04-17 403
测试双机热备功能,配置两台keepalived服务器,设置相同的漂流地址,ping -t 漂流IP地址,持续ping通,查看效果,或在两台keepalived上搭建网页,访问查看效果,或查看日志文件查看主备服务器的迁移状态。调整proc配置文件 ,两天LVS都需要添加。解压nginx源代码包,配置,编译,安装。优化路径,将nginx可用执行执行。添加VIP地址lo:0网卡路由。控制Keepalived服务。开启服务,查看配置是否生效。创建nginx需要指定的组。
¤转 Mysql双机热备实现
yunnick的专栏
04-11 1354
  ★预备知识 :1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备就是使用互为备份的两台服务器共同执行同一服务,...
华为防火墙VRRP双机热备配置及组网.pdf
09-04
华为防火墙VRRP双机热备配置及组网.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值