双机热备-技术原理和组网实验

最新推荐文章于 2024-06-13 23:15:55 发布
最新推荐文章于 2024-06-13 23:15:55 发布
阅读量1k 收藏 13
点赞数 40
文章标签: 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44256357/article/details/139084161
版权

1、双机热备技术的产生原因:

防止单点故障,防止因出口防火墙故障而导致整个网络故障。因此多配置几个出口防火墙以确认冗余。

在路由器组网中使用VRRP协议实现设备冗余。

2、VRRP冗余方案:虚拟路由冗余协议:

VRRP可以构成一个备份组,并将多个路由虚拟成一台设备,并给这个虚拟设备配置ip地址。无论哪个设备down了,最后都有一台设备能连接网络。(内部网关指向这个虚拟路由器)

按照优先级选一台设备为Master,不能成为Master的会成为Backup。当Master下线后,Backup可重新选举成Master。原Master上线后,可以重新抢回Master位置(也可配置为不抢占)

注意:只有防火墙一边连接二层设备(交换机)的时候才能开启VRRP,是三层设备(路由器)时就不能开启。

2、VRRP的具体运用环境

同一台设备可以虚拟出多个VRRP备份组,同一台设备的备份组和ip都会不一样。需要注意。

比如:
 

在TRUST区域,开启了一个备份组1,并且该备份组中,防火墙A是一个MASTER。

(防火墙在配置VRRP的时候,会在参数后面加上ACTIVE或者STANDBY的参数,如果是ACTIVE,就直接会是MASTER,反之则是BACKUP)

在DMZ区域、UNTRUST区域都是同理的。

3、VGMP的基本原理

VRRP可能会有配置不一致的问题。如果备份组3的A路由端口出现,3组会主备切换到B口。但备份组1、2不会自动切换,这会导致来回路径不一致,TRUST和DMZ还是会走A防火墙,最终访问不通。

这就需要有VGMP来管理(VRRP的组管理协议)

开启VGMP,并将所有的备份组都加入VGMP后,只要有一个备份组进行主备切换,就会将剩下的备份组联动一起切换。

当防火墙上的VGMP为ACTIVE/STANDBY的时候,组内的所有VRRP备份组的状态统一为ACTIVE/STANDBY状态。

两个路由器之间会建立一个心跳线,告知端口的ACTIVE/STANDBY的状态。因此连接时型号和端口环境等都需要一致。

(VGRP默认Master故障恢复时优先级也恢复,会进行抢占)

4、HRP基本概念

HRP协议用来实现防火墙双机之间动态状态和关键配置命令的备份。

(关键配置:地址池、服务等,会有+b提示)

配置好后会发送vgrp的报文。它可以是物理接口,也可以是eth-trunk(捆绑口)。

心跳协议的5种状态:

1、Invalid:物理是up、协议是down(比如没配ip的情况)。

2、down:本端物理和协议都down。

3、Peerdown:邻居down,本端是up。

4、ready:本、对端都是up。

5、running:工作中。首先进入ready的端口会先进入running。

5、双机热备的备份方式:

自动备份:默认开启,可以备份会话表信息、配置命令的信息,会话10秒备份一次,配置实时备份。

会话快速备份:负载均衡的场景。(fw1、fw2都有业务流量的转发)

手工批量备份:手工开启,执行一次手工立马把会话表和配置备份。(一般是自动备份不行的情况)

设备重启后主备fw的配置自动同步。

实验目标:

完成防火墙双机热备的组网实验。

上下行的业务接口工作在三层模式、连接二层设备。

配置区域如下:
 

Fw1配置:

sys

int g1/0/0

ip add 10.2.0.1 24

vrrp vrid 1 virtual-ip 10.2.0.254 24 active

service-manage enable

service-manage all permit

qu

int g1/0/1

ip add 10.3.0.1 24

vrrp vrid 2 virtual-ip 10.3.0.254 24 active

service-manage enable

service-manage all permit

qu

int g1/0/2

ip add 1.1.1.1 24

service-manage enable

service-manage all permit

//端口配置

firewall zone trust

add int gi1/0/0

qu

firewall zone dmz

add int gi 1/0/2

qu

firewall zone untrust

add int gi 1/0/1

qu

//区域配置

security-policy

rule name TtoU

source-zone trust

destination-zone untrust

action permit

qu

qu

//安全策略配置

FW2配置同理,将端口ip更正即可。

(注:在fw1配置完成后,可检查ip是否配置,并在pc上进行测试:


 

以证明链路通畅。)

查看vrrp配置情况:
 

(创建vrrp后,自动加入vgmp中)

下面进行心跳线的配置:

hrp interface g1/0/2 remote 1.1.1.2(remote对端ip)

两边配置都完成后,开启心跳线:

Hrp enable

可以看见在对端也开启心跳线协议后,fw1从hrp-s选举成为hrp-m。

完成后做测试,对rule进行修改:
security-policy

undo rule name TtoU

 rule name TtoU

  source-zone trust

  destination-zone untrust

  source-address 10.2.0.0 mask 255.255.255.0

  destination-address 10.3.0.0 mask 255.255.255.0

  action permit

可以发现安全策略配置后面都有+B:

证明正进行同步。实验完成。

康笛声
关注
  • 40
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
双机热备技术基本原理、配置流程及双机热备的故障解决
bluepangzi的博客
09-06 6160
双机热备技术一、双机热备协议架构(一)VRRP1、VRRP状态机2、VRRP状态切换3、VRRP的不足(二)VGMP1. 基本原理1)VGMP产生 一、双机热备协议架构 (一)VRRP 1、VRRP状态机   加入VRRP备份组的接口有三种状态,只有处于主用状态的设备才可响应ARP请求,转发业务报文。并且发送VRRP报文,主动联系备用设备。 配置完VRRP后,如果接口处于Up状态,则从Initialize状态进入Standby状态。 处于Standby状态的接口,如果超时未收到对端的VRRP通告报文,或
¤转 Mysql双机热备实现
yunnick的专栏
04-11 1342
  ★预备知识 :1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备就是使用互为备份的两台服务器共同执行同一服务,...
【HCIE安全】双机热备-主备备份
qq_40733491的博客
07-24 4304
VRRP双机热备
关于双机热备,你应该了解这些问题
weixin_47985676的博客
07-15 760
双机热备是什么意思? 双机热备包括了广义与狭义两种意义。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过软件诊
防火墙——双机热备理论讲解
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。
双机热备原理
码农翻身
05-04 830
夜半惊魂上次的文章《负载均衡的原理》中讲到,张大胖在Bill的指导下,成功地开发了一个四层的负载均衡软件, 把流量“均匀地”分发到了后面的几个服务器中, 获得了老板的10...
Rose双机热备两款软件原理介绍以及共享存储双机热备方案和镜像双机热备方案介绍
思维空间
12-03 1万+
一. RoseHA的工作原理   RoseHA双机系统的两台服务器(主机)都与磁盘阵列(共享存储)系统直接连接,用户的操作系统、应用软件和RoseHA高可用软件分别安装在两台主机上,数据库等共享数据存放在存储系统上,两台主机之间通过私用心跳网络连接。配置好的系统主机开始工作后,RoseHA软件开始监控系统,通过私用网络传递的心跳信息,每台主机上的RoseHA软件都可监控另一台主机的状态。当工作主
usg双机热备-检测物理单点故障.docx
09-30
usg双机热备-检测物理单点故障
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
HUAWEI-Ensp模拟器上实现双机热备(传统方式),适合学生在做实验时遇到错误查看是否命令有错误。
8.双机热备技术原理.pdf
09-02
防火墙
IP-guard 双机热备使用说明
10-10
双机热备使用说明 一、简介 服务器双机热备功能把主从服务器、数据库分别部署到 3 台机器上,实现主-从服务器 共享一个数据库,并且保持三者之间的通讯。当主服务器出现故障时,从服务器能及时响应 进入运行状态,...
Windows Server 2019 双机热备(MSCS)下Sql Server 2019 群集部署-图文
03-27
对于群集系统,常使用高可用性,而不是容错性,这是由于容错技术提供了高度的恢复能力。容错服务器通常使用高度的硬件冗余,加上特定的软件,对任意单个的硬件或软件故障,提供了近于即时的恢复功能。这些解决方案的...
双机热备工作原理
用心做事,用爱生活
08-12 2064
双机热备工作原理
双机热备系统的方案与软件浅析
热门推荐
guotianqing的博客
12-17 1万+
一、概述双机热备指基于高可用系统中的两台服务器的热备(或高可用),因两机高可用在国内使用较多,故得名双机热备。双机高可用按工作中的切换方式分为:主-备方式(Active-Standby方式)和双主机方式(Active-Active方式),主-备方式指的是一台服务器处于某种业务的激活状态(即Active状态),另一台服务器处于该业务的备用状态(即Standby状态)。而双主机方式即指两种不同业务分别在
IPv6 ND 协议功能概述
u013669912的博客
06-13 431
……
如何把路由器设备的LAN口地址为三大私网地址
最新发布
zayyo的博客
06-13 459
要将路由器的LAN口地址配置为三大私有IP地址范围之一(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16),我们需要访问路由器的管理界面并进行相应的设置。一旦成功登录到路由器的管理界面,查找并选择与LAN设置相关的选项。这个选项通常在网络设置、局域网设置或类似的菜单下。
实验12 路由重分布
w1911026171的博客
06-12 662
实验模拟3家公司互连的场景。路由器R1连接了3家公司,其中公司A内部运行RIP协议,公司B内部运行OSPF协议,公司C通过默认路由连接到R1。由于业务发展需要,3家公司需要能够互相通信。同时,R1通过直连线路连接外部主机PC3,PC3需要能够跟3家公司的所有主机通信。
开源AGV调度系统OpenTCS中的路由器(router)详解
benxuu的博客
06-13 611
openTCS中默认的任务路由器(Default router)是openTCS内置的重要策略模块,当然也是允许用户自定义和替换的。 默认路由器会在行驶路线上找到从一点到另一点消耗成本最低的路线。通过使用Dijkstra算法的实现来实现。它考虑已经被锁定的路径,但不考虑其他车辆的位置或被假定的未来行为。因此它不会绕过速度较慢或停在路上的车辆。
动态路由协议RIP(思科、华为)
h11016616的博客
06-09 1046
- 动态路由 - 是在路由器上启用某动态路由协议,进行自己直连网段的宣告,从而相邻的路由器就可以学习的相邻的路由器所宣告的网段,每一台路由器都把自己直连的网段宣告出去,而后所有的路由器就学习到了其他路由器所直连的网段
防火墙双机热备技术原理是什么?
04-30
防火墙双机热备技术,又称为防火墙双机热备技术,是指在网络防火墙系统中,通过将两台防火墙设备进行绑定,使得当一台防火墙设备出现故障或者需要维护时,另外一台防火墙设备可以立即接管其工作,确保网络安全和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值