华为防火墙主备模式工作原理

最新推荐文章于 2025-03-24 13:15:27 发布
最新推荐文章于 2025-03-24 13:15:27 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: 华为防火墙 文章标签: 网络 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67050107/article/details/131430319
版权
文章讨论了在主备防火墙模式下,监控接口和未监控接口对流量转发的影响。当监控接口down时,主墙会将流量切换到备墙,实现主备角色切换。未监控接口的故障不会触发这种切换,主备墙保持原角色。即使在备墙,流量也可以被转发。未监控接口的防火墙配置策略可同步,但不能在备墙上单独配置策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 如上图:

主墙  1/0/2 1/0/1 这2个端口都是监控的,命令如下
 hrp track interface GigabitEthernet1/0/1
 hrp track interface GigabitEthernet1/0/2
也就是说 当  1/0/2 1/0/1 这2个端口,任何一个down,主墙会将业务流量全部迁移到备墙来转发,此时主备墙角色会调换

如果接口不监控,则不会影响主备墙的角色
如上图 1/0/3 此接口没有监控,如果down,主墙则不会有任何反应,主墙还是主墙,备墙还是备墙

对于监控接口的设备来说,才会起到主备防火墙的功能。
对于未监控接口的设备来说,相当于是两台独立的防火墙。

主备模式下备墙是否会转发数据

1/0/3 接口没有监控
正常情况下,PC1访问 R5 的流量是如图红线的走向

当主墙1/0/3接口 down 之后,

 此时主墙没有任何变化,主墙还是主墙

这时PC1访问 10.5.5.5的流量走向,如图

此现象可以说明,主备模式下备墙是可以转发数据的

以上是接口不监控的情况

如图:此时主备墙的 1/0/1 与 1/0/2 接口是监控状态

正常情况下PC3访问 R5 的流量走势,要经过 R2->R1->FW1(主墙)->R3->R5

 

R2与R1之间断开连接,PC3没有到主墙的链路

此时测试 PC3访问R5 流量走势如下图,经过备墙R2->FW2(备墙)->R4->R5

此现象说明备墙不管是监控接口下的流量或者不是监控接口下的流量,只要流量经过备墙也是可以转发的

主备模式下的防火墙,备墙不是为宕机状态,如果当数据没有到达主防火墙的链路的时候,备机还是可以转发数据的,或者非要走备机也是可以的

对于防火墙不监控接口下的设备,防火墙起不到主备的作用,只能将其当做两台独立的防火墙来使用。

如果不监控接口,主备防火墙的好处就是,主墙配置策略,可以同步到备墙

备墙不可以配置策略

 

实验 | 利用华为eNSP进行防火墙配置
网络技术联盟站
08-06 2392
局域网中有一台主机名为“PC1”的路由器,充当局域网内的客户端计算机,主机名为“AR1”的路由器充当客户端计算机的网关,FW1 为活动防火墙,F2 为防火墙,公共网络中有一台路由器充当互联网,另一台主机名为“PC2”的路由器充当计算机,FW1的接口GE1/0/3与FW2的接口GE1/0/3相连,用于心跳链路。在 FW1 上,将防火墙规则配置为允许流量,如下所示,我们需要在 FW2 上配置此规则,此规则会自动从 FW1 复制到 FW2。然后,让我们如下配置 IP 和 OSPF 路由协议。
华为防火墙-双机热
m0_59605653的博客
01-17 3987
双机热是两台设共同承担业务流量,以此来提高可靠性的技术。两台设之间通过“心跳线”进行连接。当主用设故障时,用设可以平滑接替主用设工作。
华三防火墙HA主组网
weixin_66969509的博客
01-17 1024
如下图所示,某公司以Device作为网络边界安全防护设,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设,Device B作为。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务中断。
华为防火墙VRRP双机热的原理及配置详解
cheng198956的专栏
08-08 7949
博文大纲: 一、何为双机热? 二、VRRP的概念 三、VRRP的两种角色 四、VRRP的选举流程 五、VRRP的三个状态 六、通过VGMP统一管理VRRP的状态1、VGMP的报文封装2、双机热份方式3、关于上游或下游设的选路问题 七、配置实例 八、总结 一、何为双机热? 所谓的双机热无非就是以7X24小时中断的为企业提供服务为目的,各种双机热的技术很多,那么华为使用了这个...
华三防火墙
最新发布
qq_56248592的博客
03-24 713
取消当前的份模式,默认情况下份模式为双活模式(dual-active),此命令用于清除默认配置,以便后续设置其他模式(此处后续未设置其他模式,可能保留默认)。1、关闭主框的业务口(对设的接口使用shutdown),关闭MAD检测口(BFD/NQA/MAD),确认设的业务从主设换到设==save(保存)。配置VRRP份组,虚拟路由器ID为1,虚拟IP地址为2.1.1.3,并将当前设设置为该VRRP组的活动(主)设。并配合监控接口检测链路状态。
防火墙双机热A/S模式和A/A模式原理
永远是少年
07-31 4469
今天继续给大家介绍HCIE。本文主要讲解防火墙双机热配置中的主份模式和负载分担模式原理。 一、主份模式原理 主份指正常情况下仅由主要设处理业务,用设空闲。当主用设接口、链路或整机故障时,用设立即换为主用设,解题主用设处理业务。 防火墙在缺省情况下提供了两个VGMP管理组:Active组合Standby组。主份时只有一个VGMP管理组在工作。主份模式需要将两台防火墙一台VGMP组配置为Active组,另一台配置为Standby组。 主份模式如下所示: 在主份模
华为防火墙双机热份和负载分担配置案例(两端为路由跑ospf)
IT技术
11-11 2161
华为防火墙双机热份和负载分担配置案例(两端为路由跑ospf)
华为防火墙智能选路篇之传统方案(主方式会遇到哪些问题)
网络之路Blog(其他平台同名)
09-14 1431
在我们遇到有主线路换的时候,那么要注意几点。(1)DNS问题,如果双线路是同一个运营商,建议使用公有DNS下发,这样保障线路换的时候客户端受影响(2)定义ip-link,注意先开启,然后在创建ip-link进程,在定义的时候,建议关联接口、模式以及下一跳(这里说明下,如果是拨号口的话则需要写下一跳)
华为防火墙工作原理
j2669283004的博客
12-01 6557
目录 一、防火墙工作原理 1.2、防火墙安全区域 1.2.1、常见的区域 1.2.2、总结 1.3、防火墙Inbound和Outbound 1.4、状态化信息 1.5、安全策略 1.5.1、防火墙策略规则的执行策略 1.5.2、一体化安全策略的特点 1.5.3、防火墙策略的特点 一、防火墙工作原理 华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。 1、路由模式 如果华为防火墙连接...
华为防火墙介绍和原理,配置详细解析
外游者
12-27 4353
在出向外网的流量中,我们使用默认路由来指定默认的出口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习和更新,让外网可以访问到dmz非军事化区域的server1服务器。并进行NAT转换,实现了内部IP地址和外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。确定安全需求:根据企业的安全需求和策略,确定防火墙的配置目标和规则。
华为防火墙的双机热
不定期分享一些自己的学习笔记
10-16 1290
华为防火墙的双机热
华为防火墙智能选路篇之链路权重(带宽)负载分担
网络之路Blog(其他平台同名)
09-16 1984
健康检查跟ip-link一样,需要先定好一个监测点,变的思路,肯定是找大厂商稳定的测试地址为主,比如114、阿里云DNS、百度云DNS都是可以的,但是ip-link只支持icmp探测,有局限性,但是健康检查支持更多的协议,可以基于TCP、DNS(解析某个网站)、HTTP来GET网页、ICMP,在实际中就有更多的选择,常见的可以用ICMP探测以及DNS解析与TCP,下面博主用DNS以及TCP来演示下。当配置完健康检查后,会看到这样的提示,状态已经up了,说明检查成功了。
防火墙————主份双机热
zj2059129607的博客
11-17 2697
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热。双机热需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地换到另一台设上处理,使业务中断。双机热典型组网图。
防火墙 | 双机热原理
yu_19980401的博客
11-10 2229
防火墙 | 双机热技术 双机热技术原理 双机热技术产生的原因 传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。 双机热份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设,保证了内部网络于外部网络之间的通讯畅通。 USG防火墙作为安全,一般会部署在需要保护的网络受保护的网络之间,即位于业务接
华为防火墙配置笔记,赶紧点赞收藏,防止丢失!
mengmeng_921的博客
07-17 1281
配置外网接口: 配置外网接口GE 1/0/2接口的IP地址,并将其加入到untrust区域中.分别配置防火墙内网接口GE1/0/0 and GE1/0/1设置IP地址,并加入指定区域内.配置内网的接口信息,这里包括个GE 1/0/0 and GE 1/0/1这两个内网地址.配置Gig1/0/0和Gig1/0/1接口为trunk模式,并分别配置好网关地址.配置源NAT: 配置原NAT地址转换,仅配置源地址访问内网 --> 公网的转换.然后配置外网地址,将Gig 1/0/2加入到untrust区域内.
华为防火墙配置双机热
Richardlygo的博客
09-23 3172
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙是所有信息流都必须通过的单一节点,故一旦防火墙出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙出现故障时中断网络,公司A利用两台设实现防火墙功能。
华为防火墙双机热配置案例(VRRP、HRP)
WXDCSDN的博客
10-14 6626
华为防火墙双机热配置案例(VRRP、HRP)
防火墙高可用性(HA)
热门推荐
网络安全研究
04-11 1万+
双机热 防火墙高可用性也称双机热,指基于两台设的高可用性。双机热的模式分为主备模式和主主模式。 主备模式 主-方式即指的是一台设处于某种业务的激活状态(即Active状态),另一台设处于该业务的用状态(即Standby状态)。 工作机和用机通过心跳线连接,用机实时监视工作机的情况,当工作机出现问题,用机就接管工作。 在这个状态下,工作防火墙响应ARP请求,并且转发网络流量...
华为防火墙双机热配置详解与组网指南
当两台防火墙正确配置并形成主关系后,HRP会自动显示设的状态,带有HRP_M标识的设为主设,HRP_S则为。主状态是通过两台防火墙之间的协商确定的,会出现同时为主或的情况。 在HRP主状态确定后...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值