防火墙双击热备

已于 2023-01-19 20:42:17 修改
阅读量958 收藏 5
点赞数 1
分类专栏: 华为与H3C 文章标签: 服务器 网络 运维
于 2022-10-04 14:41:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72651014/article/details/127162121
版权

防火墙双击热备

📒博客主页: 微笑的段嘉许博客主页

🎉欢迎关注🔎点赞👍收藏⭐留言📝

📌本文由微笑的段嘉许原创!

📆51CTO首发时间:🌴2022年10月4日🌴

✉️坚持和努力一定能换来诗与远方!

🙏作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!

⭐本文介绍⭐

一提到防火墙,一般会联想到企业的边界设备,防火墙一般放置在内网和互联网的必经之路。防火墙承载了非常多的功能;如安全规则、防病毒、IPS、文件类型过、内容过滤、应用层探测等。也正是因为防火墙如此重要,从另外一个角度看,一旦防火墙出现问题,所有的对外通信及对DMZ服务器的通信都将中断,所以企业还要考虑防火墙自身的优化及高可用性。本文介绍华为防火墙的高可用技术。

文章目录

📝理论讲解:

双机热备的工作原理

​ 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。

​ 如下图所示,企业中在关键的业务出口部署一台防火墙,所有的对外流量都经过防火墙传输,一旦防火墙出现故障,那么企业将面临网络中断的问题,无论防火墙本身的性能有多好、功能有多强,在这一刻,都无法挽回企业面临的损失。所以,通过在企业的出口部署两台防火墙产品,可以在增加企业安全的同时,保证业务传输基本不会中断,因为两台设备同时出现故障的概率非常小。

华为防火墙的双机热备包含一下两种模式

​ 热备模式:同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。

​ 负载均衡模式:同一时间,多台防火墙同时准发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。

VRRP协议

在双机热备技术中,即使选举出了主用设备和备用设备,默认情况下流量也通过主用设备转发,而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口,当客户机将网关指向主用设备时,流量自然从主用设备转发,但是当主用设备故障时,客户机并不会将网关自动指向备用设备,所以即使双机热备本身可以切换,客户机也依然无法正常通信。所以要保证双机热备可以正常工作,还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题,甚至还能让设备切换对客户机而言时透明的。在华为防火墙的双机热备技术中,VRRP是非常重要的一个组成部分。

VRRP概论

  1. VRRP路由器:运行VRRP协议的路由器。

  2. 虚拟路由器:由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组对客户端提供一个虚拟网关。

  3. VRID:Virtual Router ID,虚拟路由器标识,用来唯一的表示一个备份组。

  4. 虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主要设备提供IP地址的ARP响应。

  5. 虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主要路由器将提供该MAC地址。

  6. IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。

  7. 优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主要设备及备用设备。

  8. 抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主要路由器),将立即称为新的主要路由器。

  9. 非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等)

    VRRP的工作原理和Cisco的HSRP基本相同,只是在细节上有些区别

    • VRRP时公有协议,而HSRP是Cisco专有协议。
    • VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以
    • VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号
    • VRRP的状态机有三个,而HSRP的状态机包含五个(初始、学习、监听、发言、备份、活动)
    • VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主用路由器的选举。而HSRP有三种报文(hell、政变、辞职)
    • VRRP不支持接口跟踪,而HSRP支持。

VRRP的角色

工作在VRRP模式下的路由器有两种角色,分别是Master路由器和Backup路由器。

  • Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每个1s 向其他路由器通告Master路由器当前的状态信息
  • Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器,接替转发数据包的工作,从而保证业务不中断。

VRRP的状态机

VRRP定义了三种工作状态,分别时Initialize(初始)Master(活动状态)和Backup(备份状态)

  • Initialize状态:刚配置了VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口Shutdown或接口故障时也将进入该状态。
  • Master状态:当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态地路由器还将响应客户机发送地ARP请求,并将虚拟MAC地址回送客户机。当接口关闭时,将立即切换至Initialize状态。
  • backup状态:当前设备选举成为备用路由器时的一种状态。该状态不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文,并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息。

三种状态之间的切换关系如下图所示

VGMP的工作原理表现

  • VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不通过VRRP报文选举,而是直接通过VGMP统一管理。
  • VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby。
  • 默认情况下,VGMP组的优先级为4500
  • VGMP根据组内VRRP备份组的状态自动调正优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2
  • VGMP通过心跳线协商VGMP状态信息、

下面通过一个示例分析VGMP的工作原理,如图:

📢友情提示:

​ 在加入了VGMP组之后,VRRP中的状态标识从Master和Backup变成Active和Standby。

VGMP的报文封装

VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现,VGMP报文有一下两种形式

在实际应用中,应根据实际的拓扑灵活选择报文封装。在华为防火墙中,通过一下命令指定通过接口的报文属于哪种类型的封装。

[USG6000V1]hrp interface GigabitEthernet 1/0/0	//eNSP模拟器中不支持该配置
[USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1

其中hrp命令用来指定用于心跳链路的接口,带remote参数的命令表示报文将封装UDP,并发送单薄报文,不带remote参数的命令表示将发送组播报文。1.1.1.1标识对端设备(心跳线对端接口)的IP地址,该地址要求可路由,只有指定remote参数时才需要指定。

双机热备的备份方式

双机热备的备份方式包括一下三种

  • 自动备份:该模式下,和双机热备有关的配置命令只能在主用设备上配置,并自动同步到备用设备中,主要设备自动将状态信心同步到备用设备中。该模式是华为防火墙的默认开启模式,主要应用于热备模式。
  • 手工批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主备设备配置不同步,需要立即进行同步的场景中。
  • 快速备份:该模式下,不同步配置命令,只同步状态信息。在负载均衡方式的双机热备坏境中,该模式必须启用,以快速更新状态信息。

📝理论讲解:

拓扑图:

image-20221004141159172

推荐步骤

将防火墙接口划分到指定的区域给防火墙接口配置IP地址查看接口配置IP地址

配置防火墙安全策略允许local访问DMZ,允许Trust访问Untrust

在FW1和FW2配置VRRP,FW1为Trust和Untrust区域的master设备,FW2为VRRP的Backup设备

在FW1启动双机热备,配置防火墙的DMZ区域接口为心跳网络通过VGMP检测VRRP故障

PC2访问PC1将FW1内网接口关闭在FW2抓包验证防火墙双机热备

实验步骤

一、将防火墙接口划分到指定的区域给防火墙接口配置IP地址查看接口配置IP地址

1、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址

1)进入到指定区域、接口加入指定的区域

image-20221004141241354

image-20221004141256320

image-20221004141322478

2)配置IP地址

image-20221004141332540

image-20221004141341425

image-20221004141352363

3)查看配置的IP地址

image-20221004141402044

4)允许ping防火墙

image-20221004141408621

2、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址

1)进入到指定区域、接口加入到指定的区域

image-20221004141422733

image-20221004141429091

image-20221004141435938

2)配置IP地址、允许ping防火墙

image-20221004141446096

3)查看配置的IP地址

image-20221004141457744

二、配置防火墙安全策略允许local访问DMZ,允许Trust访问Untrust

1、防火墙FW1配置安全策略允许local访问DMZ,允许Trust访问Untrust

1)FW1配置安全策略

image-20221004141508461

2、防火墙FW2配置安全策略允许local访问DMZ,允许Trust访问Untrust

1)FW2配置安全策略

image-20221004141527376

三、在FW1和FW2配置VRRP,FW1*为Trust和Untrust区域的master设备,FW2为VRRP的Backup设备

1、在防火墙FW1配置VRRP为TRust和Untrust区域的master设备

1)进入接口

image-20221004141536102

2)指定VRRP的ID号和客户端网关配置为master

image-20221004141543199

3)查看配置的VRRP

image-20221004141559884

4)进入接口

image-20221004141613244

5)指定VRRP的ID号和客户端网关配置master

image-20221004141621476

6)查看配置的VRRP

image-20221004141638898

2、在防火墙FW2配置VRRP为TRust和Untrust区域的Backup设备

1)进入接口

image-20221004141648568

2)指定VRRP的ID号和客户端网关配置为Backup

image-20221004141658398

3)查看配置的VRRP

image-20221004141710871

4)进入接口

image-20221004141721411

5)指定VRRP的ID号和客户端网关配置为Backup

image-20221004141729793

6)查看配置的VRRP

image-20221004141804878

3、客户端配置IP地址

1)PC1配置IP地址

image-20221004141821160

2)PC2配置IP地址

image-20221004141827415

4、测试直连路由

1)PC1:

image-20221004141836987

2)PC2:

image-20221004141841877

四、在FW1启动双机热备,配置防火墙的DMZ区域接口为心跳网络通过VGMP检测VRRP故障

1、在防火墙FW1启动双机热备份

1)传输心跳信息互指IP地址

image-20221004141852501

2)启动双机热备份

image-20221004141859200

3)指定双机热备份

image-20221004141906155

2、在防火墙FW2启动双机热备份

1)传输心跳信息互指IP地址

image-20221004141918944

2)启动双机热备份

image-20221004141927528

3)指定双机热备份

五、PC2访问PC1将FW1内网接口关闭在FW2抓包验证防火墙双机热备

1、PC2访问PC1关闭FW1的内网接口在FW2抓包验证

1)关闭接口

image-20221004142004306

image-20221004142012092

2)PC2访问PC1

image-20221004142021403

🙏作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!

微笑的小许
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
华为防火墙配置(双机
1风天云月的博客
12-10 1万+
​ 目录 前言 一、双机概述 1、双机介绍 2、双机的要求 (1)硬件要求 (2)软件要求 (3)License要求 3、心跳线 4、心跳线和心跳接口的配置 5、心跳线和心跳接口的配置注意事项 6、双机工作模式 (1)主份模式 (2)负载分担模式 7、VGMP组 8、VGMP组的状态 二、双机配置 1、案例 2、配置过程 (1)USG1 (2)USG2 (3)AR1 (4)SW1 3、测试 (1)PC1 (2)PC2 结
防火墙防火墙双机
2301_76769041的博客
08-30 4233
双机需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设上处理,使业务不中断。
华为防火墙配置双机
最新发布
Richardlygo的博客
04-15 1295
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙是所有信息流都必须通过的单一节点,故一旦防火墙出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙出现故障时不中断网络,公司A利用两台设实现防火墙功能。
华为防火墙-双机
m0_59605653的博客
01-17 2528
双机是两台设共同承担业务流量,以此来提高可靠性的技术。两台设之间通过“心跳线”进行连接。当主用设故障时,用设可以平滑接替主用设工作。
华为防火墙双机
weixin_53049621的博客
04-13 3715
双机双机的必要性VGMPVGMP基本原理VGMP组管理HRP协议心跳接口实验和配置实验拓扑图配置结果如图 双机的必要性 在网络关键节点上,如果只部署一台设,无论其可靠性多高,系统都必然要承受因单点故障而导致网中断的风险。防火墙一般用作内网到外网的出口,是业务关键路径上的设。为了防止因一台设故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机组网。 1.份前 2.份后 VGMP 传统份 1.防火墙上多个区域提供双机份功能时,需要在每一台防火墙上配置多个V
华为ensp防火墙双机web配置(一篇文章教会你)
weixin_52557120的博客
06-19 4517
本章主要介绍了防火墙双机的实验配置,含图文操作
防火墙双机
tyfx2015的博客
03-18 6453
防火墙双机1 简介介绍了双机的定义和由来。随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。如图1中的左图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使...
基于ensp防火墙二层网络规划与设计(命令齐全)-参考文章-配置实验命令笔记
07-02
文件中包含了基于ensp防火墙二层网络规划与设计的topo图及其完整的配置(2份 区别就是第二个加了无线网络规划设计(WIFI))(二层架构,核心层、计入层),文件在加入了相应的配套文章连接,并加入了实验的...
基于防火墙三层网络规划+全程配置的视频.rar
12-23
该文件中包含了完成的基于ensp防火墙三层网络规划与设计实验topo图+完整的配置+可直接导入设的配置文件(建议参考即可)+全程配置参考视频(可1.25倍速看)+全程配置的模拟器粘出来的命令(可以作为参考),该...
基于防火墙三层网络规划-全程配置视频.rar
12-23
该文件中包含了完成的基于ensp防火墙三层网络规划与设计实验topo图+完整的配置+可直接导入设的配置文件(建议参考即可)+全程配置参考视频(可1.25倍速看)+全程配置的模拟器粘出来的命令(可以作为参考),该...
华为防火墙双机.docx
09-06
华为防火墙双机.docx
防火墙双机实验.zip
03-03
防火墙双机实验
华为防火墙双机简介
qq2353177176的博客
11-15 525
VRRP提高了主方案,防止单点故障但是防火墙需要VGMP来解决来回路径不一致的问题,将全部VRRP组状态统一管理 //是主全是主,是全是 当切换主的时候,也需要有一定是表项配置才能进行业务不中断,所以需要HRP传递防火墙双机之间状态信息和关键配置命令。
【技术分享】华为防火墙双机
XMWS-IT
06-09 1245
通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测,引流的方式为静态路由方式。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。在FW_A和FW_B上分别执行命令display firewall session table,可以看到FW_A存在会话,说明通过核心交换机的流量被引导到了FW,且双机份配置成功。FW_A上配置的安全策略会自动份到FW_B上。在FW_A和FW_B上分别执行display hrp state verbose命令,查看双机的状态。
华为防火墙USG6000v双机部署,上下行部署三层业务的负载分担组网。
Fanyunin的博客
05-21 1501
华为防火墙USG6000v双机部署,上下行部署三层业务的负载分担组网。
HUAWEI(26)——防火墙双机
abraham的博客
10-14 8656
FW1与FW2双机,FW1为active,FW2为Standby,抢占延时1s。防火墙旧密码:Admin@123。防火墙新密码:admin@123。防火墙用户名:admin。
防火墙双机(HCIA)
qq_45022073的博客
12-22 693
了解什么是双机,了解VRRP、VGMP、HRP。
华为防火墙笔记-双机
weixin_46622350的博客
12-06 5006
文章整理自《华为防火墙技术漫谈》 双机概述 防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设的话,无论其可靠性多高,我们都必然要承受因设单点故障而导致网络中断的风险。 于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机)或多台设,以提升网络的可靠性。当一台防火墙出现故障时,流量会通过另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。 路由...
ensp防火墙测试
03-09
ensp防火墙测试是指在华为企业网络模拟器(eNSP)中进行防火墙的双测试。双是一种高可用性技术,通过将两台防火墙配置为主关系,实现在主设故障时自动切换到,确保网络的连续性和可靠性。 在eNSP中进行ensp防火墙测试的步骤如下: 1. 配置主:在eNSP中创建两台防火墙,并将它们配置为主关系。 2. 配置接口:为主的接口配置IP地址和其他必要的参数。 3. 配置双:在主上配置双相关的参数,如优先级、监控接口等。 4. 测试故障切换:模拟主设故障,观察是否能够自动接管主设的功能,并确保网络的连续性。 通过ensp防火墙测试,可以验证防火墙在故障情况下的可靠性和高可用性。这对于企业网络的稳定运行非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微笑的小许

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值