防火墙————双机热备

最新推荐文章于 2024-09-23 10:20:55 发布
最新推荐文章于 2024-09-23 10:20:55 发布
阅读量1.6k 收藏 4
点赞数 1
文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiazhui1/article/details/134464827
版权

一、双机热备简介

FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。

二、双机热备的系统要求

介绍双机热备功能对设备硬件、软件以及License的要求。

1.硬件要求

  • 组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。
  • 两台FW的硬盘配置可以不同。例如,一台FW安装硬盘,另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。

2.软件要求

  • 组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。
  • 实际上,在系统软件版本升级或回退的过程中,两台FW可以暂时运行不同版本的系统软件。例如,一台设备的软件版本为V500R001C50,另一台设备的软件版本为V500R001C30SPC300。

3.License要求

  • 双机热备功能自身不需要License。但对于其他需要License的功能,如IPS、反病毒等功能,组成双机热备的两台FW需要分别申请和加载License,两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

三、双机热备工作模式

介绍FW支持的双机热备运行模式以及选择使用哪种工作模式。

1.FW支持主备备份和负载分担模式两种运行模式

  • 主备备份模式:两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断。

       说明:镜像模式是实现主备备份双机热备的一种特殊技术手段,主要用于DCN场景中。

  • 负载分担模式:两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。

2.选择双机热备的运行模式时,请考虑以下因素

项目 说明

主备备份模式
  • 流量由单台设备处理,相较于负载分担模式,路由规划和故障定位相对简单。

负载分担模式
  • 相较于主备备份模式,组网方案和配置相对复杂。
  • 负载分担组网中使用入侵防御、反病毒等内容安全检测功能时,可能会因为流量来回路径不一致导致内容安全功能失效。
  • 负载分担组网中配置NAT时,需要额外的配置来防止两台设备NAT资源分配冲突。
  • 负载分担模式组网中流量由两台设备共同处理,可以比主备备份模式或镜像模式组网承担更大的峰值流量。
  • 负载分担模式组网中设备发生故障时,只有一半的业务需要切换,故障切换的速度更快。

四、VGMP组

VGMP(VRRP Group Management Protocol)协议是华为公司的私有协议。VGMP协议中定义了VGMP组,FW基于VGMP组实现设备主备状态管理。

每台FW都有一个VGMP组,用户不能删除这个VGMP组,也不能再创建其他的VGMP组。VGMP组有优先级和状态两个属性。VGMP组优先级决定了VGMP组的状态。

VGMP组优先级是不可配置的。设备正常启动后,会根据设备的硬件配置自动生成一个VGMP组优先级,我们将这个优先级称之为初始优先级。不同型号设备的初始优先级。当设备发生故障时,VGMP组优先级会降低。

型号 初始优先级
USG6000V 45000
USG9000V

初始优先级与接口板(vLPU)上的子卡(FPIC)个数和业务板(vSPU)上的CPU个数有关,计算公式如下:

Initial_Priorit
最低0.47元/天 解锁文章
IT-灰灰
关注
防火墙双机热备配置详解
悦分享
01-07 1085
1、双机部署提升网络可靠性随着移动办公、网上购物、即时通信、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。网络关键位置上如果只使用一台设备的话,无论其可靠性多高,我们都必然要承受因设备单点故障而导致网络中断的风险。于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机)或多台设备,以提升网络的可靠性。
七章——Keepalived双机热备(应用——linux防护与群集)
MKC__jiaoq的博客
09-04 2092
三期总目录链接
防火墙技术基础篇:eNSP配置防火墙主备备份的双机热备
qq_39241682的博客
05-29 3017
防火墙双机热备(High Availability, HA)技术是网络安全中的一个关键组成部分,通过它,我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。
¤转 Mysql双机热备实现
yunnick的专栏
04-11 1481
  ★预备知识 :1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备就是使用互为备份的两台服务器共同执行同一服务,...
华为防火墙配置双机热备
最新发布
Richardlygo的博客
09-23 2183
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点,故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙设备出现故障时不中断网络,公司A利用两台设备实现防火墙主备功能。
防火墙双机热备
qq_67758645的博客
07-17 1735
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
防火墙双机热备
dz804355207的博客
06-14 1154
两台FW之间通过一条独立的链路连接(可以跨交换机、路由器或者直连)传递双端FW的状态、配置等信息,不传递业务报文,称之为心跳线,心跳线两端端口被称为心跳端口。对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等。
防火墙双机热备
qixusiyu的博客
07-16 1026
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理。hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上。3,快速备份 : 该备份方式仅针对负载分担的场景。
防火墙防火墙双机热备
2301_76769041的博客
08-30 5392
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
Keepalived双机热备——Haproxy搭建web群集
xw19979790869的博客
02-28 631
keepalived是一个开源的软件,用于实现高可用性和负载均衡。它主要用于在多个服务器之间提供故障转移和负载均衡的功能。keepalived可以监控服务器的状态,并在主服务器发生故障时自动将备份服务器切换为主服务器,以确保服务的连续性。将haproxy安装包上传至node1安装组件 node1配置。组件包Haproxy nginx(httpd)虚拟机 3台 centos7.9。网卡NAT模式 数量 1。
ensp 双机热备 配置_华为防火墙实现双机热备配置详解
weixin_39845347的博客
12-19 2367
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。博文大纲:一、双机热备工作原理二、VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机...
防火墙--双机热备
banliyaoguai的博客
07-17 1429
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。再创建一个VGMP组,两台设备互为两个VGMP组的主设备,然后这种情况可能会两条链路都会走,如下图上去的时候走1这边,下去的时候走二这边,所以是不是两台设备需要快速同步状态信息,不然业务就会收到影响。
双机热备
dodo
10-16 1352
  什么是双机热备?  双机热备这一概念包括了广义与狭义两
华为防火墙双机热备
weixin_53049621的博客
04-13 4003
双机热备双机热备的必要性VGMPVGMP基本原理VGMP组管理HRP协议心跳接口实验和配置实验拓扑图配置结果如图 双机热备的必要性 在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致网中断的风险。防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。 1.备份前 2.备份后 VGMP 传统备份 1.防火墙上多个区域提供双机备份功能时,需要在每一台防火墙上配置多个V
04-防火墙双机热备
qianlai22的博客
03-05 9319
双机热备的系统要求 硬件要求 组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。 两台FW的硬盘配置可以不同。例如,一台FW安装硬盘, 另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。 软件要求 组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。 实际上,在系统软件版本升级或回退
防火墙——双机热备理论讲解
热门推荐
m0_49864110的博客
04-22 1万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。
防火墙双机热备配置
zszfs的博客
10-26 3009
防火墙双机热备实验
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值