防火墙的负载分担双机热备

已于 2023-11-20 10:11:36 修改
阅读量139 收藏
点赞数
分类专栏: 华为防火墙 文章标签: 网络 linux 运维
于 2023-11-17 17:53:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xw19979790869/article/details/134467603
版权

一、认识负载分担双机热备:

基于VRRP实现负载分担双机热备

如果要两台FW工作在负载分担模式,两台FW上都要有状态配置为active的VRRP备份组。

如图1所示,FW_A的VRRP备份组1和3状态被配置成active,VRRP备份组2和4状态被配置成standby。FW_B的VRRP备份组2和4状态被配置成active,VRRP备份组1和3状态被配置成standby。正常情况下,两台设备的VGMP组状态都是load-balance,VRRP备份组的运行状态由配置决定。因此,FW_A的VRRP备份组1和3运行状态是Master,VRRP备份组2和4运行状态是Backup。FW_B的VRRP备份组2和4运行状态都是Master,VRRP备份组1和3运行状态是Backup

内部网络中部分主机的网关被设置成了VRRP备份组3的虚拟IP地址10.0.0.1。这些主机在访问外部网络时,会广播一个ARP请求报文,请求10.0.0.1的MAC地址。FW_A的VRRP备份组3状态为Master,会响应内网主机的ARP请求。FW_B的VRRP备份组3状态为Backup,不会响应内网主机的ARP请求。FW_A响应的ARP报文会刷新交换机的MAC地址表和主机的ARP缓存表,使这部分主机发往外部网络的流量都被引导到FW_A上处理。

而另一部分主机的网关被设置成了VRRP备份组4的虚拟IP地址10.0.0.2。这些主机在访问外部网络时,同样会广播一个ARP请求报文,请求10.0.0.2的MAC地址。此时,只有FW_B会响应这个ARP请求。因此,这部分主机的流量都被引导到FW_B上转发。

同理,路由器R1到内部网络路由的下一跳地址被设置成了VRRP备份组1的虚拟IP地址10.0.1.1,路由器R1发往内部网络的流量会被引导到FW_A上处理。路由器R2到内部网络路由的下一跳被设置成了VRRP备份组2的虚拟IP地址10.0.1.2,路由器R2发往内部网络的流量会被引导到FW_B上处理。

二、实验: 

2.1 实验拓扑:

2.2 实验配置:

 FW_A的接口配置

<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW_A-GigabitEthernet1/0/1] quit 
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[FW_A-GigabitEthernet1/0/3] quit 
[FW_A] interface GigabitEthernet 1/0/6
[FW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24
[FW_A-GigabitEthernet1/0/7] quit

FW_A的接口加入到区域

[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/2
[FW_A-zone-trust] quit 
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/6
[FW_A-zone-dmz] quit 
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit

 FW_A的缺省路由配置

[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FW_A的VRRP备份组配置

[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 active
[FW_A-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 standby
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.3.0.3 active
[FW_A-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.3.0.4 standby
[FW_A-GigabitEthernet1/0/2] quit

FW_A的热双机功能启动

[FW_A] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2 
[FW_A] hrp enable

负载分担组网下,两台FW都转发流量,为了防止来回路径不一致,需要在两台FW上都配置会话快速备份功能。

[FW_A] hrp mirror session enable

[FW_B] hrp mirror session enable

FW_B的VRRP备份组配置

[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.3 24 standby
[FW_B-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 1.1.1.4 24 active
[FW_B-GigabitEthernet1/0/1] quit
[FW_B] interface GigabitEthernet 1/0/2
[FW_B-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.3.0.3 standby
[FW_B-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.3.0.4 active
[FW_B-GigabitEthernet1/0/2] quit

 FW_B 热双机功能启动配置

[FW_B] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1 
[FW_B] hrp enable

配置安全策略,允许内网用户访问Internet。

HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name trust_to_untrust  
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-zone trust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
HRP_M[FW_A-policy-security-rule-trust_to_untrust] action permit
HRP_M[FW_A-policy-security-rule-trust_to_untrust] quit
HRP_M[FW_A-policy-security] quit

配置NAT策略

HRP_M[FW_A] nat address-group group1
HRP_M[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_M[FW_A-address-group-group1] quit
HRP_M[FW_A] nat-policy
HRP_M[FW_A-policy-nat] rule name policy_nat1  
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_M[FW_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16 
HRP_M[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1

2.3 实验结果:

 

 

IT_小薇子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
11-26
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置.pdf
华为双机热备目前的总结
qq_47529104的博客
03-23 1865
双机热备一个小小的词牵扯出一大块的内容和协议,总的来说还是比较杂和乱的,所以在这里先总结目前学习到的内容。 概述 双机热备总共涉及的协议有VRRP,VGMP,HRP,VRRP主要的应用场景是防火墙处于三层模式下所做的一个双机热备。传统的vrrp的缺点就是vrrp组之间都是独立的,没有办法将这些vrrp组进行集中的管理和控制,这就使得了vrrp组错误的流量引导的发生。所以就出现了VGMP,VGMP的主要思想就是将一台设备上的vrrp组全部都视为同一个VGMP组,通过控制VGMP组来对独立的vrrp组进
关于MYSQL双机热备的心得
wangzehong5200的专栏
12-02 635
<br />首先准备两台服务器(双机,单机的暂不考虑),例如,局域网IP分别为192.168.0.231 主服务器(ServerData) ,192.168.0.16 从服务器(SlaveData),保证两台机器能互相连接,都有权限,这里就以root为例。<br />备份其中一个数据库,还原到另外的一个机器上,然后在 主服务器 mysql安装文件的 my.ini 的 mysqld节点下面 写上<br /> <br />server-id=1(主服务器ID,不能重复)<br />binlog-do-db=ne
双机热备实验——(VRRP技术+HSRP技术)讲解+配置
qq_62311779的博客
03-10 7361
目录 一、双机热备(冗余技术)简介: 二、HSRP 技术简介: 三、VRRP技术简介: 四、HSRP配置: 五、VRRP配置: 一、双机热备(冗余技术)简介: 两核心交换机,业务流量优先从主核心交换机上传递,当核心宕机或者出现故障,业务流量会从备交换机上传递,(备交换机承接主交换机的任务)10-15s 当备设备过了三个周期后还没有收到主设备的hello包,就认为主设备宕机出现故障,备设备就升级为主设备,负责下面业务转发 ———————————————————————————...
数据库双机热备实战总结
qq_28433521的博客
09-02 957
一、准备工作 1. 准备两台服务器(电脑),接入局域网中,使互相ping得通对方 2. 两台服务器都安装mysql-server-5.6,必须保证mysql的版本一致 3. 假设,服务器A:192.168.1.120,服务器B:192.168.1.121 二、 创建同步用户 在主服务器上为从服务器建立一个连接账户,该账户必须授予replication slave权限。 ...
防火墙————双机热备
xiazhui1的博客
11-17 1129
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙技术案例双机热备负载分担组网下的IPSec配置.pdf
01-30
防火墙技术案例双机热备负载分担组网下的IPSec配置.pdf
防火墙技术案例双机热备负载分担组网下的IPSec配置.doc
12-23
防火墙技术案例双机热备负载分担组网下的IPSec配置.doc
防火墙技术案例5双机热备负载分担资料组网下的IPSec配置.doc
09-20
防火墙技术案例5双机热备负载分担资料组网下的IPSec配置.doc
华为防火墙-双机热备
m0_59605653的博客
01-17 2555
双机热备是两台设备共同承担业务流量,以此来提高可靠性的技术。两台设备之间通过“心跳线”进行连接。当主用设备故障时,备用设备可以平滑接替主用设备工作。
华为防火墙二层透明模式下双机热备主备备份配置(两端为交换机)
IT技术
11-11 1074
华为防火墙二层透明模式下双机热备主备备份配置(两端为交换机)
华为防火墙双机热备
不定期分享一些自己的学习笔记
10-16 1115
华为防火墙双机热备
华为防火墙 双机热备负载均衡实验
荆盼的博客
12-27 6954
双机热备 FW1的配置 FW2的配置 interface GigabitEthernet 1/0/1  ip address 10.1.1.2 255.255.255.0  vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active //将接口GE1/0/1加入VRRP备份...
第三天防火墙: 双机热备负载分担实验
weixin_62870380的博客
03-21 586
防火墙双机热备负载分担实验
防火墙双机热备及入侵检测
weixin_57949883的博客
03-21 1130
相当于一个“监控系统”进行实时监控,一旦有陌生人进入或内部人员有越界行为,它会发现情况并发出警告。IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上来讲,IDS(入侵检测系统)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。它不跨接多个物理网段(通常只有一个监听。
防火墙双击热备技术
Reloaded12138的博客
01-03 1888
防火墙双击热备技术 双击热备技术原理 产生原因:传统的组网方式,内部用户和外部用户的交互报文全部通过Firewall 。如果Firewall 出现故障,内部网络中所有以Firewall 作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。 VRRP在防火墙应用中存在的缺陷:传统VRRP方式无法实现主、备用防火墙状态的一致性。 为了保证所有VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP Group Management Protocol)来弥补此局限。 防火墙
华为防火墙双机热备简介
qq2353177176的博客
11-15 540
VRRP提高了主备方案,防止单点故障但是防火墙需要VGMP来解决来回路径不一致的问题,将全部VRRP组状态统一管理 //是主全是主,是备全是备 当切换主备的时候,备设备也需要有一定是表项配置才能进行业务不中断,所以需要HRP传递备份防火墙双机之间状态信息和关键配置命令。
防火墙 双机热备配置(主备备份和负载分担模式)
最新发布
one piece的博客
02-01 1061
1. 根据网段划分配置IP地址和安全区域。
华为防火墙USG6000v双机热备部署,上下行部署三层业务的负载分担组网。
Fanyunin的博客
05-21 1520
华为防火墙USG6000v双机热备部署,上下行部署三层业务的负载分担组网。
负载分担防火墙双机热备配置
09-24
负载分担防火墙双机热备配置中,需要进行以下步骤: 1. 启用HRP协议:HRP(Huawei Redundancy Protocol)协议用于实现动态状态数据和关键配置命令的备份。在双机热备组网中,主防火墙出现故障时,所有流量将切换...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值