华为_防火墙双机热备

最新推荐文章于 2024-06-21 10:06:50 发布
最新推荐文章于 2024-06-21 10:06:50 发布
阅读量1.1k 收藏 5
点赞数 1
分类专栏: 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouchuan152/article/details/95191033
版权

                                                            防火墙双机热备

双机热备的工作原理:

故障隔离,简单的讲,高可用(热备)就是一种利用故障点转移的方式来保障业务连续性。其业务的恢复不是在原服务器,而是在备用服务器。

华为的双机热备是通过部署两台或多台防火墙实现热备以及负载均衡的,两台防火墙相互协同工作,犹如一个更大的防火墙。

双机热备示意图:

路由器与防火墙双机热备的区别:

区别就在于,防火墙在流量传输时,需要创建一个对话表,路由器则不需要,当防火墙出现故障时,需要从新与备用防火墙建立对话表,而路由器只要主瘫痪了,备用路由器马上顶上去。

华为防火墙的双机热备包含以下两种模式:

热备模式:同一时间,只有一台防火墙设备转发数据包,其他备用防火墙一律不做转发,但是会同步会话表以及Server-map表。

负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主防火墙也是备份防火墙,防火墙之间也会同步会话表和Server-map表。

这两种模式的示意图:

 

VRRP协议:

在双机热备技术中,即是选举出了主设备和备设备。默认情况下流量也通过主用设备转发,而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口,当客户机将网关指向主用设备时,流量自然从主用设备转发,但是当主设备故障时,客户机并不会将网关自动指向备用设备。所以即使双机热备本身可以切换,客户机依然无法正常通信。这时候就需要VRRP协议技术了。

VRRP概述:

VRRP(Virtual Router Redundancy Protocol虚拟路由冗余协议)由IETF小组进行维护,用来解决网关单点故障的路由协议。

VRRP的基础概念如下:

VRRP路由器:运行VPPR协议的路由器。

虚拟路由器:由一个主用路由器和若干个备用路由器组成的一个备份组,一个组队客户端提供一个虚拟网关。

VRIDVirtual Router ID,虚拟路由标识,用来唯一的标识一个备份组。

虚拟IP地址提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。

虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址。

IP地址拥有者: 若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。

优先级用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备以及备用设备。

占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器,将立即成为新的主用路由器。

非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器,则不会立即成为主用路由器,直到下一次公平选举为止。

VRRP的工作原理和之前的HSRP协议基本相同,VRRP是共有协议,而HSRP是Cisco的专有协议。

VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以

VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0c-07-AC-组号。

VRRP的状态机有三个,而HSRP的状态机包含六个(初始,学习,监听,发言,备份,活动)

VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主路由器的选举。而HSRP有三种报文(holle、政变、辞职)

VRRP不支持接口跟踪,而HSRP支持。

VRRP的角色:

工作在VRRP模式下的路由器有两种角色,分别是Master路由器和Backup路由器

Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告Master路由器当前的状态信息。

Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器发生故障时,Backup路由器将成为新的Master路由器。接替转发数据包的工作,从而保证业务不中断。

VRRP的状态机

VRRP定义了三种工作状态,分别如下:

Initialize状态:刚配置了VRRP时的初始状态,该状态下,不对VRRP报文做任何处理。

Master状态:当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起的ARP请求,并将虚拟MAC地址回送客户机。

Backup状态:当前设备选举成为备用路由器时的一种状态。该状态不转发任何业务报文。

状态机选举过程:

VRRP的工作原理

VRRP选举Master路由器和Backup路由器的流程

首先选举优先级高的设备为Master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大的设备将成为Master路由器。而其他的路由器将成为Backup路由器。VRRP中的默认接口优先级值为100,取值范围为0~255。其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,优先级默认就是255。

VRRP工作原理:

实例演示:双及热备的配置

 

配置命令:

FW1配置命令:

配置安全策略:

配置VRRP备份组:

设置心跳接口:

启动热备:

FW2的配置命令:

配置安全策略:

配置VRRP备份组:

配置心跳接口:

启用双机热备:

玩IT的川
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于双机热备,你应该了解这些问题
weixin_47985676的博客
07-15 768
双机热备是什么意思? 双机热备包括了广义与狭义两种意义。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过软件诊
华为防火墙双机热备
2301_76769137的博客
12-26 1166
如图所示,PC1为公司内部网络设备,AR1为出口设备,在FW1和FW2上配置双机热备,当网络正常时PC1访问AR1路径为FW1-AR1,当FW1出现故障后,切换路径为FW2-AR1。5、配置HRP(配置HRP的目的是为了实现主设备故障后,备用设备能够平滑接替主设备的工作)在FW1上配置了安全策略,设备会自动通过HRP将对应的安全策略配置同步到备用设备上。4、配置VRRP,将FW1设置为主设备,FW2设置为备用设备。通过以上输出,可知FW1的上下行接口都为vrrp的主设备。查看FW1的VRRP状态。
数通篇(四) - 华为防火墙双机热备案例(基于eNSP的防火墙实验)
最新发布
weixin_50571749的博客
06-21 1108
华为防火墙双机热备的详细配置案例
华为防火墙双机热备配置实例
weixin_45457085的博客
01-07 9905
拓扑解释 两台防火墙FW1与FW2做双机热备冗余,SW2方向做trust区域,SW3方向做UNtrust区域 适用场景 一般园区网中 配置开始 先搞定底层的交换机 SW2上:(SW3上相同) vlan 10 int g0/0/3 port link-type access port access default vlan 10 port-group group-member g0/0/1 g0/0/2 port link-type trunk port trunk pvid v..
华为防火墙主备模式工作原理
weixin_67050107的博客
06-28 1018
防火墙主备模式下,备墙的工作状态
华为防火墙笔记-双机热备
weixin_46622350的博客
12-06 5032
文章整理自《华为防火墙技术漫谈》 双机热备概述 防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,我们都必然要承受因设备单点故障而导致网络中断的风险。 于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机)或多台设备,以提升网络的可靠性。当一台防火墙出现故障时,流量会通过另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。 路由...
华为防火墙双机热备实验
weixin_44371774的博客
11-23 856
华为防火墙双机热备实验 拓扑 说明 防火墙的G1/0/0口接外网,开启easy-ip NAT转发 虚拟ip为192.168.1.200/24 防火墙的G1/0/1口接内网 虚拟IP为172.16.1.200/24 防火墙G1/0/6用作hrp心跳线,区域为DMZ区域 配置 FW1(主) # G1/0/0 interface GigabitEthernet1/0/0 undo shutdown ip address 192.168.1.254 255.255.255.0 vr
华为Ensp防火墙双机热备(Hrp)
热门推荐
qq_51444009的博客
07-05 1万+
HRP(华为冗余协议)备份方式 自动备份,默认方式 手动备份,批量方式(hrp sync config 手动触发批量备份) 快速备份,针对分载分担 备份通道状态 当设备两边均配置心跳口,防火墙会判断心跳接口的物理与协议状态。 心跳链路一共存在五种状态 ① running:正常运行,能够发送报文 ② ready:正常运行,此接口为备份通道,当前未使用 ③ peerdown:本段正常,但是收不到对端的心跳报文 ④ invaild:未指定心跳地址的IP地址,心跳口工作在二层 ⑤ down:心跳接口的物理状态与协议
华为防火墙双机热备配置及组网.pdf
11-03
华为防火墙双机热备配置及组网.pdf
华为防火墙双机热备.docx
09-06
华为防火墙双机热备.docx
华为防火墙双机热备配置及组网.doc
10-07
"华为防火墙双机热备配置及组网" 华为防火墙双机热备配置是一种冗余备份的功能,旨在提供防火墙的高可用性和避免业务中断。在防火墙双机热备组网中,分为路由模式下的双机热备组网和透明模式下的双机热备组网。下面...
华为防火墙双机热备配置手册
12-01
华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
主备备份型防火墙双机热备.pdf
12-14
主备备份型防火墙双机热备.pdf
什么是双机热备技术?华为和思科如何实现双机热备
网络技术联盟站
06-08 2996
双机热备是一种通过在网络设备之间建立冗余的、实时同步的备份系统,以实现在主设备故障时无缝切换到备用设备的高可用性技术。双机热备通常由两个或多个相同配置的设备组成,其中一个设备处于活动状态(主设备),而其他设备处于待命状态(备用设备)。备用设备通过实时同步数据和状态信息,以便在主设备发生故障时立即接管网络服务的运行。
华为防火墙 设置当访问指定IP的流量时转发至另一个防火墙出口
一直被模仿,从未被超越
11-12 1015
需求:上海与福州通过两边防火墙IPSec已成功建立VPN,实现内网互通 阿里部署了OpenVPN,且开通了上海的白名单,上海可以通过OpenVPN可以连接阿里内网 但是福州没有固定IP,无法开通白名单,怎么办? 可以通过NAT解决,让福州访问阿里的IP时,从上海出,这样福州就可以用OpenVPN了 环境: 阿里外网:61.218.73.79 福州内网:10.3.8.0/24 上海外网:210.13.101.130 内网:10.3.0.0/24 1、上海 创建NAT untrust到u..
双机热备技术
ada的博客
09-06 5587
双机热备技术 一、双机热备概述 防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网——当一台防火墙出现故障时,业务流量能平滑地切换到备份防火墙上,保证流量不中断,使内外网用户交互时完全感知不到曾经出现过网络故障。 二、双机热备基本原理 1、双机热备协议架构 (1)VRRP <1>作用 ① 负责单个接口的故障检测和流量引导。每个VRRP备份组拥有一个 虚拟IP地址 ,作为网络的网关地址;
双机热备-技术原理和组网实验
weixin_44256357的博客
05-21 1148
防火墙在配置VRRP的时候,会在参数后面加上ACTIVE或者STANDBY的参数,如果是ACTIVE,就直接会是MASTER,反之则是BACKUP)当防火墙上的VGMP为ACTIVE/STANDBY的时候,组内的所有VRRP备份组的状态统一为ACTIVE/STANDBY状态。开启VGMP,并将所有的备份组都加入VGMP后,只要有一个备份组进行主备切换,就会将剩下的备份组联动一起切换。自动备份:默认开启,可以备份会话表信息、配置命令的信息,会话10秒备份一次,配置实时备份。会话快速备份:负载均衡的场景。
防火墙 | 双机热备原理
yu_19980401的博客
11-10 2052
防火墙 | 双机热备技术 双机热备技术原理 双机热备技术产生的原因 传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。 双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。 USG防火墙作为安全设备,一般会部署在需要保护的网络和不受保护的网络之间,即位于业务接
双机热备技术基本原理、配置流程及双机热备的故障解决
bluepangzi的博客
09-06 6242
双机热备技术一、双机热备协议架构(一)VRRP1、VRRP状态机2、VRRP状态切换3、VRRP的不足(二)VGMP1. 基本原理1)VGMP产生 一、双机热备协议架构 (一)VRRP 1、VRRP状态机   加入VRRP备份组的接口有三种状态,只有处于主用状态的设备才可响应ARP请求,转发业务报文。并且发送VRRP报文,主动联系备用设备。 配置完VRRP后,如果接口处于Up状态,则从Initialize状态进入Standby状态。 处于Standby状态的接口,如果超时未收到对端的VRRP通告报文,或
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值