防火墙————主备备份双机热备

已于 2023-11-20 10:04:25 修改
阅读量1.8k 收藏 8
点赞数
分类专栏: 华为防火墙 文章标签: 服务器 运维
于 2023-11-17 18:07:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zj2059129607/article/details/134465838
版权

一、双机热备简介

FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。

图1 双机热备典型组网图

二、双机热备的系统要求

介绍双机热备功能对设备硬件、软件以及License的要求。

硬件要求

组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。

两台FW的硬盘配置可以不同。例如,一台FW安装硬盘,另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。

软件要求

组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。

实际上,在系统软件版本升级或回退的过程中,两台FW可以暂时运行不同版本的系统软件。例如,一台设备的软件版本为V500R001C50,另一台设备的软件版本为V500R001C30SPC300。

License要求

双机热备功能自身不需要License。但对于其他需要License的功能,如IPS、反病毒等功能,组成双机热备的两台FW需要分别申请和加载License,两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

三、基于VRRP实现主备备份双机热备

如果要两台FW工作在主备备份模式,需要将一台FW的所有VRRP备份组状态都配置为active,另一台FW的所有VRRP备份组状态都配置为standby

如图1所示,FW_A的所有VRRP备份组状态都被配置成active,FW_B的所有VRRP备份组状态都被配置成standby。正常情况下,两台FW的VGMP组状态都是load-balance,VRRP备份组的运行状态由配置决定。因此,FW_A的VRRP备份组运行状态都是Master,FW_B的VRRP备份组运行状态都是Backup

由于内部网络中主机的网关都被设置成了VRRP备份组2的虚拟IP地址10.0.0.1,这些主机在访问外部网络时,会广播一个ARP请求报文,请求10.0.0.1的MAC地址。FW_A的VRRP备份组1状态为Master,会响应内网主机的ARP请求。FW_B的VRRP备份组1状态为Backup,不会响应内网主机的ARP请求。FW_A响应的ARP报文会刷新交换机的MAC地址表和主机的ARP缓存表,使主机发往外部网络的流量都被引导到FW_A上处理。

同理,路由器R1和R2到内部网络路由的下一跳地址被设置成了VRRP备份组1的虚拟IP地址10.0.1.1。外部网络发往内部网络的流量也被引导到FW_A上处理。

图1 基于VRRP实现主备备份(双机状态正常)

实验拓扑图

 

配置FW各个接口的IP地址,配置相同FW2的配置略 

将FW的各个接口加入相应的安全区域,FW2配置相同

trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet0/0/0
    GigabitEthernet1/0/3
#
untrust
 priority is 5
 interface of the zone is (1):
    GigabitEthernet1/0/1
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/6
#

在FW1上接口1/0/1配置VRRP备份组1,并设置其状态为Active,在1/0/3接口配置VRRP备份组2,并设置状态为Active

interface GigabitEthernet1/0/3
 undo shutdown
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 active
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.2.0.1 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
#

 在FW2上接口1/0/1配置VRRP备份组1,并设置其状态为Standby,在1/0/3接口配置VRRP备份组2,并设置状态为Standby

interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.2.0.2 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby
#
interface GigabitEthernet1/0/3
 undo shutdown
 ip address 10.3.0.2 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 standby
#

在FW1和FW2上指定心跳口并启用双机热备功能

[FW1] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2 
[FW1] hrp enable 
[FW2] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1 
[FW2] hrp enable

 在FW1上配置安全策略。双机热备状态成功建立后,FW1的安全策略配置会自动备份到FW2上

security-policy
 rule name tr>un
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 mask 255.255.255.0
  action permit
#

 在FW1上配置NAT策略。双机热备状态成功建立后,FW1的NAT策略配置会自动备份到FW2上

nat-policy
 rule name nat1
  source-zone trust
  destination-zone untrust
  source-address 10.3.0.0 mask 255.255.0.0
  action source-nat address-group group1
#

实验结果 

在Trust区域的pc1ping通untrust区域的R1路由器

 在FW2上查看会话表,可以看出FW2上存在带有Remote标记的会话,表示配置双机热备功能后,会话备份成功。 

IT_浣熊
关注
专栏目录
双机热备——上下层交换机主备备份
m0_49864110的博客
05-30 1714
目录 基础配置 配置VGMP 开启双机热备功能 配置NAT策略 防火墙——双机热备_多谢思考的博客-CSDN博客_防火墙主备变双主https://blog.csdn.net/m0_49864110/article/details/124356794 黑色共有配置 绿色为FW1配置 蓝色为FW2配置 基础配置 (上下行交换机可以是傻瓜交换机,不做任何配置) 按照图配置相关接口IP地址和安全区域 HRP、VGMP报文不需要配置相应的安全策略,策略只需要配置关于数据的策略 配置.....
双机热备——上下层路由器主备备份(负载分担)
m0_49864110的博客
05-30 1475
目录 基础配置 开启双机热备功能 防火墙——双机热备_多谢思考的博客-CSDN博客_防火墙主备变双主https://blog.csdn.net/m0_49864110/article/details/124356794 黑色共有配置 绿色为FW1配置 蓝色为FW2配置 基础配置 按照图配置相关接口IP地址和安全区域 HRP、VGMP报文不需要配置相应的安全策略,策略只需要配置关于数据的策略 与内网路由器配置OSPF,路由器上做相关NAT去公网 开启双机热备功能 FW3为主,FW4..
防火墙————双机热备
xiazhui1的博客
11-17 1550
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
高可用性和双机热备浅析
ldcaws的专栏
05-30 1611
在用户眼里,业务需要永远正常对外提供服务,这就要求应用系统的高可用(High availability,即 HA)。高可用主要是针对架构而言,第一步一般会采用分层的思想将一个庞大的应用系统拆分成应用层、中间件、数据存储层等独立的层,每一层再拆分成更细粒度的组件;第二步就是让每个组件对外提供服务,毕竟每个组件都不是孤立存在的,都需要互相协作,对外提供服务才有意义;第三步就是保证架构中所有组件以及对外暴露服务都要做到高可用,任何一个组件或其服务没做高可用,都意味着系统存在风险。
防火墙双机热备
最新发布
qq_67758645的博客
07-17 1391
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
¤转 Mysql双机热备实现
yunnick的专栏
04-11 1441
  ★预备知识 :1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备就是使用互为备份的两台服务器共同执行同一服务,...
如何确定双机热备份的切换时间
fiery168的专栏
01-30 1166
 双机热备份的工作原理,是一种故障转移的方式,1、一般来讲要求主备机安装有相同的软件或数据库,主备机必须有共享数据的磁盘阵列存储子系统,用于保证状态切换后的数据连续性。2、主备机间存在有基于TCP/IP Socket接结方式或串口联结方式等的心跳检测链路,主备机间通过不断的通讯联系来确保检测对机的系统是否正常。3、主机一旦出现故障,备机马上启动相关数据库服务或用户应用。这种模式决定了传统双机热
双机热备
dodo
10-16 1338
  什么是双机热备?  双机热备这一概念包括了广义与狭义两
双机热备份”的解释
知识是有趣的
07-25 1299
什么是双机热备份?双机热备份是什么意思?双机热备这一概念包括了广义与狭义两种意义。从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。双机热备由备用的服务器解决了在主服务器故障时服务不中断的问题。但在实际应用中,可能会出现多台服务器的情况,即服务器
防火墙技术基础篇:eNSP配置防火墙主备备份双机热备
qq_39241682的博客
05-29 2277
防火墙双机热备(High Availability, HA)技术是网络安全中的一个关键组成部分,通过它,我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。
MySQL架构备份双机热备——MySql 主从复制、主主复制
Shallow的博客
12-09 5336
M–S架构:实现双机热备(AB复制) 1、可以降低master读压力 2、可以对数据库做“热备”,热备只能解决硬件master硬件故障,软件故障等重大故障问题,但无法解决人为误操作导致的逻辑故障(列如输入错误的SQL语句把重要的记录删除了),所以常规的备份是必须。 环境准备及要求: 1、关闭防火墙和selinux 2、hosts文件中两台服务器主机名和ip地址一一对应起来 3、系统时间需要同步 4、master和slave的数据库版本保持一致(系统版本保持一致) 思路: 1、master必须开启二进制日志
双机热备
06-08
介绍双击热备份的原理实现,以及过程中遇到的一些问题描述等现象。
Keepalived双机热备——Haproxy搭建web群集
xw19979790869的博客
02-28 595
keepalived是一个开源的软件,用于实现高可用性和负载均衡。它主要用于在多个服务器之间提供故障转移和负载均衡的功能。keepalived可以监控服务器的状态,并在主服务器发生故障时自动将备份服务器切换为主服务器,以确保服务的连续性。将haproxy安装包上传至node1安装组件 node1配置。组件包Haproxy nginx(httpd)虚拟机 3台 centos7.9。网卡NAT模式 数量 1。
防御保护--防火墙双机热备
m0_72210904的博客
01-29 1468
一开始,我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面 两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。原主设备在接受到对方的应答报文之 后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状 态切换为standby状态(注意,故障接口依旧保持init的状态。但是,因为这里启用VGMP在,则VRRP 切换状态将由VGMP接管,VRRP的机制名存实亡。
防火墙双机热备
dz804355207的博客
06-14 1108
两台FW之间通过一条独立的链路连接(可以跨交换机、路由器或者直连)传递双端FW的状态、配置等信息,不传递业务报文,称之为心跳线,心跳线两端端口被称为心跳端口。对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等。
Netscreen NSRP双机典型配置及维护
weixin_33778778的博客
12-21 178
NETSCREEN NSRP典型配置及维护 一、NSRP工作原理 NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、链路及互连设备出现故障的情...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值