华为和思科防火墙上下行连接交换机,部署双机热备脚本,附带深度解析

已于 2025-03-18 13:40:55 修改
阅读量1.1k 收藏 9
点赞数 28
分类专栏: 网络脚本 文章标签: 华为 网络 高可靠 防火墙
于 2025-03-16 08:00:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2502_91189104/article/details/146289975
版权

华为和思科的脚本在文章的最后部分,着急的朋友直接找到文章最后一部分。      

目录

  1. 双机热备概述

  2. 拓扑说明

  3. 华为防火墙双机热备配置

    • 基础配置

    • VRRP配置

    • VGMP配置

    • HRP配置

    • 验证配置

  4. 思科防火墙双机热备配置

    • 基础配置

    • 故障切换(Failover)配置

    • 验证配置

  5. 深度解析

    • 接口配置对比

    • 虚拟网关配置对比

    • 双机热备配置对比

    • 状态同步机制对比

  6. 关键配置对比

  7. 总结

1. 双机热备概述

双机热备(High Availability, HA)是一种通过部署两台设备(如防火墙、路由器、服务器等)实现高可用性的技术方案。主设备负责处理业务流量,备设备实时同步主设备的状态和数据。当主设备发生故障时,备设备能够快速接管业务,确保服务不中断。

2. 拓扑说明

  • 设备:两台防火墙(FW1 和 FW2)上下行分别连接二层交换机。

  • 模式:双机热备(主备模式)。

  • 技术

    • 使用 VRRP 实现虚拟网关。

    • 使用 VGMP 管理 VRRP 组状态。

    • 使用 HRP 实现配置和会话同步。

3. 华为防火墙双机热备配置

3.1 基础配置
# FW1 配置
sysname FW1

# 配置接口
interface GigabitEthernet1/0/1  # 上行接口
 description Uplink-to-Switch
 ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet1/0/2  # 下行接口
 description Downlink-to-Switch
 ip address 10.1.1.1 255.255.255.0

# FW2 配置
sysname FW2

# 配置接口
interface GigabitEthernet1/0/1  # 上行接口
 description Uplink-to-Switch
 ip address 192.168.1.2 255.255.255.0

interface GigabitEthernet1/0/2  # 下行接口
 description Downlink-to-Switch
 ip address 10.1.1.2 255.255.255.0
3.2 VRRP配置
# FW1 配置
interface GigabitEthernet1/0/1
 vrrp vrid 1 virtual-ip 192.168.1.254  # 上行 VRRP 虚拟网关
 vrrp vrid 1 priority 120              # FW1 优先级更高,作为主设备
 vrrp vrid 1 preempt-mode timer delay 20

interface GigabitEthernet1/0/2
 vrrp vrid 2 virtual-ip 10.1.1.254     # 下行 VRRP 虚拟网关
 vrrp vrid 2 priority 120              # FW1 优先级更高,作为主设备
 vrrp vrid 2 preempt-mode timer delay 20

# FW2 配置
interface GigabitEthernet1/0/1
 vrrp vrid 1 virtual-ip 192.168.1.254  # 上行 VRRP 虚拟网关
 vrrp vrid 1 priority 100              # FW2 优先级较低,作为备设备
 vrrp vrid 1 preempt-mode timer delay 20

interface GigabitEthernet1/0/2
 vrrp vrid 2 virtual-ip 10.1.1.254     # 下行 VRRP 虚拟网关
 vrrp vrid 2 priority 100              # FW2 优先级较低,作为备设备
 vrrp vrid 2 preempt-mode timer delay 20
3.3 VGMP配置
# FW1 配置
hrp enable                          # 启用 HRP
hrp interface GigabitEthernet1/0/3  # 指定 HRP 心跳接口
hrp sync config                     # 同步配置
hrp sync session                    # 同步会话

# FW2 配置
hrp standby-device                  # 配置 FW2 为备设备
hrp enable                          # 启用 HRP
hrp interface GigabitEthernet1/0/3  # 指定 HRP 心跳接口
hrp sync config                     # 同步配置
hrp sync session                    # 同步会话
3.4 验证配置
display vrrp              # 查看 VRRP 状态
display hrp state         # 查看 HRP 状态
display hrp standby-device # 查看主备设备状态

4. 思科防火墙双机热备配置

4.1 基础配置
# FW1 配置
hostname FW1

# 配置接口
interface GigabitEthernet0/1  # 上行接口
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet0/2  # 下行接口
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0

# FW2 配置
hostname FW2

# 配置接口
interface GigabitEthernet0/1  # 上行接口
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0

interface GigabitEthernet0/2  # 下行接口
 nameif inside
 security-level 100
 ip address 10.1.1.2 255.255.255.0
4.2 故障切换(Failover)配置
# FW1 配置
failover
failover lan unit primary  # 配置 FW1 为主设备
failover lan interface failover GigabitEthernet0/3  # 指定故障切换接口
failover link failover GigabitEthernet0/3  # 指定状态同步接口
failover interface ip failover 192.168.2.1 255.255.255.0 standby 192.168.2.2  # 配置故障切换接口的 IP 地址
failover replication http  # 同步 HTTP 状态
failover replication asp   # 同步 ASP 状态

# FW2 配置
failover
failover lan unit secondary  # 配置 FW2 为备设备
failover lan interface failover GigabitEthernet0/3  # 指定故障切换接口
failover link failover GigabitEthernet0/3  # 指定状态同步接口
failover interface ip failover 192.168.2.1 255.255.255.0 standby 192.168.2.2  # 配置故障切换接口的 IP 地址
failover replication http  # 同步 HTTP 状态
failover replication asp   # 同步 ASP 状态
4.3 验证配置
show failover        # 查看故障切换状态
show failover state  # 查看故障切换详细信息
show failover stats  # 查看故障切换统计信息

5. 深度解析

5.1 接口配置对比

  • 华为:使用 interface GigabitEthernet1/0/1 配置接口。

  • 思科:使用 interface GigabitEthernet0/1 配置接口,并通过 nameif 指定接口名称。

5.2 虚拟网关配置对比

  • 华为:使用 VRRP 实现虚拟网关。

  • 思科:不支持 VRRP,使用故障切换(Failover)实现高可用性。

5.3 双机热备配置对比

  • 华为:使用 HRP 实现配置和会话同步。

  • 思科:使用故障切换(Failover)实现高可用性。

5.4 状态同步机制对比

  • 华为:通过 hrp sync config 和 hrp sync session 同步配置和会话。

  • 思科:通过 failover replication 同步状态。

6. 关键配置对比

功能华为配置思科配置
接口配置interface GigabitEthernet1/0/1interface GigabitEthernet0/1
虚拟网关VRRP不支持 VRRP,使用故障切换
双机热备HRP故障切换(Failover)
状态同步hrp sync config 和 hrp sync sessionfailover replication
验证命令display vrrp 和 display hrp stateshow failover 和 show failover state

7. 总结

华为防火墙使用 VRRP 和 HRP 实现双机热备,而思科 ASA 使用故障切换(Failover)实现高可用性。思科 ASA 的故障切换功能通过 failover lan interface 和 failover replication 实现主备设备的状态同步。以上脚本实现了华为和思科防火墙的双机热备功能,适用于企业核心网络、数据中心等需要高可用性的场景。

华为脚本:

# FW1 配置
sysname FW1

# 配置接口
interface GigabitEthernet1/0/1  # 上行接口
 description Uplink-to-Switch
 ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet1/0/2  # 下行接口
 description Downlink-to-Switch
 ip address 10.1.1.1 255.255.255.0

# 配置 VRRP
interface GigabitEthernet1/0/1
 vrrp vrid 1 virtual-ip 192.168.1.254  # 上行 VRRP 虚拟网关
 vrrp vrid 1 priority 120              # FW1 优先级更高,作为主设备
 vrrp vrid 1 preempt-mode timer delay 20

interface GigabitEthernet1/0/2
 vrrp vrid 2 virtual-ip 10.1.1.254     # 下行 VRRP 虚拟网关
 vrrp vrid 2 priority 120              # FW1 优先级更高,作为主设备
 vrrp vrid 2 preempt-mode timer delay 20

# 配置 VGMP
hrp enable                          # 启用 HRP
hrp interface GigabitEthernet1/0/3  # 指定 HRP 心跳接口
hrp sync config                     # 同步配置
hrp sync session                    # 同步会话

# 保存配置
save

# FW2 配置
sysname FW2

# 配置接口
interface GigabitEthernet1/0/1  # 上行接口
 description Uplink-to-Switch
 ip address 192.168.1.2 255.255.255.0

interface GigabitEthernet1/0/2  # 下行接口
 description Downlink-to-Switch
 ip address 10.1.1.2 255.255.255.0

# 配置 VRRP
interface GigabitEthernet1/0/1
 vrrp vrid 1 virtual-ip 192.168.1.254  # 上行 VRRP 虚拟网关
 vrrp vrid 1 priority 100              # FW2 优先级较低,作为备设备
 vrrp vrid 1 preempt-mode timer delay 20

interface GigabitEthernet1/0/2
 vrrp vrid 2 virtual-ip 10.1.1.254     # 下行 VRRP 虚拟网关
 vrrp vrid 2 priority 100              # FW1 优先级较低,作为备设备
 vrrp vrid 2 preempt-mode timer delay 20

# 配置 VGMP
hrp standby-device                  # 配置 FW2 为备设备
hrp enable                          # 启用 HRP
hrp interface GigabitEthernet1/0/3  # 指定 HRP 心跳接口
hrp sync config                     # 同步配置
hrp sync session                    # 同步会话

# 保存配置
save

思科脚本:

# FW1 配置
hostname FW1

# 配置接口
interface GigabitEthernet0/1  # 上行接口
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet0/2  # 下行接口
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0

# 配置故障切换(Failover)
failover
failover lan unit primary  # 配置 FW1 为主设备
failover lan interface failover GigabitEthernet0/3  # 指定故障切换接口
failover link failover GigabitEthernet0/3  # 指定状态同步接口
failover interface ip failover 192.168.2.1 255.255.255.0 standby 192.168.2.2  # 配置故障切换接口的 IP 地址
failover replication http  # 同步 HTTP 状态
failover replication asp   # 同步 ASP 状态

# 保存配置
write memory

# FW2 配置
hostname FW2

# 配置接口
interface GigabitEthernet0/1  # 上行接口
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0

interface GigabitEthernet0/2  # 下行接口
 nameif inside
 security-level 100
 ip address 10.1.1.2 255.255.255.0

# 配置故障切换(Failover)
failover
failover lan unit secondary  # 配置 FW2 为备设备
failover lan interface failover GigabitEthernet0/3  # 指定故障切换接口
failover link failover GigabitEthernet0/3  # 指定状态同步接口
failover interface ip failover 192.168.2.1 255.255.255.0 standby 192.168.2.2  # 配置故障切换接口的 IP 地址
failover replication http  # 同步 HTTP 状态
failover replication asp   # 同步 ASP 状态

# 保存配置
write memory
双机热备——上下层交换机主备备份
m0_49864110的博客
05-30 1945
目录 基础配置 配置VGMP 开启双机热备功能 配置NAT策略 防火墙——双机热备_多谢思考的博客-优快云博客_防火墙主备变双主https://blog.youkuaiyun.com/m0_49864110/article/details/124356794 黑色共有配置 绿色为FW1配置 蓝色为FW2配置 基础配置 (上下行交换机可以是傻瓜交换机,不做任何配置) 按照图配置相关接口IP地址安全区域 HRP、VGMP报文不需要配置相应的安全策略,策略只需要配置关于数据的策略 配置.....
双机热备——上下层交换机负载分担
m0_49864110的博客
05-30 715
目录 基础配置 配置双机热备 配置VGMP 开启双机热备功能 配置NAT策略 Hrp nat resource 黑色共有配置 绿色为FW1配置 蓝色为FW2配置 基础配置 (上下行交换机可以是傻瓜交换机,不做任何配置) 按照图配置相关接口IP地址安全区域 HRP、VGMP报文不需要配置相应的安全策略,策略只需要配置关于数据的策略 配置缺省出去的路由 10.0.10.100的网关为254 10.0.10.200的网关为253......
华为计算机网络--防火墙双机热备及其实验配置
爱学习的JackYang的博客
12-15 2951
华为网络 防火墙 双机热备
Cisco 6509交换机双机热备.doc
03-12
Cisco 6509交换机双机热备.doc
华为防火墙双机热备(三层上下行交换机
不定期分享一些自己的学习笔记
10-16 3703
华为防火墙双机热备(三层上下行交换机
HUAWEI-Ensp模拟器 双机热备传统方式.docx
11-12
### HUAWEI-Ensp模拟器 双机热备传统方式 #### 双机热备份简介 **定义**:双机热备份(Hot-Standby Backup)是一种高可用性的解决方案,通过设置主用(Master)设备备用(Backup)设备来确保系统的连续性稳定...
什么是双机热备技术?华为思科如何实现双机热备
网络技术联盟站
06-08 3502
双机热备是一种通过在网络设备之间建立冗余的、实时同步的备份系统,以实现在主设备故障时无缝切换到备用设备的高可用性技术。双机热备通常由两个或多个相同配置的设备组成,其中一个设备处于活动状态(主设备),而其他设备处于待命状态(备用设备)。备用设备通过实时同步数据状态信息,以便在主设备发生故障时立即接管网络服务的运行
防火墙对接交换机实现双机热备企业级实战
悦分享
10-04 496
传统的组网方式如图所示,内部用户外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机外部网络之间的通讯将中断,通讯可靠性无法保证。双机热备是应用于服务器的一种解决方案,其构造思想是主机从机通过TCP/IP网络连接,正常情况下主机处于工作状态,从机处于监视状态,一旦从机发现主机异常,从机将会在很短的时间之内代替主机,完全实现主机的功能。
华为防火墙双机热备案例(基于eNSP的防火墙实验)
weixin_50571749的博客
06-21 2301
华为防火墙双机热备的详细配置案例
ensp 双机热备 配置_华为交换机VRRP配置教程(一)
weixin_39924674的博客
12-19 4995
VRRP是一种网关备份负载均衡技术,以实现用户网络的多网关备份负载均衡,主要用于WAN接入线路的备份负载均衡接口双机热备也可以实现主备切换负载均衡,不同之处在于:接口备份是针对同一路由器上多个WAN借口的备份双机热备是针对同一网络位置不同路由器的备份相比vrrp而言,接口备份双机热备应用更灵活、更广泛。在交换机部署VRRP功能时需注意:1、不同备份组之间的虚拟IP地址不能重复,并且必...
华为交换机VRRP负载均衡+双机热备
qq_43036356的博客
03-02 3042
Master设备故障工作过程:当组内的备份设备一段时间(Master_Down_Interval定时器取值为:3×Advertisement_Interval+Skew_Time,单位为秒)内没有接收到来自Master设备的报文,则将自己转为Master设备。一个VRRP组里有多台备份设备时,短时间内可能产生多个Master设备,此时,设备将会对收到的VRRP报文中的优先级本地优先级做比较,从而选取优先级高的设备成为Master。
华为对接cisco链路聚合
m0_62306540的博客
08-18 1681
在对接(或替换)时,需要注意设备的链路聚合模式是手动还是LACP,保证两端的模式一致(即手动手动对接,LACP模式LACP模式对接)且两端物理接口的数量要保持一致。下面分别给出华为设备通过LACP模式对接(或替换)CISCO、H3C、Juniper厂商设备的示例。因为LACP属于公有协议,LACPDU报文一致,所以华为设备能够对接(或替换)支持LACP模式的厂商设备。这里分别给出华为设备CISCO、H3C、Juniper厂商设备之间通过LACP模式链路聚合对接的情况,如。# 配置CISCO设备。
双机热备配置
weixin_64311421的博客
03-28 1303
最后用PC1 ping PC2,如果通了说明实验完成了,ping不通说明小伙伴的策略出现了问题。分别在FW1,FW2上给g1/0/2配置安全区域。现在FW1上修改g1/0/0、g1/0/1配置。在FW2上修改g1/0/0、g1/0/1配置。在浏览器上分别登录防火墙页面。修改FW1的g1/0/2。修改FW2的g1/0/2。在FW1上建立静态路由。在FW2上新建静态路由。在FW2上配置双机热备。在FW1上建立双机热备。FW1为主,FW2为备。
防火墙双机热备
2301_76769041的博客
06-27 848
如图所示,DeviceADeviceB的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.31.1.1.4。现在希望DeviceADeviceB以负载分担方式工作。正常情况下,DeviceADeviceB共同转发流量;当其中一台设备出现故障时,另外一台设备转发全部业务,保证业务不中断。
安全防御:双机热备
最新发布
AXDRXS的博客
07-19 1974
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断.
防火墙双机热备(HCIA)
qq_45022073的博客
12-22 1413
了解什么是双机热备,了解VRRP、VGMP、HRP。
双机热备技术基本原理、配置流程及双机热备的故障解决
bluepangzi的博客
09-06 6654
双机热备技术一、双机热备协议架构(一)VRRP1VRRP状态机2VRRP状态切换3、VRRP的不足(二)VGMP1. 基本原理1)VGMP产生 一、双机热备协议架构 (一)VRRP 1VRRP状态机   加入VRRP备份组的接口有三种状态,只有处于主用状态的设备才可响应ARP请求,转发业务报文。并且发送VRRP报文,主动联系备用设备。 配置完VRRP后,如果接口处于Up状态,则从Initialize状态进入Standby状态。 处于Standby状态的接口,如果超时未收到对端的VRRP通告报文,或
HA双机热备典型功能——HA典型基础配置
君逍遥o
09-26 2586
注意:进行HA 的配置, 硬件软件版本需满足如下要求: 1) 防火墙硬件型号相同; 2) 同型号硬件需要为相同的硬件版本,内存容量,CPU 型号,硬盘容量等相同; 3) 相同的软件版本版本; 4) 设备的所有接口不能工作在 DHCP,PPPOE 模式下。没有使用的接口的IP地址模式也需要选择为“自定义”;
交换机配置自动化脚本
weixin_71005603的博客
02-23 3141
1.右击“SCW.PY”脚本,选择“Edit with IDLE"-->"Edit with IDLE 3.10 (64-bit)"4.登录虚拟机”192.168.255.84“,登录方式为SSH,账号root 密码 XXXXXX。2.在打开的编辑器中,选择”Run"-->"Run Module"3.等待脚本自动运行运行完毕后会显示“备份完成,耗时:XXX秒"5.按路径“/usr/local/tftpboot"找到该目录。6.选择刚备份过来的交换机配置文件,可全选,点击下载按钮。
华为交换机双机热备有哪些协议
05-17
华为交换机双机热备主要采用以下协议: 1. VRRP(Virtual Router Redundancy Protocol):用于实现虚拟路由器冗余,可以将多个路由器组成一个虚拟路由器,实现路由器的冗余备份。 2. HSRP(Hot Standby Router Protocol):也是用于实现虚拟路由器冗余,VRRP类似,但是只有Cisco设备支持。 3. RSTP(Rapid Spanning Tree Protocol):用于实现交换机的快速收敛,可以在网络拓扑变化时快速切换路径。 4. LACP(Link Aggregation Control Protocol):用于将多个物理链路捆绑成一个逻辑链路,实现链路容错负载均衡。 以上协议可以相互配合使用,实现华为交换机双机热备功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值