华为防火墙双机热备HRP配置

已于 2023-03-05 14:44:16 修改
阅读量7.1k 收藏 46
点赞数 4
分类专栏: 华为学习日记 文章标签: 服务器 网络 负载均衡
于 2022-10-18 12:13:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ddfgxfgg/article/details/127385851
版权
本文档详细介绍了如何配置两台防火墙FW1和FW2的VRRP(虚拟路由冗余协议)和HRP(高速冗余协议),以实现主备切换和流量负载均衡。配置包括接口IP地址、VRRP虚拟地址、防火墙区域、心跳线设置以及安全策略,确保在FW1和FW2之间实现高可用性和故障切换。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

FW1
#
interface GigabitEthernet1/0/0    
 undo shutdown
 ip address 192.168.1.10 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.1.254 active          //配置FW1处于untrust的接口的vrrp 虚拟地址为192.168.1.254 并且加入VGMP的主动组active内
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.10 255.255.255.0
 vrrp vrid 1 virtual-ip 10.1.1.254 active		配置FW1处于trust的就接口的vrrp 虚拟地址为10.1.1.254 并且加入VGMP的主动组active内
#
interface GigabitEthernet1/0/5
 undo shutdown
 ip address 172.16.1.1 255.255.255.0		//心跳线地址,不参与业务流量的转发,只进行状态同步和配置同步
#
#
firewall zone trust             
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz				//将心跳口加入dmz区域
 set priority 50
 add interface GigabitEthernet1/0/5
#
 hrp interface GigabitEthernet1/0/5 remote 172.16.1.2    //设置心跳线端口和对端地址 在FW1上写对端接口地址,FW2反之
#
 hrp enable                             //启动hrp

#
//使用dis hrp state 查询状态是否建立成功。
命令第一行会显示对端和自己端处于的优先级
#
同步成功以后,配置安全策略会显示(+B)并且不能在备设备上进行配置。默认为负载均衡状态
#
hrp standby-device 在备设备上使用该命令调整为双机热备主备备份状态,备不参与流量转发
#
security-policy			//配置安全策略让pc1可以使用icmp协议ping通pc2
 rule name 1-2
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  destination-address 192.168.1.1 mask 255.255.255.255
  service icmp
  action permit
#

FW2

FW1
#
interface GigabitEthernet1/0/0    
 undo shutdown
 ip address 192.168.1.20 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.1.254 standby          //配置FW1处于untrust的接口的vrrp 虚拟地址为192.168.1.254 并且加入VGMP的主动组standby内
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.1.20 255.255.255.0
 vrrp vrid 1 virtual-ip 10.1.1.254 standby		配置FW1处于trust的就接口的vrrp 虚拟地址为10.1.1.254 并且加入VGMP的主动组standby内
#
interface GigabitEthernet1/0/5
 undo shutdown
 ip address 172.16.1.2 255.255.255.0		//心跳线地址,不参与业务流量的转发,只进行状态同步和配置同步
#
#
firewall zone trust             
 set priority 85
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/0
#
firewall zone dmz				//将心跳口加入dmz区域
 set priority 50
 add interface GigabitEthernet1/0/5
#
 hrp interface GigabitEthernet1/0/5 remote 172.16.1.1    //设置心跳线端口和对端地址 在FW1上写对端接口地址,FW2反之
#
 hrp enable                             //启动hrp

#
//使用dis hrp state 查询状态是否建立成功。
命令第一行会显示对端和自己端处于的优先级
#
同步成功以后,配置安全策略会显示(+B)并且不能在备设备上进行配置。默认为负载均衡状态
#
hrp standby-device 在备设备上使用该命令调整为双机热备主备备份状态,备不参与流量转发
#
security-policy			//配置安全策略让pc1可以使用icmp协议ping通pc2
 rule name 1-2
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.1 mask 255.255.255.255
  destination-address 192.168.1.1 mask 255.255.255.255
  service icmp
  action permit
#

华为防火墙双机热备-HRP
qq_32044265的博客
07-21 7522
为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了 HRP( Huawei Redundancy Protocol)协议,实现防火墙双机之间动态状态数据和关键配置命令的备份。...
华为防火墙-双机热备
m0_59605653的博客
01-17 3948
双机热备是两台设备共同承担业务流量,以此来提高可靠性的技术。两台设备之间通过“心跳线”进行连接。当主用设备故障时,备用设备可以平滑接替主用设备工作。
华为防火墙双机热备配置案例(VRRP、HRP
WXD优快云的博客
10-14 6396
华为防火墙双机热备配置案例(VRRP、HRP
防火墙双机热备(主备分担)
最新发布
YancyYue颜悦的专栏
03-18 984
防火墙的主备分担实验
华为eudemon 200E的hrp双心跳热备配置
weixin_34393428的博客
07-26 384
本文为大家介绍使用两台华为Eudemon200E防火墙实现双机双心跳的HRP热备的配置实例,主要的知识点包括:华为防火墙HRP、VRRP的配置,定义防火墙区域。 一、网络拓扑:    二、配置要求: 1、两台防火墙为E200E-A和E200E-B,在两台防火墙配置HRP和VRRP,实现双机双心跳热备。   2、定义防火墙区域DMZ,把Eth-Trunk1划分到DMZ区域。  ...
华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置
博客之路,前途漫漫
05-06 6502
华为防火墙双机热备是一种高可用性解决方案,可以将两台防火墙设备组成一个双机热备组,实现主备切换。当主用防火墙出现故障时,备用防火墙可以自动切换为新的主用防火墙,确保网络流量不中断。
华为防火墙通用配置
you_ranxi的博客
11-25 1191
用户名:admin 密码;Admin@123 第一次配制时,可以设置本地IP自动获取。也可以设置成IP 192.168.0.X/255.255.255.0 防火墙的IP: 192.168.0.1 配制如下: # sysname USG2130 # web-manager enable # info-center source default channel 4 log level not...
华为防火墙双机热备实验详解及其命令操作
11-18
内容概要:本文详细介绍了基于华为防火墙双机热备配置方法,通过设置VGMP协议和HRP协议实现高可用性和故障恢复能力。主要包括接口配置、VRRP配置HRP心跳配置以及安全策略等步骤的具体实施。 适合人群:熟悉网络...
华为防火墙双机热备案例(基于eNSP的防火墙实验)
weixin_50571749的博客
06-21 2416
华为防火墙双机热备的详细配置案例
华为防火墙双机热备配置及组网.doc
10-07
"华为防火墙双机热备配置及组网" 华为防火墙双机热备配置是一种冗余备份的功能,旨在提供防火墙的高可用性和避免业务中断。在防火墙双机热备组网中,分为路由模式下的双机热备组网和透明模式下的双机热备组网。下面...
防火墙双机热备
Limit_23的博客
07-27 2162
FW_A作为VRRP备份组1和3的Master设备,VRRP备份组2和4的Backup设备;分别将两台交换机的三个接口加入同一个VLAN(华为设备接口默认在VLAN 1),将内网PC1的默认网关设置为VRRP备份组3的虚拟IP地址10.3.0.1,内网Client1的默认网关设置为VRRP备份组4的虚拟IP地址10.3.0.2。配置R1接口地址,且在Router上配置到内网的等价路由,路由下一跳分别指向VRRP备份组1和VRRP备份组2的虚拟IP地址。双机热备状态成功建立后,在FW_A上配置安全策略。
华为防火墙双机热备
07-15
VRRP在防火墙中应用的要求: VRRP状态的一致性。 会话表状态备份 VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。
华为防火墙双机热备配置手册
12-01
华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
华为防火墙的基本配置
weixin_39899118的博客
02-09 2779
防火墙基本配置
华为防火墙配置笔记
weixin_30375247的博客
07-05 7080
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
【技术分享】华为防火墙双机热备
XMWS-IT
06-09 1592
通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测,引流的方式为静态路由方式。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。在FW_A和FW_B上分别执行命令display firewall session table,可以看到FW_A存在会话,说明通过核心交换机的流量被引导到了FW,且双机热备主备备份配置成功。FW_A上配置的安全策略会自动备份到FW_B上。在FW_A和FW_B上分别执行display hrp state verbose命令,查看双机热备的状态。
华为_防火墙双机热备
玩IT的川
07-09 1280
防火墙双机热备 双机热备的工作原理: 故障隔离,简单的讲,高可用(热备)就是一种利用故障点转移的方式来保障业务连续性。其业务的恢复不是在原服务器,而是在备用服务器华为双机热备是通过部署两台或多台防火墙实现热备以及负载均衡的,两台防火墙相互协同工作,犹如一个更大的防火墙...
华为华为防火墙双机热备
2301_77161465的博客
05-01 1684
本篇文章主要是讲华为防火墙双机热备,主要是以CLI界面来配置双机热备用到了VRRP(网关冗余技术)、VMGP和HRP华为心跳协议),里面有详细的配置,可以放心食用呀
华为防火墙双机热备
Tony_long7483的博客
03-05 727
1.FW1配置 配置各接口加入相关区域 [FW1]firewall zone trust [FW1-zone-trust]add interface GigabitEthernet 1/0/1 [FW1]firewall zone untrust [FW1-zone-untrust]add int g1/0/4 [FW1]firewall zone dmz [FW1-zone-dmz]add interface g1/0/3 [FW1-GigabitEthernet1/0/1]service-manage.
出口层防火墙双机hrp
01-23
### 出口层防火墙双机HRP配置与故障排除 #### 配置概述 在企业网络环境中,为了提高系统的可靠性和可用性,通常会采用两台华为USG系列防火墙组成双机组件来实现高可靠性。这两台设备通过HRP(Hot Standby Router Protocol)协议协同工作,在一台作为主用(active),另一台则备用(standby)。当活动节点发生故障时,备用节点能够迅速接管业务流量,从而保障服务连续性。 #### HRP基本原理 HRP是一种专用于华为安全产品的冗余机制,它允许两个相同型号的防火墙之间同步配置数据和服务状态信息。其中一台被指定为主设备(active),负责处理实际的数据流;而另外一台则是备选设备(standby), 它会在检测到主设备失效的情况下自动转换成新的主设备继续提供服务[^1]。 #### 关键组件说明 - **VGMP 组**: Virtual Gateway Management Protocol group 是指由多个虚拟路由器组成的管理实体,用来控制整个HA集群的行为模式。 - **VRRP 组**: Virtual Router Redundancy Protocol groups 表示具体的网关实例,它们分别对应不同的物理接口,并决定了该接口上IP地址所属权的状态——即谁是当前活跃者(active) 谁是非活跃者 (standby). 对于给定的信息显示,“此防火墙`config state`为Standby”,意味着这台防火墙在整个HRP体系里扮演着从属角色,其所有参与HRP保护下的逻辑路由都处于等待状态。具体来说: - 接口 `GigabitEthernet1/0/0` 和 `GigabitEthernet1/0/1` 上设置有 VRRP 实例(`vrid 1`, `vrid 2`) 并且均标记为 standby 状态,表明这两个端口上的 IP 地址目前不属于本机而是归属于对端 active 设备所持有. 因此选项 B 描述正确:“此防火墙 G1/0/0 和 G1/0/1 接口的 VRRP 组状态为 standby”。 #### 故障排查指南 如果遇到 HRSP 双机热备无法正常切换的问题,可以按照以下方法进行初步诊断: 1. 检查链路连通性:确认两台防火墙之间的直连接口是否能互相 ping 通; 2. 查看日志记录:利用命令行工具如 `display logbuffer` 来获取最近的操作事件和错误提示; 3. 核实版本兼容性:确保双方运行相同的软件版本以及补丁级别; 4. 测试心跳信号:执行 `debugging hrp packet all` 开启调试功能观察是否有异常的心跳包丢失现象; 5. 复位 HA 设置:尝试清除现有 HA 数据并重新建立关系以排除潜在冲突。 ```bash # 清除现有的HA配置 reset hrp configuration ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

li工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值