防火墙之双机热备知识点总结

原创 已于 2025-04-16 22:03:37 修改 · 1.3k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能路由器 #网络

于 2025-04-16 22:02:44 首次发布

目录

防火墙的可靠性

VRRP

MASTER:主设备

backup:备网关

Initialize:初始化 

VGPM----vrrp Group Mannagement Protocol---华为的私有协议

对VGMP切换过程的工作过程:

主备形成的场景:

FW1接口故障的情景:

HRP

 状态信息----会话表,server-map状态,黑名单,白名单

各场景分析

1 主备形成场景:

接口故障形成场景(上面已经讲了过程)

 简要分析和注意:

2 主备故障--整机故障

3 原主设备故障恢复的场景

过程分析:

4 负载分担场景

防火墙的可靠性

因为防火墙他不仅需要同步我们的配置信息,还要将我们的状态信息(如:会话表),所以,防火墙不能像路由器那样配置动态协议来实现切换,需要用到双击热备技术

1,双机:现在的华为设备只能支持两台设备的冗余

2,热备:两台设备共同运行,其中主设备主要传通过的流量和检测,备设备也会开启,但是只是为了能够实现快速的切换,能够立即进行切换(冷备:只有当主设备出现问题过后,另外一台防火墙再由网络管理员进行切换,会造成长时间的业务中断)

VRRP

讲到冗余技术,除了现在提到的双机热备,之前我们在IP的时候也学过一种网关的冗余技术--VRRP

对于VRRP他的状态目前有:

MASTER:主设备

backup:备网关

Initialize:初始化 

 这里因为学到了防火墙的双机热备,那我们肯定要学一个新的技术,他是华为的私有协议

VGPM----vrrp Group Mannagement Protocol---华为的私有协议

因为VRRP彼此之间是相互独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙的双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理

对VGMP切换过程的工作过程:

前言:首先,如果FW1是主设备,那他里面会有个active组(主),那我们的FW2里面就是standby组(备),主设备的优先级为65001 备设备为65000

主备形成的场景:

1,FW1为主后,里面的active组被激活,,并且将上下两个VRRP组拉入到VGMP的active组中,并且状态都为ACTIVE;

2,FW2为备后,FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入到standby组里面,并且状态都为standby

3,主设备的上下两个VRRP组将发送免费的ARP(因为现在我是主设备,我要告诉他们,

最低0.47元/天 解锁文章
防火墙——双机热备理论讲解
m0_49864110的博客
04-22 2万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。
防火墙双机热备
qq_67758645的博客
07-17 2790
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
实验一(防火墙双机热备
最新发布
qq_63120548的博客
10-21 358
1.让PC1能够ping通CK2.让HJ、NBHX1、NBHX2三台交换机使用vpn实例进行ssh登录3.当FW1上防火墙的链路故障时,流量能从主切换到备上且从PC1上长ping不丢包。
防火墙防火墙双机热备
2301_76769041的博客
08-30 6738
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
防火墙--双机热备
banliyaoguai的博客
07-17 3138
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。再创建一个VGMP组,两台设备互为两个VGMP组的主设备,然后这种情况可能会两条链路都会走,如下图上去的时候走1这边,下去的时候走二这边,所以是不是两台设备需要快速同步状态信息,不然业务就会收到影响。
防火墙技术基础篇:eNSP配置防火墙主备备份的双机热备
qq_39241682的博客
05-29 9304
防火墙双机热备(High Availability, HA)技术是网络安全中的一个关键组成部分,通过它,我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。
防火墙双机热备及入侵检测
weixin_57949883的博客
03-21 1487
相当于一个“监控系统”进行实时监控,一旦有陌生人进入或内部人员有越界行为,它会发现情况并发出警告。IDS是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。专业上来讲,IDS(入侵检测系统)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。它不跨接多个物理网段(通常只有一个监听。
mysql双机热备
03-29
总结下来,回答的结构应该是先介绍双机热备的两种模式(主从和主主),然后分步骤详细说明配置过程,包括修改配置文件、创建用户、配置复制链路,最后给出最佳实践的建议和常见问题处理。同时,确保使用正确的LaTeX...
SqlServer双机热备:共享存储配置实战教程
总结起来,这份教程提供了从基础防火墙设置到高级SQL Server配置的全套指导,适用于希望通过共享磁盘阵列实现SQL Server双机热备的IT专业人员。在实施过程中,细致的操作步骤和注意事项能帮助读者顺利搭建高可用的...
RHEL5(X64)双机热备安装数据库实践指南
RHEL5(X64)双机热备 —— 安装数据库 1. 环境准备 在安装数据库之前,需要确保RHEL5(X64)系统已正确安装。这通常包括操作系统本身、...对于IT专业人员来说,理解并熟练掌握这些知识点是实施双机热备环境的前提。
华为防火墙-双机热备
m0_59605653的博客
01-17 4602
双机热备是两台设备共同承担业务流量,以此来提高可靠性的技术。两台设备之间通过“心跳线”进行连接。当主用设备故障时,备用设备可以平滑接替主用设备工作。
VGMP协议、VGMP场景和HRP协议详解
V_vevive的博客
07-14 2842
VGMP(VRRP Group Management Protocol),VRRP组管理协议,是实现对多个VRRP组进行统一管理的协议。该协议由H3C公司开发,是一种私有协议,广泛应用于华为防火墙网络设备上,是配置防火墙双机热备技术的一大基础协议。VGMP协议是在VRRP协议的基础上开发而来的,其最主要的作用便是集中管理VRRP备份组,控制VRRP状态的统一切换。:HRP---华为冗余协议---华为的私有协议---可以同步防火墙上的配置和状态信息。
防火墙————双机热备
xiazhui1的博客
11-17 2231
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
华为防火墙双机热备(主备分担)
YancyYue颜悦的专栏
03-18 3513
防火墙的主备分担实验
防火墙双机热备
dz804355207的博客
06-14 1526
两台FW之间通过一条独立的链路连接(可以跨交换机、路由器或者直连)传递双端FW的状态、配置等信息,不传递业务报文,称之为心跳线,心跳线两端端口被称为心跳端口。对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等。
防火墙双机热备配置
zszfs的博客
10-26 3531
防火墙双机热备实验
04-防火墙双机热备
qianlai22的博客
03-05 9657
双机热备的系统要求 硬件要求 组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。 两台FW的硬盘配置可以不同。例如,一台FW安装硬盘, 另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。 软件要求 组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。 实际上,在系统软件版本升级或回退
防火墙————负载分担双机热备
zj2059129607的博客
11-17 1388
VRRP(Virtual Router Redundancy Protocol)是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。在FW上配置VRRP时,是将两台FW上编号相同的接口加入一个VRRP备份组。一个VRRP备份组相当于一台虚拟路由设备,拥有虚拟IP地址和虚拟MAC地址。网络内主机将其网关设置为VRRP备份组的虚拟IP地址。这些主机都是通过虚拟路由器与外部网络通信。和。
防火墙双机热备配置实例(一)
永远是少年
07-31 5079
今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式。 一、实验目的及拓扑 实验拓扑如上所示,现在两台防火墙上下行设备都是交换机,防火墙都是运行于路由模式,现在要求按照图示要求配置防火墙A/S模式双机热备组网。 二、实验配置命令 (一)接口VRRP配置命令 在本实验中,防火墙双机热备检测的是接口上的VRRP状态,其命令配置与普通VRRP配置大致相同,但是vrrp后面必须配置active或者standby表明此VRRP
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fatsheep洋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值