QQ空间迁移_【华为防火墙双向热备的问题】

最新推荐文章于 2025-06-27 17:10:41 发布
原创 最新推荐文章于 2025-06-27 17:10:41 发布 · 363 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

华为防火墙双向热备的问题

2018-12-25 13:25:52

熟悉华为防火墙的知道华为没有如juniper防火墙那样类似于堆叠的HA技术,一般是通过vrrp虚拟路由来实现防火墙的热备。

当然是用vrrp的技术有点是切换没有延时,主备线路无缝切换。

于是想当然的再本次项目中是用vrrp组成热备。测试结果从内部访问外部的vrrp效果一流,完全满足需求。

配置如下

interface Eth-Trunk10

port-master GigabitEthernet0/0/1 port-slave GigabitEthernet0/0/2

service-manage enable

service-manage ping permit

service-manage ssh permit

interface Eth-Trunk10.10

vlan-type dot1q 10

description to_qianduan

ip address 100.180.10.252 255.255.255.0

vrrp vrid 10 virtual-ip 100.180.10.1 master (备机为slave)

service-manage enable

service-manage ping permit

service-manage ssh permit

interface Eth-Trunk10.20

vlan-type dot1q 20

description to_zhongtai

ip address 100.180.20.252 255.255.255.0

vrrp vrid 20 virtual-ip 100.180.20.1 master (备机为slave)

service-manage enable

service-manage ping permit

service-manage ssh permit

interface Eth-Trunk10.30

vlan-type dot1q 30

description to_DB

ip address 100.180.30.252 255.255.255.0

vrrp vrid 30 virtual-ip 100.180.30.1 master (备机为slave)

service-manage enable

service-manage ping permit

service-manage ssh permit

interface Eth-Trunk10.100

vlan-type dot1q 100

description to_manger

ip address 100.180.100.252 255.255.255.0

ip address 10.100.100.252 255.255.255.0 sub

vrrp vrid 100 virtual-ip 100.180.100.1 master (备机为slave)

vrrp vrid 101 virtual-ip 10.100.100.1 master (备机为slave)

service-manage enable

service-manage http permit

service-manage https permit

service-manage ping permit

service-manage ssh permit

service-manage telnet permit

interface Eth-Trunk10.104

vlan-type dot1q 104

description to_test

ip address 100.180.104.252 255.255.255.0

vrrp vrid 104 virtual-ip 100.180.104.1 master (备机为slave)

service-manage enable

service-manage ping permit

测试结果 很满意,于是依着葫芦画瓢,在外网接口也这么配置,噩梦开始了

配置之后5分钟后网络必断,测试了一个晚上,都没有找到结果,一开始怀疑是vrrp的虚拟mac ISP那么没有收到,通过debug发现虚拟MAC 收到了,没有问题,但网络就是不通。其实以前在hillstone和juniper 防火上遇到过一模一样的问题,通过arp-proxy解决的,可在这里行不通

第二天求助于华为的工程师,给出的答案是不能使用子端口,必须使用物理端口,并且要在接口下vrrp virtual-mac enable

试了一下果真通了,高兴了不到5分钟,又断线了。悲剧中

后来想起天融信防火墙使用的双向NAT技术,不走路由,通过NAT到内网,达到热备的目的。测试了一天发现华为肯定是有双向NAT技术的,只是怎么配置不大清楚,找了一大堆资料,都没有我需要的问题解答。其中最接近的是

https://forum.huawei.com/enterprise/zh/thread-262223.html

后来还是询问华为 通过双向NAT 访问内部,内部PC机不配合网关。 可能是描述的有点问题,华为的人不理我了。

直接自己研究

比如防火墙1的的 ISP g0/0 配置100.100.100.100 g0/1配置 192.168.0.1

pc 配置ip:192.168.0.100 网关配置192.168.0。1

比如防火墙2的的 ISP g0/0 配置200.200.200.200 g0/1配置 192.168.0.2

如果外网要访问内部的PC机就会配置基于目的的NAT映射。这里比如80端口

当任意一个人要访问 192.168.0.100:80 的时候

映射流程是这样的。 如果这个时候由于某些原因pc机无法配置网关,或者说有第二条线路也要访问192.168.0.100:80这个地址 怎么办,就如我们现在遇到的问题PC可以配置多条网关,单只有一个生效

0.0.0.0< =>100.100.100.100:80<>192.168.0.1:xxxx<====>192.168.0.100:80

第二个防火的NAT策略将不生效。

0.0.0.0< =>200.200.200.200:80<> 192.168.0.2:xxxx<====>192.168.0.100:80

想要这两条策略同时生效就要配置NAT地址引入双向NAT。这里我们配置双向地址为 192.168.0.10-20 地址池为test,具体使用test中哪一个地址由防火墙通过计算得到。

那么防火墙1的NAT策略就会变成

0.0.0.0< =>100.100.100.100:80<>192.168.0.1:xxxx<>test:xxxx<>192.168.0.100:80

那么防火墙2的NAT策略就会变成

0.0.0.0< =>100.100.100.100:80<>192.168.0.2:xxxx<>test:xxxx<>192.168.0.100:80

原理就是这么个原理。但是实际配置中遇到很多问题,我也是3天后,从客户现场回到了武汉,突然想起来的。然后验证。

正常的基于目的的NAT映射配置是直接 1<====>4

而基于源地址的映射是 4<====>1

中间是省略2 和3 这两个地址的。

0

1

2

3

4

0.0.0.0

100.100.100.100:80

192.168.0.1:xxxx

test:xxxx

192.168.0.100:80

0.0.0.0

100.100.100.100:80

192.168.0.2:xxxx

test:xxxx

192.168.0.100:80

而我在其他设备上配置的双向NAT的配置规则是 先配置1<>3之间的目的NAT 在配置4<>3直接的源NAT

简单描述就是 当任何人想访问100.100.100.80这个的地址的时候,会映射到test:xxxx这个端口。 然后192.168.0.100:80这个端口会反向映射到test:xxxx完成整个NAT。

按照这个配置思路,发现NAT不通。

于是换个方法 配置目的NAT 1<>4 源NAT 3<>4 不通

把所有的排列组合列出来

1<>3 4<>3

1<>3 3<>4

1<>4 3<>4

1<>4 4<>3

发现最后一种通了, 通了之后,再次想到华为这个双向NAT的逻辑感觉有点操蛋简单描述就是

当任何人想访问100.100.100.100:80这个地址的之后,先直接转换成的192.168.0.100:80

如果这个时候发现还有对应的192.168.0.100:80的源地址转换,就把这个过程打断,突兀的插入一段源地址。

特此记录下来,以免未来遇到类似的问题,想不起来,还可以有记录可查。

配置如下:

Ip link+双向NAT 组成互联网访问内部服务的热备

ip-link check enable

ip-link 1 destination 114.114.114.114 interface GigabitEthernet0/0/0 mode icmp

hrp track ip-link 1 master

nat address-group index 0 name web 100.180.10.15 100.180.10.20

nat server 0 protocol tcp global interface GigabitEthernet0/0/0 www inside 100.180.100.240 www no-reverse

policy 0

actionsource-nat

policyservice service-set http

policydestination address-set 100.180.100.240

address-groupweb

评论(0)

华为防火墙管理方式
ATM_32的博客
12-04 923
AAA介绍 AAA是验证(Authentication )、授权(Authorization)和记账(Accouting)三个英文单词的简称,是一个能够处理用户访问请求的服务器程序,主要目的是管理用户访问网络服务器,为具有访问权的用户提供服务。其中 验证:哪些用户可以访问网络服务器 授权:具有访问权限的用户可以得到哪些服务,有什么权限 记账:如何对正在使用网络资源的用户进行审计 ...
XCIE-HUAWEI-Cisco-思科-华为-华三堆叠(理论+实操)
weixin_48137911的博客
08-19 6522
2.因为传统网络是需要用生成树来阻塞某个口的,那如果少了一个口,那么就相当于少了一个口的性能,相当于1+12,为什么是等于大于2呢,因为堆叠的性能肯定是比单机高的.STP带宽使用率起不来,我接根线,尼玛他是断的.但是堆叠可以完全用上。
堆叠技术 华为华三
Yhz_888的博客
07-12 1789
旧网升级需要用到的堆叠技术
华为防火墙实现远程管理的方式及配置详解
小健健的博客
10-22 7243
关于网络设或是服务器,管理人员几乎很少会守着设进行维护及管理,最普遍、应用最广泛的就是——远程管理。下面简单介绍一下华为防火墙管理的几种方式。 博文大纲:一、华为防火墙常见的管理方式;二、各种管理方式配置详解;1.通过Console线进行管理;2.通过Telnet方式管理;3.通过Web方式登录设;4.配置SSH方式登录设; 一、华为防火墙常见的管理方式 提到管理,必然会涉及到AAA的...
华为为(USG6000)的防火墙:配置远程管理防火墙最常见的几种方式。
向上的信念
08-28 1万+
如图所示: 1.WEB方式:可以基于图形化管理,更适用于新手配置设。 2.SSH方式:配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,如:通过互联网管理公司网络设。 3.telnet方式:配置简单,安全性低,更适用于新手配置设。 一. 配置WEB访问华为防火墙。 配置防火墙的IP地址,启动接口管理模式,配置为web管理。 [Fw]interface GigabitE...
华为防火墙双机配置案例(VRRP、HRP)
WXD优快云的博客
10-14 8505
华为防火墙双机配置案例(VRRP、HRP)
华为防火墙双机配置操作手册
最新发布
qq_58755304的博客
06-27 1488
本手册详细介绍了华为USG6000系列防火墙双机配置方案。通过VRRP和HRP协议实现主冗余,确保网络高可用性。主要内容包括:网络拓扑规划(内网/外网区域、心跳线配置)、基础网络设置(IP地址分配、安全区域划分)、VRRP配置(优先级设定、接口跟踪)、HRP协议配置(会话同步、状态监控)以及安全策略部署。手册还提供了验证方法、高级选项和故障处理指南,强调配置一致性、资源需求和定期测试的重要性。适用于需要构建防火墙高可用性环境的技术人员。
华为防火墙双机简介
qq2353177176的博客
11-15 1014
VRRP提高了主方案,防止单点故障但是防火墙需要VGMP来解决来回路径不一致的问题,将全部VRRP组状态统一管理 //是主全是主,是全是 当切换主的时候,也需要有一定是表项配置才能进行业务不中断,所以需要HRP传递防火墙双机之间状态信息和关键配置命令。
华为防火墙双机实验详解及其命令操作
11-18
内容概要:本文详细介绍了基于华为防火墙的双机配置方法,通过设置VGMP协议和HRP协议实现高可用性和故障恢复能力。主要包括接口配置、VRRP配置、HRP心跳配置以及安全策略等步骤的具体实施。 适合人群:熟悉网络...
华为防火墙双机
weixin_53049621的博客
04-13 4406
双机双机的必要性VGMPVGMP基本原理VGMP组管理HRP协议心跳接口实验和配置实验拓扑图配置结果如图 双机的必要性 在网络关键节点上,如果只部署一台设,无论其可靠性多高,系统都必然要承受因单点故障而导致网中断的风险。防火墙一般用作内网到外网的出口,是业务关键路径上的设。为了防止因一台设故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机组网。 1.份前 2.份后 VGMP 传统份 1.防火墙上多个区域提供双机份功能时,需要在每一台防火墙上配置多个V
华为USG防火墙配置命令
weixin_43465752的博客
09-17 1万+
华为USG防火墙配置命令
ensp配置USG5500防火墙
网工猴的博客
04-14 9825
ensp配置USG5500防火墙 FW1:首先实现内网PC1可以访问到路由器。需要的配置有配置接口地址,安全策略放行,NAT转换,默认路由指到下一跳 [FW1]dis cur 13:20:19 2022/04/04 interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 192.168.1.254 255.255.255.0 service-manage enable service-manage http permit service-man
HCIA secure 笔记1
qq_47529104的博客
02-28 398
1、相同区域不触发华为防火墙的流量监测 需要放行local的情况,别人盗防火墙本身,防火墙到其他接口 安全级别: untrust 5 trust 85 dmz 50 local 100 这个区域登记主要的作用场所是在旧版本的防火墙防火墙的产品线 物理防火墙 防火墙板卡 机架式防火墙 模块化防火墙 虚拟防火墙 6100 低端情况 6300\6500 6300e\6500e(更新后的) 中小型情况 6600 中大型,机架式防火墙 9500 模块化的防火墙,通过模块来进行功能的拓展、模...
华为防火墙实现双机配置详解
小健健的博客
10-26 1万+
一提到防火墙,一般都会想到企业的边界设,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。 博文大纲:一、双机工作原理二、VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状...
基于防火墙的VRRP技术--华为防火墙双机--VGMP
谢公子的博客
08-17 1万+
目录 主份双机配置 负载分担双机配置 为了解决多个VRRP份组状态不一致的问题华为防火墙引入VGMP(VRRP Group Management Protocol)来实现对VRRP份组的统一管理,保证多个VRRP份组状态的一致性。我们将防火墙上的所有VRRP份组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP份组状态。如果VGMP组检测到其中一个V...
华为计算机网络--防火墙双机及其实验配置
爱学习的JackYang的博客
12-15 3209
华为网络 防火墙 双机
华为防火墙配置(双机
热门推荐
1风天云月的博客
12-10 1万+
​ 目录 前言 一、双机概述 1、双机介绍 2、双机的要求 (1)硬件要求 (2)软件要求 (3)License要求 3、心跳线 4、心跳线和心跳接口的配置 5、心跳线和心跳接口的配置注意事项 6、双机工作模式 (1)主份模式 (2)负载分担模式 7、VGMP组 8、VGMP组的状态 二、双机配置 1、案例 2、配置过程 (1)USG1 (2)USG2 (3)AR1 (4)SW1 3、测试 (1)PC1 (2)PC2 结
Huawei交换机配置两台交换机堆叠示例
weixin_34162695的博客
12-25 1万+
****配置两台交换机堆叠示例(先配置后连线方式,推荐) 组网图形 图1 配置两台交换机堆叠组网图 组网需求在一个新建的企业网络中,要求接入设具有充足的端口数目,并且希望网络结构简单,易于配置和管理。如图1所示,接入交换机SwitchA和SwitchB组成堆叠系统。配置思路采用如下的思路配置: 提前规划好堆叠方案。 按照前期的规划,完成各台交换机的堆叠配置,包括堆叠成员ID、堆叠优先级、堆...
华为防火墙简单介绍
weixin_53049621的博客
04-08 7299
防火墙防火墙分类第一代防火墙:包过滤防火墙包过滤防火墙的缺点第二代防火墙:代理防火墙第三代防火墙:状态防火墙第四代防火墙:UTM防火墙第五代防火墙:下一代防火墙华为防火墙介绍安全策略防火墙的会话表 防火墙分类 第一代防火墙:包过滤防火墙 属于第一代防火墙技术,在没有专用防火墙时,一般由路由器实现该功能。将网络上传送数据包的IP首部以及 TCP/UDP首部,获取发送源的 IP地址和端口号,以及目的地的IP地址和端口号,并将这些信息作为过滤条件,决定是否将该分组转发至目的地网络分组过滤的执行需要设置访问控制
华为防火墙双机配置
03-19
### 华为防火墙双机配置教程 #### 1. 基础概念 为了实现华为防火墙的双机功能,需理解几个核心协议和技术: - **VGMP(Virtual Gateway Multicast Protocol)**:用于管理VRRP组中的主状态切换[^1]。 - **HRP(Hot Standby Router Protocol)**:负责在主之间同步会话表和其他必要信息,确保业务连续性[^2]。 #### 2. 实验环境准 本实验基于华为eNSP模拟器搭建网络拓扑。以下是基本需求: - 至少两台USG系列防火墙作为主节点。 - 上下行各一台二层交换机,分别运行VRRP协议以配合防火墙完成主切换。 #### 3. 配置步骤概述 以下是具体的配置流程: ##### 3.1 启用HRP并设置优先级 在每台防火墙上启用HRP功能,并定义其角色为主或。例如,在主防火墙上执行如下命令: ```shell hrp enable hrp mirror session enable hrp interface Vlanif 100 hrp priority 60 ``` 上述命令中`Vlanif 100`表示心跳接口所在的虚拟局域网接口,而`priority`参数决定了该设成为主设的可能性大小,默认值为50[^3]。 ##### 3.2 心跳检测机制调整 根据实际部署情况修改心跳报文发送频率以及超时时间阈值,增强系统的可靠性与响应速度。比如可以这样设定: ```shell hrp heartbeat interval 1 hrp preempt delay 20 ``` ##### 3.3 数据同步范围指定 为了让防火墙能够接管正在进行的数据流而不影响用户体验,必须开启相应的数据同步选项: ```shell hrp auto-sync config undo hrp auto-sync blacklist all ``` 这里取消黑名单限制意味着允许几乎所有的配置项被自动复制到另一端。 ##### 3.4 测试验证 最后通过抓包工具或者日志查看等方式确认整个过程正常运作无误之后才算真正完成了全部工作。 #### 4. 注意事项 - 确保所有涉及的心跳线路畅通无阻,任何单点故障都可能导致整体失效风险增加。 - 定期检查硬件健康状况尤其是电源模块部分因为它们直接影响供电稳定性进而关系到整套方案能否长期稳定运转下去。 ```python print("以上即为华为防火墙双机的基础配置方法") ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值