防火墙双机热备(HCIA)

最新推荐文章于 2025-10-29 15:03:09 发布
原创 最新推荐文章于 2025-10-29 15:03:09 发布 · 2.4k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络安全 #运维

文章讲述了冗余分类的重要性,介绍了双机热备(包括热备和冷备)、VRRP的原理、注意事项及通告报文,VGMP的组管理,以及HRP的心跳线和数据同步机制。详细列出了双机热备的基本组网与配置步骤。

目录

一、冗余分类

1、双机热备的产生

2、热备和冷备

二、VRRP

VRRP注意事项

VRRP通告报文

三、VGMP

两种VGMP组

VGMP优先级

四、HRP

五、双机热备基本组网与配置

配置步骤

一、冗余分类

物理冗余:单设备改多设备,多线路连接。

网络冗余:多线路,保障网络冗余性,单条链路挂掉,还能走另一条。

设备冗余:交换机堆叠、关类做双机热备。

链路冗余:线路做链路聚合。

1、双机热备的产生

传统的组网方式,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。

双机热备:两台或多台设备解决单台机器的单点故障。

2、热备和冷备

热备:实时备份,业务中断时间短。

冷备:手动备份/离线备份,业务中断时间久,需要人为干预。

二、VRRP

VRRP虚拟路由冗余协议:在一个广播域内将多台路由器的接口,加入同一个逻辑备份组,备份组有一个虚拟IP地址,这个虚拟的IP地址只有主设备会响应。

虚拟MAC:每一个VRRP备份组,都会有自己的虚拟MAC地址。

VRRP注意事项

1、在一个VRRP组中,收到ARP请求,只有主设备会响应这个请求。

2、ARP应答中MAC地址为这个VRRP组中虚拟MAC地址。

3、交换机具备学习的功能,会把接口跟这个虚拟MAC做映射。

4、PC会记录ARP映射表。

5、PC会把这个虚拟MAC地址进行封装后发送。

VRRP通告报文

VRRP通告报文:组播报文224.0.0.18,只有组设备会周期性(1s)在该广播域内发送,3倍hello时间没收到VRRP通告报文,进行VRRP主备切换,备设备切换为主设备,并在该广播域发送免费ARP(检测IP地址是

最低0.47元/天 解锁文章
防火墙——双机热备理论讲解
m0_49864110的博客
04-22 2万+
本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表。两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断。开启自动备份后,当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时,会直接备份到备用设备上。
高可用性和双机热备浅析
ldcaws的专栏
05-30 2114
在用户眼里,业务需要永远正常对外提供服务,这就要求应用系统的高可用(High availability,即 HA)。高可用主要是针对架构而言,第一步一般会采用分层的思想将一个庞大的应用系统拆分成应用层、中间件、数据存储层等独立的层,每一层再拆分成更细粒度的组件;第二步就是让每个组件对外提供服务,毕竟每个组件都不是孤立存在的,都需要互相协作,对外提供服务才有意义;第三步就是保证架构中所有组件以及对外暴露服务都要做到高可用,任何一个组件或其服务没做高可用,都意味着系统存在风险。
华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象
muxia_jhy的博客
01-22 9379
华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【优快云博客】 https://blog.youkuaiyun.com/qq_38265137/article/details/80349439 官方教材《HCIA-Securty实验手册V3.0》...
双机热备技术详解:从原理到实践
最新发布
百锦再的博客
10-29 994
双机热备技术通过主备服务器架构确保关键业务持续运行,主要包括三种工作模式:热备(Active/Standby)、互备和双工(Active/Active)。其核心机制包括心跳检测、数据同步(共享存储或镜像)和故障自动切换。主流实现方案有基于共享存储的标准方案和纯软件方案,各具优缺点。系统设计需重点考虑切换时间、数据一致性(防止脑裂)和性能负载。实施过程涵盖前期规划、硬件部署、网络配置和全面测试。该技术为服务器故障提供自动恢复能力,显著提升系统可用性,是保障关键业务连续性的重要解决方案。
防火墙————主备备份双机热备
zj2059129607的博客
11-17 3015
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。双机热备典型组网图。
keepalived 实现双机热备
weixin_42132143的博客
07-18 2223
当我们配置好了双机热备后,两台节点之间会产生一个 vip,他同一时间只会漂移到一个节点上,我们可以用这个 vip 访问该节点的资源,他就如同你使用这个节点原本的 ip 去访问他一样。我们经常听说 nginx + keepalived 双机热备,其实在这里,双机热备只是利用 keepalived 实现两个节点的故障切换,当主节点挂了,备用节点顶上,保证高可用群集中的热备效果。这时,我们手动去停掉主节点,或者直接 kill 掉主节点的 keepalived 的进程。他会自动切换到备节点。
¤转 Mysql双机热备实现
yunnick的专栏
04-11 1666
  ★预备知识 :1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。 从狭义上讲,双机热备就是使用互为备份的两台服务器共同执行同一服务,...
双机热备
dodo
10-16 1445
  什么是双机热备?  双机热备这一概念包括了广义与狭义两
HCIE-Security Day13:防火墙双机热备实验(一)防火墙直路部署,上下行连接交换机
小梁的博客
02-15 2596
实验一:防火墙直路部署,上下行连接交换机 需求和拓扑 企业的两台FW的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点,运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW_A转发。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。 操作步骤 1、配置接口地址和安全区域 注意心跳线要加入同一安全区域,内网设备的默认网关地址是vrrp备份组2的虚拟ip地址。 2、配置路由 ...
【技术分享】华为防火墙双机热备
XMWS-IT
06-09 1757
通过核心交换机的流量都会被引流到旁挂的FW上进行安全检测,引流的方式为静态路由方式。当FW_A出现故障时,流量通过FW_B转发,保证业务不中断。在FW_A和FW_B上分别执行命令display firewall session table,可以看到FW_A存在会话,说明通过核心交换机的流量被引导到了FW,且双机热备主备备份配置成功。FW_A上配置的安全策略会自动备份到FW_B上。在FW_A和FW_B上分别执行display hrp state verbose命令,查看双机热备的状态。
HCIA-SEC笔记10------防火墙双机热备技术
weixin_44747184的博客
11-14 670
HCIA-SEC课程之防火墙双机热备技术
双机热备(定时,实时同步数据)
11-05
rsync的一个插件,用于实现俩台机器间的实时数据同步,另包含俩份文档,一份定时同步操作步骤,一份实时同步操作步骤
精选资源
华为HCIA-Security培训视频 下.rar
08-13
6-3防火墙双机热备原理mp4 6-4防火墙双机热备配置mp4 7-1复习防火墙转发原理mp 4 7-2防火墙用户管理mp4 7-3会话认证及免认证配置mp4 7-4入侵防御介绍mp4 7-5入侵防御配置案例mp4 7-6入侵防御配置案例续mp4
防火墙双机热备
qq_67758645的博客
07-17 2813
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会其他组同步切换,而在防火墙双机热备场景下,上下有俩个VRRP组,需要同步切换,使用传统的上行链路监控,比肩复杂,因为要监控所有的接口。冷备的概念:仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断。每个组里面有两个状态,一个active状态,一个standby状态。5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切。
防火墙————双机热备
xiazhui1的博客
11-17 2332
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
华为计算机网络--防火墙双机热备及其实验配置
爱学习的JackYang的博客
12-15 3246
华为网络 防火墙 双机热备
防火墙双机热备
qixusiyu的博客
07-16 1861
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理。hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上。3,快速备份 : 该备份方式仅针对负载分担的场景。
理论+实操:防火墙双机热备
Lfwthotpt的博客
02-15 6377
文章目录一:双机热备的工作原理1.1 双机热备概述1.2 VRRP(虚拟路由冗余协议Virtual Router Redundancy Protocol)1.3 VGMP二:双机热备配置2.1 双击热备的备份方式2.2 开启双机热备功能2.3 配置自动备份模式2.4 配置手工批量备份模式2.5 配置快速备份模式2.6 连接路由器时的双机热备三:实操配置3.1 环境3.2 需求3.3 思路步骤3.4...
防火墙防火墙双机热备
2301_76769041的博客
08-30 6762
双机热备需要两台硬件和软件配置均相同的华为防火墙,两台华为防火墙之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”,两台华为防火墙通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等),当一台防火墙出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
全面解析华为HCIA-Security培训教程及网络安全要点
17. 防火墙双机热备原理:讨论双机热备的概念和优势,以及在华为防火墙中如何实现高可用性。 18. 防火墙双机热备配置:展示如何在实际环境中配置双机热备,以确保网络的稳定运行。 19. 防火墙用户管理及认证:介绍...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数通工程师小明

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值