华为防火墙双机热备(详细介绍VRRP,VGMP)

一.双机热备的工作原理
华为的双机热备是通过部署俩台或多台防火墙实现热备及负载均衡,俩台防火墙相互协同工作,犹如一个更大的防火墙

  • 双机热备概述
    随着互联网的发展,人们生活中的大多数问题可以通过网络解决,但与此同时,网络安全问题也逐渐暴露出来。
  • 华为防火墙的双机热备包含以下俩种模式

1.热备模式:同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。

2 负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙是主设备也是备份设备,防火墙之间同步会话表及Server-map表
负载均衡模式下,针对一些流量(如黑色圈流量),FW1是主用设备,Fw2是备用设备,所以该流量默认通过FW1转发,而针对另外一些流量(灰色流量),FW2是主设备,FW1是备用设备,所以改流量默认通过FW2转发,FW1又作为(灰色)流量的备用设备,当FW2损坏时,FW1依然可以转发(灰色)流量,同理,FW2也可以在FW1损坏时转发(黑色)流量

  • VRRP
    在双机热备技术中,即使选举出了主用设备和备用设备,默认情况下流量也通过主用设备转发,而备用设备处于备份状态
    1.VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)由IETF进行维护,用来解决网关单点故障的路由协议,VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备
(1)VRRP路由器:运行VRRP协议的路由器
(2)虚拟路由器:由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组,一个备份组对客户端提供一个虚拟网关
(3)VRID:virtual Router ID ,虚拟路由器标识,用来唯一的标识一个备份组
(4)虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应
(5)虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址
(6)IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者
(7)优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备份设备
(8)抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为新的主用路由器
(9)非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举
  • VRRP的工作原理和之前介绍的Cisco的HSRP基本相同,只是在细节上有一些区别
  • VRRP是公有协议,而HSRP是Cisco私有协议
  • VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以
  • VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0c-07-AC-组号
  • VRRP的状态机有三个,而HSRP的状态机包含五个(初始,学习,监听,发言,备份,活动)
  • VRRP只有一种报文,HSRP有三个(hello,政变,辞职)
  • VRRP不支持接口跟踪,而HSRP支持
  1. VRRP的角色
    工作在VRRP模式下的路由器有俩种角色,分别是Master路由器和Backup路由器
    Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每个1s向其他路由器通告Master路由器当前的状态信息

Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器,接替转发数据包的工作,从而保证业务不中断
2.VRRP的状态机
VRRP定义了三种工作状态,分别是
Initalize状态,Master状态,Backup状态

3.VRRP的工作原理
VRRP选举Master路由器和Backup路由器的流程如下
首先选举优先级的设备成为Master路由器,如果路由器相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为Master路由器,而备份组中的其他路由器将成为Backup路由器


  • VGMP
    工作原理

    VGMP的工做原理表现如下:
1.VGMP的状态决定了VRRP备份组的状态,即设备的角色(Master和Backup)不再通过VRRP报文选举,而是通过VGMP同意管理

2.VGMP的状态通过比较优先级决定,优先级高的VGMP将成为Active,优先级低的VGMP组成为Standby

3.默认情况下,VGMP组的优先级为45000

4.VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize

5.VGMP通过心跳线协商VGMP状态信息

VGMP的工作原理

  • 双机热备的备份方式
1.自动备份:该模式下,和双机热备相关的配置命令只能在主用路由器设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中
2.手工批量备份:主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会同步到备用设备
3.快速备份:不同步配置命令,只同步状态信息

开启双机热备功能


配置自动模式备份

开启双机热备后,执行可以同步的命令时会有(+B)的提示


配置快速备份命令

案例如下:

1.配置IP略(路由器配置一条默认路由,下一跳为虚拟IP的10.1.1.100 ,PC1网关为下游的虚拟IP192.168.1.100)
ip route-static 0.0.0.0 0.0.0.0 10.1.1.100
2.接口加入到安全区域并配置安全策略(FW1和FW2配置一样)

3.配置VRRP备份组(FW1与FW2配置)

FW2配置

4.配置心跳接口

5.启用双机热备

6.配置备份方式

FW1配置如下

FW2配置如下


7.配置检查及检查

查看双机热备的状态信息

查看心跳接口状态

在PC1上ping路由器R1

可以ping IP地址 -t 一直ping 然后把FW1的 g0/1/2 口shudown掉,会发现ping的过程中丢掉了俩个包

也可以查看安全规则及会话表

!!!!!!!!!!!!!!!!!!!!!!!!!

原文地址:https://blog.51cto.com/14400213/2446579

时间: 2024-08-29 03:58:10

华为防火墙双机热备(详细介绍VRRP,VGMP)的相关文章

华为防火墙——双机热备技术

本章目的: * 理解VRRP的工作原理 * 掌握VGMP的使用场景 * 理解双机热备的工作原理 * 掌握双机热备状态的查看方法 1.双机热备概述 单一链路存在的问题: 如上图所示,企业中在关键的业务出口部署一台防火墙,使用的对外流量都经过防火墙传输,一旦防火墙出现故障,那么企业将面临网络中断的问题,无论防火墙本身的性能多好,功能有多强,在这一刻,都无法挽回企业面临的损失.使用,通过在企业的出口部署两台防火墙产品,及时一台防火墙出现了故障,另一台也会迅速的顶上来继续工作,可以在增强企业安全的同时,

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)

防火墙双机热备与路由/交换机相比较的话,最主要的是会话备份的功能,路由器/交换机主备切换路由能转发就OK,防火墙需要匹配会话. 防火墙双机热备的三个协议 VRRP:虚拟路由冗余协议,在防火墙双机热备种主要作用是检测主备是否正常 VGMP:在防火墙双机热备中主备切换不在使用VRRP,而是将VRRP加入VGMP中由VGMP来管理主备切换.默认情况下主设备VGMP优先级为65001,备用设备优先级为65000.每当VGMP管理组中的一个VRRP出现故障那么VGMP的优先级减2 HRP:指定心跳口,用来

RAID与双机热备简单介绍与区别

一.    RAID技术详解 RAID是英文Redundant Array of Independent Disks的缩写,翻译成中文意思是“独立磁盘冗余阵列”,有时也简称磁盘阵列(Disk Array).    简单的说,RAID是一种把多块独立的硬盘(物理硬盘)按不同的方式组合起来形成一个硬盘组(逻辑硬盘),从而提供比单个硬盘更高的存储性能和提供数据备份技术.组成磁盘阵列的不同方式成为RAID级别(RAID Levels).数据备份的功能是在用户数据一旦发生损坏后,利用备份信息可以使损坏数据

MySQL主从复制实现数据库服务器双机热备详细讲解

1.mysq主从复制简介 1.1.复制介绍 MySQL支持单向.异步复制,复制过程中一个服务器充当主服务器,而一个或多个其它服务器充当从服务器.主服务器将更新写入二进制日志文件,并维护文件的一个索引以跟踪日志循环.这些日志可以记录发送到从服务器的更新.当一个从服务器连接主服务器时,它通知主服务器从服务器在日志中读取的最后一次成功更新的位置.从服务器接收从那时起发生的任何更新,然后封锁并等待主服务器通知新的更新.如果你想要设置链式复制服务器,从服务器本身也可以充当主服务器.请注意当你进行复制时,所

华为防火墙VRRP双机热备的原理及实例配置

博文目录:一.双机热备是什么?二.什么是VRRP?三.VRRP的两种角色四.VRRP的三个状态机五.VRRP选举Master路由器和Backup路由器的流程六.通过VGMP实现VRRP备份组的统一管理七.双机热备的配置八.总结 一.双机热备是什么? 1.双机热备的作用 多台设备运行双机热备:一台设备故障其他设备接替工作:增强网络稳定性:保证业务的连续性: 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙. 2.华为防火墙双机热备的两种模式:

华为防火墙VRRP双机热备的原理及配置

一.何为双机热备?所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议--VRRP. 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙. 华为防火墙的双机热备包含以下两种模式: 热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作. 负载均衡模式:同一时间内,多台

华为防火墙实现双机热备配置详解

一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性. 博文大纲:一.双机热备工作原理二.VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机(4)VRRP的工作原理三.VGMP协议(1)VGMP的工作原理(2)VGMP的报文封装(3)双机

常见防火墙的双机热备功能配置

概述:防火墙支持双机热备是标配,所以,大部分防火墙厂商都支持双机热备功能,区别在于实现技术不同. 尽管实现技术不同,但是,大部分都是围绕高可靠的常见协议VRRP做文章,或者即使不用VRRP,也是借鉴VRRP的思想, 本文描述不同厂商的实现思路和配置方法. 1.华为USG6600系列防火墙. 实现思路:VRRP + VGMP + HRP,实现主备防火墙. 原理说明:VRRP作为单方面的上行或者下行的基本协议,VGMP是对VRRP的更高层次的集合体,可以确保FW1在上下行两个方向上的VRRP状态保持

​Keepalived双机热备

Keepalived双机热备 Keepalived是专门针对LVS设计的一款强大的辅助工具,主要用来提供故障切换和健检查功能,如判断LVS负载调度器.节点服务器的可用性,及时隔离并替换为新的服务器,当故障主机恢复后将其重新加入群集.在非LVS群集环境中使用时Keepalived也可以作为热备软件使用. Keepalived采用VRRP(virtual  router  redundancy protocol,虚拟路由冗余协议)热备份协议,以软件的方式实现linux服务器的多机热备功能.VRRP是