精华内容
下载资源
问答
  • 华为双机热备

    2011-05-01 19:39:00
    华为双机热备:   其实我对网络设备是一点也不懂的. 今天在机房问了一下同学.   设备上有两排插口. 将上面的机器的插上两根网线一上一下, 连到下面的机器上一根主一根备. 主线用来数据...

    华为的双机热备:

     

    其实我对网络设备是一点也不懂的. 今天在机房问了一下同学.

     

    设备上有两排插口. 将上面的机器的插上两根网线一上一下, 连到下面的机器上一根主一根备. 主线用来数据的联通而备线的两端会定时互发数据检查是否通信, 当主线断开时备线启用.

     

    线的另一端连在交换机上, 然后再用网线连接主机, 达到可以跟外网的通信效果.

     

     

     

    展开全文
  • 华为 USG 双机热备

    2021-06-06 11:21:26
    为了防止因一台设备故障而导致的业务终端,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。 双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称为...

    目录

     

    应用场景

    双机热备架构

    双机热备软硬件要求

    心跳线

    VGMP组

    VGMP的状态

    例:主备模式


    应用场景

    防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务终端,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。

    双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称为“心跳线”。两台Fw通过心跳线了解对端的健康状况,向对端备份配置个会话表项。当其中一台设备出现故障时,业务流量能平滑的切换到另外一台设备,使业务不中断。

    双机热备架构

    VRRP,负责单个接口的故障检测和流量引导。每个VRRP备份组拥有一个虚拟旧地址,作为网络的网关地址;在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量

    ·VGMP,将系统中所有的RRP备份组集中管理,统一管理VRRP状态,控制状态统一切换,保证岀现故障时上下行流量能同步切换到备用防火墙。决定双机热备的角色( Active角色和 Standby角色)

    ·HRP,负责双机之间的数据同步和关键配置(比如安全策略和NAT策略、IPSEC SA)。

    双机热备软硬件要求

    •硬件要求:组成双机热备的两台FW的型号必须相同,安装的单板 类型、数量以及单板安装的位置必须相同、

    •软件要求:两台FW的系统软件版本、系统补丁版本、动态加载的 组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须 相同(有些小版本不同可以暂时运行HA)

    • License要求:双机热备功能自身不需要License;同时两台FW之 间不能共享License

    心跳线

    心跳线主要传递如下消息:

    心跳报文(Hello报文):两台FW通过定期(默认周期为1秒)互相发送心跳报文测对端设备是否存活。

    VGMP报文:了解对端设备的VGMP组的状态,确定本端和对端设备当前状态是否稳定,是否要进行故障切換。

    配置表项备份报文:用于两台FW同步配置命令和状态信息。

    心跳链路探测报文:用于检测对端设备的心跳口能否正常接收本端设备的报文,确定是否有心跳接口可以使用。

    配置一致性检报文:用于检测两台FW的关邈配置是否一致,如安全策略、NAT等。

    上述报文均不受FW的安全策略控制。MGMT接口(Gt0/0/0)不能作为心跳接口:

    两台FW心眺接口必须加入相同的安全区;接囗MTU小于1500的接口不能作为心跳接囗;

    主备设备需要选择相同的业务接口和心跳口。例如,主设备选择gi/0/0/1作为业务接囗,选择gi0/0/7作为心跳接口,那么备设备也要这样选择。

    VGMP组

    VGMP( VRRP Group Management Protocol)协议是华为公司的私有协议。VGMP协议中定义了VGMP组,FW基于VGMP组实现设备主备状态管理。

    每台FW都有一个VGMP组,用户不能删除这个VGMP组,也不能再创建其他的VGMP组。VGMP组有优先级和状态两个属性。

    VGMP组优先级决定了VGMP组的状态。·VGMP组优先级是不可配置的。设备正常启动后,会根据设备的硬件配置自动生成一个VGMP组优先级,我们将这个优先级称之为初始优先级

    VGMP的状态

    NGFW提供两个∨GMP管理组: Active组和 Standby组,缺省情况下,Active组的优先级为65001, Standby组的优先级为65000

    2台设备的VGMP管理组之间通过心跳接口交互∨ GMP Hello报文,从而比较优先级,协商出自己的VGMP管理组状态

    • initialize:VGMP管理组处于未启用状态

    • Active:本端vGMP管理组的优先级比对端的VGMP管理组优先级高

    • Standby:本端VGMP管理组的优先级比对端的GMP管理组优先级低

    例:主备模式

    FW_A FW_B
    #
     hrp enable
     hrp interface GigabitEthernet 1/0/7 remote 10.10.0.2
    #
    interface GigabitEthernet 1/0/1
     ip address 10.2.0.1 255.255.255.0
     vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
    #
    interface GigabitEthernet 1/0/3
     ip address 10.3.0.1 255.255.255.0
     vrrp vrid 2 virtual-ip 10.3.0.3 active
    #
    interface GigabitEthernet 1/0/7
     ip address 10.10.0.1 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet 1/0/3
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet 1/0/1
    #
    firewall zone dmz
     set priority 50
     add interface GigabitEthernet 1/0/7
    #
     ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
    #    
     nat address-group group1 1 
     section 0 1.1.1.2 1.1.1.5
    #    
    security-policy  
     rule name ha
      source-zone local  
      source-zone dmz  
      destination-zone local
      destination-zone dmz
      action permit    
     rule name trust_to_untrust
      source-zone trust  
      destination-zone untrust
      action permit    
    #    
    nat-policy  
     rule name policy_nat1
      source-zone trust
      destination-zone untrust
      source-address 10.3.0.0 16 
      action nat address-group group1
    #
     hrp enable
     hrp interface GigabitEthernet 1/0/7 remote 10.10.0.1
    #
    interface GigabitEthernet 1/0/1
     ip address 10.2.0.2 255.255.255.0
     vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby
    #
    interface GigabitEthernet 1/0/3
     ip address 10.3.0.2 255.255.255.0
     vrrp vrid 2 virtual-ip 10.3.0.3 standby
    #
    interface GigabitEthernet 1/0/7
     ip address 10.10.0.2 255.255.255.0
    #    
    firewall zone trust
     set priority 85
     add interface GigabitEthernet 1/0/3
    #    
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet 1/0/1
    #    
    firewall zone dmz    
     set priority 50     
     add interface GigabitEthernet1/0/7
    #
     ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
    #    
     nat address-group group1 1 
     section 0 1.1.1.2 1.1.1.5
    #    
    security-policy  
     rule name ha
      source-zone local  
      source-zone dmz  
      destination-zone local
      destination-zone dmz
      action permit    
     rule name trust_to_untrust
      source-zone trust  
      destination-zone untrust
      action permit    
    #    
    nat-policy  
     rule name policy_nat1
      source-zone trust
      destination-zone untrust
      source-address 10.3.0.0 16 
      action nat address-group group1

     

    FW_A 状态

    FW_B状态

    模拟故障发生

    FW_B变成主

    查看会话信息

    展开全文
  • 华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
  • 华为防火墙双机热备

    2021-03-29 11:13:45
    双机热备基本组网 配置主备备份的双机热备,FW1为主用,FW2为备用 VRRP1的虚拟IP为10.1.1.253,VRRP2的虚拟IP为202.100.1.253 心跳接口需要配置remote参数 FW底层配置 sysname FW1 # interface ...

    双机热备基本组网

    配置主备备份的双机热备,FW1为主用,FW2为备用

    VRRP1的虚拟IP为10.1.1.253,VRRP2的虚拟IP为202.100.1.253

    心跳接口需要配置remote参数

    FW底层配置

    sysname FW1

    #
    interface GigabitEthernet1/0/1
     ip address 10.1.1.10 255.255.255.0
     service-manage ping permit

    #
    interface GigabitEthernet1/0/0

    ip address 202.100.1.10 255.255.255.0
     service-manage ping permit

    #

    sysname FW2

    #
    interface GigabitEthernet1/0/1
     ip address 10.1.1.11 255.255.255.0
     service-manage ping permit

    #
    interface GigabitEthernet1/0/0

    ip address 202.100.1.11 255.255.255.0
     service-manage ping permit

     

    配置心跳接口

    FW1的心跳接口,安全区域可自定义

    #
    interface GigabitEthernet1/0/3
     ip address 172.16.1.1 255.255.255.252

    #

    firewall zone dmz
     add interface GigabitEthernet1/0/3

    FW2的心跳接口,安全区域可自定义

    #
    interface GigabitEthernet1/0/3
     ip address 172.16.1.2 255.255.255.252

    #

    firewall zone dmz
     add interface GigabitEthernet1/0/3

    FW1双机热备配置

    interface GigabitEthernet1/0/1
     vrrp vrid 1 virtual-ip 10.1.1.253 active

    #

    interface GigabitEthernet1/0/0
     vrrp vrid 1 virtual-ip 202.100.1.253 active

    #

    hrp interface GigabitEthernet1/0/3 remode 172.16.1.1

    hrp enable

    FW2双机热备配置

    interface GigabitEthernet1/0/1
     vrrp vrid 1 virtual-ip 10.1.1.253 standby

    #

    interface GigabitEthernet1/0/0
     vrrp vrid 1 virtual-ip 202.100.1.253 standby

    #

    hrp standby-device

    hrp interface GigabitEthernet1/0/3 remode 172.16.1.1

    hrp enable

    FW1查看VRRP状态

    HRP_M[FW1]dis vrrp
      GigabitEthernet1/0/1 | Virtual Router 1
        State : Master
        Virtual IP : 10.1.1.253
        Master IP : 10.1.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:46:48
        Last change time : 2021-03-29 03:02:36

      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 202.100.1.253
        Master IP : 202.100.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:47:13
        Last change time : 2021-03-29 02:48:02

    FW2查看VRRP状态

    HRP_M[FW2]dis vrrp
      GigabitEthernet1/0/1 | Virtual Router 1
        State : Master
        Virtual IP : 10.1.1.253
        Master IP : 10.1.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:48:23
        Last change time : 2021-03-29 02:49:45

      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 202.100.1.253
        Master IP : 202.100.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:48:49
        Last change time : 2021-03-29 02:49:45
     

     

    展开全文
  • 一:双机热备的工作原理1:双机热备概述传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证。 双机热备份技术的...

    理论部分

    一:双机热备的工作原理
    1:双机热备概述
    传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证。

    双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。

    2:双机热备的要求
    两台防火墙用于心跳线的接口要加入相同的安全区域
    两台防火墙用于心跳线的接口的设备编号必须一致
    建议用于双机热备的两台防火墙采用相同的型号、相同的VRP版本

    3:双机热备的模式
    热备模式
    负载均衡模式

    二:VRRP
    VRRP(虚拟路由冗余协议)是一种容错协议,它通过把几台路由设备联合组成一台虚拟的路由设备,并通过一定的机制来保证当主机的下一跳设备出现故障时,可以及时将业务切换到其它设备,从而保持通讯的连续性和可靠性。

    1:VRRP基本概念
    (1)VRRP路由器:运行VRRP的设备,它可能属于一个或多个虚拟路由器。
    (2)虚拟路由器:由VRRP管理的抽象设备,又称为VRRP备份组,被当作一个共享局域网内主机的缺省网关。
    (4)虚拟IP地址:虚拟路由器的IP地址,一个虚拟路由器可以有一个或多个IP地址,由用户配置。
    (6)IP地址拥有者:如果一个VRRP路由器将虚拟路由器的IP地址作为真实的接口地址,则该设备是IP地址拥有者。 IP地址拥有者默认的优先级为255.
    (5)虚拟MAC地址:是虚拟路由器根据虚拟路由器ID生成的MAC地址。
    (7)优先级:用于标识VRRP路由器的优先级,用于选举主要设备和备用设备。VRRP默认的优先级为100,取值范围是0--255,0是系统保留,255保留给IP地址拥有者
    (8)抢占模式:在抢占模式下,如果Backup的优先级比当前Master的优先级高,将主动将自己升级成Master。
    (9)非枪抢占模式:此模式不会以抢占的方式成为主要路由器

    2:VRRP的角色
    (1)Master路由器: 是承担转发报文或者应答ARP请求的VRRP路由器,默认每1秒向其他路由器通告master路由器当前的状态信息
    (2)Backup路由器:一组没有承担转发任务的VRRP路由器,当Master设备出现故障时,它们将通过竞选成为新的Master。

    3:VRRP的状态
    Initialize(初始)状态
    Master状态
    Backup状态

    4:VRRP的工作原理
    VRRP将局域网的一组路由器构成一个备份组,相当于一台虚拟路由器。局域网内的主机只需要知道这个虚拟路由器的IP地址,并不需知道具体某台设备的IP地址,将网络内主机的缺省网关设置为该虚拟路由器的IP地址,主机就可以利用该虚拟网关与外部网络进行通信。
    VRRP将该虚拟路由器动态关联到承担传输业务的物理路由器上,当该物理路由器出现故障时,再次选择新路由器来接替业务传输工作,整个过程对用户完全透明,实现了内部网络和外部网络不间断通信。

    三:VGMP
    为了解决多个VRRP备份组状态不一致的问题,华为防火墙引入VGMP,来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。VGMP是华为的私有协议

    1:VGMP工作原理
    默认情况下VGMP的优先级为45000
    VGMP通过心跳线协商VGMP状态信息

    VGMP 有状态和优先级两个基本属性,并且有三条基本运行原则:
    (1)VGMP的状态决定了组内VRRP备份组的状态,也决定了防火墙的主备状态。
    (2)VGMP组的状态是由两台防火墙的VGMP组通过比较优先级来决定的。优先级高的VGMP组状态为Active,优先级低的VGMP组状态为Standby。
    (3)VGMP组会根据组内VRRP备份组的状态变化来更新自己的优先级。每个VRRP备份组的状态变成Initialize, VGMP组的优先级就会降低2。

    2:VGMP的报文封装
    两台防火墙的VGMP组是通过VGMP报文来传递优先级信息的。
    VGMP的报文有两种形式:
    当心跳线直接相连,或通过二层交换机相连时,发送的报文属于组播报文,并且不携带UDP头部信息。
    当心跳线通过三层设备相连,组播是无法通过的,此时报文封装中会额外加一个UDP头部信息,发送时使用单播。

    3:VGMP双机热备的备份方式
    自动备份
    手工批量备份
    快速备份

    实验部分

    实验拓扑
    基于华为防火墙双机热备

    实验步骤
    1:配置路由器R1的IP
    <Huawei>undo terminal monitor
    <Huawei>sys
    [Huawei]sysname R1
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 10.1.1.1 24
    [R1-GigabitEthernet0/0/0]quit
    [R1]

    [Huawei]ip route-static 192.168.1.0 24 10.1.1.100

    2:配置防火墙FW1的IP地址

    <USG6000V1>undo terminal monitor
    <USG6000V1>sys
    [USG6000V1]sysname FW1
    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]ip add 10.1.1.101 24
    [FW1-GigabitEthernet1/0/0]quit
    [FW1]

    [FW1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ip add 192.168.1.101 24
    [FW1-GigabitEthernet1/0/2]quit
    [FW1]

    [FW1]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip add 172.16.1.1 24
    [FW1-GigabitEthernet1/0/1]quit
    [FW1]

    3:配置防火墙FW2的IP地址
    <USG6000V1>undo terminal monitor
    <USG6000V1>sys
    [USG6000V1]sysname FW2

    [FW2]int g1/0/0
    [FW2-GigabitEthernet1/0/0]ip add 10.1.1.102 24
    [FW2-GigabitEthernet1/0/0]quit
    [FW2]

    [FW2]int g1/0/2
    [FW2-GigabitEthernet1/0/2]ip add 192.168.1.102 24
    [FW2-GigabitEthernet1/0/2]quit
    [FW2]

    [FW2]int g1/0/1
    [FW2-GigabitEthernet1/0/1]ip add 172.16.1.2 24
    [FW2-GigabitEthernet1/0/1]quit
    [FW2]

    4:将防火墙的接口加入相应的安全区域
    (1)FW1的配置
    [FW1]firewall zone trust
    [FW1-zone-trust]add int g1/0/2
    [FW1-zone-trust]quit

    [FW1]firewall zone dmz
    [FW1-zone-dmz]add int g1/0/1
    [FW1-zone-dmz]quit

    [FW1]firewall zone untrust
    [FW1-zone-untrust]add int g1/0/0
    [FW1-zone-untrust]quit

    (2)FW2的配置
    [FW1]firewall zone trust
    [FW1-zone-trust]add int g1/0/2
    [FW1-zone-trust]quit

    [FW1]firewall zone dmz
    [FW1-zone-dmz]add int g1/0/1
    [FW1-zone-dmz]quit

    [FW1]firewall zone untrust
    [FW1-zone-untrust]add int g1/0/0
    [FW1-zone-untrust]quit

    5:配置安全策略
    (1)FW1的配置
    [FW1]security-policy
    [FW1-policy-security]rule name permit_heat
    [FW1-policy-security-rule-permit_heat]source-zone local
    [FW1-policy-security-rule-permit_heat]destination-zone dmz
    [FW1-policy-security-rule-permit_heat]action permit
    [FW1-policy-security-rule-permit_heat]quit

    [FW1-policy-security]rule name permit_trust_untrust
    [FW1-policy-security-rule-permit_trust_untrust]source-zone trust
    [FW1-policy-security-rule-permit_trust_untrust]destination-zone untrust
    [FW1-policy-security-rule-permit_trust_untrust]action permit
    [FW1-policy-security-rule-permit_trust_untrust]quit
    [FW1-policy-security]quit
    [FW1]

    (2)FW2的配置
    [FW2]security-policy
    [FW2-policy-security]rule name permit_heat
    [FW2-policy-security-rule-permit_heat]source-zone local
    [FW2-policy-security-rule-permit_heat]destination-zone dmz
    [FW2-policy-security-rule-permit_heat]action permit
    [FW2-policy-security-rule-permit_heat]quit

    [FW2-policy-security]rule name permit_trust_untrust
    [FW2-policy-security-rule-permit_trust_untrust]source-zone trust
    [FW2-policy-security-rule-permit_trust_untrust]destination-zone untrust
    [FW2-policy-security-rule-permit_trust_untrust]action permit
    [FW2-policy-security-rule-permit_trust_untrust]quit
    [FW2-policy-security]quit
    [FW2]

    5:配置VRRP备份组
    (1)FW1的配置
    [FW1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 active
    [FW1-GigabitEthernet1/0/2]quit
    [FW1]

    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active
    [FW1-GigabitEthernet1/0/0]quit
    [FW1]

    注意:必须将同一个防火墙上的接口设置为同样的状态,就算设置的不同状态,VGMP协议也会将他们置于相同的状态

    (2)FW2的配置
    [FW2]int g1/0/2
    [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 standby
    [FW2-GigabitEthernet1/0/2]quit
    [FW2]

    [FW2]int g1/0/0
    [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby
    [FW2-GigabitEthernet1/0/0]quit
    [FW2]

    6:配置心跳线
    (1)FW1的配置
    [FW1]hrp interface g1/0/1 remote 172.16.1.2

    (2)FW2的配置
    [FW2]hrp interface g1/0/1 remote 172.16.1.1

    7:启用双机热备
    (1)FW1上启用
    [FW1]hrp enable
    HRP_S[FW1]

    (2)FW2上启用
    [FW2]hrp enable
    HRP_S[FW2]

    8:配置备份方式
    (1)FW1上的配置
    HRP_M[FW1]hrp auto-sync

    (2)FW2上的配置
    HRP_S[FW2]hrp auto-sync

    9:验证双机热备
    (1)查看双机热备的状态信息(通过信息可以发现此时FW1是active,FW2是standby)
    HRP_M[FW1]dis hrp state
    Role: active, peer: standby
    Running priority: 45000, peer: 45000
    Core state: normal, peer: normal
    Backup channel usage: 0.00%
    Stable time: 0 days, 0 hours, 1 minutes
    Last state change information: 2018-11-19 6:03:33 HRP core state changed, old_s
    tate = abnormal(active), new_state = normal, local_priority = 45000, peer_priori
    ty = 45000

    HRP_S[FW2]dis hrp state
    Role: standby, peer: active
    Running priority: 45000, peer: 45000
    Core state: normal, peer: normal
    Backup channel usage: 0.00%
    Stable time: 0 days, 0 hours, 1 minutes
    Last state change information: 2018-11-19 6:03:33 HRP core state changed, old_s
    tate = abnormal(standby), new_state = normal, local_priority = 45000, peer_prior
    ity = 45000..

    (2)查看心跳线
    HRP_M[FW1]dis hrp inter
    HRP_M[FW1]dis hrp interface
    GigabitEthernet1/0/1 : running

    HRP_S[FW2]dis hrp interface
    GigabitEthernet1/0/1 : running

    (3)在pc1上ping路由器R1进行测试

    (4)查看安全规则
    HRP_M<FW1>display security-policy rule permit_trust_untrust
    (8 times matched)
    rule name permit_trust_untrust
    source-zone trust
    destination-zone untrust
    action permit

    (5)查看会话表
    HRP_M<FW1>dis firewall session table
    Current Total Sessions : 7
    icmp ×××: public --> public 192.168.1.1:45397 --> 10.1.1.1:2048
    icmp ×××: public --> public 192.168.1.1:45909 --> 10.1.1.1:2048
    icmp ×××: public --> public 192.168.1.1:45141 --> 10.1.1.1:2048
    icmp ×××: public --> public 192.168.1.1:46165 --> 10.1.1.1:2048
    icmp ×××: public --> public 192.168.1.1:45653 --> 10.1.1.1:2048
    udp ×××: public --> public 172.16.1.2:49152 --> 172.16.1.1:18514
    udp ×××: public --> public 172.16.1.1:49152 --> 172.16.1.2:18514

    (6)down掉FW1的G1/0/2的接口,再次查看状态信息,发现FW2已经成为了active
    HRP_S<FW1>dis hrp state
    Role: standby, peer: active (should be "active-standby")
    Running priority: 44998, peer: 45000
    Core state: abnormal(standby), peer: abnormal(active)
    Backup channel usage: 0.00%
    Stable time: 0 days, 0 hours, 2 minutes
    Last state change information: 2018-11-19 6:22:35 HRP core state changed, old_s
    tate = normal, new_state = abnormal(standby), local_priority = 44998, peer_prior
    ity = 45000.

    HRP_M<FW2>dis hrp state
    Role: active, peer: standby (should be "standby-active")
    Running priority: 45000, peer: 44998
    Core state: abnormal(active), peer: abnormal(standby)
    Backup channel usage: 0.00%
    Stable time: 0 days, 0 hours, 5 minutes
    Last state change information: 2018-11-19 6:22:35 HRP core state changed, old_s
    tate = normal, new_state = abnormal(active), local_priority = 45000, peer_priori
    ty = 44998.

    转载于:https://blog.51cto.com/72756/2368027

    展开全文
  • 如何实现华为防火墙双机热备负载分担 各位大佬,这个拓扑模型能实现防火墙双机热备负载均衡吗,做了好久没做出来,基础知识实在有限,大佬们能指点一下吗 帮忙配置一下 ...
  • 华为防火墙双机热备实验 拓扑 说明 防火墙的G1/0/0口接外网,开启easy-ip NAT转发 虚拟ip为192.168.1.200/24 防火墙的G1/0/1口接内网 虚拟IP为172.16.1.200/24 防火墙G1/0/6用作hrp心跳线,区域为DMZ区域...
  • 华为_防火墙双机热备

    2019-07-09 14:15:46
    防火墙双机热备 双机热备的工作原理: 故障隔离,简单的讲,高可用(热备)就是一种利用故障点...华为双机热备是通过部署两台或多台防火墙实现热备以及负载均衡的,两台防火墙相互协同工作,犹如一个更大的防火墙...
  • 所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。 华为双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台...
  • 所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。 华为双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台...
  • 一、双机热备是什么? 二、什么是VRRP? 三、VRRP的两种角色 四、VRRP的三个状态机 五、VRRP选举Master路由器和Backup路由器的流程 六、通过VGMP实现VRRP备份组的统一管理 七、双机热备的配置 八、总结 一、双机...
  • 华为防火墙双机热备(VRRP+VGMP+HRP)

    千次阅读 2020-02-21 15:55:27
    防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更新更高的可靠性,此时需要使用防火墙双机热备组网 双机热备组网的建立和运行需要解决以下...
  • 双机热备 防火墙为什么需要有双机热备? 解决单点故障问题,通过心跳线热备,使业务平滑过渡。 双机---------华为目前只能支持两台 热备---------通过心跳线同步各种状态信息(比如会话表等)以及关键配置 双机热备...
  • 华为防火墙 双机热备负载均衡实验

    千次阅读 2018-12-27 16:36:10
    双机热备 FW1的配置 FW2的配置 interface GigabitEthernet 1/0/1  ip address 10.1.1.2 255.255.255.0  vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active //将接口...
  • 基于防火墙的VRRP技术--华为防火墙双机热备--VGMP

    万次阅读 多人点赞 2018-08-17 14:57:13
    主备备份双机热备配置 负载分担双机热备配置 为了解决多个VRRP备份组状态不一致的问题,华为防火墙引入VGMP(VRRP Group Management Protocol)来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。...
  • 双机热备概念 1、为什么叫双机热备? 目前华为只能两台设备--------双机 防火墙是基于会话表转发,通过心跳线同步各种状态信息以及关键配置----------热备 2、双机热备的框架 VRRP ----------------虚拟路由冗余...
  • 华为防火墙双机热备学习笔记(V500)双机产生背景防火墙与路由器、三层交换机设备双机部署的差别HRP 心跳线防火墙的双机部署 双机产生背景 随着互联网承载的业务越来越多,也越来越重要,所以保证网络的不间断传输成...
  • 1. 双机热备结合Eth-trunk (1)心跳线可以使用物理多根 (2)心跳线使用Eth-trunk 使用Eth-trunk作为心跳线配置 FW1: hrp interface Eth-Trunk1 remote 173.16.1.11 FW2: hrp interface Eth-Trunk1 remote 173....
  • 双机热备示例图 1.基本网络配置略 2.接口加入安全区域并配置安全策略 (第一台和第二台防火墙配置一样) 3.配置VRRP备份组 第一台 第二台 4.配置心跳接口 第一台 第二台 5.启用双机热备 第一台 第二台 6....
  • 华为防火墙实现双机热备配置详解

    万次阅读 多人点赞 2019-10-26 15:56:22
    一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件...一、双机热备工作原理 二、VRRP协议 (1)VRRP协议概述 (2)VRRP的角色 (3)V...
  • 华为网络 防火墙 双机热备
  • 上一篇:双机热备详解 扩展篇:了解更多VRRP内容 汇总贴
  • 1.配置双机热备的要求 介绍双机热备功能对设备硬件、软件以及License的要求。 硬件要求 组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同 两台FW的硬盘配置可以不同。例如,一...
  • 请先检查业务接口状态,如果业务接口反复Down/Up,必然触发双机热备反复切换状态。如果业务接口正常,通常是因为两台防火墙的心跳报文发送间隔不一致,请修改。 为什么原主用防火墙的故障恢复后不抢

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 499
精华内容 199
关键字:

华为双机热备