精华内容
下载资源
问答
  • 双机热备配置

    2018-06-28 14:22:39
    db2数据库实现双机热备,日志归档操作说明书,文档不懂可发问
  • F5双机热备配置.txt

    2021-04-19 14:13:24
    F5双机热备配置
  • Mysql双机热备配置教程,mysql主从双向,单向同步,教程清晰。
  • Redhat+RHCS+Oracle配置+红帽双机热备配置\Redhat+RHCS+Oracle配置+红帽双机热备配置
  • SQLServer-+-ServHA-Mirror-双机热备配置教程.pdf
  • MySQL 5.6 双机热备配置能够使用户在服务器宕机或者坏了的情况下,使用备用服务器MySQL数据库。
  • mysql主主双机热备配置文档,系统是centos7,亲测可用.
  • 防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,...

    防火墙双机热备配置及组网指导

    防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现

    中断。

    防火墙双机热备组网根据防火墙的模式,

    分路由模式下的双机热备组网和透明模式下

    的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

    1

    1

    :防火墙双机热备命令行说明

    防火墙的双机热备的配置主要涉及到

    HRP

    的配置,

    VGMP

    的配置,以及

    VRRP

    的配置,

    防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,

    下面就防火墙的

    双机热备配置涉及到的命令行做一个解释说明。

    1.1

    1.1

    HRP

    命令行配置说明

    HRP

    是华为的冗余备份协议,

    Eudemon

    防火墙使用此协议进行备份组网,

    达到链路状

    态备份的目的,从而保证在设备发生故障的时候业务正常。

    HRP

    协议是华为自己开发的协议,主要是在

    VGMP

    协议的基础上进行扩展得到的;

    VGMP

    是华为的私有协议,主要是用来管理

    VRRP

    的,

    VGMP

    也是华为的私有协议,是在

    VRRP

    的基础上进行扩展得到的。不管是

    VGMP

    的报文,还是

    HRP

    的报文,都是

    VRRP

    报文,

    只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是

    VGMP

    的报文,

    HRP

    的报文,或者是普通的

    VRRP

    的报文。

    Eudemon

    防火墙上,

    hrp

    的作用主要是备份防火墙的会话表,

    备份防火墙的

    servermap

    表,备份防火墙的黑名单,备份防火墙的配置,以及备份

    ASPF

    模块中的公私网地址映射表

    和上层会话表等。

    两台防火墙正确配置

    VRRP

    VGMP

    ,以及

    HRP

    之后,将会形成主备关系,这个时候

    防火墙的命令行上会自动显示防火墙状态是主还是备,

    如果命令行上有

    HRP_M

    的标识,

    示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有

    HRP_S

    的标

    识,

    表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

    防火墙的主备状态只能

    在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状

    态,不可能出现两台都为主状态或者都是备状态的。

    在防火墙的

    HRP

    形成主备之后,

    我们称

    HRP

    的主备状态为

    HRP

    主或者是

    HRP

    备状态,

    在形成

    HRP

    的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火

    墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括

    ACL

    ,接口加入域

    等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。

    HRP

    的配置命令的功能和使用介绍如下:

    hrp enable

    HRP

    使能命令,使能

    HRP

    之后防火墙将形成主备状态。

    hrp configuration check acl

    :检查主备防火墙两端的

    ACL

    的配置是否一致。执行此

    display

    hrp

    configuration check acl

    来查看两边的配置是否一致。

    展开全文
  • AIX双机热备配置

    2013-11-28 14:19:29
    AIX双机热备配置 ibm系统操作手册 UNIX内核
  • HP Server Oracle双机热备配置步骤
  • 华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
  • mysql双机热备配置

    千次阅读 2019-05-11 00:19:03
    mysql双机热备配置 一:概念 所谓的双机热备就是保证两个数据库的状态同步。其中一个数据库的操作会自动同步到另外一个数据库中去,保证两个数据库的数据一致。 二:作用 容灾切换,当一个数据库服务器宕机可以将...

    一:概念

    所谓的双机热备就是保证两个数据库的状态同步。其中一个数据库的操作会自动同步到另外一个数据库中去,保证两个数据库的数据一致。

    二:作用

    • 容灾切换,当一个数据库服务器宕机可以将连接切换到另一个数据库。
    • 负载均衡,做读写分离,数据库的读和写分摊到不同的数据库当中,减轻单个数据库服务器的压力

    三:原理

    大概介绍一下数据库是如何实现双机热备的。

    首先先说说主从同步概念,就是数据库读操作都放在主数据库上,一旦数据有变化,则从数据库将主数据库的数据变化同步过来,保证从数据库的数据与主数据库的数据一致。

    看下图

    在这里插入图片描述

    主数据库开启binlog记录数据库的数据变化情况,从数据库开启一条I/O thread不断的去读取主树据库的binlog,然后交由另一条SQL thread去执行相应的sql,将数据变化同步过来。

    因此主从同步要配置的内容就是:

    1. 开启主数据库的binlog。
    2. 创建一个用于同步数据的帐号,这个帐号有同步数据 (REPLICATION SLAVE) 的权限。
    3. 将主数据库的binlog位置和读取偏移量以及有读取binlog权限的帐号配置给从数据库。
    4. 开启从数据库的同步进程。

    以上四步完成了主从同步配置,而双机互备就是两台已经做主从同步的数据库角色调换再做一次主从同步即可。

    四:配置实现

    新建两个mysql容器

    主服务器 mysqltest1

    docker run --name mysqltest1 -v /data/test1/my.cnf:/etc/mysql/my.cnf -v /data/test1/mysql/:/var/lib/mysql/ -e MYSQL_ROOT_PASSWORD=123456 -p 3307:3306 -d 192.168.168.98:5000/mysql
    

    从服务器 mysqltest2

    docker run --name mysqltest2 -v /data/test2/my.cnf:/etc/mysql/my.cnf -v /data/test2/mysql/:/var/lib/mysql/ -e MYSQL_ROOT_PASSWORD=123456 -p 3308:3306 -d 192.168.168.98:5000/mysql
    

    主服务器 mysqltest1 开启binlog。在配置文件中添加如下配置。

    [mysqld]
    server-id = 1
    log_bin = /var/lib/mysql/mysql-bin.log
    

    主服务器 mysqltest1 上创建一个专门用于主从同步的帐号添加同步数据的权限。

    Create user 'rep'@'%' identified by '123456' require ssl;
    grant replication slave on *.* to 'rep'@'%' identified by '123456';
    flush privileges;
    

    查看主服务器 mysqltest1 的binlog位置,后面配置从服务器要用到。

    mysql> show master status;
    +------------------+----------+--------------+------------------+-------------------+
    | File             | Position | Binlog_Do_DB | Binlog_Ignore_DB | Executed_Gtid_Set |
    +------------------+----------+--------------+------------------+-------------------+
    | mysql-bin.000004 |      840 |              |                  |                   |
    +------------------+----------+--------------+------------------+-------------------+
    

    登录从服务器 mysqltest2 配置同步参数。

    change master to master_host="10.18.139.81", master_port=3307, master_user="rep", master_password="123456", master_log_file="mysql-bin.000004", master_log_pos=840;
    

    各项参数解释如下

    change master to
    	master_host="10.18.139.81:3307",     ---->主服务器的地址
    	master_user="rep",          ---->主服务器的帐号,用刚刚创建用于同步的帐号
    	master_password="123456",   ---->主服务器的帐号对应的密码
    	master_log_file="mysql-bin.000004", ----->主服务器中通过show master获取的binlog文件
    	master_log_pos="840";             ----->主服务器中通过show master获取的log文件位置
    

    最后,启动从服务器 mysqltest2的同步进程。

    start slave;  
    

    检查进程启动的状态。

    show slave status \G
    

    查看这两项均为Yes,则启动成功。

     Slave_IO_Running: Yes
     Slave_SQL_Running: Yes
    

    以上完成主从备份,也就是从服务器可以备份主服务器的数据。

    接下来将两台服务器的角色调换一下,mysqltest2 作为主服务器,mysqltest1作为从服务器重新配置一遍,即可完成两个数据库相互备份。

    mysqltest2开启binlog,在my.cnf中添加如下配置。

     log_bin = /var/lib/mysql/mysql-bin.log 
    

    mysqltest2中创建用于备份数据的账户。

     Create user 'rep'@'%' identified by '123456';
     grant replication slave on *.* to 'rep'@'%' identified by '123456';
     flush privileges;  
    

    查看 mysqltest2 的binlog位置。

    mysql> show master status;
     +------------------+----------+--------------+------------------+-------------------+
     | File             | Position | Binlog_Do_DB | Binlog_Ignore_DB | Executed_Gtid_Set |
     +------------------+----------+--------------+------------------+-------------------+
     | mysql-bin.000004 |      824 |              |                  |                   |
     +------------------+----------+--------------+------------------+-------------------+  
    

    在mysqltest1中添加同步的相关配置。

    change master to master_host="10.18.139.81", master_port=3308, master_user="rep", master_password="123456", master_log_file="mysql-bin.000004", master_log_pos=824; 
    

    启动主从同步进程。

    start slave; 
    

    至此,主从热备的配置完成。

    展开全文
  • 6509双机热备配置

    2011-07-16 00:19:42
    详细的6509双机热备配置!!!!!!!!!!!!!
  • 双机热备配置,满足安全双机热备的要求。。。。。
  • 双机热备配置快速切换案例,双机热备配置快速切换案例,
  • VMware双机热备配置(Heartbeat) 非常详细
  • Redhat_RHCS_Oracle配置_红帽双机热备配置
  • 思科防火墙(ASA-5525-X)双机热备配置 注:本次实验设备型号为 ASA 5525-X; 系统版本: Cisco Adaptive Security Appliance Software Version 9.14(2)13 SSP Operating System Version 2.8(1.144) Device ...

    思科防火墙(ASA 5525-X)双机热备配置

    注:本次实验设备型号为 ASA 5525-X;
    系统版本:	Cisco Adaptive Security Appliance Software Version 9.14(2)13 
    			SSP Operating System Version 2.8(1.144)
    			Device Manager Version 7.15(1)150
    

    一、为什么要做双机热备

    	1.提升网络的可靠性,避免单点故障;
    	2.对于防火墙而已,还启到备份会话表等一些状态信息;
    	3.负载均衡
    

    二、双机热备形式

    原理:防火墙的双机热备功能提供一条专门的备份通道,用于两台防火墙之间协商主备状态,以及会话等状态信息的备份;
    双机热备主要包括:
    	A.主备备份:
       指正常情况下只由“主设备”处理业务,“备设备”处于空闲状态;当“主设备”接口、链路、整机故障时,“备设备”切换为“主设备”,接替“主设备”处理业务。
    	B.负载均衡:
    	负载均衡也可以称为“互为主备”,即两台设备同时处理业务;当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证原来需要通过这台设备转发的业务不中断。
    

    三、配置

    主设备配置如下:
    ciscoasa(config)#failover
    ciscoasa(config)#failover lan unit primary //确认主备设备,primary-主 secondary-备
    ciscoasa(config)#failover lan interface Active GigabitEthernet0/1 //确认心跳接口,名字和接口不能敲错
    ciscoasa(config)#failover link statelink GigabitEthernet0/3 //确认链路状态接口,名字和接口不能敲错
    ciscoasa(config)#failover interface ip Active 1.1.1.1 255.255.255.252 standby 1.1.1.2 //确认心跳地址
    ciscoasa(config)#failover interface ip statelink 2.2.2.1 255.255.255.252 standby 2.2.2.2 //确认链路状态地址
    ciscoasa(config)# interface gigabitEthernet 0/1
    ciscoasa(config-if)# no shutdown
    ciscoasa(config)# interface gigabitEthernet 0/3
    ciscoasa(config-if)# no shutdown
    备设备配置如下:
    ciscoasa(config)#failover
    ciscoasa(config)#failover lan unit secondary
    ciscoasa(config)#failover lan interface Active GigabitEthernet0/1
    ciscoasa(config)#failover link statelink GigabitEthernet0/3
    ciscoasa(config)#failover interface ip Active 1.1.1.1 255.255.255.252 standby 1.1.1.2
    ciscoasa(config)#failover interface ip statelink 2.2.2.1 255.255.255.252 standby 2.2.2.2
    ciscoasa(config)# interface gigabitEthernet 0/1
    ciscoasa(config-if)# no shutdown
    ciscoasa(config)# interface gigabitEthernet 0/3
    ciscoasa(config-if)# no shutdown
    

    四、验证

    ciscoasa(config)# show failover 
    Failover On 
    Failover unit Primary
    Failover LAN Interface: Active GigabitEthernet0/1 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 466 maximum
    MAC Address Move Notification Interval not set
    Version: Ours 9.14(2)13, Mate 9.14(2)13
    Serial Number: Ours XXXXXXXXXXX, Mate XXXXXXXXXX
    Last Failover at: 20:14:31 UTC Mar 27 2021
            This host: Primary - Active 
                    Active time: 2606 (sec)
                    slot 0: ASA5525 hw/sw rev (3.0/9.14(2)13) status (Up Sys)
                      Interface inside (10.1.1.1): No Link (Waiting)
                      Interface management (192.168.1.1): No Link (Waiting)
            Other host: Secondary - Standby Ready 
                    Active time: 19 (sec)
                    slot 0: ASA5525 hw/sw rev (3.1/9.14(2)13) status (Up Sys)
                      Interface inside (0.0.0.0): No Link (Waiting)
                      Interface management (0.0.0.0): No Link (Waiting)
    
    Stateful Failover Logical Update Statistics
            Link : statelink GigabitEthernet0/3 (up)
            Stateful Obj    xmit       xerr       rcv        rerr      
            General         321        0          319        1         
            sys cmd         319        0          319        1         
            up time         0          0          0          0         
            RPC services    0          0          0          0         
            TCP conn        0          0          0          0         
            UDP conn        0          0          0          0         
            ARP tbl         0          0          0          0         
            Xlate_Timeout   0          0          0          0         
            IPv6 ND tbl     0          0          0          0         
            VPN IKEv1 SA    0          0          0          0         
            VPN IKEv1 P2    0          0          0          0         
            VPN IKEv2 SA    0          0          0          0         
            VPN IKEv2 P2    0          0          0          0         
            VPN CTCP upd    0          0          0          0         
            VPN SDI upd     0          0          0          0         
            VPN DHCP upd    0          0          0          0         
            SIP Session     0          0          0          0         
            SIP Tx  0          0          0          0         
            SIP Pinhole     0          0          0          0         
            Route Session   0          0          0          0         
            Router ID       0          0          0          0         
            User-Identity   2          0          0          0         
            CTS SGTNAME     0          0          0          0         
            CTS PAC         0          0          0          0         
            TrustSec-SXP    0          0          0          0         
            IPv6 Route      0          0          0          0         
            STS Table       0          0          0          0         
            Umbrella Device-ID      0          0          0          0         
    
            Logical Update Queue Information
                            Cur     Max     Total
            Recv Q:         0       25      2748
            Xmit Q:         0       30      1766
    

    真机状态图
    上面设备为主设备(Active灯常亮),下面为备设备,
    在这里插入图片描述
    当模拟主设备故障(上面设备断电),备设备(下面这台设备)自动将FAILOVER状态切换为主设备,原主设备(上面设备)再次上线,就作为备机运行,如果需要强制切换可以使用该命令:

    ciscoasa(config)# failover active 
    
            Switching to Active
    ciscoasa(config)# 
    
    展开全文
  • MYSQL双机热备配置手册MYSQL双机热备配置手册MYSQL双机热备配置手册
  • 一、何为双机热备?所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。华为的双机热备是通过部署两台或多台防火墙实现热备及...

    一、何为双机热备?

    所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。

    华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。

    华为防火墙的双机热备包含以下两种模式:

    • 热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作。
    • 负载均衡模式:同一时间内,多台防火墙同时转发数据,并且互为备份,每个防火墙既是主设备,也是备用设备。防火墙之间同步会话表及server-map表。

    二、VRRP的概念

    VRRP(virtual router redundancy protocol,虚拟路由冗余协议),用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备。

    VRRP的相关专业术语介绍:

    • VRRP路由器:运行VRRP协议的路由器。
    • 虚拟路由器:由一个主用路由器和若干个备用路由器组成一个备份组,一个备份组对客户端提供一个虚拟网关。
    • VRID:虚拟路由器标识,用来唯一的标识一个备份组。
    • 虚拟IP地址:提供给客户端的网关地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
    • 虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址。
    • IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
    • 优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。
    • 抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中其他路由器(包括当前的主用路由器),则将立即成为新的主用路由器。
    • 非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中其他路由器(包括当前的主用路由器),也不会立即成为主用路由器,直到下一次公平选举(如重启设备等)。

    三、VRRP的两种角色

    工作在VRRP模式下的路由器有两种角色,分别是Master路由器和Backup路由器。

    • Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告Master路由器当前状态信息。
    • Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的master路由器,接替转发数据包的工作,从而保证业务不中断。

    四、VRRP的选举流程

    VRRP选举master路由器和backup路由器的流程如下:

    首先选举优先级高的设备成为master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为master路由器,而备份组中其他的路由器将成为backup路由器。

    除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即使路由器的优先级最高,也需要从backup状态过渡到master状态。此时,backup状态只是一个瞬间的过渡状态。

    VRRP中的默认接口优先级为100,取值范围为0~255,其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,默认优先级就是255。

    五、VRRP的三个状态

    VRRP定义了三种状态,分别如下:

    • Initalize状态:刚配置了VRRP时的状态下,在该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时也将进入该状态。
    • Master状态:当前设备选举成为master路由器时的一种状态,该状态下会转发数据报文,并周期性地发送VRRP通告报文,当接口关闭或设备宕机后将立即切换至Initialize状态。
    • Backup状态:当前设备选举成为备用路由器时的一种状态,该状态不转发任何数据报文,只会接收master路由器发送VRRP通告报文,以便检测master路由器是否在正常工作,并且还同步主用设备上的状态信息。

    六、通过VGMP统一管理VRRP的状态

    在网络设备上使用VRRP和在其他情景下(Linux中的KeepAlived也使用了VRRP协议)使用并不一样,存在的原因如下图:

    5bd7985c156e3b643a5092bc94df0f22.png

    从上图中可以看出,正常情况下PC去往外部网络的数据包通过备份组1的master设备(FW1)转发,外部网络返回的数据包由备份组2的master设备(FW1)转发,但是当FW1的G1/0/0接口出现故障时,备份组1可以检测到这一故障,并将FW2作为备份组1的master设备。PC发起的数据包由备份组1的master设备(FW2)进行转发,而备份组2的状态没有发生任何改变(FW1的G1/0/1接口正常工作),所以由外部网络返回的流量仍然由备份组2的master设备(FW1转发),显然,因为FW1的接口G1/0/0故障,数据包无法继续转发。

    造成这种现象的原因就是两个VRRP备份组独立工作,所以需要使用VGMP(VRRP组管理协议)来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的接口发生变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的Active组和standby组。选举出的Active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为master设备)。

    可以简单理解为,VGMP就是用来统一设备在不同备份组中的状态的即可。

    VGMP的工作原理如下:

    • VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如master和backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理。
    • VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为standby。
    • 默认情况下,VGMP组的优先级为45000。
    • VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2。
    • VGMP通过心跳线协商VGMP状态信息。

    在加入VGMP组之后,VRRP中的状态标识从master和backup变成了active和standby。

    1、VGMP的报文封装

    VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式:

    dbb857a5e3db3c887da89e3a9c675cac.png

    如上图中左边的网络图中,心跳线(G1/0/0)和对端的心跳线直连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息,而当心跳线通过三层设备(当然这种情况并不多见)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部消息,此时发送的报文属于单播。

    通过以下命令指定通过接口发送的报文属于哪种类型的封装。

    [USG6000V1]hrp interface GigabitEthernet 1/0/0 [USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1

    关于配置VGMP的其他注意事项:

    • 加入了VGMP后,心跳线的作用包含状态信息备份(会话表和server-map表)及VGMP状态协商。
    • 华为防火墙在默认情况下放行组播流量(如不带remote参数的VGMP报文)禁止单播流量(如带remote参数的VGMP报文),所以如果配置了remote参数,还需要配置local区域和心跳线接口所在的区域之间配置安全策略。
    • 配置了VRRP virtual-mac enable的接口不能作为心跳口。
    • 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入vlan,在vlan中配置心跳接口。
    • eNSPoint模拟器中,即使心跳接口之间相连,也必须配置remote参数,否则无法配置。

    2、双机热备的备份方式

    双机热备的备份方式包括以下三种:

    • 自动备份:该模式下,和双机热备有关的配置只能在主用设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中。
    • 手工批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主设备和备用设备配置不同步,需要立即进行同步的场景。
    • 快速备份:该模式下,不同步配置命令,只同步状态信息,在负载均衡方式的双机热备环境中,该默认必须启用,以快速更新状态信息。

    各个模式的配置命令如下:

    (1)开启双机热备功能:

    [USG6000V1]hrp enable HRP_S[USG6000V1] 

    (2)配置自动备份模式:

    HRP_M[USG6000V1]hrp auto-sync HRP_M[USG6000V1]security-policy (+B) 

    (3)配置手工批量备份模式:

    HRP_Mhrp sync [ config | connection-status ]  

    (4)配置快速备份模式:

    HRP_S[USG6000V1]hrp mirror session enable HRP_M[USG6000V1] 

    3、关于上游或下游设备的选路问题

    当双机热备的设备上游或下游是交换机时,是通过VRRP检测接口或设备的状态,但当上游或下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法是监控其接口状态,并配置OSPF实现流量切换,通过直接将接口加入VGMP组中,当接口故障时(即使是对端设备故障,本端接口的物理特性也将关闭)VGMP会感知接口状态变化,从而降低VGMP组的优先级,从Active状态切换至standby状态。而之前的standby组将提升为active状态,而处于standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至active组设备中。

    七、配置实例

    环境如下(别看上面啰嗦了那么一堆概念,但真正配置起来,简单的很,但是若要排错,还是要理解透彻它的工作原理):

    85dba1d61e6168242738e20b1362ba22.png

    声明:该环境不以实际环境为目的,目的是为了介绍防火墙的双机热备,所以这是一个简化环境。

    需求如下:

    LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过FW2转发。

    开始配置:

    FW1配置如下:

    sys [USG6000V1]in g1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.101 24[USG6000V1-GigabitEthernet1/0/0]in g1/0/1[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.1 24[USG6000V1-GigabitEthernet1/0/1]in g1/0/2[USG6000V1-GigabitEthernet1/0/2]ip add 192.168.1.101 24[USG6000V1-GigabitEthernet1/0/2]quit[USG6000V1]firewall zone trust[USG6000V1-zone-trust]add in g1/0/2[USG6000V1-zone-trust]firewall zone dmz[USG6000V1-zone-dmz]add in g1/0/1[USG6000V1-zone-dmz]firewall zone untrust[USG6000V1-zone-untrust]add in g1/0/0[USG6000V1-zone-untrust]quit[USG6000V1]security-policy [USG6000V1-policy-security]rule name permit_heat[USG6000V1-policy-security-rule-permit_heat]source-zone local[USG6000V1-policy-security-rule-permit_heat]destination-zone dmz[USG6000V1-policy-security-rule-permit_heat]action permit [USG6000V1-policy-security-rule-permit_heat]quit[USG6000V1-policy-security]quit [USG6000V1]in g1/0/0[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active[USG6000V1-GigabitEthernet1/0/0]in g1/0/2[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 active[USG6000V1-GigabitEthernet1/0/2]quit [USG6000V1]hrp in g1/0/1 remote 172.16.1.2 [USG6000V1]hrp enable HRP_S[USG6000V1]hrp auto-sync 

    至此,FW1的配置暂时就完成了。开始配置FW2,FW2的配置与FW1的配置类似,就不写注释了(体谅一下我这个懒货)。

    FW2配置如下:

    sys[USG6000V1]in g1/0/0[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.102 24[USG6000V1-GigabitEthernet1/0/0]in g1/0/1[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.2 24[USG6000V1-GigabitEthernet1/0/1]in g1/0/2[USG6000V1-GigabitEthernet1/0/2]ip add 192.168.1.102 24[USG6000V1-GigabitEthernet1/0/2]quit[USG6000V1]firewall zone trust[USG6000V1-zone-trust]add in g1/0/2[USG6000V1-zone-trust]firewall zone untrust[USG6000V1-zone-untrust]add in g1/0/0[USG6000V1-zone-untrust]firewall zone dmz[USG6000V1-zone-dmz]add in g1/0/1[USG6000V1-zone-dmz]quit[USG6000V1]security-policy [USG6000V1-policy-security]rule name permit_heat[USG6000V1-policy-security-rule-permit_heat]source-zone local[USG6000V1-policy-security-rule-permit_heat]destination-zone dmz[USG6000V1-policy-security-rule-permit_heat]action permit[USG6000V1-policy-security-rule-permit_heat]quit[USG6000V1-policy-security]quit[USG6000V1]in g1/0/0[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby [USG6000V1-GigabitEthernet1/0/0]in g1/0/2[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 standby [USG6000V1-GigabitEthernet1/0/2]quit[USG6000V1]hrp in g1/0/1 remote 172.16.1.1[USG6000V1]hrp enableHRP_S[USG6000V1]hrp auto-sync

    配置至此,双机热备状态已经同步了,现在FW2为备份状态,多数配置已经无法在FW2上进行,只能在FW1上配置后,自动同步到FW2,那么现在在FW1配置一条策略,以便允许trust区域访问untrust区域,并且在FW2防火墙设备上查看是否同步到这条策略。

    FW1配置如下:

     HRP_M[USG6000V1]security-policy (+B)HRP_M[USG6000V1-policy-security]rule name test1 (+B)HRP_M[USG6000V1-policy-security-rule-test1]source-zone trust (+B)HRP_M[USG6000V1-policy-security-rule-test1]destination-zone untrust (+B)HRP_M[USG6000V1-policy-security-rule-test1]action permit (+B)HRP_M[USG6000V1-policy-security-rule-test1]quitHRP_M[USG6000V1-policy-security]quit

    FW2设备上查看是否有FW1创建的策略:

    HRP_S[USG6000V1]security-policy  Error: The device is in HRP standby state, so this command can not be executed. HRP_S[USG6000V1]dis current-configuration  ...................... security-policy rule name permit_heat source-zone local destination-zone dmz action permit rule name test1  source-zone trust destination-zone untrust action permit

    配置R1路由器及PC及的IP地址,并ping通。

    R1路由器配置如下(R1路由器相当于运营商的公网上的路由器了,这里只是为了模拟一个这样的环境):

    sys[Huawei]in g0/0/0[Huawei-GigabitEthernet0/0/0]ip add 10.1.1.1 24[Huawei-GigabitEthernet0/0/0]quit[Huawei]ip route-static 192.168.1.0 24 10.1.1.100  

    PC1的IP地址配置如下:

    2e8c5f0bf333a42bc5a57018c5fc53cb.png

    PC1和R1路由器进行ping测试(最好在命令最后加“-t”选项,进行持续ping,以便查看会话表,否则会话表会老化,查不到相应数据):

    254d9c5b0327b7e9ecb3b70770dc617d.png

    在FW1查看会话表:

    HRP_M[USG6000V1]dis firewall session table  Current Total Sessions : 24 icmp ×××: public --> public 192.168.1.1:17547 --> 10.1.1.1:2048 icmp ×××: public --> public 192.168.1.1:18059 --> 10.1.1.1:2048 icmp ×××: public --> public 192.168.1.1:14987 --> 10.1.1.1:2048

    在FW2查看会话表:

    HRP_S[USG6000V1]dis firew se ta Current Total Sessions : 26 icmp ×××: public --> public Remote 192.168.1.1:9099 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:9611 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:10891 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:12171 --> 10.1.1.1:2048

    可以看出两个防火墙上的会话表内容都是不一样的(但不会影响故障切换)。

    那么现在就可以进行故障切换的验证咯!

    模拟FW1设备故障(关闭FW1的任意一个接口即可,注:此时PC1还在持续pingR1,才可以看到故障切换的效果):

    HRP_M[USG6000V1]in g1/0/0 (+B)HRP_M[USG6000V1-GigabitEthernet1/0/0]shutdown 

    在关闭接口的后的一两秒钟,可以看到PC1丢了一个包,便又恢复正常了,说明故障切换成功。如下:

    62144676a12eac40ebdc5b798be5f8ee.png

    配置到此结束,下面是关于双机热备的一些查询命令:

     HRP_S[USG6000V1]display hrp state  Role: standby, peer: active (should be "active-standby") Running priority: 44998, peer: 45000 ...................... HRP_S[USG6000V1]dis hrp interface   GigabitEthernet1/0/1 : running

    八、总结

    1、两台防火墙用于心跳线的接口需要加入相同的安全区域。

    2、两台防火墙用于心跳线的接口的编号必须一致,如都是G1/0/1。

    3、建议用于双机热备的两台防火墙采用相同的型号,相同的VRP版本。连接同一个设备(路由器或交换机)都使用同一个接口编号。

    4、当热备组中的设备坏掉后,买来新的设备进行加入热备组时,在配置时,原来坏掉的那台设备在VGMP中配置的是active,哪怕现在备份组中有设备处于active状态,新买来的设备必须也配置active状态,否则无法协商。如在上面环境中,FW1配置时配置为active状态,然后FW1设备down掉了,此时FW2由standby状态变为active状态,那么,此时再买来一台FW3想要重新加入备份组,在配置时,须配置为active。如该条命令:vrrp vrid 1 virtual-ip 192.168.1.100 active。不过还有个弊端,就是配置后,新买的FW3变成了active状态,但是FW2上有很多安全策略及会话表就同步不过来了,因为只有备份设备去同步活跃设备,活跃设备是不会去同步备份设备的状态的,所以,更省事的方法,还是先将FW2重新使用vrrp vrid 1 virtual-ip 192.168.1.100 active这条命令,将原始的状态变为active状态,然后在配置FW3时,直接将FW3配置为standby状态,便可同步成功。

    展开全文
  • 防火墙双机热备配置及组网指导: 防火墙双机热备典型组网 防火墙双机热备命令行说明 ……
  • 2008故障转移群集及Oracle数据库双机热备配置
  • MYSQL 双机热备配置手册。初学者可以看看这文档学习一下。
  • SqlServer+ServHA Cluster双机热备配置实战
  • SqlServer+ServHA Mirror双机热备配置实战
  • (一)实验简介如图所示,某公司出口连接两个路由器,以双链路接入Internet,为了保证在链路故障时可以动态调整,FW和两台路由器之间配置双机热备绑定BFD,将FW1为主设备,在出现故障时FW2切换为主设备,从而不影响...
  • Oracle11g+ServHA Mirror双机热备配置实战
  • Oracle11g+ServHA Cluster双机热备配置实战
  • MySQL共享存储双机热备配置手册.PDFMySQL 共享存储双机热备配置手册本文以MySQL 5.5 为例,介绍MySQL 5.5 的安装以及通过ServHA Cluster 配置双机集群。主要步骤:一、配置防火墙二、安装并配置ServHA Cluster三、...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,525
精华内容 610
关键字:

双机热备配置