精华内容
下载资源
问答
  • 双机热备技术原理 双机热备技术产生的原因 传统的组网方式如所示,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的...

    防火墙 | 双机热备原理

    双机热备技术原理

    双机热备技术产生的原因

    • 传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。
    • 双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。
    • USG防火墙作为安全设备,一般会部署在需要保护的网络和不受保护的网络之间,即位于业务接口点上。在这种业务点上,如果仅仅使用一台USG防火墙设备,无论其可靠性多高,系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份。
      双机热备在路由器上部署
    • 为了避免路由器传统组网所引起的单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题,因此推出了另一种保护机制VRRP(虚拟路由冗余协议)来进行。采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。
    • VRRP(Virtual Router Redundancy Protocol)是一种基本的容错协议。
    • 备份组:同一个广播域的一组路由器组织成一个虚拟路由器,备份组中的所有路由器一起,共同提供一个虚拟IP地址,作为内部网络的网关地址。
    • 主(Master)路由器:在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。
    • 备份(Backup)路由器:在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。
    • 主路由器通过组播方式定期向备份路由器发送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。由于VRRP HELLO报文为组播报文,所以要求备份组中的各路由器通过二层设备相连,即启用VRRP时上下行设备必须具有二层交换功能,否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足,则不能使用VRRP。

    在这里插入图片描述

    VRRP在多区域防火墙组网中的应用

    • 当防火墙上多个区域需要提供双机备份功能时,需要在一台防火墙上配置多个VRRP备份组。由于USG防火墙是状态防火墙,它要求报文的来回路径通过同一台防火墙。为了满足这个限制条件,就要求在同一台防火墙上的所有VRRP备份组状态保持一致,即需要保证在主防火墙上所有VRRP备份组都是主状态,这样所有报文都将从此防火墙上通过,而另外一台防火墙则充当备份设备。
      VRRP在防火墙应用中存在的缺陷
    • 如图所示,假设USG A和USG B的VRRP状态一致,即USG A的所有接口均为主用状态,USG B的所有接口均为备用状态。
    • 此时,Trust区域的PC1访问Untrust区域的PC2,报文的转发路线为(1)-(2)-(3)-(4)。USG A转发访问报文时,动态生成会话表项。当PC2的返回报文经过(4)-(3)到达USG A时,由于能够命中会话表项,才能再经过(2)-(1)到达PC1,顺利返回。同理,当PC2和DMZ区域的Server也能互访。
      假设USG A和USG B的VRRP状态不一致,例如,当USG B与Trust区域相连的接口为备用状态,但与Untrust区域的接口为主用状态,则PC1的报文通过USG A设备到达PC2后,在USG A上动态生成会话表项。PC2的返回报文通过路线(4)-(9)返回。此时由于USG B上没有相应数据流的会话表项,在没有其他报文过滤规则允许通过的情况下,USG B将丢弃该报文,导致会话中断。

    在这里插入图片描述

    问题产生的原因:报文的转发机制不同。

    • 路由器:每个报文都会查路由表当匹配上后才进行转发,当链路切换后,后续报文不会受到影响,继续进行转发。
    • 状态检测防火墙:如果首包允许通过会建立一条五元组的会话连接,只有命中该会话表项的后续报文(包括返回报文)才能够通过防火墙;如果链路切换后,后续报文找不到正确的表项,会导致业务中断。
    • 注意:当路由器配置NAT后也会存在同样的问题,因为在进行NAT后会形成一个NAT转换后的表项。

    VRRP用于防火墙多区域备份

    • VRRP在防火墙中应用的要求:
    • VRRP状态的一致性
    • 会话表状态备份
    • VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。

    VGMP基本原理

    • 当防火墙上的VGMP为Master状态时,组内所有VRRP备份组的状态统一为Master状态,所有报文都将从该防火墙上通过,该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态,该防火墙成为备用防火墙。
    • 通过指定VGMP组的优先级来决定谁将成为主防火墙或备用防火墙。
    • VGMP的优先级会根据组内的VRRP备份组成员的状态动态调整,以此完成两台防火墙的主备倒换。
    • 与VRRP类似,状态为Master的VGMP也会定期向对端发送HELLO报文,通知Slave端本身的运行状态(包括优先级、VRRP成员状态等)。与VRRP不同的是,Slave端收到HELLO报文后,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等。
    • VGMP HELLO报文发送周期缺省为1秒。当Slave端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Master状态。

    VGMP组管理

    • 状态一致性管理
      VGMP管理组控制所有的VRRP备份组统一切换。
    • 抢占管理
      当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。

    HRP基本概念

    • 在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。因为USG防火墙是状态防火墙,如果备防火墙上没有原来主防火墙上的会话表等连接状态数据,则切换到备防火墙的流量将无法通过防火墙,造成现有的连接中断,此时用户必须重新发起连接。
    • HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据,提交给HRP模块,HRP模块负责将数据发送到对端防火墙的对应模块,应用模块需要再将HRP模块提交上来的数据进行解析,并加入到防火墙的动态运行数据池中。
      备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。
      备份方向:防火墙上有状态为主的VGMP管理组,向对端备份。
      备份方式:分为三种
      批量备份:在两台设备第一次协商完成后,批量备份所有信息
      实时备份:在设备运行过程中,新建或者刷新的数据实时备份
      配置批量备份需要消耗较多的资源,缺省情况下是关闭的。
      备份通道:一般情况下,在两台设备上直连的端口作为备份通道,有时也称为“心跳线”(VGMP也通过该通道进行通信)。

    HRP会话快速备份

    • 在来回路径不一致的组网中,业务流的来回报文有可能不会从同一个防火墙上经过。为了支持来回路径不一致的组网,防火墙增加了会话快速备份功能。即在首包创建会话时,立即将会话数据打包备份到对端,然后再将报文转发出去,保证了当回应的报文到达对端防火墙时,对端防火墙上已经接收到备份过来的会话数据并加入到会话表中。比如对于TCP三次握手的报文,SYN+ACK报文从另一台设备回来时,由于查不到会话,报文会被丢弃,导致连接建立失败。对于UDP会话,第一个反向报文过来时,在另一台上也会因为查不到会话,需要走包过滤流程,有可能会被丢弃。
    • 通常情况下,对于TCP连接、状态改变的报文命中会话之后立即备份到对端,包括三次握手报文和fin、rst报文;对于UDP会话,快速备份是创建会话之后立即备份到对端,后续报文也进行备份以避免会话信息的老化。

    双机热备基本组网

    在这里插入图片描述

    • 双机热备组网最常见的是防火墙采用路由模式,下行交换机双线上联到防火墙,正常情况下防火墙A作为主,当防火墙A上行或下行链路down掉后,防火墙B自动切换为主设备,交换机流量走向防火墙B。
    展开全文
  • 双机热备工作原理图

    千次阅读 2016-08-12 19:14:59
    双机热备工作原理图

    双机热备工作原理图
    这里写图片描述

    展开全文
  • 将笔记3的Demo改造一下,如所示: 改造完成后,其实就是在网页上显示一张图片 现在启动Tomcat运行起来,如: 可以看到图片的请求是请求Tomcat下的图片。 现在,通过把静态资源放在nginx的html目录下(必须和...

    1动静分离演示:

    将笔记3的Demo改造一下,如图所示:

    改造完成后,其实就是在网页上显示一张图片

     现在启动Tomcat运行起来,如图:

    可以看到图片的请求是请求Tomcat下的图片。

    现在,通过把静态资源放在nginx的html目录下(必须和原来工程请求路径一样,如下第一张图),实现动静分离,首先先配置nginx.conf文件,如下面第二张图:

     

     

     现在我们可以重新启动nginx。重新请求。如图所示:

    这是通过ngnix下的请求,首先我们先删除Tomcat下的静态资源图片,再请求如下图:

    可以看出请求没有问题,说明请求的静态资源是从nginx目录下获取的静态资源

    现在我们现在只通过tomcat下的请求(已经删除了静态资源),如下图:

    可以看出已经找不到了静态资源的图片。

    这里还可以设置nginx静态资源缓存的时间,如下图:

     

    因此这充分说明了nginx负载均衡能够充分实现动静分离。

     

    2.前面的双机热备原理心跳检测机制其实就是keepalive这东西。可以去官网下载,只能下载Linux环境下,没有windows环境的。如图:

     

     心跳检测原理图,如下图所示:

     

    展开全文
  • 防火墙双机热备技术

    2021-03-02 19:48:29
    文章目录防火墙双机热备技术双机热备技术产生的原因VRRP在防火墙的缺陷VGMP(VRRP Group Management Protocol)VGMP基本原理VGMP组管理VGMP报文VGMP状态机HRP(Huawei Redundancy protocol)HRP报文HRP心跳接口心跳...

    防火墙双机热备技术

    双机热备技术产生的原因

    在这里插入图片描述

    USG防火墙作为安全设备,一般 会部署在需要保护的网络和不受保护的网络之间,即位于业务接口点上。在这种业务点上,如果仅仅使用一台USG防火墙设备,无论其可靠性多高,系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份。

    VRRP在防火墙的缺陷

    在这里插入图片描述

    问题产生的原因:报文转发机制不同。

    • 路由器:每个报文都会查路由表当匹配上后才进行转发,当链路切换后,后续报文不会受到影响,继续进行转发。
    • 状态监测防火墙:如果首包允许通过会建立一条五元组的会话连接,只有命中该会话表项的后续报文(包括返回报文)才能通过防火墙,如果链路切换后,后续报文找不到正确的表项,会导致业务中断。

    VGMP(VRRP Group Management Protocol)

    VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。

    VGMP基本原理

    在这里插入图片描述

    • 当防火墙上的VGMP为Active状态时,组内所有VRRP备份组的状态统一为 Active状态,所有报文都将从该防火墙.上通过,该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态,该防火墙成为备用防火墙。
    • VGMP的优先级会根据组内的VRRP备份组状态为Active的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)。成员的状态动态调整,以此完成两台防火墙的主备倒换。
    • 与VRRP类似,与VRRP不同的是,Standby端收到HELLO报文后,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等。
    • VGMP HELLO报文发送周期缺省为1秒。当Standby端 三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态。

    VGMP组管理

    状态一致性管理

    各备份组的主/备状态变化都需要通知其所属的VGMP管理组,由VGMP管理组决定是否允许VRRP备份组进行主/备状态切换。如果需要切换,则VGMP管理组控制所有的VRRP备份组统一切换。 VRRP 备份组加入到管理组后,状态不能自行单独。
    切换。

    抢占管理

    • VRRP备份组本身具有抢占功能。即当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。
    • VGMP管理组的抢占功能和VRRP备份组类似,当管理组中出现故障的备份组故障恢复时,管理组的优先级也将恢复。此时VGMP可以决定是否需要重新抢占称为主设备。
    • 当VRRP备份组加入到VGMP管理组后,备份组.上原来的抢占功能将失效,抢占行为发生与否必须由VGMP管理组统一决定。

    VGMP报文

    在这里插入图片描述

    • 标准VRRP报文的“Type”字段只有“1”一个取值,我们增加了“2”取值。也就是说如果Type=1,就是标
      准的VRRP报文;如果Type=2,就是我们修改后的VRRP报文。

    • 标准VRRP报文的“Virtual Rtr ID”字段代表VRRP备份组ID,而修改后的VRRP报文“Virtual Rtr ID”取值固定为“0”。

    • 修改后的VRRP报文中去掉了标准VRRP报文的“IP Address”字段。

    • 标准VRRP报文中的“Priority”字段在VRRP报文头中被修改成“Type2”字段。

    • 当Type2=1时,报文封装成心跳链路探测报文。心跳链路探测报文用于检测对端设备的心跳口能否正常接收本端设备的报文,以确定是否有心跳口可以使用。

    • 当Type2=5时,报文封装成 一致性检查报文。一致性检查报文用于检测双机热备状态下的两台防火墙是否配置了相同的策略。

    • 当Type2=2时,VRRP报文才会进一步封装VGMP报文头,并根据VGMP报文头中

    • “vType”字段继续分成以下三种报文 :

    1. VGMP 报文(VGMP Hello 报文)。VGMP Hello 报文用于两台防火墙间的VGMP组协商主备状态。这也正是我们问题的答案所在。
    2. HRP 心跳报文(HRP Hello 报文)。HRP心跳报文用于探测对端设备是否处于工作状态。主用设备会每隔一段时间(缺省为1s)向备用设备发HRP心跳报文,用来通知主用设备处于工作状态。如果备用设备在三个周期内没有收到HRP心跳报文,则认为主用设备故障,而自身切换成主用备。
    3. HRP 数据报文。我们还需要在VGMP报文头后继续增加HRP报文头,才能封装成HRP数据报文。HRP数据报文用于主备设备之间的数据备份,包括命令行配置的备份和各种状态信息的备份。

    VGMP状态机

    在这里插入图片描述

    启用双机热备内功能后,各VGMP组进入Initialize(初始化)状态。

    1.启用Active组后,Active组的状态由Initialize切换成Active。

    2.启用Standby组后,Standby组的状态由Initialize切换成Standby。

    3.本端VGMP组监控的接口故障时,状态由Active切换成A to S,并发送VGMP请求报文给对端设备的VGMP组。

    4.本端VGMP组收到对端的VGMP请求报文,发现自身优先级高,则将状态由Standby切换成Acitve,并发送VGMP确认报文给对端设备的VGMP组。

    5.本端VGMP组收到对端的VGMP确认报文,确认本端需要进行状态切换,则本端的VGMP组状态由A to S切换成Standby。

    6.对端VGMP组确认本端的VGMP组不需要进行状态切换或连续三次没有回应本端的VGMP请报文,则本端的VGMP组状态由A to S切换成Active。

    7.本端VGMP组监控的接口故障恢复后,如果本端VGMP组优先级高于对端且配置了抢占功能,则本端VGMP组状态由Standby切换成S to A,并向对端发送VGMP请求报文。

    8.本端VGMP组收到对端的VGMP请求报文,发现对端优先级高,则将状态由Active切换成Standby,并发送VGMP确认报文给对端设备的VGMP组。

    9.本端VGMP组收到对端的VGMP确认报文,确认本端需要进行状态切换,则本端的VGMP组状态由S to A切换成Active,完成抢占过程。

    10.对端VGMP组确认本端的VGMP组不需要进行状态切换或连续三次没有回应本端的VGMP请报文,则本端的VGMP组状态由S to A切换成Standby。

    HRP(Huawei Redundancy protocol)

    用来实现防火墙双机之间动态状态数据和关键配置命令的备份

    • 在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。因为USG防火墙是状态防火墙,如果备防火墙上没有原来主防火墙.上的会话表等连接状态数据,则切换到备防火墙的流量将无法通过防火墙,造成现有的连接中断,此时用户必须重新发起连接。
    • HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据,提交给HRP模块,HRP模块负责将数据发送到对端防火墙的对应模块,应用模块需要再将HRP模块提交上来的数据进行解析,并加入到防火墙的动态运行数据池中。
      • 备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。
      • 备份方向:防火墙上有状态为主的VGMP管理组,向对端备份。
      • 备份通道: 一般情况下,在两台设备上直连的端口作为备份通道,有时也称为“心跳线”(VGMP也通过该通道进行通信).

    HRP报文

    在这里插入图片描述

    HRP心跳接口

    在这里插入图片描述

    心跳接口状态

    在这里插入图片描述

    • invalid:当本端FW上的心跳口配置错误时显示此状态(物理状态up,协议状态down),

    例如指定的心跳口为二层接口或未配置心跳接口的IP地址。

    • down:当本端FW上的心跳口的物理与协议状态均为down时,则会显示此状态。
    • peerdown:当本端FW.上的心跳口的物理与协议状态均为up时,则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果收不到对端响应的报文,那么FW会设置心跳接口状态为peerdown。但是心跳口还会不断发送心跳链路探测报文,以便当对端的对应心跳口up后,该心跳链路能处于连通状态。
    • ready:当本端FW上的心跳口的物理与协议状态均为up时,则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果对端心跳口能够响应此报文(也发送心跳链路探测
      报文),那么FW会设置本端心跳接口状态为ready,随时准备发送和接受心跳报文。这时心跳口依旧会不断发送心跳链路探测报文,以保证心跳链路的状态正常。
    • running:当本端FW有多个处于ready状态的心跳口时,FW 会选择最先配置的心跳口形成心跳链路,并设置此心跳口的状态为running。如果只有一个处于ready状态的心跳口,那么它自然会成为状态为running的心跳口。状态为running的接口负责发送HRP心跳报文、HRP数据报文、HRP链路探测报文、VGMP报文和一致性检查报文。
    • 这时其余处于ready状态的心跳口处于备份状态,当处于running状态的心跳口或心跳链路故障时,其余处于ready状态的心跳口依次(按配置先后顺序)接替当前心跳口处理业务。

    心跳链路探测报文的作用时检测对端设备的心跳口能否正常接收本端设备的奥文,以确定心跳链路是否可用。

    HRP心跳报文只有主用设备的VGMP组通过状态为running的心跳口发出

    双机热备的备份方式

    自动备份

    自动备份功能缺省为开启状态,能够自动实时备份配置命令和周期性地备份状态信息,适用于各种双机热备组网。

    启用自动备份功能后,在一台FW上每执行一条可以备份的命令时,此配置命令就会被立即同步备份到另一台FW上。

    启用自动备份功能后,主用设备会周期性地将可以备份的状态信息备份到备用设备上。即主用设备的状态信息建立后不会立即备份,而是在建立一段时间(10秒左右)之后才会备份到备用设备。

    自动备份不会备份以下类型的会话:

    • 到防火墙自身的会话,例如管理员登录防火墙时产生的会话。
    • 未完成3次握手的TCP半连接会话(快速备份支持备份此会话)。
    • 只为UDP首包创建,而不被后续包匹配的会话(快速备份支持备份此会话)。

    手动批量备份

    • 手工批量备份需要管理员手工触发,每执行一次手工批量备份命令,主用设备就会立即同步一次配置命令和状态信息到备用设备。因此手工批量备份主要适用于主备设备之间配置不同步,需要手工同步的场景。
    • 执行手工批量备份命令后,主用(配置主)设备会立即同步一次可以备份的配置命令到备用(配置备)设备。
    • 执行手工批量备份命令后,主用设备会立即同步一次可以备份的状态信息到备用设备,而不必等到自动备份周期的到来。

    会话快速备份

    • 会话快速备份功能,适用于负载分担的工作方式,以应对报文来回路径不一致的场景。负载分担组网下,由于两台防火墙都是主用设备,都能转发报文,所以可能存在报文的来回路径不一致的情况, 即来回两个方向的报文分别从不同的防火墙经过。这时如果两台防火墙的会话没有及时相互备份,则回程报文会因为没有匹配到会话表项而被丢弃,从而导致业务中断。所以为防止.上述现象发生,需要在负载分担组网下配置会话快速备份功能,使两台防火墙能够实时的相互备份会话,使回程报文能够查找到相应的会话表项,从而保证内外部用户的业务不中断。
    • 启用会话快速备份功能后,主用设备会实时地将可以备份的会话(包括上面提到的自动备份不支持的会话)都同步到备用设备上。即在主用设备会话建立的时候立即将其实时备份到备用设备。

    设备重启后主备FW的配置自动同步

    • 双机热备组网中,如果一台FW重启,重启期间业务都是由另一台FW承载。在此期间,承载业务的FW上可能会新增、删除或修改配置。为了保证主备FW配置一致,在FW重启完成后,会自动从当前承载业务的FW上进行一次配置同步。
    • 配置同步仅会同步支持备份的配置,如安全策略、NAT策略等。不支持备份的配置,如OSPF、BGP等, 还继续沿用原有的配置。
    • 配置同步需要一定的时间。同步的时间与配置量有关,配置量越大同步配置所需时间也越长,最长可能需要1个小时左右。在配置同步期间,FW上无法执行支持备份的配置命令。

    双机热备基本组网与配置

    防火墙热备技术实验

    实验拓扑图
    在这里插入图片描述
    端口地址和区域划分

    设备名称 接口 IP地址 区域
    USG6000-1 g1/0/0 10.1.1.2/24 trust
    g1/0/1 40.1.1.2/24 untrust
    g1/0/2 10.1.2.1/24 DMZ
    g1/0/3 20.1.1.1/24 DMZ
    USG6000-1 g1/0/0 10.1.1.3/24 trust
    g1/0/1 40.1.1.3/24 untrust
    g1/0/2 10.1.2.2/24 DMZ
    g1/0/3 20.1.1.2/24 DMZ
    PC1 e0/0/0 10.1.1.100/24 trust
    PC2 e0/0/0 2.2.2.2/24 trust

    在这里插入图片描述
    配置思路:
    1.配置接口IP以及安全区域
    在这里插入图片描述
    完成USG6000-1的VRRP备份组1,2的配置
    在这里插入图片描述
    在这里插入图片描述

    查看双机热备状态
    在这里插入图片描述
    配置安全策略

    在这里插入图片描述
    查看VRRP状态

    HRP_M[USG6000V1]display vrrp
    2021-03-03 11:12:13.540 
      GigabitEthernet1/0/0 | Virtual Router 1
        State : Master
        Virtual IP : 10.1.1.1
        Master IP : 10.1.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-03 10:32:17
        Last change time : 2021-03-03 11:03:58
    
      GigabitEthernet1/0/1 | Virtual Router 2
        State : Master
        Virtual IP : 2.2.2.1
        Master IP : 40.1.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-03 10:32:33
        Last change time : 2021-03-03 11:03:58
    

    查看HRP状态

    HRP_M[USG6000V1]display hrp state 
    2021-03-03 11:14:18.550 
     Role: active, peer: standby
     Running priority: 45000, peer: 45000
     Backup channel usage: 0.00%
     Stable time: 0 days, 0 hours, 0 minutes
     Last state change information: 2021-03-03 11:14:06 HRP core state changed, old_
    state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
    rity = 45000.
    

    思考题:
    1.两台FW之间备份的数据是通过心跳口发送和接收的,是通过心跳链路(备份通道)传输的。对于心跳接口有什么要求。
    有备份,心跳口必须是状态独立且具有IP地址的接口,可以是- -一个物理接口(GE接口)也可以是为了增加带宽,由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk。

    在这里插入图片描述

    2.防火墙双机热备有多种配置场景,本实验为防火墙直路部署,上下行连接二层设备的主备备份组网配置,思考还有哪些双机热备的组网场景,并且分别对应哪些配置注意点。

    在这里插入图片描述

    展开全文
  • 熟悉双机热备原理 双机热备组网规划 实验需求: 企业部署双机热备,上下行接路由器主备模式组网; IP地址配置如上 全网互通 配置思路: 1.两个防火墙各接口配置相应的地址,并且加入区域(接口使用要一致)如果...
  • 一、华为防火墙双机热备概述1.1 防火墙双机热备概念1.2 防火墙双机热备特点1.2.1 VGMP的优先级1.3 华为防火墙双机热备方式1.4 VGMP的状态转换与工作过程1.5 VGMP的工作原理(主备模式下)1.6 HRP协议基本原理1.7 HRP...
  • nginx+keepalived实现双机热备高可用负载均衡集群实践 高可用集群(High Availability Cluster,简称 HA)包括两台及以上的服务器,通常...本文实现原理图如上,实现方案主要是通过nginx+keepalived。实现步骤主要介绍
  • 实现Oracle Rac与双机HA的实现原理类似,在实际的应用中也有不少的场景,今天讲一下通过双机HA如何实现双机数据库热备。在一些项目中,客户提出要求能接通物理机的BMC口(或IPMI口)来实现双机HA,而这样将对云安全...
  • 双机热备:保持两个数据库的状态自动同步。对任何一个数据库的操作都自动同步到另外一个数据库,始终保持两个数据库数据一致。 说到mysql的备份,那就必须要了解(不是理解)mysql的备份原理,借用一整很多大神都用...
  • 拓扑: 环境描述: 操作系统:CentOS6.3_x64 主:eth0 192.168.10.10 心跳:eth1 192.168.1.10 备:eth0 192.168.10.20 心跳:eth1 192.168.1.20 VTP:192.168.128.5 heartbeat(Linux-HA)的工作原理:heartbeat...
  • 一、keepalived原理及配置解析 keepalived:vrrp协议的实现 vrrp协议:virtual router redundancy protocol 即虚拟路由器冗余协议 vrrp基本实现及工作流程: VRRP通过在一组路由器(一个VRRP组)之间共享一个虚拟...
  • 文章目录一、实验步骤1.1 实验拓扑1.2 需求1.3 实验详细步骤及配置 一、实验步骤 1.1 实验拓扑 1.2 需求 1、实现全网互通 2、对SW1与SW2配置VRRP,实现在上行链路端口故障时流量能够实现自动切换 1.3 实验详细...
  • Keepalived的设计目标是构建高可用的LVS负载均衡群集,可以调用ipvsadm工具来创建虚拟服务器、管理服务器池,而不仅仅是双机热备。优点:keepalived对lvs负载调度器实现热备切换,提高可用性,对服务器池中的节
  • 华为路由器配置VRRP(实操可跟做)

    千次阅读 2019-09-04 07:36:37
    原理性的东西我就不啰嗦了,关于华为防火墙VRRP双机热备原理及配置大家可以参看博文华为防火墙VRRP双机热备原理及实例配置 此博文主要是一个模拟环境,在路由器上配置VRRP,模拟主路由器故障网络走备份路由器...
  • 阅读目录 目录 Cache Fusion 原理 什么是 Cache Fusion?...双机热备、RAC 和 Data Guard的区别 节点间的通信(Interconnect) 锁 一致性管理 OCR 结构 Oracle Clusterware 后台进程 RAC 的并发...
  • 原文地址:http://www.cnblogs.com/baiboy/p/orc4.html 阅读目录 目录 Cache Fusion 原理 什么是 Cache Fusion?...双机热备、RAC 和 Data Guard的区别 节点间的通信(Interconnect) ...
  • 一、LVS 1.1 概述 1.2 Nginx与LVS区别什么 ...三、LVS+Keepalived+Nginx 搭建双机主从热备 3.1 问题引出 3.2 架构流程 3.3 环境搭建 1).环境服务配置 2).下载并编译keepalived 3).把...
  • MySQL异地备份方案

    2019-09-23 17:29:56
    1.1.1主主复制原理双机热备就是通过搭建主主复制架构进行互相同步,从而保证两边的数据库一致。 1.1.2主主复制做异地备份的好处: 可以实现负载均衡,减少数据库的负担,提供更快的服务; 可以实现灾备,当一...
  • 支持双机热备、虚拟主机和图形化的管理界面,自带强大的对RS健康检查功能;支持TCP(四层)、HTTP(七层)应用代理功能;多用于PV很大,但是又需要七层应用代理的业务 二、工作原理 1、基于TCP负载均衡工作原理:...
  • 第1章Mysql异地备份方案1.1方案一:主主复制进行热备份1.1.1主主复制原理双机热备就是通过搭建主主复制架构进行互相同步,从而保证两边的数据库一致。1.1.2主主复制做异地备份的好处:可以实现负载均衡,减少...
  • 第十一章 1:keepalived 应用部署前言一、keepalived概述:二、设计原理:三、案例:keepalived 实现双机热备;总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据生成一个适合你的列表创建一个表格设定内容...
  • 铁路信号微机联锁

    2014-11-02 18:42:36
    第八章 双机热备计算机联锁系统 第一节 TYJL-Ⅱ型计算机联锁系统 第二节 JD-IA型计算机联锁系统 第三节 DS6-11型计算机联锁系统 第四节 CIS-l型计算机联锁系统 思考题 第九章 三取二和二乘二取二计算机联锁系统 第...
  • DRBD实现原理图 DRBD(Distributed Replicated Block Device),分布式复制块设备,是一种通过TCP/IP网络实现块设备数据实时镜像的方案。利用这种方案,单一主节点模式(single primary mode)双机系统能够实时...

空空如也

空空如也

1 2
收藏数 32
精华内容 12
关键字:

双机热备原理图