精华内容
下载资源
问答
  • 华为防火墙双机热备

    2021-03-29 11:13:45
    双机热备基本组网 配置主备备份的双机热备,FW1为主用,FW2为备用 VRRP1的虚拟IP为10.1.1.253,VRRP2的虚拟IP为202.100.1.253 心跳接口需要配置remote参数 FW底层配置 sysname FW1 # interface ...

    双机热备基本组网

    配置主备备份的双机热备,FW1为主用,FW2为备用

    VRRP1的虚拟IP为10.1.1.253,VRRP2的虚拟IP为202.100.1.253

    心跳接口需要配置remote参数

    FW底层配置

    sysname FW1

    #
    interface GigabitEthernet1/0/1
     ip address 10.1.1.10 255.255.255.0
     service-manage ping permit

    #
    interface GigabitEthernet1/0/0

    ip address 202.100.1.10 255.255.255.0
     service-manage ping permit

    #

    sysname FW2

    #
    interface GigabitEthernet1/0/1
     ip address 10.1.1.11 255.255.255.0
     service-manage ping permit

    #
    interface GigabitEthernet1/0/0

    ip address 202.100.1.11 255.255.255.0
     service-manage ping permit

     

    配置心跳接口

    FW1的心跳接口,安全区域可自定义

    #
    interface GigabitEthernet1/0/3
     ip address 172.16.1.1 255.255.255.252

    #

    firewall zone dmz
     add interface GigabitEthernet1/0/3

    FW2的心跳接口,安全区域可自定义

    #
    interface GigabitEthernet1/0/3
     ip address 172.16.1.2 255.255.255.252

    #

    firewall zone dmz
     add interface GigabitEthernet1/0/3

    FW1双机热备配置

    interface GigabitEthernet1/0/1
     vrrp vrid 1 virtual-ip 10.1.1.253 active

    #

    interface GigabitEthernet1/0/0
     vrrp vrid 1 virtual-ip 202.100.1.253 active

    #

    hrp interface GigabitEthernet1/0/3 remode 172.16.1.1

    hrp enable

    FW2双机热备配置

    interface GigabitEthernet1/0/1
     vrrp vrid 1 virtual-ip 10.1.1.253 standby

    #

    interface GigabitEthernet1/0/0
     vrrp vrid 1 virtual-ip 202.100.1.253 standby

    #

    hrp standby-device

    hrp interface GigabitEthernet1/0/3 remode 172.16.1.1

    hrp enable

    FW1查看VRRP状态

    HRP_M[FW1]dis vrrp
      GigabitEthernet1/0/1 | Virtual Router 1
        State : Master
        Virtual IP : 10.1.1.253
        Master IP : 10.1.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:46:48
        Last change time : 2021-03-29 03:02:36

      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 202.100.1.253
        Master IP : 202.100.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:47:13
        Last change time : 2021-03-29 02:48:02

    FW2查看VRRP状态

    HRP_M[FW2]dis vrrp
      GigabitEthernet1/0/1 | Virtual Router 1
        State : Master
        Virtual IP : 10.1.1.253
        Master IP : 10.1.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:48:23
        Last change time : 2021-03-29 02:49:45

      GigabitEthernet1/0/0 | Virtual Router 2
        State : Master
        Virtual IP : 202.100.1.253
        Master IP : 202.100.1.10
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-29 02:48:49
        Last change time : 2021-03-29 02:49:45
     

     

    展开全文
  • 华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
  • 华为防火墙双机热备实验 拓扑 说明 防火墙的G1/0/0口接外网,开启easy-ip NAT转发 虚拟ip为192.168.1.200/24 防火墙的G1/0/1口接内网 虚拟IP为172.16.1.200/24 防火墙G1/0/6用作hrp心跳线,区域为DMZ区域...

    华为防火墙双机热备实验

    拓扑

    拓扑

    说明

    1. 防火墙的G1/0/0口接外网,开启easy-ip NAT转发

      1. 虚拟ip为192.168.1.200/24
    2. 防火墙的G1/0/1口接内网

      1. 虚拟IP为172.16.1.200/24
    3. 防火墙G1/0/6用作hrp心跳线,区域为DMZ区域

    配置

    FW1(主)

    # G1/0/0
    interface GigabitEthernet1/0/0
     undo shutdown
     ip address 192.168.1.254 255.255.255.0
     vrrp vrid 1 virtual-ip 192.168.1.200 active
    #G1/0/1
    interface GigabitEthernet1/0/1
     undo shutdown
     ip address 172.16.1.254 255.255.255.0
     vrrp vrid 2 virtual-ip 172.16.1.200 active
    #安全策略
    security-policy
    #开放trust到untrust
     rule name PC1_PC2
      source-zone trust
      destination-zone untrust
      action permit
    #开放dmz和local互通
    #nat的地址是local区域
    #心跳线的ip是dmz区域
     rule name local_dmz
      source-zone dmz
      source-zone local
      destination-zone dmz
      destination-zone local
      action permit
    #hrp配置
     hrp enable
     #hrp心跳从G1/0/6口发送都对端10.10.10.2的地址
     hrp interface GigabitEthernet1/0/6 remote 10.10.10.2
    

    FW2(备)

    # G1/0/0
    interface GigabitEthernet1/0/0
     undo shutdown
     ip address 192.168.1.253 255.255.255.0
     vrrp vrid 1 virtual-ip 192.168.1.200 standby
    #G1/0/1
    interface GigabitEthernet1/0/1
     undo shutdown
     ip address 172.16.1.253 255.255.255.0
     vrrp vrid 2 virtual-ip 172.16.1.200 standby
    #安全策略
    security-policy
    #开放trust到untrust
     rule name PC1_PC2
      source-zone trust
      destination-zone untrust
      action permit
    #开放dmz和local互通
    #nat的地址是local区域
    #心跳线的ip是dmz区域
     rule name local_dmz
      source-zone dmz
      source-zone local
      destination-zone dmz
      destination-zone local
      action permit
    #hrp配置
     hrp enable
     #hrp心跳从G1/0/6口发送都对端10.10.10.1的地址
     hrp interface GigabitEthernet1/0/6 remote 10.10.10.1
    

    验证

    hrp心跳会话表

    HRP心跳会话表

    PC1 ping PC2 会话表

    PING测试会话表

    断开主防火墙线路,备防火墙自动抢占

    主机故障测试

    • PC1 ping PC2 中途断开主防火墙的线路,备防火墙自动抢占为主模式,接管流量;
    • 中途PC1出现一次丢包后恢复正常通信。
    展开全文
  • 华为防火墙双机热备学习笔记(V500)双机产生背景防火墙与路由器、三层交换机设备双机部署的差别HRP 心跳线防火墙的双机部署 双机产生背景 随着互联网承载的业务越来越多,也越来越重要,所以保证网络的不间断传输成...

    双机产生背景

    随着互联网承载的业务越来越多,也越来越重要,所以保证网络的不间断传输成了急需解决的一个任务。而部署在网络关键路径上的单个设备,总会因为各种原因Down掉,这种单点故障通常会造成网络中断。

    在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,我们必然要承受因设备单点故障而导致网络中断的风险。所以,在进行网络架构设计时,通常会在网络的关键位置部署两台设备。

    防火墙与路由器、三层交换机设备双机部署的差别

    • 普通的网络转发设备(路由器、三层交换机)只根据路由表进行报文转发,只需要在两台设备上做好路由的备份就可以保证业务的可靠性。
    • 防火墙是基于报文状态连接的,检测首包并建立会话,后续报文只有匹配会话才能被防火墙转发,如果后续报文不能匹配会话则会被防火墙丢弃。如以下双机部署场景:
      在这里插入图片描述
      起初,业务通过FW1转发,FW1检测首包并建立会话,后续报文匹配会话后就可以被转发。但FW1链路故障造成网络中断,业务需要通过FW2进行转发,但FW2没有接收检测到首包,不给予建立会话,后续报文无法匹配会话,会被防火墙丢弃,造成网络中断。

    那么,防火墙如何完成双机部署?

    双机热备协议架构

    • HRP
      双机之间关键配置及连接状态信息的同步备份
    • VRRP
      监控单个链路的状态及流量引导
    • VGMP
      统一管理vrrp备份组,实现状态的统一切换

    HRP 心跳线

    在这里插入图片描述
    心跳线用于协商两台防火墙之间的状态,作为专门的备份通道,两台防火墙可以通过它备份同步会话表,Server-map表及关键状态信息和配置信息。

    防火墙的双机部署

    华为防火墙有两种工作模式:主备备份和负载分担

    • 主备备份:双机热备功能开后,两台防火墙根据管理员的配置分别称为主用设备备用设备,称为主用设备的防火墙会处理业务,并将设备上的会话、Server-map表等重要状态信息和配置信息通过心跳线同步给备用设备,成为备用设备的防火墙不会处理业务,但如果主用设备故障时,备用设备可以凭借同步过来的会话表继续转发后续报文。
    • 负载分担:两台防火墙均为主用设备,都处理业务,建立会话。同时两台防火墙互相作为对方的备用设备,接受对方备份的会话和配置信息。由于两台防火墙的会话信息是相互备份的,因此全部业务流量的后续报文能够在其中一台防火墙上匹配到会话从而正常转发,这就避免了网络业务的中断。

    报文可以通过主用设备转发,那上行链路根据什么判断应该把报文发送给哪一设备?

    VRRP 虚拟路由冗余协议

    VRRP简介:一种基于ip的容错协议,协议号为112,使用组播地址224.0.0.18。它把多台路由设备组成一个虚拟路由器(VRRP备份组),作为默认网关与外部进行通讯(其实质是组内的一个设备作为默认网关,享用VRRP备份组的IP地址,叫做Master设备,其余设备叫做Backup设备)。当网关(即Master设备)故障时,VRRP协议能够在VRRP备份组内快速选举新的网关设备承载数据流量,以此来实现网关备份功能。
    在这里插入图片描述

    工作流程:管理员在路由器上配置完VRRP备份组和优先级后,VRRP备份组会短暂的工作在Initialize状态。当收到接口UP的消息后,VRRP备份组会切换成Backup状态,然后等待定时器超时后再切换状态:成为主(Master)的设备会发送免费arp,刷新交换机的mac地址表,来引导流量,当交换机泛洪arp request报文时,只有主设备进行回应。同时Master会周期性(缺省1s)的向Backup设备发送Advertisement报文,维护主备关系。当Backup设备一段时间内没有接收到来自主路由器的报文,则在组内重新选举Master设备。

    优先级越高的设备定时器时长越短,所以优先级越高的设备会成为Master

    ​ VRRP的不足:VRRP各备份组是相对独立的,当防火墙上下行业务接口都配置了vrrp备份组时,只有一方发生故障时,会发生状态切换不一致,导致流量来回路径不一致,造成丢包。

    VGMP vrrp组管理协议(Huawei私有)

    ​解决配置vrrp备份组状态不一致而导致流量来回路径不一致的问题

    ​工作原理:将FW上的所有VRRP备份组都加入一个VGMP组中,由VGMP组来集中统一管理和监控这些VRRP备份组。VGMP组会控制组中的所有VRRP备份组统一进行状态切换,保证各VRRP备份组状态的一致性。

    每台FW上有一个VGMP组。VGMP组有四个状态机:

    • Initialize:双机热备功能未启用前,VGMP组的初始状态。
    • Load Balance:当FW本端的VGMP组与对端的VGMP组优先级相等时,两端的VGMP组都处于Load Balance状态。
    • Active:当本端的VGMP组优先级高于对端时,本端的VGMP组处于Active状态。
    • Standby:当本端的VGMP组优先级低于对端时,本端的VGMP组处于Standby状态。

    两台FW组成双机热备组网后,默认情况下,两台FW的VGMP组优先级(默认45000)相等,状态机处于Load Balance状态。

    ​VGMP状态切换过程:
    启用:两台FW启用VGMP组后,都会短暂处于Standby状态,并向对端发送VGMP报文,告知自己的优先级和状态。FW收到VGMP报文后,与对端比较优先级,如果优先级相等,则将自己的状态切换成Load Balance,形成负载分担。或者根据VRRP备份组的主备配置或管理员配置,形成主备备份。

    配置备用设备
    [FW1] hrp standby-device
    在一台设备上同时配置hrp standby-device命令和VRRP备份组,设备的状态由VRRP备份组的配置决定,hrp standby-device的配置失效。

    问题:当两台防火墙VGMP组优先级相同时,VGMP组处于Load Balance状态。但在配置VRRP备份组时,active/Standby 又会形成主备,那么业务流量是由两防火墙负载分担转发还是只由VRRP Active的那端转发? 
    
    答:VGMP组状态由Running Priority决定,处于load balance时, 但业务的主备是根据VRRP配置或者管理员手动指定来决定的, 只有业务主用设备才会转发业务流量。VGMP组状态只是为了统一管理和切换VRRP组状态,与业务流量的转发无关,真正引导流量的是VRRP组状态,所以VRRP组状态影响着设备主用还是备用。
    

    业务链路故障切换:主用设备业务接口故障时,本端VGMP组优先级会下降,状态变为Active-to-Standby。同时与对端VGMP组比较优先级后,如果发现低于对端,就会将自身状态切换为Standby。然后会立即向对端发送VGMP报文,通知本端优先级和状态的变化。对端收到报文后,会比较优先级,发现它本身优先级高,则会将自身状态切换为Active。
    整机故障切换:当主用设备整机故障,将无法发送HRP心跳报文。对端设备如果连续5次收不到主用设备发送的HRP心跳报文,那么它就会认为对端设备的VGMP组故障,从而自身切换到主用设备。

    故障恢复抢占:当原主设备故障恢复时,会比较对端发送的VGMP报文中的优先级,发现优先级相等,如果开启了抢占功能,则启动抢占时延。时延结束后,原主设备的状态会切换成Load-Balance,并向对端发送VGMP报文通告优先级和状态的变化。对端收到报文后会比较优先级,发现优先级相等,则将状态也切换为Load-Balance。由于以前管理员配置的主备状态,所以两台设备交换报文,确认各自的身份,恢复原主备状态。

    备用设备可以不配置抢占功能。(备用设备切换为主设备不是抢占功能的体现,而是故障以后的状态切换,与VGMP组的优先级有关)

    如果在没有发生故障的时候,备用设备能否进行抢占;能
    配置命令:HRP_M[FW1]hrp switch standby
    或者:HRP_S[FW2]hrp switch acitve //强制变更优先级

    VGMP报文格式:
    在这里插入图片描述

    • Type:在VRRP头中"Type"=1,新VRRP报文中"Type"=2
    • Virtual Rtr ID:在VRRP报文中表示VRRP备份组ID,在新VRRP报文中固定值为0
    • 删除优先级"Priority"字段,增加Type2字段
    • Type2= 1 -----------心跳探测报文(验证心跳线接口UP DOWN的问题)
    • Type2= 5------------HRP一致性检查
    • Type2= 2------------封装成为VGMP报文,由vtype字段决定报文类型:HRP心跳报文(Hello) VGMP报文 HRP数据报文

    防火墙双机热备工作场景

    • 防火墙工作在三层
      • 连接交换机
        通过VRRP备份组引导流量和检测故障。
        VRRP组的主备决定防火墙的主备或负载分担

      • 连接路由器
        通过修改OSPF路由的cost值引导流量
        hrp standby device对应主备备份
        hrp load balance device对应负载分担

    通过监控接口(ip-link,bfd)检测故障

    • 防火墙工作在二层
      • 连接交换机(负载分担)
        通过监控VLAN引导流量并检测故障
      • 连接路由器
        两台路由器需要通过ospf生成路由,建议主备备份
    展开全文
  • 如何实现华为防火墙双机热备负载分担 各位大佬,这个拓扑模型能实现防火墙双机热备负载均衡吗,做了好久没做出来,基础知识实在有限,大佬们能指点一下吗 帮忙配置一下 ...

    如何实现华为防火墙双机热备负载分担
    在这里插入图片描述
    各位大佬,这个拓扑模型能实现防火墙双机热备负载均衡吗,做了好久没做出来,基础知识实在有限,大佬们能指点一下吗
    帮忙配置一下

    展开全文
  • 转载 基于防火墙的VRRP技术--华为防火墙双机热备--VGMP ...
  • 华为防火墙双机热备(VRRP+VGMP+HRP)

    千次阅读 2020-02-21 15:55:27
    防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更新更高的可靠性,此时需要使用防火墙双机热备组网 双机热备组网的建立和运行需要解决以下...
  • 一:双机热备的工作原理1:双机热备概述传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证。 双机热备份技术的...
  • - 平常多个VRRP备份组会存在状态不一致的问题,于是华为防火墙引入了VGMP来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。 - VGMP(VRRP Group Management Protocol)组管理协议:由于双机热备导致...
  • 华为防火墙 双机热备负载均衡实验

    千次阅读 2018-12-27 16:36:10
    双机热备 FW1的配置 FW2的配置 interface GigabitEthernet 1/0/1  ip address 10.1.1.2 255.255.255.0  vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active //将接口...
  • 配置双机热备 [FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.10.254 active [FW1-GigabitEthernet1/0/0]vrrp virtual-mac enable [FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.10.254 standby ...
  • 配置双机热备 [FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 active [FW1-GigabitEthernet1/0/0]vrrp virtual-mac enable [FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 standby ...
  • 华为网络 防火墙 双机热备
  • 配置双机热备 [FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 active [FW1-GigabitEthernet1/0/0]vrrp virtual-mac enable [FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 standby ...
  • 华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 ...
  • 一、何为双机热备? 所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为...华为防火墙双机热备包含以下两种模式: 热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及serv...

空空如也

空空如也

1 2 3 4 5 ... 17
收藏数 334
精华内容 133
关键字:

华为防火墙双机热备