精华内容
下载资源
问答
  • Eudemon防火墙双机热备配置实现,上下联为两台二层交换机 #上联地址 int g 0/0/1 ip addr 192.168.10.253 24 vrrp vrid 10 virtual-ip 192.168.10.254 24 master #下联地址 int g 0/0/3 ip addr 10.1.1.253 24 ...

    Eudemon防火墙双机热备配置及实现

    Eudemon防火墙双机热备配置及实现,上下联为两台二层交换机
    
    #上联地址
    int g 0/0/1
    
    ip addr 192.168.10.253 24
    vrrp vrid 10 virtual-ip 192.168.10.254 24 master
    #下联地址
    int g 0/0/3
    ip addr 10.1.1.253 24
    vrrp vrid 30 virtual-ip 10.1.1.254 24 master
    #心跳地址
    int g  0/0/2
    ip add 1.1.1.3 24
    q
    #创建trust区域
    firewall zone trust
    
    add int  g 0/0/1.10
    
    #创建untrst区域
    firewall zone untrust
    add int g 0/0/3
    #创建dmz区域
    firewall zone dmz
    add int g 0/0/1.20
    #创建一个ha的区域,存心跳
    firewall zone name ha
    set pri 96
    add int g 0/0/2
    q 
    #开启主备
     hrp int g 0/0/2
     hrp enable
    
    #设置访问策略
    policy interzone trust dmz outbound
    policy 10
    policy source 192.168.10.0 0.0.0.255
    action permit
    
    ##########################################
    
    #上联地址
    int g 0/0/1
    
    ip addr 192.168.10.253 24
    vrrp vrid 10 virtual-ip 192.168.10.254 24 slave
    #下联地址
    int g 0/0/3
    ip addr 10.1.1.253 24
    vrrp vrid 30 virtual-ip 10.1.1.254 24 slave
    #心跳地址
    int g  0/0/2
    ip add 1.1.1.3 24
    q
    #创建trust区域
    firewall zone trust
    
    add int  g 0/0/1.10
    
    #创建untrst区域
    firewall zone untrust
    add int g 0/0/3
    #创建dmz区域
    firewall zone dmz
    add int g 0/0/1.20
    #创建一个ha的区域,存心跳
    firewall zone name ha
    set pri 96
    add int g 0/0/2
    q 
    #开启主备
    hrp int g 0/0/2
    hrp enable
    
    #设置访问策略
    policy interzone trust dmz outbound
    policy 10
    policy source 192.168.10.0 0.0.0.255
    action permit
    
    #外部访问内部
    policy interzone dmz untrust inbound
    policy 10
    policy source 192.168.20.0 0.0.0.255
    action permit
    ########################
    
    #划分vlan
    
    int g  0/0/1
    port link ac 
    port de vlan 10
    
    #上联口trunk口
    int g 0/0/21
    port link tr
    port trunk allow-pass vlan 10 20
    
    使用子接口,配置多vlan 访问
    #划分子接口
    int g 0/0/1.10
    vlan dot 10
    ip addr 192.168.10.252 24
    vrrp vrid 10 virtual-ip 192.168.10.254 24 slave
    #划分子接口
    int g 0/0/1.20
    vlan dot 20
    ip addr 192.168.20.252 24
    vrrp vrid 20 virtual-ip 192.168.20.254 24 slave
    #划分子接口
    int g 0/0/3
    ip addr 10.1.1.252 24
    vrrp vrid 30 virtual-ip 10.1.1.254 24 slave
    
    #心跳线接口
    int g  0/0/2
    ip add 1.1.1.3 24
    q
    
    #创建trust区域
    firewall zone trust
    
    add int  g 0/0/1.10
    
    #创建untrst区域
    firewall zone untrust
    add int g 0/0/3
    #创建dmz区域
    firewall zone dmz
    add int g 0/0/1.20
    #创建一个ha的区域,存心跳
    firewall zone name ha
    set pri 96
    add int g 0/0/2
    q 
    #开启主备
    hrp int g 0/0/2
    hrp enable
    
    #设置访问策略
    policy interzone trust dmz outbound
    policy 10
    policy source 192.168.10.0 0.0.0.255
    action permit
    ##########################################

    转载于:https://blog.51cto.com/10181121/2055000

    展开全文
  • 双机热备配置

    2018-06-28 14:22:39
    db2数据库实现双机热备,日志归档操作说明书,文档不懂可发问
  • 2要想实现双机热备首先要了解主从数据库服务器的版本的需求要实现热备mysql的版本都要高于3.2还有一个基本的原则就是作为从数据库的数据库版本可以高于主服务器数据库的版本但是不可以低于主服务器的数据库
  • mysql双机热备配置

    千次阅读 2019-05-11 00:19:03
    mysql双机热备配置 一:概念 所谓的双机热备就是保证两个数据库的状态同步。其中一个数据库的操作会自动同步到另外一个数据库中去,保证两个数据库的数据一致。 二:作用 容灾切换,当一个数据库服务器宕机可以将...

    一:概念

    所谓的双机热备就是保证两个数据库的状态同步。其中一个数据库的操作会自动同步到另外一个数据库中去,保证两个数据库的数据一致。

    二:作用

    • 容灾切换,当一个数据库服务器宕机可以将连接切换到另一个数据库。
    • 负载均衡,做读写分离,数据库的读和写分摊到不同的数据库当中,减轻单个数据库服务器的压力

    三:原理

    大概介绍一下数据库是如何实现双机热备的。

    首先先说说主从同步概念,就是数据库读操作都放在主数据库上,一旦数据有变化,则从数据库将主数据库的数据变化同步过来,保证从数据库的数据与主数据库的数据一致。

    看下图

    在这里插入图片描述

    主数据库开启binlog记录数据库的数据变化情况,从数据库开启一条I/O thread不断的去读取主树据库的binlog,然后交由另一条SQL thread去执行相应的sql,将数据变化同步过来。

    因此主从同步要配置的内容就是:

    1. 开启主数据库的binlog。
    2. 创建一个用于同步数据的帐号,这个帐号有同步数据 (REPLICATION SLAVE) 的权限。
    3. 将主数据库的binlog位置和读取偏移量以及有读取binlog权限的帐号配置给从数据库。
    4. 开启从数据库的同步进程。

    以上四步完成了主从同步配置,而双机互备就是两台已经做主从同步的数据库角色调换再做一次主从同步即可。

    四:配置实现

    新建两个mysql容器

    主服务器 mysqltest1

    docker run --name mysqltest1 -v /data/test1/my.cnf:/etc/mysql/my.cnf -v /data/test1/mysql/:/var/lib/mysql/ -e MYSQL_ROOT_PASSWORD=123456 -p 3307:3306 -d 192.168.168.98:5000/mysql
    

    从服务器 mysqltest2

    docker run --name mysqltest2 -v /data/test2/my.cnf:/etc/mysql/my.cnf -v /data/test2/mysql/:/var/lib/mysql/ -e MYSQL_ROOT_PASSWORD=123456 -p 3308:3306 -d 192.168.168.98:5000/mysql
    

    主服务器 mysqltest1 开启binlog。在配置文件中添加如下配置。

    [mysqld]
    server-id = 1
    log_bin = /var/lib/mysql/mysql-bin.log
    

    主服务器 mysqltest1 上创建一个专门用于主从同步的帐号添加同步数据的权限。

    Create user 'rep'@'%' identified by '123456' require ssl;
    grant replication slave on *.* to 'rep'@'%' identified by '123456';
    flush privileges;
    

    查看主服务器 mysqltest1 的binlog位置,后面配置从服务器要用到。

    mysql> show master status;
    +------------------+----------+--------------+------------------+-------------------+
    | File             | Position | Binlog_Do_DB | Binlog_Ignore_DB | Executed_Gtid_Set |
    +------------------+----------+--------------+------------------+-------------------+
    | mysql-bin.000004 |      840 |              |                  |                   |
    +------------------+----------+--------------+------------------+-------------------+
    

    登录从服务器 mysqltest2 配置同步参数。

    change master to master_host="10.18.139.81", master_port=3307, master_user="rep", master_password="123456", master_log_file="mysql-bin.000004", master_log_pos=840;
    

    各项参数解释如下

    change master to
    	master_host="10.18.139.81:3307",     ---->主服务器的地址
    	master_user="rep",          ---->主服务器的帐号,用刚刚创建用于同步的帐号
    	master_password="123456",   ---->主服务器的帐号对应的密码
    	master_log_file="mysql-bin.000004", ----->主服务器中通过show master获取的binlog文件
    	master_log_pos="840";             ----->主服务器中通过show master获取的log文件位置
    

    最后,启动从服务器 mysqltest2的同步进程。

    start slave;  
    

    检查进程启动的状态。

    show slave status \G
    

    查看这两项均为Yes,则启动成功。

     Slave_IO_Running: Yes
     Slave_SQL_Running: Yes
    

    以上完成主从备份,也就是从服务器可以备份主服务器的数据。

    接下来将两台服务器的角色调换一下,mysqltest2 作为主服务器,mysqltest1作为从服务器重新配置一遍,即可完成两个数据库相互备份。

    mysqltest2开启binlog,在my.cnf中添加如下配置。

     log_bin = /var/lib/mysql/mysql-bin.log 
    

    mysqltest2中创建用于备份数据的账户。

     Create user 'rep'@'%' identified by '123456';
     grant replication slave on *.* to 'rep'@'%' identified by '123456';
     flush privileges;  
    

    查看 mysqltest2 的binlog位置。

    mysql> show master status;
     +------------------+----------+--------------+------------------+-------------------+
     | File             | Position | Binlog_Do_DB | Binlog_Ignore_DB | Executed_Gtid_Set |
     +------------------+----------+--------------+------------------+-------------------+
     | mysql-bin.000004 |      824 |              |                  |                   |
     +------------------+----------+--------------+------------------+-------------------+  
    

    在mysqltest1中添加同步的相关配置。

    change master to master_host="10.18.139.81", master_port=3308, master_user="rep", master_password="123456", master_log_file="mysql-bin.000004", master_log_pos=824; 
    

    启动主从同步进程。

    start slave; 
    

    至此,主从热备的配置完成。

    展开全文
  • 本文使用华为eNSP模拟器,实现了镜像模式下华为防火墙双机热备配置实例。 阅读本文,您需要有一定的防火墙配置基础防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所...

    今天继续给大家介绍HCIE安全系列内容。本文使用华为eNSP模拟器,实现了镜像模式下华为防火墙双机热备配置实例。
    阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获!
    推荐先导文章阅读:
    VGMP协议详解
    HRP协议详解
    防火墙双机热备技术详解

    一、实验目的及拓扑

    在这里插入图片描述
    实验拓扑如上所示,现在要求两台防火墙配置透明模式下双机热备。

    二、实验配置命令

    当防火墙工作在透明模式下后,两台防火墙相当于一台防火墙来进行使用,他们的所有的配置都是完全相同的,因此要求在防火墙物理接口上也必须完全一致。在透明模式下,防火墙接口上拥有相同的IP地址。

    (一)双机热备前准备命令

    首先,我们可以先配置好防火墙双机热备,之后的命令只需要在一台防火墙上配置,另一台防火墙就会自动同步命令了。
    防火墙双机热备需要配置心跳线并启用双机热备功能,配置命令如下:

    hrp interface GigabitEthernet 1/0/6 remote 192.168.0.2 
    hrp enable 
    #
    firewall zone dmz
     set priority 50
     add interface GigabitEthernet1/0/6
    

    除此之外,还需要在备防火墙上配置上述命令之前上执行命令:

    hrp standby-device
    

    这样,防火墙双击热备就配置成功了。

    (二)双机热备配置完成后命令

    在完成双机热备后,就可以配置接口IP、安全区域、安全策略和VGMP组了。相关命令如下所示:

     hrp enable
     hrp mirror config enable
     hrp standby-device
     hrp interface GigabitEthernet1/0/6 remote 192.168.0.1
     hrp track interface GigabitEthernet1/0/0
     hrp track interface GigabitEthernet1/0/1
    #
    interface GigabitEthernet0/0/0
     undo shutdown
     ip binding vpn-instance default
     ip address 192.168.0.1 255.255.255.0
     alias GE0/METH
    #
    interface GigabitEthernet1/0/0
     undo shutdown
     ip address 192.168.1.254 255.255.255.0
    #
    interface GigabitEthernet1/0/1
     undo shutdown
     ip address 192.168.2.1 255.255.255.0
    #
    interface GigabitEthernet1/0/6
     undo shutdown
     ip address 192.168.0.2 255.255.255.0
    #
    firewall zone trust
     set priority 85
     add interface GigabitEthernet0/0/0
     add interface GigabitEthernet1/0/0
    #
    firewall zone untrust
     set priority 5
     add interface GigabitEthernet1/0/1
    #
    ip route-static 0.0.0.0 0.0.0.0 192.168.2.254
    #
    security-policy
     rule name 1
      source-zone trust
      destination-zone untrust
      action permit
    

    这样,防火墙双机热备就配置成功了。

    三、实验现象

    (一)双击热备配置完成后命令自动同步

    在这里插入图片描述
    从上图可看出,在透明模式下,在主设备上每次执行命令后都会有+B的符号,这就表示命令已经成功配置到备用防火墙上了。

    (二)双击热备状态

    在这里插入图片描述
    在这里插入图片描述

    (三)全部配置完成后互通实验

    在这里插入图片描述
    原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119282097

    展开全文
  • 华为防火墙实现双机热备配置详解

    万次阅读 多人点赞 2019-10-26 15:56:22
    一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件...一、双机热备工作原理 二、VRRP协议 (1)VRRP协议概述 (2)VRRP的角色 (3)V...

    一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路。防火墙承载了非常多的功能,比如:安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性。

    博文大纲:
    一、双机热备工作原理
    二、VRRP协议
    (1)VRRP协议概述
    (2)VRRP的角色
    (3)VRRP的状态机
    (4)VRRP的工作原理
    三、VGMP协议
    (1)VGMP的工作原理
    (2)VGMP的报文封装
    (3)双机热备的备份方式
    (4)连接路由器时的双机热备
    四、实现防火墙双机热备的配置

    一、双机热备工作原理

    随着互联网的发展,现在人们生活中的大多数问题都可以通过网络解决,但与此同时,网络安全问题也逐渐暴露出来。在企业中部署一台防火墙已然成为常态。如何能够保证网络不间断地传输成为网络发展中急需解决的问题!


    企业在关键的业务出口部署一台防火墙,所有的对外流量都要经过防火墙进行传输,一旦防火墙出现故障,那么企业将面临网络中断的问题,无论防火墙本身的性能有多好,功能有多么强大。在这一刻,都无法挽回企业面临的损失。所以在企业的出口部署两台防火墙产品,可以在增加企业安全的同时,保证业务传输基本不会中断,因为两台设备同时出现故障的概率非常小。经过图中右边的部署,从拓补的角度来看,网络具有非常高的可靠性,但是从技术的角度来看,还需解决一些问题,正因为防火墙和路由器在工作原理上有着本质的区别,所以防火墙还需一些特殊的配置。


    左图,内部网络可以通过R3→R1→R4到达外部网络,也可以通过R3→R2→R4到达,如果通过R3→R1→R4路径的cost(运行OSPF协议)比较小,那么默认情况,内部网络将通过R3→R1→R4到达外部网络,当R1设备损坏时,OSPF将自动收敛,R3将通过R2转发到达外部网络。

    右图,R1、R2替换成两台防火墙,默认情况下,流量将通过FW1进行转发到达外部网络,此时在FW1记录着大量的用户流量对应的会话表项内容,当FW1损坏时,通过OSPF收敛,流量将引导FW2上,但是FW2上没有之前流量的会话表,之前传输会话的返回流量将无法通过FW2,而会话的后续流量需要重新经过安全策略的检查,并生成会话。这就意味着之前所有的通信流量都将中断,除非重新建立连接。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Ck6Uibz-1572076553073)(https://s1.51cto.com/images/blog/201910/25/f7ec2d4fe×××64fae8d10e55377049.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)]
    如图,华为防火墙的双机热备功能是通过提供一条备份链路(心跳线)、协商防火墙之间的主备状态及备份会话表、Server-map表等操作。根据防火墙的配置分别选举出主用设备及备用设备,当主用设备正常工作时,备用设备不提供数据包的转发,但是备用设备会实时从主用设备下载当前的会话表及Server-map表。从而保证,当主用设备故障时,即使切换到备用设备,备用设备依然存在当前流量的会话表及Server-map表,从而保证业务流量不中断。

    在双机热备环境中,要求如下:
    (1)两台防火墙用于心跳线的接口加入相同的安全区域;
    (2)两台防火墙用于心跳线的接口的设备编号必须一致,比如都是G1/0/0;
    (3)建议用于双机热备的两条防火墙采用相同的型号、相同的VRP版本;

    华为防火墙的双机热备包含以下两种模式:

    • **热备模式:**同一时间只用一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表;
    • **负载均衡模式:**同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间同步会话表及Server-map表;

    关于华为防护墙的热备模式和负载均衡模式如图:

    二、VRRP协议

    在双机热备技术中,即使选举出了主用设备和备用设备,默认情况下流量也通过主用设备转发,而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口,当客户机将网关指向主用设备时,流量自然从主用设备转发,但是当主用设备故障时,客户机并不会将网关自动指向备用设备,所以即使双机热备本身可以切换、客户机依然无法正常通信。所以要保证双机热备可以正常工作,还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题,甚至还能让设备切换对客户机而言是透明的。在华为防火墙的双机热备技术中,VRRP是非常重要的一个组成部分。

    (1)VRRP协议概述

    VRRP(虚拟路由冗余协议)由IETF进行维护。用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双击热备。

    VRRP的基本概念如下:
    (1)VRRP路由器:运行VRRP协议的路由器;
    (2)虚拟路由器:由一个主用路由器和若干备用路由器组成的一个备份组,一个备份组对客户机提供一个虚拟网关;
    (3)VRID:Virtual Router ID,虚拟路由器标识,用来唯一的表识一个备份组;
    (4)虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应;
    (5)虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器提供该MAC地址;
    (6)IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真是IP地址,那么该成员被称为IP地址拥有者;
    (7)优先级:用于表示VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备;
    (8)抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器;
    (9)非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等);

    VRRP的工作原理与Cisco设备基本相同,只有一些细节上的一些区别,如图:

    (2)VRRP的角色

    工作在VRRP模式下的路由器有两种角色,分别是:

    • Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告Master路由器当前的状态信息;
    • Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器,接替转发数据包的工作,从而保证业务不间断;

    (3)VRRP的状态机

    VRRP定义了三种工作状态,如下:

    • **Initialize状态:**刚配置VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时将进入该状态;
    • **Master状态:**当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起的ARP请求,并将虚拟MAC地址回应客户机。当接口关闭时,将立即切换至Initialize状态;
    • **Backup状态:**当前设备选举成为备用路由器的一种状态。该状态下不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文,并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息;

    三种状态之间的切换关系如图:

    Initialize状态是VRRP的初始状态,当接口shutdown时,无论路由器处于Master状态还是Backup状态,都将立即切换至Initialize状态;当路由器配置IP地址拥有者时,其优先级默认为255,此时路由器直接由Initialize状态切换至Master状态;当路由器不是IP地址拥有者时,其优先级< 255,此时路由器直接由Initialize状态切换至Backup状态;处于Master状态的路由器如果收到优先级更大的VRRP报文,将由Master状态切换至Backup状态,而Backup状态的路由器如果收到一个优先级更大或者本地优先级相等的报文(通常是由Master路由器发出),将重置Master_DOWN_Interval计时器,如果一直没有接收到Master路由器发送的VRRP通过报文,待Master_DOWN_Interval计时器超时后,将由Backup状态切换至Master状态。

    **注意:**除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即时路由器的优先级最高,也需要从Backup状态过渡到Master状态。此时Backup状态只是一个瞬间的过渡状态。

    (4)VRRP的工作原理

    VRRP选举Master路由器和Backup路由器的流程如下:
    首先选举优先级高的设备成为Master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为Master路由器,而备份组中其他的路由器将成为Backup路由器。

    VRRP中的默认接口优先级值为100,取值范围为0~255。其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,优先级默认是255。

    VRRP的工作原理如图:

    故障切换过程:
    默认情况下,Master设备(FW1)会周期性(每1s)地向Backup设备发送VRRP通告,而Backup设备每次收到VRRP通告,就将Master_DOWN_Interval计时器重置为0。当Master设备出现故障,无法发出VRRP通告报文时,Backup设备将无法接收到VRRP,在Master_DOWN_Interval超时后,将直接由Backup状态切换为Master状态,FW2代替FW1成为新的Master设备。同时会向下游交换机发出免费ARP报文,以更新下游交换机的MAC地址表。而后续客户机发起的针对虚拟IP的ARP请求报文,FW2将直接代为回应,客户机发出的报文也将由FW2转发,而这一切变化对客户机而言都是透明的。因为虚拟IP地址仍然可用!

    当FW1解决故障恢复正常运行时,因为FW1的优先级配置比FW2高,在抢占模式下,其将直接成为Master设备,而FW2再次回到Backup状态;在非抢占模式下,FW2依然是Master设备,而FW1成为Backup设备。

    **建议:**当Master设备和Backup设备性能相差不大,同时网络规模较大时,建议配置为非抢占模式,因为这样可以减少网络的波动。

    三、VGMP协议

    (1)VGMP的工作原理

    如果仅仅使用双机热备+VRRP就会出现以下情况:

    造成以下现象的原因是两个VRRP备份组各自独立工作,,那么有没有什么办法可以使两个备份组协同工作,以保证设备在两个备份组的状态一致性呢?就需要使用到——VGMP协议。

    VGMP(VRRP组管理协议)用来实现VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的状态变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的Active组和Standby组。选举出的Active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为Master设备)。

    VGMP的工作原理:

    • VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理;
    • VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby;
    • 默认情况下,VGMP组的优先级为45000;
    • VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2;
    • 通过心跳线协商VGMP状态信息;

    VGMP的工作原理:

    **注意:**在加入了VGMP组之后,VRRP中的状态标识从Master和Backup变成Active和Standby。

    (2)VGMP的报文封装

    VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式,如图:

    左图中,当心跳线直连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息;
    右图中,心跳线通过三层设备(路由器)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部信息,此时发送的报文属于单播;

    在实际应用中,应根据实际的拓补灵活选择报文封装。在华为防火墙中,通过以下命令指定接口发送的报文属于哪种类型的封装。

    [USG6000V1]hrp int g 1/0/0                         //eNSP模拟器不支持这条命令
    [USG6000V1]hrp int g 1/0/0 remote 1.1.1.1
    

    其中hrp命令用来指定用于心跳链路的接口,带remote参数的命令表示报文将封装UDP,并发送单播报文,不带remote参数的命令表示将发送组播报文。1.1.1.1标识对端是被(心跳线对端接口)的IP地址,该地址要求可路由,只有指定remote参数时才需要指定。

    注意:

    • 加入VGMP后,心跳线的作用包含状态信息备份(会话表和Server-map表)及VGMP状态协商;
    • 华为防火墙在默认情况下放行组播流量(不带remote参数的VGMP报文),禁止单播流量(带remote参数的VGMP报文),所以配置了remote参数,还需要配置Local区域和心跳接口区域之间的安全策略;
    • 配置了虚拟IP地址的接口不能作为心跳口;
    • 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入VLAN,在VLAN中配置心跳接口;
    • eNSP模拟器中,及时心跳接口之间相连,也必须配置remote参数,否则无法配置;

    (3)双机热备的备份方式

    双击热备的备份方式包括以下三种:

    • **自动备份:**该模式下,和双机热备有关的配置命令只能在主用设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中,该模式是华为防火墙的默认开启模式,主要应用于热备模式;
    • **手工批量备份:**该模式下,主用设备上所有的配置命令和状态信息,只有在手工指定批量备份命令时才会自动同步到备用设备,该模式主要应用于主、备设备配置不同步,需要立即进行同步的场景中;
    • **快速备份:**该模式下,不同步配置命令,只同步状态信息。在负载均衡方式的双机热备环境中,该模式必须启用,以快速更新状态信息;

    (1)开启双击热备功能

    [USG6000V1]hrp enable
    HRP_S[USG6000V1]                    //开启双机热备后,提示符发生变化
    

    (2)配置自动备份模式

    HRP_M[USG6000V1]hrp auto-sync 
    

    开启双机热备后,执行可以同步的命令时会有(+B)的提示

    HRP_M[USG6000V1]security-policy  (+B)
    

    (3)配置手工批量备份模式

    HRP_M<USG6000V1>hrp sync config                                             //表示手工同步命令配置
    HRP_M<USG6000V1>hrp sync connection-status                          //表示手工同步状态信息
    //注意,此命令是在用户视图下执行的
    

    (4)配置快速备份模式

    HRP_M[USG6000V1]hrp mirror session enable 
    

    (4)连接路由器时的双机热备

    当配置双机热备上游或下游是交换设备时,可以通过VRRP检测接口或设备的状态,但是当上游或下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法是监控其接口状态,并配合OSPF实现流量切换。

    通过接口直接加入VGMP组中,当接口故障时(即使对端设备故障,本端接口的物理特性也将关闭),VGMP会感知接口状态变化,从而降低VGMP组的优先级,从Active状态切换至Stabdby状态。而之前的Standby组提升为Active状态。而处于Standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至Active组设备中。

    四、实现防火墙双机热备的配置

    实验拓补:

    案例实施:

    (1)防火墙接口配置IP地址,并加入各自的区域中,并设置相应的安全策略

    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]ip add 10.1.1.101 24
    [FW1-GigabitEthernet1/0/0]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip add 172.16.1.1 24
    [FW1-GigabitEthernet1/0/1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]ip add 192.168.1.101 24
    [FW1-GigabitEthernet1/0/2]quit
    [FW1]firewall zone untrust 
    [FW1-zone-untrust]add int g1/0/0
    [FW1-zone-untrust]quit
    [FW1]firewall zone dmz
    [FW1-zone-dmz]add int g1/0/1
    [FW1-zone-dmz]quit
    [FW1]firewall zone trust 
    [FW1-zone-trust]add int g1/0/2
    [FW1-zone-trust]quit
    [FW1]security-policy 
    [FW1-policy-security]rule name trust_to_untrust
    [FW1-policy-security-rule-trust_to_untrust]source-zone trust 
    [FW1-policy-security-rule-trust_to_untrust]destination-zone untrust 
    [FW1-policy-security-rule-trust_to_untrust]action permit 
    //配置安全策略:内部流量可以到外部
    [FW1-policy-security-rule-trust_to_untrust]quit
    [FW1-policy-security]rule name local_to_dmz
    [FW1-policy-security-rule-local_to_dmz]source-zone local
    [FW1-policy-security-rule-local_to_dmz]destination-zone dmz
    [FW1-policy-security-rule-local_to_dmz]action permit 
    //配置安全策略:从防火墙本身可以到DMZ区域(建立心跳线)
    [FW1-policy-security-rule-local_to_dmz]quit
    [FW1-policy-security]quit
    //FW2的配置与FW1几乎是一模一样的,这里就不多说了
    //注意FW2上也需设置相同的规则
    

    (2)配置VRRP备份组

    FW1的配置如下:

    [FW1]int g1/0/2
    [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 active 
    [FW1-GigabitEthernet1/0/2]int g1/0/0
    [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active 
    

    FW2的配置如下:

    [FW2]int g1/0/2
    [FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 standby 
    [FW2-GigabitEthernet1/0/2]int g1/0/0
    [FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby 
    

    (3)配置心跳接口

    [FW1]hrp int g1/0/1  remote 172.16.1.2
    //FW1指定心跳接口,并指定对端接口IP地址
    [FW2]hrp int g1/0/1 remote 172.16.1.1
    //FW同上,这就是为什么防火墙需要设置从本地到DMZ区域的策略
    

    (4)启用双机热备

    [FW1]hrp enable
    HRP_S[FW1]
    //FW1的配置,命令提示符出现了变化
    [FW2]hrp enable
    HRP_S[FW2]
    //FW2同上
    

    (5)配置备份方式

    HRP_S[FW1]hrp auto-sync
    //配置自动备份
    
    HRP_S[FW2]hrp auto-sync
    

    (6)配置检查及验证
    ①查看双机热备的状态信息

    HRP_M[FW1]display hrp state
     Role: active, peer: standby                            //本端状态为Active,对端为Standby
     Running priority: 45000, peer: 45000            //本端优先级为45000,对端为45000
     Core state: normal, peer: normal
     Backup channel usage: 0.00%
     Stable time: 0 days, 0 hours, 9 minutes
     Last state change information: 2019-10-26 6:29:53 HRP core state changed, old_s
    tate = abnormal(active), new_state = normal, local_priority = 45000, peer_priori
    ty = 45000.
    

    ②查看心跳接口状态

    HRP_M[FW1]display hrp interface 
                 GigabitEthernet1/0/1 : running
    

    ③两台PC配置IP地址及网关(虚拟地址),用PC1pingPC2

    ④查看防火墙的会话表

    HRP_M[FW1]display firewall session table 
     Current Total Sessions : 2
     udp  : public --> public  172.16.1.2:49152 --> 172.16.1.1:18514
     udp  : public --> public  172.16.1.1:49152 --> 172.16.1.2:18514
    

    ⑤PC1持续pingPC2,模拟FW1接口故障

    HRP_M[FW1]int g1/0/2(+B)
    HRP_M[FW1-GigabitEthernet1/0/2]shutdown
    


    ⑥查看FW2双击热备的状态

    HRP_M[FW2]display hrp state
     Role: active, peer: standby (should be "standby-active")               //状态发生了变化                      
     Running priority: 45000, peer: 44998                                             //FW1的优先级减2
     Core state: abnormal(active), peer: abnormal(standby)
     Backup channel usage: 0.00%
     Stable time: 0 days, 0 hours, 1 minutes
     Last state change information: 2019-10-26 6:49:06 HRP core state changed, old_s
    tate = normal, new_state = abnormal(active), local_priority = 45000, peer_priori
    ty = 44998.
    

    实验完成!

    ———————— 本文至此结束,感谢阅读 ————————

    展开全文
  • 华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
  • VMware双机热备配置(Heartbeat) 非常详细
  • 今天继续给大家介绍HCIE安全系列相关内容。本文以华为eNSP模拟器为例,实现配置防火墙双击热备技术...实验拓扑如上所示,现在要求FW1FW1配置防火墙双机热备,上下行设备路由器,在整个拓扑内运行OSPF协议,实现路由
  • 今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器为例,实现配置...在本实验中,防火墙双机热备检测的是接口上的VRRP状态,其命令配置与普通VRRP配置大致相同,但是vrrp后面必须配置active或者standby表明此VRRP
  • 双机热备工作意图如上所示。问:什么时候需要双机热备呢?答:这个问题其实比较简单,一般服务器要长年累月的工作,其备份工作就绝对少不了。所以,决定是否使用双机热备,笔者觉得应首先对系统的重要性,以及终端...
  • (第一部分)ROSE 双机热备解决方案项目方案龙加飞前言数字化建设是一个庞大而复杂的系统工程,其整体系统由上百个业务子系统组建而成,而这些系统间又有频繁的数据交 业务联动,数据/信息中心系统的建设部署是...
  • 什么是双机热备? 说到双机热备也许很多人都不是很了解,但是对于技术管理人员来说这是十分常见的软件。当业务系统非常重要,不允许出现中断或故障,往往就需要用到双机热备双机热备是采用2台服务器共同连接一台...
  • 服务器双机热备部署 内容精选换一换场景公有云支持CSBS应用一致性备份对SAP HANA进行备份,在同一可用区内,通过部署单机SAP HANA,用于存放业务数据,随着数据量的增加,之前的备份方式已经满足不了RTO、RPO的要求...
  •  RoseHA双机系统的两台服务器(主机)都与磁盘阵列(共享存储)系统直接连接,用户的操作系统、应用软件RoseHA高可用软件分别安装在两台主机上,数据库等共享数据存放在存储系统上,两台主机之间通过私用心跳网络...
  • 双机热备技术一、双机热备协议架构(一)VRRP1、VRRP状态机2、VRRP状态切换3、VRRP的不足(二)VGMP1. 基本原理1)VGMP产生 一、双机热备协议架构 (一)VRRP 1、VRRP状态机   加入VRRP备份组的接口有三种状态,...
  • 要想实现双机热备首先要了解主从数据库服务器的版本的需求。要实现热备mysql的版本都要高于3.2,还有一个基本的原则就是作为从数据库的数据库版本可以高于主服务器数据库的版本,但是不可以低于主服务器的数据库...
  • 1.双机热备 对于双机热备这一概念,我搜索了很多资料,最后,还是按照大多数资料所讲分成广义与狭义两种意义来说。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现...
  • 于Exchange Server 2010 双机热备的相关配置具体的环境如下图所示,配置涉及到的有3台服务器,一台DC以及两台Exchange 2010邮件服务器,要注意Exchange Server 2010邮件服务器各需要3块网卡,操作系统是Windows ...
  • MYSQL双机热备配置

    2012-08-05 22:02:15
    为了实现MYSQL数据库的冗灾、备份、恢复、负载均衡等功能,喻名堂这两天一直在学习研究mysql的双机热备,其实MYSQL的双机热备就是使用MYSQL同步功能两种方式里面的“主-主”同步方式实现的。在一开始搜索资料进行...
  • 基于Serv-HA的Oracle 11g共享存储双机热备配置手册,与RAC的区别在于实现的是高可用性HA,而不是负载均衡LB
  • 利用liunx 中免费的heartbeat软件,实现双机热备份
  • 1. 介绍文章主要介绍,EasySwoole使用双机热备思路实现代码不中断部署。2. 学习案例先部署9501服务单起一个进程,定时轮询Git分支是否有新版本发布如有新版本发布,clone一份composer update 更新库启动9502服务6 ...
  • 论坛的小伙伴们大家好,强叔又与大家见面了。在经历了漫长的学习过程后,强叔终于带大家领略完了防火墙的各种基本功能,想必各位小伙们一定是大有收获的。之前强叔讲到的都是在一台防火墙上配置各种...双机热备来了...
  • Mysql主从半同步及双机热备Mysql主从同步配置(mysql版本5.5以上、keepalived软件实现双机热备):基础:两台机子 主服务器:192.168.1.130 从服务器:192.168.1.1311、修改mysql配置文件my.cnf(以下配置项,文件中有...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 9,371
精华内容 3,748
关键字:

双机热备的配置和实现