双机热备三大协议:

一、VRRP

含义:两台路由器(防火墙)接口绑定加入到同一个“备份组”,一主一备,两台路由器共享“vip(虚拟ip地址)”,“(虚MAC)”。
vrrp是一种容错协议,保证当主机的下一跳出现故障时,由备份路由器自动替代出现故障的路由器完成转发任务,从而保证网络通信的连续性和可靠性。
原理:

  1. 当网络请求vip(虚拟ip)时,只有主设备响应;
  2. vrrp通告报文以组播(224.0.0.18)发送;
    提示:只有主设备才会周期性发送vrrp通告报文(其中带有的源MAC为虚拟MAC)
    3.备设备3倍周期内收不到vrrp报文,备设备转为主设备;
    4.备设备转为主设备后会发送免费ARP;
    免费ARP:1.切换到主设备后立马发送,2.检测ip冲突作用,3.引流
    5.设备上不同的VRRP是互相独立的;

二、VGMP(vrrp组管理协议)

含义:提供VGMP管理组,解决了多个VRRP备份组状态不一致的问题,将运行VRRP功能的接口统一加入到一个VGMP组中,并且在同一个组内各个接口状态一致,控制统一切换。
原理

  1. VGMP组的状态决定了组内VRRP备份组的状态,也决定了防火墙的主备状态;
  2. VGMP组状态通过优先级决定,分别为active和standby
    active(优先级:65001)
    standb(优先级:65000)
    3.VGMP组的成员(即vrrp接口),有一个故障,会导致VGMP优先级-2;
    4.两台防火墙之间通过VGMP报文协商主备;

三、HRP

含义:实现双机之间数据同步及关键配置命令备份

hrp心跳报文:主设备周期性通过心跳线发送至备设备,告知自身状态信息,心跳包用于探测对端的VGMP组是否处于工作状态。

hrp数据报文:主设备周期性向备设备同步数据。同步数据包括:会话表,Server-map,配置,安全策略,状态信息等。

注意:不同步配置信息有:1.路由信息;2.调试命令(display);3.接口下的命令

双机热备应用场景(上路下交):

1.拓扑图

2.拓扑分析:

如图防火墙上方接路由器,下接交换机,
防火墙招式详解: 1.VGMP与VRRP的配合只适用于防火墙连接 二层设备的组网;
2.防火墙与连接路由器时VGMP组无法使用VRRP备份组,而是使用直接监控接口状态;

3.配置步骤

提示:双机热备方式有1.主备备份和2.负载分担(主主备份),本次以主备方式配置。

步骤一:如拓扑图所示完成接口配置,划分区域:防火墙上方为untrust,心跳线为dmz,防火墙下方为trust,并在R1,FW1,FW2,上配置ospf,使pc1到pc2之间路由可达
R1上:
ospf 1
area 0.0.0.0
network 20.1.1.0 0.0.0.255
network 30.1.1.0 0.0.0.255
network 40.1.1.0 0.0.0.255
FW1:
划分区域:(FW2相同配置)
trust
GigabitEthernet1/0/1
untrust
GigabitEthernet1/0/0
dmz
GigabitEthernet1/0/5

ospf 1
area 0.0.0.0
network 8.8.8.0 0.0.0.255
network 10.1.1.0 0.0.0.255
network 30.1.1.0 0.0.0.255
FW2:
划分区域:
trust
GigabitEthernet1/0/1
untrust
GigabitEthernet1/0/0
dmz
GigabitEthernet1/0/5

ospf 1
area 0.0.0.0
network 8.8.8.0 0.0.0.255
network 10.1.1.0 0.0.0.255
network 20.1.1.0 0.0.0.255
步骤二:配置VGMP组直接监控接口
FW1:
hrp track interface GigabitEthernet1/0/0
(默认情况为负载均衡,优先级active=standby=45000)
FW2:
hrp track interface GigabitEthernet1/0/0
步骤三:配置心跳线
FW1:
hrp interface GigabitEthernet1/0/5 remote 8.8.8.22
(指定g1/0/5接口为心跳口,remote对端ip为8.8.8.22)
FW2:
hrp interface GigabitEthernet1/0/5 remote 8.8.8.21
步骤四:配置vrrp
FW1:
interface GigabitEthernet1/0/1
vrrp vrid 10 virtual-ip 10.1.1.254 active
FW2:
interface GigabitEthernet1/0/1
vrrp vrid 10 virtual-ip 10.1.1.254 standby

(注意:vrid 10,virtual-ip 10.1.1.254 两台防火墙要相同,vrid 10 对应vrrp组中虚MAC地址为 00-00-5e-00-01-0a,virtual-ip 10.1.1.254即pc2网关)

步骤五:配置自动调cost功能

[FW1]hrp adjust ospf-cost enable (FW2相同配置)

步骤六:指定FW2为备墙 (成为主备备份方式)

[FW2]hrp standby-device

步骤七:两台防火墙开启hrp

hrp enable

步骤八:安全策略
FW1上配置,会同步到FW2
security-policy
rule name pc1_pc2
source-zone trust
destination-zone untrust
action permit
步骤九:配置抢占延时,默认60s
抢占延时配置原因:1.路由需一定时间收敛;2.会话表是周期性同步也需要一定时间;
该命令只在FW1上配置
[FW1] hrp preempt delay 20

4.查看结果

查看会话表:
FW1:
FW2:

发现会话表已同步,这里的HRP_M[FW1],HRP_S[FW2]中M和S并不一定该设备是master或standby,这里只是显示配置主/备设备,要查看该设备是主备使用 display hrp state 命令。

如图发现,本设备为active,对端设备为standby。

验证
1.使pc1长ping pc2

2.断开FW1到R1链路,查看防火墙状态

发现链路短暂断开后重新建立连接:

查看FW1,FW2状态:


发现此时FW1为standby,FW2为active,实现主备切换。

防火墙双机热备(应用场景分析及配置)相关推荐

  1. 华为防火墙双机热备学习笔记(V500)

    华为防火墙双机热备学习笔记(V500) 双机产生背景 防火墙与路由器.三层交换机设备双机部署的差别 双机热备协议架构 HRP 心跳线 防火墙的双机部署 VRRP 虚拟路由冗余协议 VGMP vrrp组 ...

  2. 防火墙双机热备技术详解

    今天继续给大家介绍HCIE安全相关内容.本文主要介绍防火墙双机热备技术. 阅读本文,您需要对防火墙相关理论知识有一定了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获! 一 ...

  3. 华为防火墙双机热备(VGMP+HRP)理论+实操!

    文章目录 前言 一:华为防火墙双机热备理论 1.1:概念 1.2:特点 1.3:华为防火墙双机热备的方式 二:华为防火墙双机热备实验 2.1:环境 2.2:拓扑图 2.3:实验目的 2.4:实验过程 ...

  4. 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理

    防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时. 防火墙双机热备产生的原因,详细内容 ...

  5. 防火墙双机热备+负载分担

    防火墙双机热备+负载分担实验步骤 防火墙双机热备+负载分担实验以及两者之间的区别,通过实验.配置思路加深理解 负载分担: 防火墙双击热备和负载分担的区别就在于在双机热备模式下,fw1既是pc1的网关, ...

  6. 配置华为防火墙双机热备

    Web配置防火墙双机热备: 命令行配置防火墙双机热备: FW1 [FW1]int g1/0/1 //进入接口 [FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual ...

  7. 防火墙双机热备配置实例(三)

    今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...

  8. Eudemon防火墙双机热备配置及实现

    Eudemon防火墙双机热备配置及实现,上下联为两台二层交换机#上联地址 int g 0/0/1ip addr 192.168.10.253 24 vrrp vrid 10 virtual-ip 19 ...

  9. 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!

    防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...

  10. 华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象

    华为防火墙双机热备基础教程 [华为官方视频] https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/ ...

最新文章

  1. Java开发必须掌握的线上问题排查命令
  2. cannot import name 'InteractiveConsole'
  3. 数组、ArrayList、链表、LinkedList
  4. 关于枚举概念的理解以及存在意义
  5. 收集100条实用的网络知识
  6. 万万想不到!地球运行的真实轨迹原来是这样子!
  7. linux安装汉语输入法,在linux中安装google拼音输入法
  8. 压测学习总结(3)——Jmeter 脚本如何生成
  9. java单词转化为数组_java中数组与List相互转换的方法
  10. 2017上海ACM ECL-final 总结
  11. B. A and B and Compilation Errors
  12. Oracle解决Ora-01653无法扩展表空间问题
  13. jaegeropentracing的Java-client
  14. 海思3559万能平台搭建:YUV422的踩坑记录
  15. SDUT 1160 某年某月的天数
  16. oracle中both,ORACLE:scope=both|memery|spfile
  17. java pack unpack_pack/unpack函数与二进制
  18. html显示隐藏图片,简单的图片显示与隐藏
  19. 苹果手机直播显示服务器,搭建流媒体服务器(iOS直播 )
  20. android模拟器命令大全,雷电安卓模拟器命令行整理贴

热门文章

  1. 批处理bat 删除指定文件夹下的文件及文件夹
  2. balabala视频格式转换器
  3. 联想昭阳E46A笔记本的一个问题
  4. 关于XML 编辑工具
  5. html css画个人印章
  6. 基于java web的房屋出租管理系统-学生毕业设计
  7. 循环神经网络应用举例
  8. 基于物联网的多传感器远程温度监测系统
  9. word鼠标右下角有一个小方块_word
  10. 使用Python实现excel项目清单自动生成word文档