华为防火墙(VRRP)
目录
一、双机热备概述
1.1、双机热备模式
1.2、双机热备需求
二、VRRP
2.1、VRRP概述
2.2、VRRP与HSRP的区别
2.3、VRRP的角色
2.4、VRRP状态机
2.5、VRRP工作原理
2.5.1、总结
三、VGMP
3.1、VGMP工作原理
3.2、VGMP的需求
四、防火墙负载均衡热备实例
4.1、拓扑图
4.2、配置命令
4.3、测试结果
一、双机热备概述
华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。
1.1、双机热备模式
热备模式
同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。
负载均衡模式
同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。
1.2、双机热备需求
- 两台防火墙用于心跳线的接口加入相同的安全区域。
- 两台防火墙用于心跳线的接口的设备编号必须一致,如都是G1/0/3。
- 建议用于双机热备的两台防火墙采用同型号,相同的VRP版本。
二、VRRP
在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当由于某种原因主控路由器发生故障时,其中的一台备份路由器能在瞬间的时延后升级为主控路由器,由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
2.1、VRRP概述
VRRP路由器
运行VRRP协议的路由器。
虚拟路由器
由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组对客户端提供一个虚拟网关。
VRID
Virtual Router ID,虚拟路由器标识,用来唯一的标识一个备份组。
虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
虚拟IP地址
提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
虚拟MAC地址
基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址。
IP地址拥有者
若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
优先级
用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。
抢占模式
在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器。
非抢占模式
在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等)。
2.2、VRRP与HSRP的区别
- VRRP是公有协议,而HSRP是Sisco私有协议。
- VRRP中的虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以。
- VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号。
- VRRP的状态机有三个,而HSRRP的状态机包含五个(初始、学习、监听、发言、备份、活动)。
- VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主用路由器的选举。而HSRP有三种报文(Hello、政变、辞职)。
- VRRP不支持接口跟踪,而HSRP支持。
2.3、VRRP的角色
Master路由器
正常情况下由master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告master路由器当前的状态信息。
Backup路由器
是master路由器的备用路由器,正常情况下不提供数据包的转发,当master路由器发生故障时,在所有的backup路由器中优先级高的路由器将成为新的master路由器,接替转发数据包的工作,从而保证业务不中断。
2.4、VRRP状态机
Initialize状态
刚配置了VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时也将进入该状态。
Master状态
当前设备选举成为主用路由器时一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起的ARP请求,并将模拟MAC地址回送客户机,当接口关闭时,将立即切换至Initialize状态。
Backup状态
当前设备选举成为备用路由器时的一种状态。该状态下不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文,并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息。
2.5、VRRP工作原理
VRRP选举Master路由器和Backup路由器流程
首先选举优先级高的设备成为Master路由器,如果优先级相同,在比较接口的IP地址大小,IP地址大(数制大)的设备将成为Master路由器,而组中其他路由器将成为Backup路由器。
VRRP中的默认接口优先级为100,取值范围为0~255。其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址用于着不需要配置优先级,优先级默认255。
2.5.1、总结
当Master设备和Backup设备性能相差不大,同时网络规模比较大时,建议配置为非抢占模式,这样可以减少网络的波动。
三、VGMP
VGMP(VRRP Group Management Protocol,VRRP组管理协议)用来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。
3.1、VGMP工作原理
- VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理。
- VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby。
- 默认情况下,VGMP组的优先级为4500。
- VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2。
- VGMP通过心跳线协商VGMP状态信息。
- 在加入VGMP组之后,VRRP中的状态标识从master和backup变成了active和standby。
3.2、VGMP的需求
- 加入了VGMP后,心跳线的作用包含状态信息备份(会话表和server-map表)及VGMP状态协商。
- 华为防火墙在默认情况下放行组播流量(如不带remote参数的VGMP报文)禁止单播流量(如带remote参数的VGMP报文),所以如果配置了remote参数,还需要配置local区域和心跳线接口所在的区域之间配置安全策略。
- 配置了VRRP virtual-mac enable的接口不能作为心跳口。
- 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入vlan,在vlan中配置心跳接口。
四、防火墙负载均衡热备实例
4.1、拓扑图
4.2、配置命令
AR1
<R1>undo terminal monito ##关闭弹出信息##
<R1>sys ##进入系统视图##
[R1]sysname R1 ##重命名##
[R1]user-interface console 0
[R1-ui-console0]idle-timeout 0 0 ##配置永不超时##
[R1-ui-console0]int g0/0/0 ##进入接口##
[R1-GigabitEthernet0/0/0]ip add 192.168.30.1 24 ##配置IP##
[R1-GigabitEthernet0/0/0]undo sh ##开启接口##
[R1-GigabitEthernet0/0/0]int g0/0/1 ##进入接口##
[R1-GigabitEthernet0/0/1]ip add 192.168.40.1 24 ##配置IP##
[R1-GigabitEthernet0/0/1]undo sh ##开启接口##
[R1-GigabitEthernet0/0/1]int loo 0 ##进入loop口##
[R1-LoopBack0]ip add 1.1.1.1 32 ##配置IP##
[R1-LoopBack0]q ##退回上一级##
[R1]ip route-static 192.168.10.0 24 192.168.30.2 ##配置静态路由##
[R1]ip route-static 192.168.10.0 24 192.168.40.2 preference 61 ##配置备份静态路由##
[R1]ip route-static 192.168.20.0 24 192.168.40.2 ##配置静态路由##
[R1]ip route-static 192.168.20.0 24 192.168.30.2 preference 61 ##配置备份静态路由##
SW1
<SW1>undo terminal monito ##关闭弹出信息 ##
<SW1>sys ##进入系统视图 ##
[SW1]sysname SW1 ##重命名 ##
[SW1]user-interface console 0
[SW1-ui-console0]idle-timeout 0 0 ##配置永不超时##
[SW1-ui-console0]q ##退回上一级 ##
[SW1]vlan batch 10 20 ##创建vlan ##
[SW1]int e0/0/1 ##进入接口 ##
[SW1-Ethernet0/0/1]port link-type trunk ##配置trunk ##
[SW1-Ethernet0/0/1]port trunk all vlan all ##允许所有vlan##
[SW1-Ethernet0/0/1]int e0/0/2 ##进入接口 ##
[SW1-Ethernet0/0/2]port link-type trunk ##配置trunk##
[SW1-Ethernet0/0/2]port trunk all vlan all ##允许所有vlan ##
[SW1-Ethernet0/0/2]int e0/0/3 ##进入接口##
[SW1-Ethernet0/0/3]port link-type access ##配置access##
[SW1-Ethernet0/0/3]port default vlan 10 ##将接口加入vlan10##
[SW1-Ethernet0/0/3]int e0/0/4 ##进入接口##
[SW1-Ethernet0/0/4]port link-type access ##配置access##
[SW1-Ethernet0/0/4]port default vlan 20 ##将接口加入vlan20##
FW1
<USG6000V1>undo terminal monito ##关闭弹出信息##
<USG6000V1>sys ##进入系统视图##
[USG6000V1]sysname FW1 ##重命名##
[FW1]hrp enable ##开启双机热备##
HRP_M[FW1]user-interface console 0
HRP_M[FW1-ui-console0]idle-timeout 0 0 ##配置永不超时##
HRP_M[FW1-ui-console0]q ##退回上一级##
HRP_M[FW1]vlan batch 10 20 ##创建vlan##
HRP_M[FW1]int vlan 10 ##进入vlan10##
HRP_M[FW1-Vlanif10]ip add 192.168.10.10 24 ##配置IP##
HRP_M[FW1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1 active ##配vrrp为主##
HRP_M[FW1-Vlanif10]int vlan 20 ##进入vlan20##
HRP_M[FW1-Vlanif20]ip add 192.168.20.10 24 ##配置##
HRP_M[FW1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1 standby ##配置vrrp为备##
HRP_M[FW1-Vlanif20]int g1/0/2 ##进入接口##
HRP_M[FW1-GigabitEthernet1/0/2]port link-type trunk ##配置trunk##
HRP_M[FW1-GigabitEthernet1/0/2]port trunk all vlan all ##允许所有vlan##
HRP_M[FW1-GigabitEthernet1/0/2]int g1/0/1 ##进入接口##
HRP_M[FW1-GigabitEthernet1/0/1]ip add 172.16.1.1 24 ##配置IP##
HRP_M[FW1-GigabitEthernet1/0/1]int g1/0/0 ##进入接口##
HRP_M[FW1-GigabitEthernet1/0/0]ip add 192.168.30.2 24 ##配置IP##
HRP_M[FW1-GigabitEthernet1/0/0]q ##退回上一级##
HRP_M[FW1]firewall zone trust ##进入trust区域##
HRP_M[FW1-zone-trust]add int g1/0/2 ##接口加入区域##
HRP_M[FW1-zone-trust]add int vlanif 10 ##接口加入区域##
HRP_M[FW1-zone-trust]add int vlanif 20 ##接口加入区域##
HRP_M[FW1-zone-trust]q ##退回上一级##
HRP_M[FW1]firewall zone dmz ##进入dmz区域##
HRP_M[FW1-zone-dmz]add int g1/0/1 ##接口加入区域##
HRP_M[FW1-zone-dmz]q ##退回上一级##
HRP_M[FW1]firewall zone untrust ##进入untrust区域##
HRP_M[FW1-zone-untrust]add int g1/0/0 ##接口加入区域##
HRP_M[FW1-zone-untrust]q ##退回上一级##
HRP_M[FW1]security-policy ##进入安全策略##
HRP_M[FW1-policy-security]rule name 1 ##策略名字##
HRP_M[FW1-policy-security-rule-1]source-zone trust ##源区域##
HRP_M[FW1-policy-security-rule-1]destination-zone untrust ##目标区域##
HRP_M[FW1-policy-security-rule-1]action permit ##动作允许##
HRP_M[FW1-policy-security-rule-1]q ##退回上一级##
HRP_M[FW1-policy-security]rule name 2 ##策略名字##
HRP_M[FW1-policy-security-rule-2]source-zone local ##源区域##
HRP_M[FW1-policy-security-rule-2]destination-zone dmz ##目标区域##
HRP_M[FW1-policy-security-rule-2]action permit ##动作允许##
HRP_M[FW1-policy-security-rule-2]q ##退回上一级##
HRP_M[FW1-policy-security]q ##退回上一级##
HRP_M[FW1]hrp int g1/0/1 remote 172.16.1.2 ##配置心跳线##
HRP_M[FW1]hrp mirror session enable ##配置快速备份##
HRP_M[FW1]ip route-static 1.1.1.1 32 192.168.30.1 ##配置静态路由##
HRP_M[FW1]hrp track interface GigabitEthernet 1/0/0 ##配置监听端口##
HRP_M[FW1]hrp track interface GigabitEthernet 1/0/2 ##配置监听端口##
FW2
<USG6000V1>undo terminal monito ##关闭弹出信息##
<USG6000V1>sys ##进入系统视图##
[USG6000V1]sysname FW2 ##重命名##
[FW2]hrp enable ##开启双机热备##
HRP_M[FW2]user-interface console 0
HRP_M[FW2-ui-console0]idle-timeout 0 0 ##配置永不超时##
HRP_M[FW2-ui-console0]q ##退回上一级##
HRP_M[FW2]vlan batch 10 20 ##创建vlan##
HRP_M[FW2]int vlan 10 ##进入vlan10##
HRP_M[FW2-Vlanif10]ip add 192.168.10.20 24 ##配置IP##
HRP_M[FW2-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1 standby ##配vrrp为主##
HRP_M[FW2-Vlanif10]int vlan 20 ##进入vlan20##
HRP_M[FW2-Vlanif20]ip add 192.168.20.20 24 ##配置##
HRP_M[FW2-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1 active ##配置vrrp为备##
HRP_M[FW2-Vlanif20]int g1/0/2 ##进入接口##
HRP_M[FW2-GigabitEthernet1/0/2]port link-type trunk ##配置trunk##
HRP_M[FW2-GigabitEthernet1/0/2]port trunk all vlan all ##允许所有vlan##
HRP_M[FW2-GigabitEthernet1/0/2]int g1/0/1 ##进入接口##
HRP_M[FW2-GigabitEthernet1/0/1]ip add 172.16.1.2 24 ##配置IP##
HRP_M[FW2-GigabitEthernet1/0/1]int g1/0/0 ##进入接口##
HRP_M[FW2-GigabitEthernet1/0/0]ip add 192.168.30.2 24 ##配置IP##
HRP_M[FW2-GigabitEthernet1/0/0]q ##退回上一级##
HRP_M[FW2]firewall zone trust ##进入trust区域##
HRP_M[FW2-zone-trust]add int g1/0/2 ##接口加入区域##
HRP_M[FW2-zone-trust]add int vlanif 10 ##接口加入区域##
HRP_M[FW2-zone-trust]add int vlanif 20 ##接口加入区域##
HRP_M[FW2-zone-trust]q ##退回上一级##
HRP_M[FW2]firewall zone dmz ##进入dmz区域##
HRP_M[FW2-zone-dmz]add int g1/0/1 ##接口加入区域##
HRP_M[FW2-zone-dmz]q ##退回上一级##
HRP_M[FW2]firewall zone untrust ##进入untrust区域##
HRP_M[FW2-zone-untrust]add int g1/0/0 ##接口加入区域##
HRP_M[FW2-zone-untrust]q ##退回上一级##
HRP_M[FW2]security-policy ##进入安全策略##
HRP_M[FW2-policy-security]rule name 1 ##策略名字##
HRP_M[FW2-policy-security-rule-1]source-zone trust ##源区域##
HRP_M[FW2-policy-security-rule-1]destination-zone untrust ##目标区域##
HRP_M[FW2-policy-security-rule-1]action permit ##动作允许##
HRP_M[FW2-policy-security-rule-1]q ##退回上一级##
HRP_M[FW2-policy-security]rule name 2 ##策略名字##
HRP_M[FW2-policy-security-rule-2]source-zone local ##源区域##
HRP_M[FW2-policy-security-rule-2]destination-zone dmz ##目标区域##
HRP_M[FW2-policy-security-rule-2]action permit ##动作允许##
HRP_M[FW2-policy-security-rule-2]q ##退回上一级##
HRP_M[FW2-policy-security]q ##退回上一级##
HRP_M[FW2]hrp int g1/0/1 remote 172.16.1.1 ##配置心跳线##
HRP_M[FW2]hrp mirror session enable ##配置快速备份##
HRP_M[FW2]ip route-static 1.1.1.1 32 192.168.40.1 ##配置静态路由##
HRP_M[FW2]hrp track interface GigabitEthernet 1/0/0 ##配置监听端口##
HRP_M[FW2]hrp track interface GigabitEthernet 1/0/2 ##配置监听端口##
4.3、测试结果
PC1测试网络连通性
PC2测试网络连通性
断开FW1的g1/0/0端口在ping
FW2的vlan10切换为Master状态
华为防火墙(VRRP)相关推荐
- 华为防火墙VRRP双机热备的配置
双机热备 概念 一.华为双机热备的两种模式 二.相关术语 三.配置 概念 双机热备特指基于高可用系统中的两台服务器的热备(或高可用),因两机高可用在国内使用较多,故得名双机热备,双机高可用按工作中的切 ...
- 华为防火墙(NGFW)的双机热备
目录 VRRP技术 VGMP协议 VGMP报文格式 VGMP组管理 HRP HRP心跳接口 双机热备的备份方式 实验 实验拓扑 实验说明 实验配置 实现网络高可靠性的一种技术 VRRP技术 虚拟路由冗 ...
- 华为防火墙实现双机热备配置详解
一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一 ...
- eNSP配置web防火墙登录华为防火墙Web页面
目录 eNSP配置web防火墙登录华为防火墙Web页面 基本定义 防火墙功能 重要性 意义与特征 主要类型 关键技术 部署方式 具体应用 未来趋势 eNSP配置web防火墙登录华为防火墙Web页面 P ...
- 华为防火墙双机热备(VGMP+HRP)理论+实操!
文章目录 前言 一:华为防火墙双机热备理论 1.1:概念 1.2:特点 1.3:华为防火墙双机热备的方式 二:华为防火墙双机热备实验 2.1:环境 2.2:拓扑图 2.3:实验目的 2.4:实验过程 ...
- 华为防火墙双机热备份---HRRP
双机热备:两台或多台设备实现业务不间断(高可用)和负载均衡 华为防火墙双机热备模式: 热备模式:提供高可用,仅活跃设备转发数据,其他设备起备份作用 负载均衡模式:同时间,多台设备都转发数据,互作主备 ...
- 华为防火墙双机热备学习笔记(V500)
华为防火墙双机热备学习笔记(V500) 双机产生背景 防火墙与路由器.三层交换机设备双机部署的差别 双机热备协议架构 HRP 心跳线 防火墙的双机部署 VRRP 虚拟路由冗余协议 VGMP vrrp组 ...
- 华为防火墙实战配置教程
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的 ...
- 华为防火墙安全区域介绍
1. 安全区域介绍 防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为.从防火墙的定义中可以看出防火墙是基于安全区域的,其它厂商(Cisco,Ju ...
最新文章
- 类与类之间 相同属性及字段拷贝
- ELK 环境搭建1-Elasticsearch
- Oracle Rman 命令详解(List report backup configure)
- jdbc 自增id 原理_面试被问分布式ID怎么办? 滴滴(Tinyid)甩给他
- 组策略应用之一:映射网络驱动器
- jQuery数据表和Java集成
- JavaScript状态2018
- IE浏览器打不开网页有什么解决的方法
- Mac OS 打开 NTFS 读写功能
- C语言数组 一维数组篇
- 《伯克毕生发展心理学2》
- 朱子治家格言(清朝·朱柏庐)
- 简述基于CPU的机器码运行过程
- 腾讯WeTest&TesterHome手游测试沙龙
- js画图开发库--mxgraph--[grid-网格.html]
- Autolayout的一点理解
- 【云计算与大数据】IassPassSass
- 论文:Aurora Guard_ Real-Time Face Anti-Spoofing via Light Reflection
- 4.设备像素、css像素、设备独立像素、dpr、ppi 之间的区别?
- 软考中级网络工程师知识点