文章目录

  • 前言
  • 一:华为防火墙双机热备理论
    • 1.1:概念
    • 1.2:特点
    • 1.3:华为防火墙双机热备的方式
  • 二:华为防火墙双机热备实验
    • 2.1:环境
    • 2.2:拓扑图
    • 2.3:实验目的
    • 2.4:实验过程
    • 2.5:验证

前言

一:华为防火墙双机热备理论

1.1:概念

  • 平常多个VRRP备份组会存在状态不一致的问题,于是华为防火墙引入了VGMP来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。

  • VGMP(VRRP Group Management Protocol)组管理协议:由于双机热备导致设备出问题时可能会来回路径不一致,因此,我们将防火墙上的所有VRRP备份组都加入到一个VGMP组中,由VGMP组来集中监控并管理所有的VRRP备份组状态。如果有一个VRRP备份组有状态变化,则全部VRRP备份组进行状态切换,保证各VRRP备份组状态的一致性。

    • 实现对VRRP备份组的统一管理
    • 保证设备在各个备份组中的状态一致性

  • HRP(Huawei Redundancy Protocol)双机热备协议(华为冗余协议):协议是承载在VGMP报文上进行传输的,用于主设备出现问题时,备能快速切换至主,同时保证了主备之间的配置命令和会话表状态信息同步。

  • VGMP、HRP是华为私有协议

1.2:特点

  • VGMP组的状态决定了VRRP备份组的状态
  • VGMP组的状态通过比较优先级决定
  • 默认情况下,VGMP组的优先级为45000
  • 通过心跳线协商VGMP状态信息
  • 一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2

1.3:华为防火墙双机热备的方式

  • 1、自动备份:

    • 该模式下,和双机热备有关的配置命令只能再主用设备上配置,并自动同步到备用设备中,主用设备自动将装填信息同步到备设备中。该模式是华为防火墙默认开启模式,主要用于热备模式 hrp auto-sync
  • 2、手工批量备份:
    • 该模式下,主要设备上所有的配置命令和状态信息,只有在手工执行执行批量备份命令时才会自动同步到备用设备,该模式主要用于主备设备配置不同步,需要立即进行同步的场景中
  • 3、快速备份
    • 该模式下,不同步配置命令,只同步状态信息,在负载均衡方式的双机热备环境中,该模式必须启动,以快速更新状态信息

二:华为防火墙双机热备实验

2.1:环境

  • 一台PC机,用于测试
  • 两台三层交换机
  • 两台USG6000V防火墙:做双机热备

2.2:拓扑图

2.3:实验目的

  • 通过配置,实现华为防火墙的双机热备

2.4:实验过程

  • 配置所有的IP地址

    '//此处以R1路由器为例,其他配置IP地址的方式都是一样的,不在赘述'
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[R1-GigabitEthernet0/0/0]un sh
[R1-GigabitEthernet0/0/0]int loo 0
[R1-LoopBack0]ip add 1.1.1.1 32
[R1-LoopBack0]q
'//下面是防火墙的登陆信息,需要注意'
Username:admin
Password:   '//输入Admin@123'
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:  '//输入Admin@123'
Please enter new password:  '//输入自定义新密码,如abcd@123'
Please confirm new password:    '//重复输入自定义新密码'
'//接下来就可以配置接口的IP地址了'

  • 将防火墙接口加入相应的区域

    '//仅展示了FW1的操作,FW2的操作相同,不在赘述'
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/2
[FW1-zone-trust]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/0
[FW1-zone-untrust]q

  • 防火墙添加默认路由,R1路由器添加静态路由

    [R1]ip route-static 192.168.10.0 24 10.1.1.100
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
[FW2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

  • 配置防火墙安全规则

    '//FW1和FW2操作相同,此处仅展示FW1'
'//配置心跳线的安全规则'
[FW1]security-policy
[FW1-policy-security]rule name permit_heat
[FW1-policy-security-rule-permit_heat]source-zone local
[FW1-policy-security-rule-permit_heat]destination-zone dmz
[FW1-policy-security-rule-permit_heat]action permit
[FW1-policy-security-rule-permit_heat]q
'//配置其他的安全规则'
[FW1-policy-security]rule name permit_trust_untrust
[FW1-policy-security-rule-permit_trust_untrust]source-zone trust
[FW1-policy-security-rule-permit_trust_untrust]destination-zone untrust
[FW1-policy-security-rule-permit_trust_untrust]action permit
[FW1-policy-security-rule-permit_trust_untrust]q

  • 配置VRRP备份组

    '//FW1和FW2的配置相同,此处仅展示FW1的配置'
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 192.168.10.101 24
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.10.100 active
[FW1-GigabitEthernet1/0/2]un sh
[FW1-GigabitEthernet1/0/2]q
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0] ip address 10.1.1.101 255.255.255.0
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active
[FW1-GigabitEthernet1/0/0]un sh

  • 配置心跳接口

    [FW1] hrp interface g1/0/1 remote 172.16.1.2[FW2] hrp interface g1/0/1 remote 172.16.1.1

  • 启动双机热备

    [FW1] hrp enable[FW2] hrp enable
'//两个都开启双机热备后,会发现[FW1]变成了HRP_M[FW1](主),[FW2]变成了HRP_S[FW2](从)'
'//或者查看双机热备的状态信息,此处仅展示了FW1的操作,FW2的操作相同'
HRP_M[FW1]dis hrp state
2020-02-14 10:35:30.900 Role: active, peer: standbyRunning priority: 45000, peer: 45000Backup channel usage: 0.00%Stable time: 0 days, 0 hours, 1 minutesLast state change information: 2020-02-14 10:33:49 HRP core state changed, old_
state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
rity = 45000.

  • 查看心跳接口状态

    HRP_M[FW1]dis hrp interface  '//FW2操作相同'
2020-02-14 10:36:21.260 GigabitEthernet1/0/1 : running

2.5:验证

  • 进入SW1交换机,关闭e/0/01接口

    <Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn SW1
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]shutdown '//关闭接口'

  • 回到FW1和FW2上查看双机热备状态

    HRP_S[FW1]dis hrp state    '//相同方式查看FW2'
2020-02-14 10:40:29.350 Role: standby, peer: active (should be "active-standby")'//可以发现已经变成从了,FW2变成了主'Running priority: 44998, peer: 45000Backup channel usage: 0.00%Stable time: 0 days, 0 hours, 1 minutesLast state change information: 2020-02-14 10:39:09 HRP core state changed, old_
state = normal, new_state = abnormal(standby), local_priority = 44998, peer_prio
rity = 45000.

  • 将交换机接口重新开启

    [SW1-Ethernet0/0/1]un sh

  • 再次查看防火墙状态

    '//等到系统通告信息发出后,发现主又变回了FW1'
HRP_M[FW1]dis hrp state
2020-02-14 10:42:52.450 Role: active, peer: standbyRunning priority: 45000, peer: 45000Backup channel usage: 0.00%Stable time: 0 days, 0 hours, 0 minutesLast state change information: 2020-02-14 10:42:47 HRP core state changed, old_
state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
rity = 45000.

  • 主又变回FW1了,因为当时在FW1的vrrp配置的时候选择了active,所以会变回来

华为防火墙双机热备(VGMP+HRP)理论+实操!相关推荐

  1. 华为防火墙双机热备学习笔记(V500)

    华为防火墙双机热备学习笔记(V500) 双机产生背景 防火墙与路由器.三层交换机设备双机部署的差别 双机热备协议架构 HRP 心跳线 防火墙的双机部署 VRRP 虚拟路由冗余协议 VGMP vrrp组 ...

  2. 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!

    防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...

  3. 配置华为防火墙双机热备

    Web配置防火墙双机热备: 命令行配置防火墙双机热备: FW1 [FW1]int g1/0/1 //进入接口 [FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual ...

  4. 华为防火墙双机热备配置实例

    拓扑解释 两台防火墙FW1与FW2做双机热备冗余,SW2方向做trust区域,SW3方向做UNtrust区域 适用场景 一般园区网中 配置开始 先搞定底层的交换机 SW2上:(SW3上相同) vlan ...

  5. 华为防火墙双机热备(三层上下行交换机)

    303.双机热备,三层上下行接交换机 实验topo: 实验步骤: 主墙的网络接口配置: 主墙安全域配置: 备墙网络接口配置: 备墙的安全与规划: 配置主墙的双机热备.心跳接口 配置主墙的虚拟IP地址: ...

  6. 华为防火墙双机热备(link-group和Eth-trunk)

    1.配置Trust区域及其互通 [FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24 [FW1-GigabitEthernet1/0/0]service-manag ...

  7. 华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象

    华为防火墙双机热备基础教程 [华为官方视频] https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/ ...

  8. 华为USG防火墙双机热备(业务口工作在三层上下行连接路由器)

    上一篇中防火墙上下行业务口工作在二层,VGMP可以通过VRRP来监控接口状态.那么如果上下行接口工作在三层,那么VGMP显然不能通过VRRP来监控接口状态此时就需要VGMP直接监控接口状态. 实验拓扑 ...

  9. 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理

    防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时. 防火墙双机热备产生的原因,详细内容 ...

最新文章

  1. os:进程与线程问题
  2. 【深度学习的数学】绘制2×3×1层带sigmoid激活函数的神经网络感知机输出函数的三维图像(神经网络参数使用正态分布随机数)
  3. C++基础 (1) 常见的易错问题
  4. IntelliJ IDEA 使用 LiveEdit 插件实现实时可视化前端开发
  5. P2053-修车【网络流,费用流】
  6. vSphere 故障排错:针对 Virtual Machine 的故障排查
  7. 树链刨分 HDU 3966
  8. Linux系统内存管理实验报告,linux内存管理实验报告
  9. 长时间工作意味着什么
  10. hdu 1873“看病要排队”——优先队列的应用
  11. 微信小程序获取手机号(Java后台实现)
  12. MFC程序中使用QT开发界面
  13. VISIO各种图标超全(IT行业专用网络及硬件)_5G行业应用规划设计思路探讨
  14. HTML导航栏的四种制作方法
  15. 周鸿祎:很多人不缺情商智商但缺“胆商”
  16. redis灵魂拷问:为什么响应变慢了
  17. Centos指令mysql安装报错为“ Failing package is: mysql-community-client-5.7.38-1.el7.x86_64”
  18. 社会信用编码的验证(18位)
  19. java将淘宝客链接转换为正常商品链接
  20. opencv-python 绘制图像直方图及直方图均衡化

热门文章

  1. Go 延迟调用 defer 用法详解
  2. FPGA信号处理系列文章——FIR半带插值滤波器-1个时钟2个采样点的优化处理
  3. 解决Ubuntu远程桌面无法正常连接的问题
  4. 两个Python小游戏
  5. BAI公布2021年全球创新奖获奖名单
  6. MAC下TexLive+texmaker使用经验
  7. MySQL——count()
  8. u盘怎么格式化?试试这3种方法!
  9. 深度学习网络量化白皮书论文学习
  10. linux系统维护篇:centos6.5之svn服务搭建,按部就班就能成了