防火墙双机热备升级步骤
防火墙上下VRRP双机热备在不中断业务的情况下升级设备过程:
总体思路:
在部署了双机热备的网络环境中升级软件版本,需要遵循主要原则是Active设备和Standby设备分别升级,先升级Standby设备,然后再升级Active设备,在升级过程中必须关闭HRP功能
升级步骤:
升级版本前的准备:
- 检查当前版本软件,下载官方推荐版本镜像文件*.bin、补丁等。
- 当前业务模拟测试、业务测试报告,免责(三方授权问题)。
- 合理选择升级时间,降低业务风险性。
- 确保升级的时间使用供电系统稳定,另备冷机(型号、版本、配置一致)开VIP通道原厂服务。预约400工程师实时在线支持
- 记录当前业务的运行状况,便于和升级后的信息对比(路由表、安全策略、会话、系统统计信息等)。
- 保存和备份当前版本、补丁、授权文件、配置文件、策略、用户相关重要数据。
- 升级的版本提前上传到设备(正常通过web,命令行ftp、TFTP工具上传),Hash校验,查看文件是否出错。
- 编写升级方案和回退方案。
升级进行时处理:
- 先从备墙升级,undo hrp enable查看所有业务是否已经到主墙,同时物理拔除链路。
- 启动最新配置文件,保存。
- 重启设备后,查看版本、打最新补丁。接下来升级主墙,先把备墙重新接入网络中。
- 先关闭主墙hrp,再启动备墙hrp enable,查看流量是否都已经从备墙走,再断开主墙所有业务接口。
- 主墙启动最新配置文件,保存。重启。
- 检查版本、打最新补丁。接入网络中。
- 启动hrp,等待默认抢占60s后,查看当前状态信息、会话表等。
- save当前所有。
- 模拟故障测试是否OK
升级完成后的处理:
- 导出当前配置文件。
- 文件交接。
- 最后再测试一次业务。
双机热备中的一些问题
升级方式,下接sw一边vgmp管理组为active和standby,一边vgmp为initial和standby,这种情况有没有可能出现,怎么造成的?
有,负载均衡时,备防火墙取消VGMP组为ACTIVE的配置命令后会出现这种现象。
上下行路由器的情况下,升级过程中流量怎么切换?
路由器首先调整备墙OSPF cost值,保证当让备墙退出vgmp组时,ospf cost比主墙大。保证流量都还是走主。确保切换路由后,再undo hrp enable。这时候由于备墙上调整了ospf cost,流量还是走主。
需要升级主墙时,先把备设备接入网络中。调整主墙的ospf cost比现在的大。引流到备墙上。确保流量已经走备。敲undo hrp enable,升级备墙。
哪些故障会降低优先级?
接口故障:物理接口、VLAN、Eth-Trunk整个接口挂、IP-link或bfd都会导致vgmp优先级减2.
中低端防火墙VGMP优先级:主:65001 备:65000
高端防火墙:45001/45000 + 1000 * 板卡个数 + 2 *n(CPU个数)
高危操作流程,如何申请研发保证?
申请VIP通道,预约400工程师实时在线支持,备冷机(型号规格、版本、当前配置一致。)
四种升级版本方式:
- Web方式:约15分钟。
- 命令行方式:约15分钟。
- U盘方式:约15分钟。
- BootRom方式:约20分钟。
- U盘、BootRom方式一般用于无法正常启动VRP文件。
为什么升级备防火墙的时候需要先打undo hrp enable?起到了什么作用?
- 离开VGMP备份组,关闭之后确保设备绝对离开了hrp的通信。
- 配置,主备模式下只允许在主设备上配置,而被设备只能配置基础信息(IP地址,接口zone划分、静态路由、动态路由等,安全策略不允许配置)
- 版本一致性,备机版本升级后与主机的版本存在不一致性,为避免因版本不一致产而导致的异常情况,需要关闭。
- 抢占,关闭HRP之后,上下将会以VRRP方式运行优先级为100,而启动VGMP的VRRP组优先级为120,避免了重启后可能给业务带来影响的隐患。
备墙升级成功,主墙的内容能不能同步给备墙,为什么?
不能,这个时候防火墙版本不统一。无法形成双机热备。
双机升级过程中是否有流量中断?
有。在升级主墙,把流量引导到备防火墙时,因为版本的不统一。主墙无法把session同步到备墙上,就会导致流量的中断。
防火墙接口虚MAC和实际MAC作业
当请求地址为虚IP地址时使用虚MAC。请求的为实际接口地址时,使用的是实际MAC地址。
如果做双机的时候又做了源nat,会有什么问题,该如何解决?
负载分担时,可能会导致翻译到同一地址,或者是同一个地址的同一个端口上。因为它们可以自己选择翻译的地址。有两种解决方法,第一种是写两个地址池,分别给不同的地址段来使用。负载分担时,会让一部分流量走左边,一部分走右边。也可以在防火墙上敲上命令一台hrp nat ports-segment primary另一台 hrp nat ports-segment secondary。
防火墙双机热备升级步骤相关推荐
- 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理
防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时. 防火墙双机热备产生的原因,详细内容 ...
- 防火墙双机热备+负载分担
防火墙双机热备+负载分担实验步骤 防火墙双机热备+负载分担实验以及两者之间的区别,通过实验.配置思路加深理解 负载分担: 防火墙双击热备和负载分担的区别就在于在双机热备模式下,fw1既是pc1的网关, ...
- 配置华为防火墙双机热备
Web配置防火墙双机热备: 命令行配置防火墙双机热备: FW1 [FW1]int g1/0/1 //进入接口 [FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual ...
- 防火墙双机热备配置实例(三)
今天继续给大家介绍HCIE安全系列相关内容.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防 ...
- Eudemon防火墙双机热备配置及实现
Eudemon防火墙双机热备配置及实现,上下联为两台二层交换机#上联地址 int g 0/0/1ip addr 192.168.10.253 24 vrrp vrid 10 virtual-ip 19 ...
- 华为防火墙双机热备技术:HRP、VGMP、VRRP,三大技术值得一学!
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断.防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式 ...
- 防火墙双机热备技术详解
今天继续给大家介绍HCIE安全相关内容.本文主要介绍防火墙双机热备技术. 阅读本文,您需要对防火墙相关理论知识有一定了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获! 一 ...
- 华为防火墙双机热备(VGMP+HRP)理论+实操!
文章目录 前言 一:华为防火墙双机热备理论 1.1:概念 1.2:特点 1.3:华为防火墙双机热备的方式 二:华为防火墙双机热备实验 2.1:环境 2.2:拓扑图 2.3:实验目的 2.4:实验过程 ...
- 华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象
华为防火墙双机热备基础教程 [华为官方视频] https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/ ...
- 防火墙双机热备配置实例(一)
今天继续给大家介绍HCIE安全.本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式. 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备 ...
最新文章
- Tomcat 之 tomcat安装和组件介绍
- 二极管7种应用电路详解之二
- 浅析SEO优化中标签的作用?
- spring Transaction Propagation 事务传播
- java web权限_Javaweb权限管理设计思路
- Xshell链接不上云服务器的解决方案
- 中职计算机专业选修课程,《办好中职学校计算机专业的几点思考.doc
- java 创建日程到期提醒_Java 多线程与高并发,基础概念回顾
- mysql视图 外键_Mysql之视图、索引、外键、触发器、事务
- Win11 22527.201更新补丁包下载
- 视觉机器学习20讲-MATLAB源码示例(13)-稀疏表示算法
- prefetch_related和select_related的区别
- win11 删除不要的输入法,删除阿尔巴尼亚语输入法
- vscode替换全局搜索快捷键
- Building dependency tree… Done Package aptitude is not available, but is referred to by another pac
- 2019.11.10
- Spring 5.X+CXF 3.X 开发SOAP Web Service服务端实例
- 淘宝API_item_cat_get - 获得淘宝商品类目
- abaqus切削为什么没有切屑,教你如何用Abaqus模拟金属切削(二)
- python之正弦图