huawei USG6001v1学习---防火墙高可靠性(双机热备)

1.什么是双机热备

如图:当左图的防火墙发生故障时,整个系统都会收到影响,而右图即使有防火墙发生故障,但是还有一台防火墙做备份,相对于只有一台防火墙,要可靠些。

由于防火墙上不仅需要同步配置信息 ,还需要同步状态信息 (会话表等),所以,防火墙不能

像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。

1,双机 --- 目前双机热备技术仅支持两台防火墙的互备

2,热备 --- 两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即替

代原设备

(也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并

不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时

间的业务中断)

配置信息 --- (接口IP地址,路由信息)--- hrp不能同步基本的接口和路由信息,安全策略,

NAT策略....

状态信息:

2.VGMP

在网络学习中,做互为备份时,会使用一种技术---VRRP技术(虚拟路由器冗余技术),让一台设备为主,一台设备为备,当发生故障时,设备的主备角色发生变化,继续替出现故障的设备工作,从而实现备份的效果

但是,vrrp组是相互独立的,一台设备不只有一组VRRP组,发生故障时,其他组不会同步切换,就会发生丢包等情况,当需要同步切换,使用传统的上行链路监控,比较复杂

所以这里可以使用一种协议------VGMP ( vrrp Group Management Protocol )--- HUAWI的私有协议,来对VRRP组进行统一的切换管理

3.HRP心跳线

HRP --- 华为冗余协议 --- 华为的私有协议 --- 可以同步防火墙上的状态和配置信息

HRP在进行双机热备时,还有一个要求,两台热备设备之间,必须拥有一条链路,用来同步信
,并且,这条链路必须是三层链路 --- 这条链路在进行数据传递时,不受安全策略的影

响。(注意,如果心跳线是直连的,则不受安全策略的影响,但是,如果中间有中继设备,即

非直连场景,则需要配置安全策略) --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线

传输的。

HRP会周期性的发送心跳报文,只有主设备会发送,周期时间默认为1S,如果备设备在三个周

期时间内默认3S没有收到对方的心跳报文,则认定对方出现故障将以自生为主

HRP三种备份方式

1,自动备份 --- 自动备份配置和状态信息,但是,配置信息可以立即自动备份,状态信息无

法立即备份,只能通过短暂的延迟之后,在进行备份(10S左右)

2,手工备份 --- 由网络管理员手工触发,可以立即同步配置和状态信息

3,快速备份 --- 该备份方式仅针对负载分担的场景。

无法同步配置信息,仅能同步状态信息,并且可以立即同步状态信息。

4.主备场景

1.主备场景

1,FW1被设定为主设备 --- FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉

入到VGMP的active组中,并且状态都是ACTIVE

2,FE2被设定为备设备 --- FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入

到VGMP的standby组中,并且状态都是standby

(VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先

级为65000,并且,在VGMP中,所有的主都被成为active,所有的备成为standby)

3,主设备上下两个VRRP组的接口将发送免费ARP报文

2.主备故障切换场景 --- 接口故障

FW1接口故障的切换场景

1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障

的一个过渡状态)

2,VGMP组感知到接口状态变化,会降低自身的优先级(每一个接口发生故障,则优先级会

降低2。)

分区 2024.7.5防御保护 的第 2 页

3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;

4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状

态从standby切换为active状态

5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切

换到active

6,FW2回复FW1应答报文,表示允许切换

7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,并且,其

中的VRRP组同步将状态切换到standby,不包含故障接口的状态,依旧是initialize状态

8,FW2上下两个VRRP组将发送免费ARP报文,让交换机切换MAC地址表,之后所有的流量

将从FW2通过。

3.主备故障切换场景 --- 整机故障

整机故障可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文,

备设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;

4.原主设备故障恢复的场景

根据有没有开启抢占分为两种不同的情况

1,如果没有开启抢占 --- 原主设备继续以备设备的身份工作

2,如果开启了抢占

原设备的状态由initialize状态变为standby状态,并通过HRP向另一台设备发起VGMP请求报文表示切换状态。

另一台设备收到后,由于优先级比原设备低,由active状态变为standby状态,并通过HRP向另一台设备发起VGMP请求报文表示允许切换。

原设备接受到后,状态由standby状态变为active状态,此时原设备就变为主设备,另一台设备变为备设备

5.负载分担场景

1.负载分担场景

两台防火墙互为对方的主备设备,同时工作。

每台防火墙都有一组active组和standby组,在这一台划为active组的,在另一台就化为standby组,同时两台防火墙都免费发送ARP报文

2.负载分担接口故障场景

如图:当左边防火墙下面连接交换机的接口发生故障时,该接口的两个备份组的状态都变为initalize,同时该防火墙通过心跳线给左边防火墙告知发生故障,右边防火墙的的所有接口VRRP组的状态都变为active,此时由右边防火墙向交换机发免费的arp报文,交换机就发送数据就只走右边的防火墙。

6.双机设备配置

如果勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟

(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)

hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,

否则可能导致对接不上

注意:1,虚拟mac地址勾选可以让切换对用户全程无感知

2,如果虚拟IP地址和接口IP地址不再同一个网段,则配置时必须配置子网掩码

HRP手工备份的位置

负载分担

6.其他部署模式下的双机热备

1,双机热备直路部署 - 上下二层

这种情况下建议使用主备模式不要使用负载分担模式

1.stp不允许,会堵一条路2.两条路都会放行同一个vlan,会出现环路情况

2,双机热备直路部署 - 上下三层

负载分担下,两个防火墙都工作,都转发,如果是主备工作模式,有一条路是断开的,这样会导致没有工作的链路上的路由器的邻居关系无法建立不起来,工作会被中断。

这种模式建议采用负载分担,并建议使用主备模式

相关推荐
蜜獾云11 分钟前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
Code哈哈笑1 小时前
【Java 学习】深度剖析Java多态:从向上转型到向下转型,解锁动态绑定的奥秘,让代码更优雅灵活
java·开发语言·学习
虹科数字化与AR1 小时前
安宝特应用 | 美国OSHA扩展Vuzix AR眼镜应用,强化劳动安全与效率
安全·ar·远程协助
小林熬夜学编程1 小时前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http
Hacker_Fuchen1 小时前
天融信网络架构安全实践
网络·安全·架构
炫彩@之星1 小时前
Windows和Linux安全配置和加固
linux·windows·安全·系统安全配置和加固
上海运维Q先生1 小时前
面试题整理15----K8s常见的网络插件有哪些
运维·网络·kubernetes
ProtonBase2 小时前
如何从 0 到 1 ,打造全新一代分布式数据架构
java·网络·数据库·数据仓库·分布式·云原生·架构
QQ同步助手2 小时前
如何正确使用人工智能:开启智慧学习与创新之旅
人工智能·学习·百度
流浪的小新2 小时前
【AI】人工智能、LLM学习资源汇总
人工智能·学习