华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置

作者主页:点击!

ENSP专栏:点击!

创作时间:2024年5月6日20点26分


华为防火墙双机热备是一种高可用性解决方案,可以将两台防火墙设备组成一个双机热备组,实现主备切换。当主用防火墙出现故障时,备用防火墙可以自动切换为新的主用防火墙,确保网络流量不中断。

华为防火墙双机热备的工作原理

华为防火墙双机热备的工作原理是通过两台防火墙设备之间定期发送心跳报文来判断对方的状态。如果主用防火墙出现故障,备用防火墙会收到主用防火墙停止发送心跳报文的消息,然后会自动切换为新的主用防火墙。

两种工作模式

  • 主备模式:在主备模式下,只有一台防火墙处于工作状态,另一台防火墙处于备用状态。当主用防火墙出现故障时,备用防火墙会自动切换为新的主用防火墙。
  • 负载分担模式:在负载分担模式下,两台防火墙都处于工作状态,可以同时处理网络流量。当其中一台防火墙出现故障时,另一台防火墙会承担全部的网络流量。

VRRP协议

VRRP(虚拟路由器冗余协议)是一种用于实现路由器冗余的协议,它可以将多台路由器组成一个虚拟路由器组,并选取其中一台路由器作为主用路由器,其他路由器作为备用路由器。当主用路由器出现故障时,备用路由器会自动切换为新的主用路由器,确保网络流量不中断。

VRRP在双机热备中的应用主要体现在以下几个方面:

  • 虚拟化路由器地址:VRRP可以为双机热备组分配一个虚拟的路由器地址,该地址可以被所有连接到双机热备组的设备使用。这样可以简化网络配置,并提高网络的可扩展性。
  • 负载分担:VRRP支持负载分担模式,在负载分担模式下,所有路由器都可以同时转发流量,从而提高网络的吞吐量。
  • 故障转移:VRRP可以快速检测主路由器的故障,并自动将备用路由器切换为新的主路由器。这样可以确保网络流量不中断,并提高网络的可用性。

华为防火墙双机热备

VRRP现以下功能

  • 虚拟化路由器地址:华为防火墙双机热备组通常会分配一个虚拟的路由器地址,该地址可以被所有连接到双机热备组的设备使用。这样可以简化网络配置,并提高网络的可扩展性。
  • 故障转移:VRRP可以快速检测主防火墙的故障,并自动将备用防火墙切换为新的主防火墙。这样可以确保网络流量不中断,并提高网络的可用性。

VRRP的角色

主路由器(Master)

备份路由器(Backup)

VRRP的状态

初始状态(Initialize):当接口Up之后,如果其VRRP优先级为255 (这种情况发生在该接口的实际IP地址是VRRP虚拟IP地址的情况),那么接口的VRRP状态将由Initialize切换到Master,而如果接口的VRRP优先级不为255,则进入Backup状态。

活动状态(Master):处于活动状态的路由器是VRRP虚拟路由器组中的主路由器,负责转发数据包。主路由器会定期发送VRRP通告报文来宣告自己的状态,并更新路由表。

备份状态(Backup):处于备份状态的路由器是VRRP虚拟路由器组中的备用路由器。备份路由器会定期接收主路由器的VRRP通告报文,如果主路由器出现故障,备份路由器会经过一段时间的等待时间后切换为新的主路由器。

VRRP 状态机之间的转换规则

当前状态事件下一个状态
初始状态收到 VRRP 通告报文备份状态
备份状态收到更高优先级的 VRRP 通告报文初始状态
备份状态定时器超时初始状态
备份状态检测到故障初始状态
活动状态收到更高优先级的 VRRP 通告报文备份状态
活动状态定时器超时备份状态
活动状态检测到故障初始状态

VGMP组管理协议

VGMP(VRRP组管理协议)代表VRRP组管理协议。这是华为开发的专有协议,专门用于其防火墙,用于管理冗余连接和实现高可用性。

  • 在华为防火墙上管理多个VRRP(虚拟路由器冗余协议)组。
  • 确保设备上所有 VRRP 组的故障转移行为一致。
  • 为在 VRRP 组中的主状态和备份状态之间切换提供集中控制。

 工作原理:

  • VGMP在华为防火墙上运行的多个VRRP组之间建立通信通道。
  • 它协调这些组之间的故障转移过程,确保在主防火墙遇到问题时平稳过渡。
  • VGMP 依赖于分配给每个 VRRP 组的优先级。发生故障时,优先级最高的组将接管主服务器。

使用场景

  • VGMP 在需要最大程度地减少网络停机时间的高可用性环境中特别有用。
  • 它通常用于数据中心、企业网络和其他关键基础设施部署。


HRP(华为冗余协议)

是华为开发的专有协议,旨在为其防火墙和路由器提供高可用性和冗余。它支持主用和备用设备之间的无缝故障切换,确保在主设备发生故障时不间断的网络连接和数据转发。

HRP的主要特点
  • 快速故障转移:HRP 采用快速故障转移机制,通常在 50 毫秒内,最大限度地减少设备转换期间的网络停机时间。

  • 负载均衡:HRP 支持跨活动 HRP 设备进行负载均衡,分配网络流量并增强整体网络性能。

  • 安全性:HRP 包含身份验证和加密等安全措施,以防止未经授权的访问和数据操纵。

优点
  • 高可用性:HRP即使在设备故障的情况下也能确保网络持续运行,最大限度地减少停机时间并保持业务连续性。

  • 负载均衡:HRP 在活动设备之间分配网络流量,提高网络性能并减少拥塞。

  • 可扩展性:HRP 支持扩展 HRP 组以容纳更多设备,从而在不影响冗余的情况下实现网络增长。

什么是HRP

HRRP 代表 华为快速环协议。它是华为开发的专有协议,用于在以太网中提供冗余。HRRP主要用于华为设备,如路由器、交换机等,用于建立备用路由器组,实现容错。在此组中,一台路由器充当活动路由器,处理路由职责,而其他路由器则保持待机模式,准备在活动路由器发生故障时接管。

VRRP(虚拟路由器冗余协议)和 HSRP(热备用路由器协议)是以太网中更广泛采用的冗余标准。HRRP是华为专有协议,而VRRP和HSRP则受到更广泛的供应商和设备的支持。

HRRP的主要特点:

  1. 快速故障转移:HRRP 提供快速故障转移,通常在活动路由器发生故障后的 100 毫秒内,从而最大限度地减少网络停机时间。

  2. 负载均衡:HRRP可以在群组中的活动路由器之间分配流量,实现负载均衡,提高网络性能。

  3. 简单性:与其他冗余协议(如 VRRP 或 HSRP)相比,HRRP 配置相对简单。

实验拓扑

AR1的基本配置

<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[Huawei-GigabitEthernet0/0/0]int lo0
[Huawei-LoopBack0]ip add 100.0.0.100 24
[Huawei-LoopBack0]q

//默认路由接收1.0网段的数据
[Huawei]ip route-s 192.168.1.0 24 10.1.1.100
[Huawei]

FW1配置

基本的IP地址配置

[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.2 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 172.16.1.1 24
[USG6000V1-GigabitEthernet1/0/2]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/1]q

//配置默认路由所有流量流出
[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.1 

在华为USG6000V1防火墙上配置防火墙区域。

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g1/0/1

[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/0
[USG6000V1-zone-untrust]q

[USG6000V1]firewall zone  dmz 
[USG6000V1-zone-dmz]add int g1/0/2
[USG6000V1-zone-dmz]q

[USG6000V1-zone-trust]add int g1/0/1 - 此命令将接口 g1/0/1 添加到“信任”区域。信任区域中的接口通常连接到您的内部网络,该网络被视为受信任的。

[USG6000V1-zone-untrust]add int g1/0/0 - 此命令将接口 g1/0/0 添加到“不信任”区域。不信任区域通常用于外部连接,例如被视为不受信任的 Internet。

您提供的命令在华为USG6000V1防火墙上配置安全策略规则,以允许从“信任”区域到“不信任”区域的流量。


[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_untrust
[USG6000V1-policy-security-rule-trust_untrust]source-zone trust 
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untrust]action permit 
[USG6000V1-policy-security-rule-trust_untrust]q

[USG6000V1-policy-security]rule name heat
[USG6000V1-policy-security-rule-heat]source-zone local 
[USG6000V1-policy-security-rule-heat]destination-zone dmz 
[USG6000V1-policy-security-rule-heat]action permit 
[USG6000V1-policy-security-rule-heat]q


让我们分解每个步骤:

进入安全策略配置:

  • [USG6000V1]security-policy - 该命令在USG6000V1防火墙上进入安全策略配置模式。此模式允许您定义控制流量如何流经防火墙的规则。
  • [USG6000V1-policy-security-rule-trust_untrust] - 此行表示您现在正在配置名为“trust_untrust”的特定规则。防火墙规则通常具有描述性名称来标识其用途。、
  • [USG6000V1-policy-security-rule-trust_untrust]source-zone trust - 此命令指定规则的源区域。源自“信任”区域的流量将按此规则进行评估。“信任”区域通常表示您的内部网络,该网络被视为受信任网络。
  • [USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust - 此命令定义规则的目标区域。发往“不信任”区域的流量将按此规则进行评估。“不信任”区域通常表示外部网络,如互联网,它被认为是不受信任的。
  • [USG6000V1-policy-security-rule-trust_untrust]action permit - 此命令设置规则的操作。在这种情况下, permit 允许与指定条件(源区域和目标区域)匹配的流量流经防火墙。
  • 第二组的命名以及信任是同类~~

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.100 active 
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 active 
[USG6000V1-GigabitEthernet1/0/1]q

//HRP配置指向对端建立
[USG6000V1]hrp int g1/0/2 remote 172.16.1.2
  • vrrp :在接口上启用VRRP功能。
  • vrid 1 :将 VRRP 组 ID 设置为 1。此 ID 标识参与 VRRP 以实现冗余的一组路由器。
  • virtual-ip 10.1.1.100 :定义 VRRP 组使用的虚拟 IP 地址。客户端设备会将此 IP 视为其默认网关。
  • active :将接口的 VRRP 状态设置为活动状态。这意味着该接口将尝试成为VRRP组中的主路由器,并宣传其处理路由任务的可用性。
  • 第二组同类~~~

FW2配置

基本的IP地址和路由配置

[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.3 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 172.16.1.2 24
[USG6000V1-GigabitEthernet1/0/2]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.2 24
[USG6000V1-GigabitEthernet1/0/1]q

[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.1

创建不同的区域

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface g1/0/1

[USG6000V1]firewall zone  untrust 
[USG6000V1-zone-untrust]add interface g1/0/0

[USG6000V1]firewall zone  dmz 
[USG6000V1-zone-dmz]add int g1/0/2

这次就不详细介绍了 原理同上~~~

防火墙上配置安全策略规则

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_untr	
[USG6000V1-policy-security-rule-trust_untr]source-zone trust  
[USG6000V1-policy-security-rule-trust_untr]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untr]action permit 
[USG6000V1-policy-security-rule-trust_untr]q


[USG6000V1-policy-security]rule name heat
[USG6000V1-policy-security-rule-heat]source-zone local 
[USG6000V1-policy-security-rule-heat]destination-zone dmz 
[USG6000V1-policy-security-rule-heat]action permit 
[USG6000V1-policy-security-rule-heat]q
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.100 standby 
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1	
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 standby 
[USG6000V1-GigabitEthernet1/0/1]q

//指向对端双机热备中,心跳线
[USG6000V1]hrp int g1/0/2 remote  172.16.1.1

测试

FW1的信息

活跃

进入

关闭接口

这是再次查看

变为了备用的状态信息 (检测链路故障 启用另外一条链路传输数据)

FW2的信息

从standby变为active

PC机器在访问的时候也出现丢失一个包的现象并没有造成多大的数据丢失

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/596185.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Linux 第十九章

&#x1f436;博主主页&#xff1a;ᰔᩚ. 一怀明月ꦿ ❤️‍&#x1f525;专栏系列&#xff1a;线性代数&#xff0c;C初学者入门训练&#xff0c;题解C&#xff0c;C的使用文章&#xff0c;「初学」C&#xff0c;linux &#x1f525;座右铭&#xff1a;“不要等到什么都没有了…

【数据可视化-02】Seaborn图形实战宝典

Seaborn介绍 Seaborn是一个基于Python的数据可视化库&#xff0c;它建立在matplotlib的基础之上&#xff0c;为统计数据的可视化提供了高级接口。Seaborn通过简洁美观的默认样式和绘图类型&#xff0c;使数据可视化变得更加简单和直观。它特别适用于那些想要创建具有吸引力且信…

后端接口返回二进制数据流,前端如何将其转换成对应的excel、csv和json文件格式并下载

本文主要是介绍在工作中遇到的后端接口返回一个二进制数据流&#xff0c;前端在界面上创建下载按钮并下载成对应格式的文件导出。 downloadData({start: startTime,end: endTime,exportType: 0, // 0-excel, 1-csv, 2-json }).then((res) > {download(res, startTime, endTi…

Flutter笔记:Widgets Easier组件库 - 使用标签(Tag)

Flutter笔记 Widgets Easier组件库 - 使用标签&#xff08;Tag&#xff09; - 文章信息 - Author: 李俊才 (jcLee95) Visit me at CSDN: https://jclee95.blog.csdn.netMy WebSite&#xff1a;http://thispage.tech/Email: 291148484163.com. Shenzhen ChinaAddress of this …

【网络原理】IP协议详解

一.与IP协议相关的基本概念 IP协议&#xff0c;即网际互连协议&#xff08;Internet Protocol&#xff09;&#xff0c;是TCP/IP体系中的核心网络层协议。 网络层IP协议解决的问题 数据传输的过程中,不是直接进行的传输,而是经过层层的封装和分用的过程才能到达对端. IP协议主…

计算机是如何执行指令的

你好&#xff0c;我是 shengjk1&#xff0c;多年大厂经验&#xff0c;努力构建 通俗易懂的、好玩的编程语言教程。 欢迎关注&#xff01;你会有如下收益&#xff1a; 了解大厂经验拥有和大厂相匹配的技术等 希望看什么&#xff0c;评论或者私信告诉我&#xff01; 文章目录 一…

19 内核开发-内核源码编译

19 内核开发-内核源码编译 (1)开始准备 安装好virtual box ubuntu 系统后&#xff0c;即可下载内核代码&#xff0c;进行编译 历史内核源码地址&#xff1a;https://mirrors.tuna.tsinghua.edu.cn/kernel/v5.x/ 下载 linux-5.10.102.tar.gz 的包,可以使用wget 命令 创建编译目…

CasaOS玩客云安装memos开源云笔记并实现随时随地远程记笔记

文章目录 前言1. 使用Docker部署memos2. 注册账号与简单操作演示3. 安装cpolar内网穿透4. 创建公网地址5. 创建固定公网地址 前言 本文主要介绍如何在CasaOS玩客云&#xff0c;使用Docker本地部署21.6K stars的热门开源云笔记服务memos&#xff0c;并结合cpolar内网穿透工具打…

基于Springboot的校园志愿者管理系统(有报告)。Javaee项目,springboot项目。

演示视频&#xff1a; 基于Springboot的校园志愿者管理系统&#xff08;有报告&#xff09;。Javaee项目&#xff0c;springboot项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结…

土壤重金属含量分布、Cd镉含量、Cr、Pb、Cu、Zn、As和Hg、土壤采样点、土壤类型分布

土壤是人类赖以生存和发展的重要资源之一,也是陆地生态系统重要的组成部分。近年来, 随着我国城市化进程加快&#xff0c;矿产资源开发、金属加工冶炼、化工生产、污水灌溉以及不合理的化肥农药施用等因素导致重金属在农田土壤中不断富集。重金属作为土壤环境中一种具有潜在危害…

软件测试与管理-白盒测试-逻辑覆盖法例题

目录 知识点&#xff1a; 例题 &#xff1a; 知识点&#xff1a; 语句覆盖&#xff1a;设计足够多的测试用例&#xff0c;使得被测试程序中的“ 每条可执行语句至少被执行一次” 优点&#xff1a;可通过源码观察直观地得到测试用例&#xff0c;无须细分每个判定表达式。缺点&am…

2024-5-3学习笔记 虚拟继承原理

目录 原理 总结 前面提到过&#xff0c;解决菱形继承产生的数据二义性问题和数据冗余&#xff0c;就需要用到虚拟继承&#xff0c;关于它是如何解决的&#xff0c;我们来一起研究。 class Person { public :string _name ; // 姓名 }; class Student : virtual public Perso…

Chrome浏览器命令行妙用:使你的网上冲浪更加无障碍

引言 在当今数字化时代&#xff0c;网络浏览器已成为我们日常生活中不可或缺的工具之一。对于许多人来说&#xff0c;Google Chrome浏览器是首选&#xff0c;不仅因为它的普及度&#xff0c;更因为它提供的丰富功能和高度的可定制性。在Chrome的众多特性中&#xff0c;命令行功…

Pytorch实现图片异常检测

图片异常检测 异常检测指的是在正常的图片中找到异常的数据&#xff0c;由于无法通过规则进行识别判断&#xff0c;这样的应用场景通常都是需要人工进行识别&#xff0c;比如残次品的识别&#xff0c;图片异常识别模型的目标是可以代替或者辅助人工进行识别异常图片。 AnoGAN…

Linux-信号概念

1. 什么是信号 信号本质是一种通知机制&#xff0c;用户or操作系统通过发送信号通知进程&#xff0c;进程进行后续处理 在日常生活中就有很多例子&#xff0c;比如打游戏方面王者荣耀的“进攻”&#xff0c;“撤退”&#xff0c;“请求集合”&#xff0c;“干得漂亮&#xff01…

【一步一步了解Java系列】:探索Java基本类型转换的秘密

看到这句话的时候证明&#xff1a;此刻你我都在努力~ 加油陌生人~ 个人主页&#xff1a; Gu Gu Study ​​ 专栏&#xff1a;一步一步了解Java 喜欢的一句话&#xff1a; 常常会回顾努力的自己&#xff0c;所以要为自己的努力留下足迹。 如果喜欢能否点个赞支持一下&#…

第四百九十二回

文章目录 1. 概念介绍2. 使用方法2.1 SegmentedButton2.2 ButtonSegment 3. 代码与效果3.1 示例代码3.2 运行效果 4. 内容总结 我们在上一章回中介绍了"SearchBar组件"相关的内容&#xff0c;本章回中将介绍SegmentedButton组件.闲话休提&#xff0c;让我们一起Talk …

Java面试题:多线程3

CAS Compare and Swap(比较再交换) 体现了一种乐观锁的思想,在无锁情况下保证线程操作共享数据的原子性. 线程A和线程B对主内存中的变量c同时进行修改 在线程A中存在预期值a,修改后的更新值a1 在线程B中存在预期值b,修改后的更新值b1 当且仅当预期值和主内存中的变量值相等…

Llama3-Tutorial之XTuner微调Llama3个人小助手

Llama3-Tutorial之XTuner微调Llama3个人小助手 使用XTuner微调llama3模型。 参考&#xff1a; https://github.com/SmartFlowAI/Llama3-Tutorial 1. web demo部署 参考上一节内容已经完成web demo部署&#xff0c;进行对话测试, 当前回答基于llama3官方发布的模型进行推理生成&…

MySQL基础_5.多表查询

文章目录 一、多表连接1.1、笛卡尔积&#xff08;或交叉连接&#xff09; 二、多表查询&#xff08;SQL99语法&#xff09;2.1、内连接(INNER JOIN)2.2、内连接(INNER JOIN) 一、多表连接 多表查询&#xff0c;也称为关联查询&#xff0c;指两个或更多个表一起完成查询操作。 …