目录
双击热备作用
防火墙和路由器备份不同之处
如何连线
双机
热备
冷备
VRRP
VGMP(华为私有协议)
场景解释
VGMP作用过程
主备的形成场景
接口故障的切换场景
整机故障
原主设备故障恢复的场景
如果没有开启抢占
如果开启了抢占
负载分担场景
HRP
作用
配置信息
状态信息
配置要求
HRP三种备份方式
自动备份
手工备份
快速备份
ensp中防火墙web配置双机热备
在哪配置
如何配置
选项解释
HRP手工备份的位置
一些其他的防火墙部署位置情况
双机热备直路部署-上下二层
双机热备直路部署-上下三层
防火墙透明部署
上下二层
上下三层
双击热备作用
这个技术可以保证防火墙的可靠性,就是防火墙备份的一个思想
防火墙和路由器备份不同之处
因为防火墙不仅需要同步配置信息,还要同步状态信息(会话表等),所以防火墙不能单纯靠动态协议来实现切换,需要用到双机热备技术.,如下图
如何连线
二层的话就直接来连接,但是三层设备的话就需要一个二层交换机来连接一下,保证两个防火墙的设备再同一个网段,如下图保证防火墙再公网是同一个网段,和下面内网是同一个网段
双机
目前双机热备技术仅仅支持两台防火墙的互备
热备
可以在正常运行过程,直接同步,两台设备共同运行
一台设备出现故障的情况下另外一台设备可以立即替代原设备
冷备
仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间设备停止工作
VRRP
虚拟路由器的冗余技术
HCIP学习--以太网中继、SVI、VRRP-CSDN博客
VGMP(华为私有协议)
VRRP Group Management Protoco
场景解释
下依照图例来解释VGMP作用过程
两个方框就是两个防火墙,两个防火墙所在场景就是下面第二张图。两个防火墙上下都需要vrrp技术,如果某个接口出现故障,他所在的那一边的链路无法进行正常通信,所以VRRP需要同时切换,这个时候就需要VGMP技术。
VGMP作用过程
(VGMP几乎舍弃了VRRP的大部分机制)
当有接口坏掉了,接口成了过度状态,VGMP就会发现自己管理的VRRP组出现故障,VGMP就会降低自己的优先级,VGMP默认优先级(这里优先级和VRRP中不同)主设备组为65001,备份设备组65000。在VGMP中他们的设备不叫master和backup了。而是称为Active 和 Standby组Active 优先级65001, Standby组65000。
主备的形成场景
下面第一张图就是两个防火墙,然后左边防火墙的VRRP组1和VRRP族2都被划分到了左边设备的VGMP Active组里。右边防火墙的VRRP组1和VRRP族2都被划分到了右边设备的VGMP Standby组里。所以左边的设备是主设备,右边的设备时备份设备。
接口故障的切换场景
左边是FW1
整机故障
原主设备故障恢复的场景
如果没有开启抢占
如果开启了抢占
1、FW1故障恢复后,调整自身优先级,并发送请求报文给FW2,请求报文是修改后的优先级
2、FW2收到后,发现FW1的优先级大于自己的优先级,调整自己的Standy组为Standy状态,并且发送确认报文给FW1
3、FW1收到确认报文,更改自己Active组为Active状态
负载分担场景
与一个相同只是多创建了两个vrrp
HRP
作用
配置信息
状态信息
配置要求
HRP三种备份方式
这集中方法可以同时开启
自动备份
手工备份
快速备份
ensp中防火墙web配置双机热备
在哪配置
如何配置
默认从主向备同步
选项解释
HRP手工备份的位置
双机热备的时候写NAT要注意,写静态NAT的时候使用出接口可能导致出去产生问题。所以乖乖使用地址池吧
然后备份设备几乎不可以配置东西了,只能说是主配置啥他同步啥
一些其他的防火墙部署位置情况
双机热备直路部署-上下二层
双机热备直路部署-上下三层
配置负载分担的双击热备就是普通的没有配置主备模式的双机热备的情况也就是只配置了ospf的情况,做负载分担和不做的区别就是他可以把信息同步过去,所以还是需要做的。
防火墙透明部署
上下二层
这种情况下建议使用主备模式不要使用负载分担模式。负载分担下面的vlan可以从左边走也可以从右边走,然后可能成环,然后生成树还会给你堵掉,所以没必要做负载分担
上下三层
这种模式建议采用负载分担,不建议使用主备模式。把两个防火墙当成两个交换机就行,然后如果配置主备,备份的那个防火墙是不是就相当于断掉了。链路都断掉了那还了得。B和D也无法建立邻居关系,然后如果主设备坏了,是不是就要切换到备用设备上,然后B和D要重新建立邻居关系。然后切换收敛的过程就会很长,会影响正常业务。
