福鼎市城市建设监察大队网站,制作充值网站,一个网站锚文本可以做几个,wordpress模版mx目录 双击热备作用
防火墙和路由器备份不同之处
如何连线
双机
热备
冷备
VRRP
VGMP#xff08;华为私有协议#xff09;
场景解释
VGMP作用过程
主备的形成场景
接口故障的切换场景 整机故障
原主设备故障恢复的场景
如果没有开启抢占
如果开启了抢占
负载分…目录 双击热备作用
防火墙和路由器备份不同之处
如何连线
双机
热备
冷备
VRRP
VGMP华为私有协议
场景解释
VGMP作用过程
主备的形成场景
接口故障的切换场景 整机故障
原主设备故障恢复的场景
如果没有开启抢占
如果开启了抢占
负载分担场景
HRP
作用
配置信息
状态信息
配置要求
HRP三种备份方式
自动备份
手工备份
快速备份
ensp中防火墙web配置双机热备
在哪配置
如何配置
选项解释
HRP手工备份的位置
一些其他的防火墙部署位置情况
双机热备直路部署-上下二层
双机热备直路部署-上下三层
防火墙透明部署
上下二层
上下三层 双击热备作用
这个技术可以保证防火墙的可靠性就是防火墙备份的一个思想
防火墙和路由器备份不同之处
因为防火墙不仅需要同步配置信息还要同步状态信息会话表等所以防火墙不能单纯靠动态协议来实现切换需要用到双机热备技术.如下图 如何连线
二层的话就直接来连接但是三层设备的话就需要一个二层交换机来连接一下保证两个防火墙的设备再同一个网段如下图保证防火墙再公网是同一个网段和下面内网是同一个网段 双机
目前双机热备技术仅仅支持两台防火墙的互备
热备
可以在正常运行过程直接同步两台设备共同运行
一台设备出现故障的情况下另外一台设备可以立即替代原设备
冷备
仅工作一台设备备份一台设备备份设备仅同步配置并不工作只有在主设备出现故障时再由管理员替换工作冷备可能会造成较长时间设备停止工作
VRRP
虚拟路由器的冗余技术
HCIP学习--以太网中继、SVI、VRRP-CSDN博客
VGMP华为私有协议
VRRP Group Management Protoco 因为VRRP彼此是独立的所以一个VRRP组进行切换不会直接导致其他组同步切换在防火 墙的双机热备场景下上下有两个VRRP组需要同步切换使用传统的上行链路监控比较 复杂所以设计了VGMP协议来对VRRP组进行统一的切换管理 场景解释
下依照图例来解释VGMP作用过程
两个方框就是两个防火墙两个防火墙所在场景就是下面第二张图。两个防火墙上下都需要vrrp技术如果某个接口出现故障他所在的那一边的链路无法进行正常通信所以VRRP需要同时切换这个时候就需要VGMP技术。
VGMP作用过程
VGMP几乎舍弃了VRRP的大部分机制
当有接口坏掉了接口成了过度状态VGMP就会发现自己管理的VRRP组出现故障VGMP就会降低自己的优先级VGMP默认优先级这里优先级和VRRP中不同主设备组为65001备份设备组65000。在VGMP中他们的设备不叫master和backup了。而是称为Active 和 Standby组Active 优先级65001 Standby组65000。
主备的形成场景
下面第一张图就是两个防火墙然后左边防火墙的VRRP组1和VRRP族2都被划分到了左边设备的VGMP Active组里。右边防火墙的VRRP组1和VRRP族2都被划分到了右边设备的VGMP Standby组里。所以左边的设备是主设备右边的设备时备份设备。 1FW1被设定为主设备这个由网络管理员来做 --- FW1中的VGMP的active组被激活并且将上下两个VRRP组拉 入到VGMP的active组中并且状态都是ACTIVE 2FE2被设定为备设备 --- FW2中的VGMP的standby组被激活并且将上下两个vrrp组拉入 到VGMP的standby组中并且状态都是standby VGMP组中存在优先级的概念ACTIVE组的默认优先级是65001standby组默认的优先 级为65000并且在VGMP中所有的主都被成为active所有的备成为standby 3主设备上下两个VRRP组的接口将发送免费ARP报文 接口故障的切换场景
左边是FW1 1假设FW1下的接口发生故障接口的状态会从active状态切换到initialize状态接口故障 的一个过渡状态 2VGMP组感知到接口状态变化会降低自身的优先级每一个接口发生故障则优先级会 降低2 3FW1会向FW2发送一个状态变更的请求报文这个报文中会包含降低后的优先级 4FW2收到请求报文后发现自身的优先级高于对方的优先级则会将自己standby组的状 态从standby切换为active状态 5FW2的VGMP组状态发生变化则standby组中的VRRP组的状态同步发生变化都从standby切 换到active 6FW2回复FW1应答报文表示允许切换 7FW1收到应答报文后将自身ACTIVE组的状态(active组右active状态和standy状态)从ACTIVE切换到standby状态并且其 中的VRRP组同步将状态切换到standby不包含故障接口的状态依旧是initialize状态 8FW2上下两个VRRP组将发送免费ARP报文让交换机切换MAC地址表之后所有的流量将从FW2通过。 整机故障 整机故障可以通过保活机制来进行切换主设备发生故障则不会发送 HRP 心跳报文 备设备在超时时间内没有接收到主设备的保活包则将会进行状态切换 原主设备故障恢复的场景
如果没有开启抢占 原主设备继续以备设备的身份工作 如果开启了抢占
1、FW1故障恢复后调整自身优先级并发送请求报文给FW2请求报文是修改后的优先级
2、FW2收到后发现FW1的优先级大于自己的优先级调整自己的Standy组为Standy状态并且发送确认报文给FW1
3、FW1收到确认报文更改自己Active组为Active状态
负载分担场景 与一个相同只是多创建了两个vrrp
HRP
作用 可以同步防火墙上的 状态 信息 和 配置信息 配置信息 接口IP地址路由信息安全策略NAT策略。 HRP不能同步基本的接口和路由信息在做双击热备前接口信息和路由信息已经有了同步的画可能会出现问题 状态信息 配置要求 HRP 在进行双机热备时还有一个要求两台热备设备之间必须拥有一条链路用来同步信 息并且这条链路必须是三层链路。这条链路在进行数据传递时不受安全策略的影响这条线被称为心跳线。 VGMP协议发送的报文也是通过心跳线 传输的。 注意如果心跳线是直连的则不受安全策略的影响但是如果中间有中继设备即 非直连场景则需要配置安全策略。 HRP 会周期性的发送心跳报文只有主设备会发送周期时间默认为1S如果备设备在三个周 期时间内默认3S没有收到对方的心跳报文则认定对方出现故障将修改自身为主设备。 HRP三种备份方式 这集中方法可以同时开启 自动备份 自动备份配置和状态信息但是配置信息可以立即自动备份状态信息无 法立即备份只能通过短暂的延迟之后在进行备份10S左右 手工备份 由网络管理员手工触发可以立即同步配置和状态信息 快速备份 该备份方式仅针对 负载分担的场景两台设备同时工作 。再创建一个VGMP组两台设备互为两个VGMP组的主设备然后这种情况可能会两条链路都会走如下图上去的时候走1这边下去的时候走二这边所以是不是两台设备需要快速同步状态信息不然业务就会收到影响。但是无法同步配置信息仅能同步状态信息并且可以立即同步状态信息。 ensp中防火墙web配置双机热备
在哪配置 如何配置 默认从主向备同步
选项解释 主动抢占如果勾选了主动抢占则代表开启抢占模式默认开启60S抢占延迟就是如果设备好了以后延迟60秒再开始抢占 抢占延时主要是为了应对一些接口可能出现反复震荡的情况这个东西一般只给主设备配置 hello时间保活报文发送周期默认一秒。要是改的话需要主设备、备份设备同时修改。否则可能对接不上 接口监控上行链路追踪 配置虚拟IP地址这里就是做VRRP的地方 注意 1虚拟mac地址勾选可以让切换对用户全程无感知 2如果虚拟IP地址和接口IP地址不再同一个网段则配置时必须配置子网掩码 这个配置完就配置好了 HRP手工备份的位置 双机热备的时候写NAT要注意写静态NAT的时候使用出接口可能导致出去产生问题。所以乖乖使用地址池吧
然后备份设备几乎不可以配置东西了只能说是主配置啥他同步啥
一些其他的防火墙部署位置情况
双机热备直路部署-上下二层 双机热备直路部署-上下三层 配置三层不需要配置虚拟IP配置监控接口三层监控接口二层监控VLAN ospf配置地方 上面的图先配置ospf配置双击热备前 配置主备模式的双机热备后 发现开销值发生变化从设备的路由都要经过主设备了。那么这个选路是和发生变化的是备用设备在传递拓扑信息的时候将Metric修改了修改成了65500如下面第二张图片 配置负载分担的双击热备就是普通的没有配置主备模式的双机热备的情况也就是只配置了ospf的情况做负载分担和不做的区别就是他可以把信息同步过去所以还是需要做的。
防火墙透明部署 上下二层 这种情况下建议使用主备模式不要使用负载分担模式。负载分担下面的vlan可以从左边走也可以从右边走然后可能成环然后生成树还会给你堵掉所以没必要做负载分担
上下三层 这种模式建议采用负载分担不建议使用主备模式。把两个防火墙当成两个交换机就行然后如果配置主备备份的那个防火墙是不是就相当于断掉了。链路都断掉了那还了得。B和D也无法建立邻居关系然后如果主设备坏了是不是就要切换到备用设备上然后B和D要重新建立邻居关系。然后切换收敛的过程就会很长会影响正常业务。
