HCSCA105 HCNA-Security-CBSN 第五章 防火墙双机热备技术V2.5
华为 WLAN AC双机热备技术白皮书
表示有潜在风险,如果忽视这些文本,可能导致设备损坏、 数据丢失、设备性能降低或不可预知的结果。
表示能帮助您解决某个问题或节省您的时间。 表示是正文的附加信息,是对正文的强调和补充。
文档版本 01 (2013-05-15)
华为专有和保密信息
i
版权所有 © 华为技术有限公司
无线局域网接入点 AC 双机热备技术白皮书
华为技术有限公司
地址: 网址:
深圳市龙岗区坂田华为总部办公楼
邮编:518129
文档版本 01 (2013-05-15)
华为专有和保密信息
i
版权所有 © 华为技术有限公司
无线局域网接入点 AC 双机热备技术白皮书
前言
前言
概述
本文档针对华为 WLAN 产品 V200R003C00 版本中双机热备技术进行说明。通过双机热 备功能的使用,保障网络的可靠性,保证在一台 AC 设备故障时已上线用户不下线,业 务不中断,提升用户体验。
业务备份组模块
负责业务的主备协商,批量备份、实时备 份、状态信息同步,通知相关业务模块进
行业务信息备份
业务模块
响应业务备份组模块的各种主备事件,进行批量 备份、实时备份、状态同步处理
HSB_SRV
HSB_GRP NAT_HSB
HSB_GRP NAC_HSB
AC 目前支持 HSB_SRV 和 HSB_GRP 单实例,整机仅允许支持配置一个备份服务和一 个备份组。
HSB service:备份(Hot Standby)服务,提供备份数据的收发接口,业务如果自身 拥有主备状态机制,就可以直接使用该服务。
HSB group:备份(Hot Standby)组,内部绑定 HSB service,同时还维护一个主备状 态机;业务可以绑定到一个备份组上,从而不需要自身维护主备状态机制。
SecPath-防火墙双机热备典型配置
SecPath-防火墙双机热备典型配置SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
双机热备份
并行模式也叫双工模式,—般用于网络大规模应用,如Oracle数据库的RAC(Orade RealApplication Cluster),两台服务器均为活动的,同时提供相同的服务,保证整体的性能,也实现了负载均衡和互为备份,需 要利用磁盘阵列存储技术。
总结
总结
以上简要分析了服务器双机热备份技术的概念与方法,在实际应用中,根据网络规模或重要性的大小,双机 模式可以扩展提升为多机集群模式,两台以上的服务器组成一个集群,根据应用的实际情况在这些服务器上进行 部署,灵活地设置接管策略。比如,可以由一台服务器作为其他所有服务器的备机,也可以设置多重的接管关系 等。此外,还有更新的技术涌现出来,如容错服务器技术,通过对服务器中所有硬件利用冗余的方法来容错,可 以做到自动侦测、自动接管、自动恢复,是一种比双机热备份可用性等级更高的方案,适用于关键业务应用领域。
双机热备份技术需要通过双机或集群软件来实现。双机软件采用结构化设计,一般来说包含以下几个模块:
(1)双机状态的管理模块,负责检测双机的工作状态,以及对故障状态进行判断。
工作模式
双机互备模式
双机热备模式
双机双工模式
双机热备模式
即目前通常所说的active/standby方式,active服务器处于工作状态;而standby服务器处于监控准备状 态,服务器数据包括数据库数据同时往两台或多台服务器写入(通常各服务器采用RAID磁盘阵列卡),保证数据 的即时同步。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时 间内完全恢复正常使用。典型应用在证券资金服务器或行情服务器。这是目前采用较多的一种模式,但由于另外 一台服务器长期处于后备的状态,从计算资源方面考量,就存在一定的浪费。
双机热备——精选推荐
双机热备⽬录1、双机热备基础概念双机热备是⼀种概念,各种设备均可以采⽤此概念进⾏部署,⽐如三层交换机、路由器、防⽕墙、服务器等。
如果仅部署⼀台设备,难免会有单点故障的风险,所以部署两台,⼀主⼀备较为保险,⼀台坏了,另⼀台⾃动“顶上”,保证业务不中断,这就是双机热备。
最常见的双机热备就是同时带着同⼀品牌的两台⼿机,A坏了,B登录A的账号,通讯录与邮箱会同步过来,与保证业务不中断。
NOTE:1. 等保三级以上要求必须要有冗余设备,关键设备必须是⼀主⼀备的,这样才能保证业务的稳定性。
双机热备是⽹络⼯程师必须熟练掌握的技术之⼀。
2. 防⽕墙的双机热备其它设备不同,防⽕墙的双机热备需要⼀条专门的备份通道,⽤于两台防⽕墙之间的协商主备状态,以及会话等状态信息。
双机热备主要包括主备备份和负载分担两个场景。
主备备份指正常情况下仅由主⽤设备处理业务,备⽤设备空闲;当主⽤设备接⼝、链路或整机故障时,备⽤设备切换为主⽤设备,接替主⽤设备处理业务。
负载分担也可以称为“互为主备”,即两台设备同时处理业务。
当其中⼀台设备发⽣故障时,另外⼀台会⽴即承担其业务,保证业务不中断。
2、链路聚合讲双机热备之前,必须先讲链路聚合和VRRP,因为双机热备是在这两个技术的基础上进⾏实现的。
2.1 链路聚合的基本概念因为以太⽹的信息传输率主要有:10Mbit/s、100Mbit/s、1000Mbit/s(1Gibt/s)、10Gibt/s、100Gibt/s,它们之间的关系呈10倍递增。
发送/接收速率为10Mbit/s的以太⽹端⼝称为标准以太⽹端⼝。
发送/接收速率为100Mbit/s的以太⽹端⼝称为快速以太⽹端⼝,简称FE(fast ethernet)。
发送/接收速率为1000Mbit/s的以太⽹端⼝称为千兆以太⽹端⼝,1000兆达到了吉,所以也称GE(gigabit ethernet)。
发送/接收速率为10Gbit/s的以太⽹端⼝称为万兆以太⽹端⼝,⼀吉等于1000兆,⼗吉就等于⼗个1000兆,⼗个1000就是⼀万,所以这种接⼝就被称为万兆以太⽹端⼝。
网络安全课程,第5章 防火墙技术讲稿(三)
1、屏蔽主机体系结构(主机过滤体系结构)
在主机过 滤体系结构 中提供安全 保护的主机 仅仅与内部 网相连。 主机过滤 结构还有一 台单独的路 由器(过滤 路由器)。 在这种体 系结构中, 主要的安全 由数据包过 滤提供,其 结构如右图 所示。
屏蔽主机体系结构(主机过滤体系结构)
在屏蔽主机防火墙结构中,分组过滤路由器或 防火墙与Internet相连,对数据包进行过滤。 同时一个堡垒机安装在内部网络,通过在分 组过滤路由器或防火墙上过滤规则的设置, 使堡垒机成为Internet上其它节点所能到达的 唯一节点,这确保了内部网络不受未授权外 部用户的攻击。
补充教学内容:防火墙的体系结构
重 点: 1:屏蔽主机体系结构 重 点: 2:双宿主机防火墙 重难点: 3:被屏蔽主机防火墙 重难点: 4:被屏蔽子网防火墙 难 点: 5:分布式防火墙体系结构 6:防火墙的分类 7:防火墙的性能及选购 8:防火墙技术的敝端 9:防火墙技术的发展趋势 10:实训
防火墙的体系结构概述
内部路由器(也叫阻塞路由器)
内部路由器的主要功能:是保护内部网免受来自外
部网与参数网络的侵扰,内部路由器为用户的防火墙执行大 部分的数据包过滤工作。它允许从内部网络到Internet的有 选择的出站服务。这些服务使用户的站点能使用数据包过滤 而不是代理服务 。 滤工作,它允许某些站点的包过滤系统认为符合安全规则的 服务在内外部网之间互传。根据各站点的需要和安全规则, 可允许的服务是以下这些外向服务中的若干种,如:Telnet、 FTP、WAIS、Archie、Gopher或者其它服务。 部网之间传递的各种服务和内部网与外部网之间传递的各种 服务不完全相同,即内部路由器所允许的在堡垒主机(在外 围网上)和用户内部网之间的服务,可以不同于内部路由器 所允许的在Internet和用户内部网之间的服务。
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置论坛的小伙伴们,大家好。
强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。
说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。
但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢?本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。
【组网需求】如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。
(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10)现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。
当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。
【需求分析】针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态?两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。
如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。
2、分支与总部之间如何建立IPSec隧道?正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。
当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。
3、总部的两台防火墙如何对流量进行引导?总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。
天融信防火墙双机热备配置说明
天融信防火墙双机热备配置说明一、防火墙的接口设置:ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程:1、配置主防火墙的双机设置,并使之处于工作状态:system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置:restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址(默认出厂只有eth6有地址)3、配置从防火墙的双机设置,并使之处于备用状态:system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令,将主防火墙的所有配置同步到从防火墙上:writep //同步命令。
双机热备方案的技术要求
第1章硬件设置HA的硬件配置如下表所示:网络拓朴图如下:第2章操作系统设置要配置数据库的HA,首先要配置操作系统的HA。
因此操作系统必须为Windows Advanced Server 或Windows DataCenter。
操作步骤如下:1.将服务器与盘柜断开,再将两台服务器的所有硬盘应该做成NTFS。
安装完操作系统并加到域中后,全部关闭。
2.将盘柜和两台服务器之间连接好后,都在关闭状态3.启动盘柜,并将盘柜做成三个物理分区,R,S和T,注意一定要是物理分区,不能是逻辑分区。
其中T作为仲裁盘,其大小为1G,R放DB2和DB2I2两个实例,S放DB2I1实例。
然后关闭盘柜。
4.只打开主服务器。
注意:开机的顺序是先开盘柜再开服务器,并且如果没有做好HA之前,绝对不能两台机器同时开。
5.在“网络和拨号连接”中可以看到两个网卡,找到心跳线所连的网卡,将其名称改为“Master_Private”,再将连到交换机的网卡改为”“Master_Public”。
6.关闭主服务器,打开备份服务器,在“网络和拨号连接”中可以看到两个网卡,找到心跳线所连的网卡,将其名称改为“Back_Private”,再将连到交换机的网卡改为”“Back_Public”。
并将两台机器的IP进行如下规划:A : public IP :23.47.0.8 private IP :10.0.0.1B: public IP :23.47.0.9 private IP:10.0.0.27 关闭两台服务器后,打开磁盘柜。
8 打开主服务器进行磁盘设置。
2.1 磁盘设置通过磁盘设置可以让两台服务器都能访问到盘柜,设置的步骤如下:进入计算机管理,点击磁盘管理,由于连上了盘柜,因此,系统弹出创建分区向导的对话框点击下一步选择主磁盘分区点击下一步输入主磁盘分区的容量,由于已经做过物理分区,因此容量即按所能分配的最大容量进行分配。
作好一个盘后,同样再做其它两个盘。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1●双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。
●USG防火墙作为安全设备,一般会部署在需要保护的网络和不受保护的网络之间,即位于业务接口点上。
在这种业务点上,如果仅仅使用一台USG防火墙设备,无论其可靠性多高,系统都可能会承受因为单点故障而导致网络中断的风险。
为了防止一台设备出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份。
●为了避免路由器传统组网所引起的单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换。
但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题,因此推出了另一种保护机制VRRP(虚拟路由冗余协议)来进行。
采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。
●VRRP(Virtual Router Redundancy Protocol)是一种基本的容错协议。
●备份组:同一个广播域的一组路由器组织成一个虚拟路由器,备份组中的所有路由器一起,共同提供一个虚拟IP地址,作为内部网络的网关地址。
●主(Master)路由器:在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。
●备份(Backup)路由器:在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。
●主路由器通过组播方式定期向备份路由器发送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。
由于VRRP HELLO报文为组播报文,所以要求备份组中的各路由器通过二层设备相连,即启用VRRP时上下行设备必须具有二层交换功能,否则备份路由器无法收到主路由器发送的HELLO报文。
如果组网条件不满足,则不能使用VRRP。
●当防火墙上多个区域需要提供双机备份功能时,需要在一台防火墙上配置多个VRRP备份组。
●由于USG防火墙是状态防火墙,它要求报文的来回路径通过同一台防火墙。
为了满足这个限制条件,就要求在同一台防火墙上的所有VRRP备份组状态保持一致,即需要保证在主防火墙上所有VRRP备份组都是主状态,这样所有报文都将从此防火墙上通过,而另外一台防火墙则充当备份设备。
●如图所示,假设USG A和USG B的VRRP状态一致,即USG A的所有接口均为主用状态,USG B的所有接口均为备用状态。
●此时,Trust区域的PC1访问Untrust区域的PC2,报文的转发路线为(1)-(2)-(3)-(4)。
USG A转发访问报文时,动态生成会话表项。
当PC2的返回报文经过(4)-(3)到达USG A 时,由于能够命中会话表项,才能再经过(2)-(1)到达PC1,顺利返回。
同理,当PC2和DMZ区域的Server也能互访。
●假设USG A和USG B的VRRP状态不一致,例如,当USG B与Trust区域相连的接口为备用状态,但与Untrust区域的接口为主用状态,则PC1的报文通过USG A设备到达PC2后,在USG A上动态生成会话表项。
PC2的返回报文通过路线(4)-(9)返回。
此时由于USG B上没有相应数据流的会话表项,在没有其他报文过滤规则允许通过的情况下,USG B将丢弃该报文,导致会话中断。
●问题产生的原因:报文的转发机制不同。
●路由器:每个报文都会查路由表当匹配上后才进行转发,当链路切换后,后续报文不会受到影响,继续进行转发。
●状态检测防火墙:如果首包允许通过会建立一条五元组的会话连接,只有命中该会话表项的后续报文(包括返回报文)才能够通过防火墙;如果链路切换后,后续报文找不到正确的表项,会导致业务中断。
注意:当路由器配置NAT后也会存在同样的问题,因为在进行NAT后会形成一个NAT 转换后的表项。
●VRRP在防火墙中应用的要求:☐VRRP状态的一致性☐会话表状态备份●VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。
通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。
●当防火墙上的VGMP为Active状态时,组内所有VRRP备份组的状态统一为Active状态,所有报文都将从该防火墙上通过,该防火墙成为主用防火墙。
此时另外一台防火墙上对应的VGMP为备状态,该防火墙成为备用防火墙。
●通过指定VGMP组的优先级来决定谁将成为主防火墙或备用防火墙。
●VGMP的优先级会根据组内的VRRP备份组成员的状态动态调整,以此完成两台防火墙的主备倒换。
●与VRRP类似,状态为Aactive的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)。
与VRRP不同的是,Standby端收到HELLO报文后,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等。
●VGMP HELLO报文发送周期缺省为1秒。
当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态。
●状态一致性管理☐各备份组的主/备状态变化都需要通知其所属的VGMP管理组,由VGMP管理组决定是否允许VRRP备份组进行主/备状态切换。
如果需要切换,则VGMP管理组控制所有的VRRP备份组统一切换。
VRRP备份组加入到管理组后,状态不能自行单独切换。
●抢占管理☐VRRP备份组本身具有抢占功能。
即当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。
☐VGMP管理组的抢占功能和VRRP备份组类似,当管理组中出现故障的备份组故障恢复时,管理组的优先级也将恢复。
此时VGMP可以决定是否需要重新抢占称为主设备。
☐当VRRP备份组加入到VGMP管理组后,备份组上原来的抢占功能将失效,抢占行为发生与否必须由VGMP管理组统一决定。
●在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。
因为USG防火墙是状态防火墙,如果备防火墙上没有原来主防火墙上的会话表等连接状态数据,则切换到备防火墙的流量将无法通过防火墙,造成现有的连接中断,此时用户必须重新发起连接。
●HRP模块提供了基础的数据备份机制和传输功能。
各个应用模块收集本模块需要备份的数据,提交给HRP模块,HRP模块负责将数据发送到对端防火墙的对应模块,应用模块需要再将HRP模块提交上来的数据进行解析,并加入到防火墙的动态运行数据池中。
●备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。
●备份方向:防火墙上有状态为主的VGMP管理组,向对端备份。
●备份方式:分为三种☐批量备份:在两台设备第一次协商完成后,批量备份所有信息,配置批量备份需要消耗较多的资源,缺省情况下是关闭的。
☐实时备份:在设备运行过程中,新建或者刷新的数据实时备份。
☐快速备份●备份通道:一般情况下,在两台设备上直连的端口作为备份通道,有时也称为“心跳线”(VGMP也通过该通道进行通信)。
●在来回路径不一致的组网中,业务流的来回报文有可能不会从同一个防火墙上经过。
为了支持来回路径不一致的组网,防火墙增加了会话快速备份功能。
即在首包创建会话时,立即将会话数据打包备份到对端,然后再将报文转发出去,保证了当回应的报文到达对端防火墙时,对端防火墙上已经接收到备份过来的会话数据并加入到会话表中。
比如对于TCP三次握手的报文,SYN+ACK报文从另一台设备回来时,由于查不到会话,报文会被丢弃,导致连接建立失败。
对于UDP会话,第一个反向报文过来时,在另一台上也会因为查不到会话,需要走包过滤流程,有可能会被丢弃。
●通常情况下,对于TCP连接、状态改变的报文命中会话之后立即备份到对端,包括三次握手报文和fin、rst报文;对于UDP会话,快速备份是创建会话之后立即备份到对端,后续报文也进行备份以避免会话信息的老化。
双机热备组网最常见的是防火墙采用路由模式,下行交换机双线上联到防火墙,正常情况下防火墙A作为主,当防火墙A上行或下行链路down掉后,防火墙B自动切换为主设备,交换机流量走向防火墙B。
●Master管理组默认情况下会每隔1秒发送一次vrrp报文,可以在接口视图下调整vrrp报文发送间隔。
接口视图下修改vrrp报文发送时间:●vrrp vrid virtual-router-ID timer advertise adver-interval●vrrp也可以与ip-link进行配合,当上行链路断掉后使vrrp能够进行主备切换。
在接口视图下配置ip-link:●vrrp vrid virtual-router-id ip-link link-id●缺省情况下,VGMP管理组的抢占功能为启用状态,抢占延迟时间为60s。
配置VGMP管理组的抢占延迟时间命令如下:●hrp preempt [ delay interval ]●HRP两台USG心跳口的接口类型和编号必须相同,且心跳口不能为二层以太网接口。
USG支持使用Eth-Trunk接口做为心跳口,既提高了可靠性,又增加了备份通道的带宽。
主备USG 的心跳口可以直接相连,也可以通过中间设备,如交换机或路由器连接。
当心跳口通过中间设备相连时,需要配置remote参数来指定对端IP地址。
●当两台设启用备HRP备份功能之后,会进行主备状态的协商,最后得到一个主用设备(显示时以HRP_A表示),一个备用设备(显示时以HRP_S表示)。
两端首次协商出主备后,主用设备将向备用设备备份配置和连接状态等信息。
●启用允许配置备用设备的功能后,所有可以备份的信息都可以直接在备用设备上进行配置,且备用设备上的配置可以同步到主用设备。
如果主备设备上都进行了某项配置,则从时间上来说,后配置的信息会覆盖先配置的信息。
●USG工作于负载分担组网时,报文的来回路径可能会不一致,务必启用会话快速备份功能,使一台USG的会话信息立即同步至另一台USG,保证内外部用户的业务不中断。
●USG_A关于VRRP组2配置:[USG_A]interface GigabitEthernet 1/0/3[USG_A-GigabitEthernet 1/0/3 ]ip address 10.3.0.124[USG_A-GigabitEthernet 1/0/3 ]vrrp vrid 2 virtual-ip10.3.0.3 active●USG_B关于VRRP组2的配置:[USG_B]interface GigabitEthernet 1/0/3[USG_B-GigabitEthernet 1/0/3 ]ip address 10.3.0.224[USG_B-GigabitEthernet 1/0/3 ]vrrp vrid 2 virtual-ip10.3.0.3 standbyUSG_B关于HRP的配置:[USG_B]hrp enable[USG_B]hrp mirror session enable[USG_B]hrp interface GigabitEthernet 1/0/7查看处于Slave状态防火墙的状态信息如下:HRP_S[USG_B] display hrp stateThe firewall's config state is: StandbyCurrent state of virtual routers configured as standby: GigabitEthernet1/0/1 vrid 1 : standbyGigabitEthernet1/0/3 vrid 2 : standby习题与答案:1、HRP技术可以实现备防火墙不需要配置任何信息,所有配置信息均由主防火墙通过HRP同步至备防火墙,且重启后配置信息不丢失。