RG-WG双机热备配置案例

华为防火墙的双机热备方案在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受因单点故障而导致的网络中断的风险。

防火墙一般用作内网到外网的出口，是业务关键路径上的设备，为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网。

双机热备组网的建立和运行需要解决以下五个关键问题：1.设备的主备状态是如何决定的2.如何监控并发现接口或者设备故障3.发现故障后，如何保证设备的主备状态切换4.正常情况和故障后，流量是如何引导的5.如何进行信息同步，保证主备切换后业务不中断以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP 共同配合解决的。

首先，VRRP自然不需要多说，我相信大家都非常清楚，这是一个公有的网关冗余技术，可以在两台设备之间形成虚拟IP地址，建立主备的冗余关系，但是传统的VRRP在安全领域有一个不可忽略的问题，就是当防火墙上下行业务端口上都配置了VRRP备份组的时候，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况。

我们来看下面这个图这是最基本的一个防火墙双机热备的连接拓扑，防火墙的业务接口工作在三层，上下行连接交换机，防火墙的上行接口和下行接口分别运行了两个独立的VRRP组，FW1为主设备，FW2为备设备，正常情况下，流量会在FW1上进行往返（也就是沿着蓝色箭头的方向走），现在假设FW1的下行接口故障，因此运行在下行接口的VRRP组会检测到这个问题，从而引发主备切换， FW2的下行接口会成为主接口，上行流量会从FW2转发出去，访问外部网络，但是因为上下行的VRRP组是独立运行的，所以对于上行接口而言，主设备依然还在FW1上，因此外部网络返回的流量依然会转发到FW1上，这样就造成了网络不通，这个问题，传统的VRRP是无法解决的，因此，华为在VRRP的基础之上，开发了VGMP协议。

VGMP的基本功能是集中管理和监控VRRP备份组，控制VRRP 备份组的统一切换，将一组VRRP备份组组成一个VGMP管理组，由VGMP管理组控制所有VRRP备份组同步倒换，保证所有VRRP备份组状态一致，VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。

论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。

在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。

当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。

配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

➢主墙a）配置HA心跳口地址。

①点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。

点击“确定”按钮保存配置。

-+懒惰是很奇怪东西，它使你认为那是安逸，是休息，是福气；但实际上它所给你是无聊，是倦怠，是消沉;它剥夺你对前途期望，割断你和她人之间友谊，使你心胸日渐狭窄，对人生也越来越怀疑。

—罗兰双机热备方案关键两种组建方法双机热备方案在进行讨论时候一定要考虑到很多原因，其中在多种环境下应用时候需要格外引发注意。

当然还是相关键两种方法存在，让大家在选择时候有一定借鉴。

它工作原理是使用两台服务器，一台作为主服务器(Active)，运行应用系统来提供服务。

另一台作为备机，安装完全一样应用系统，但处于待机状态(Standby)。

当active服务器出现故障时候，经过软件诊测将standby机器激活，确保应用在短时间内完全恢复正常使用。

双机互备方法则是在双机热备基础上，两个相对独立应用在两台机器同时运行，但相互均设为备机，当某一台服务器出现故障时，另一台服务器能够在短时间内将故障服务器应用接管过来，从而确保了应用连续性，这种方法实际上是双机热备方案一个应用。

但现在使用最多仍然是主从模式双机热备方案。

现在基于存放共享双机热备是双机热备方案最标准方案。

对于这种方法，采取两台服务器，使用共享存放设备（磁盘阵列柜或存放区域网SAN）。

两台服务器能够采取主从、互备等不一样方法。

在工作过程中，两台服务器将以一个虚拟IP地址对外提供服务，依工作方法不一样，将服务请求发送给其中一台服务器负担。

同时，服务器经过心跳线(现在往往采取建立私有网络方法)侦测另一台服务器工作情况。

双机热备方案当一台服务器出现故障时，另一台服务器依据心跳侦测情况做出判定，并进行切换，接管服务。

对于用户而言，这一过程是全自动，在很短时间内完成，从而对业务不会造成影响。

•实战：ROSE HA双机热备系统安装指南在对系统连续运行要求较高系统中，我们通常有RAID、hot spare来保障存放系统和数据安全性，不过仅仅存放系统安全就足够了么？为了预防服务器应用程序意外宕机，我们通常还会经过两台服务器冗余，且互为备份共同实施同一任务架构模式来预防服务器错误发生。

双机热备方案
双机热备方案是一种备份解决方案，由两台服务器组成，其中一台服务器作为主服务器负责处理实际的业务请求，而另一台服务器作为备份服务器，在主服务器发生故障时接管业务请求，确保业务的持续可用性和数据的完整性。

以下是双机热备方案的一般步骤：
1. 选择合适的硬件设备：选择两台性能相近的服务器，并确保它们的硬件配置足够强大以处理所有的业务请求。

2. 安装操作系统和应用软件：在主服务器和备份服务器上都安装相同的操作系统和应用软件，以确保数据和配置的一致性。

3. 配置数据同步：使用数据库复制技术、文件同步工具或
分布式文件系统等方法，将主服务器上的数据实时同步到
备份服务器上，以确保数据的一致性。

4. 设置故障切换机制：配置监控系统，实时监测主服务器
的状态，一旦主服务器出现故障，监控系统会自动触发故
障切换机制，将业务请求切换到备份服务器上。

5. 测试和验证：定期进行主备服务器之间的切换测试，确
保备份服务器能够正常接管业务请求，并验证数据的完整
性和一致性。

6. 定期更新服务器配置和数据：定期更新和同步主服务器
和备份服务器的配置和数据，以确保两台服务器的状态保
持一致。

总之，双机热备方案可以提供高可用性和容灾能力，确保
业务的连续性和数据的一致性。

但是，需要维护成本较高，
并且对网络带宽和存储空间要求较高。

因此，在实施双机热备方案之前，需要综合考虑成本和实际需求。

公司数据集中存储备份方案一、用户现状2、操作系统和数据都在同一台服务器中，服务器使用时间有长有短。

3、用户数据只做了一些简单的备份，数据备份/恢复管理操作复杂，数据恢复时间长。

二、需要分析1、根据用户现在状况，数据与操作系统在同一台服务器的硬盘分区中，存在非常大的风险，操作系统出现问题时，很可能导致数据丢失。

数据库数据移置到高性能存储中，与操作系统分离，以提高数据保存的安全性可靠性。

2、服务器提供的硬盘数量有限，提供的最大IOPS数受硬盘数量限制，高峰时期，可能会出现响应延时。

磁盘存储能够提供更多硬盘，从而增加需要的IOPS，以提高业务系统整体性能。

3、未来用户会增加很多高性能应用系统，也需要高性能的存储系统来支撑，为了避免重复投资，设计存储时，需要考虑存储目前的应用，以及将来的性能要求和扩容需要。

4、由于单机运行，会存在单点故障，当某台服务器出现问题后，那么不能正常运行，建议选择双机热备系统，当某台服务器出现问题后，另外一台服务器共享存储里的数据，可对外提供服务器，保证业务的连续性。

5、由于电子设备都不能保证不出问题，同时，生产数据只有一份，一旦丢失，可能带来致命的错误，需要考虑数据保护机制，提供高效自动、易操作的中文图化管理系统。

三、方案设计1、数据集中存储根据以上需求分析，需要考虑2台数据库服务器，通过芯跳线组成双机热备，增加一台高性能数据存储。

本方案设计中，选择FC SAN存储架构方式，通过存储与服务器的HBA卡连接；对网络架构不作大的改动，只对服务器存放在服务器中数据进行迁移到存储中。

对应用系统需要提供高业务连续性时，只要在现有基础上增加双机热备(HA)即可。

针对綦江自来水公司公司的数据类型，主要是以SQL或者ORACLE等数据库的结构化数据和一些文件类的非结构化数据为主。

SQL/ORACLE等数据库的结构化数据，属于典型的数据库应用特征，普遍容量不大，随机IO读写非常频繁，属于性能要求大于容量需求的应用，因此对于这类数据的存储，优先考虑存储的性能要满足应用需求。

负载分担模式双机热备典型配置举例4.1 组网需求在图36所示的防火墙动态路由OSPF双机热备组网中，需要实现：∙  通过配置等价路由，在主、备防火墙正常工作时，主、备防火墙可以负载分担内外网流量。

∙  当其中一台防火墙故障或与两台交换机相连的某一条链路故障时，流量可以及时从两台防火墙切换至一台防火墙，从而保证新发起的会话能正常建立，当前正在进行的会话也不会中断，网络业务能够平稳运行。

图36 负载分担模式双机热备组网图4.2 配置思路为了使数据流量能够负载分担通过防火墙进行转发，需要使防火墙的路由度量值保持一致。

4.3 使用版本本举例是在U200-A R5135版本上进行配置和验证的。

4.4 配置注意事项∙  双机热备只支持两台设备进行备份。

∙  双机热备的两台设备要求硬件配置和软件版本一致，并且要求接口卡的型号与所在的槽位一致，否则会出现一台设备备份过去的信息，在另一台设备上无法识别，或者找不到相关物理资源，从而导致流量切换后报文转发出错或者失败。

∙  在双机热备页面进行配置后，如果没有提交配置就单击<修改备份接口>按钮进入备份接口配置页面，则对双机热备页面进行的配置会丢失。

∙  双机热备的两台设备上的备份接口之间可以通过转发设备（如：路由器、交换机、HUB）进行中转，但是必须保证经过转发设备后报文携带的Tag为备份VLAN的VLAN Tag。

4.5 配置步骤4.5.1 Firewall A的配置1. 通过Web方式配置(1)配置接口GigabitEthernet0/1、GigabitEthernet0/2接口的IP地址。

# 在导航栏中选择“设备管理> 接口管理”。

点击接口对应的编辑按钮“”，进入“接口编辑”配置页面。

# 配置接口工作在“三层”模式以及IP地址。