青岛网站设计公司在哪找,沈阳祥云男科,wordpress怎么设计网站,北京建设门户网站1.什么是双机热备 如图#xff1a;当左图的防火墙发生故障时#xff0c;整个系统都会收到影响#xff0c;而右图即使有防火墙发生故障#xff0c;但是还有一台防火墙做备份#xff0c;相对于只有一台防火墙#xff0c;要可靠些。
由于防火墙上不仅需要同步配置信息…1.什么是双机热备 如图当左图的防火墙发生故障时整个系统都会收到影响而右图即使有防火墙发生故障但是还有一台防火墙做备份相对于只有一台防火墙要可靠些。
由于防火墙上不仅需要同步配置信息还需要同步状态信息会话表等所以防火墙不能 像路由器那样单纯的靠动态协议来实现切换需要用到双机热备技术。 1双机 --- 目前双机热备技术仅支持两台防火墙的互备 2热备 --- 两台设备共同运行在一台设备出现故障的情况下另一台设备可以立即替 代原设备 也存在冷备的概念仅工作一台设备备份一台设备备份设备仅同步配置并 不工作只有在主设备出现故障时再由管理员替换工作冷备可能会造成较长时 间的业务中断 配置信息 --- 接口IP地址路由信息--- hrp不能同步基本的接口和路由信息安全策略 NAT策略.... 状态信息 2.VGMP
在网络学习中做互为备份时会使用一种技术---VRRP技术虚拟路由器冗余技术让一台设备为主一台设备为备当发生故障时设备的主备角色发生变化继续替出现故障的设备工作从而实现备份的效果 但是vrrp组是相互独立的一台设备不只有一组VRRP组发生故障时其他组不会同步切换就会发生丢包等情况当需要同步切换使用传统的上行链路监控比较复杂
所以这里可以使用一种协议------VGMP vrrp Group Management Protocol --- HUAWI的私有协议来对VRRP组进行统一的切换管理 3.HRP心跳线
HRP --- 华为冗余协议 --- 华为的私有协议 --- 可以同步防火墙上的状态和配置信息
HRP在进行双机热备时还有一个要求两台热备设备之间必须拥有一条链路用来同步信 息并且这条链路必须是三层链路 --- 这条链路在进行数据传递时不受安全策略的影 响。注意如果心跳线是直连的则不受安全策略的影响但是如果中间有中继设备即 非直连场景则需要配置安全策略 --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线 传输的。 HRP会周期性的发送心跳报文只有主设备会发送周期时间默认为1S如果备设备在三个周 期时间内默认3S没有收到对方的心跳报文则认定对方出现故障将以自生为主 HRP三种备份方式 1自动备份 --- 自动备份配置和状态信息但是配置信息可以立即自动备份状态信息无 法立即备份只能通过短暂的延迟之后在进行备份10S左右 2手工备份 --- 由网络管理员手工触发可以立即同步配置和状态信息 3快速备份 --- 该备份方式仅针对负载分担的场景。 无法同步配置信息仅能同步状态信息并且可以立即同步状态信息。
4.主备场景
1.主备场景 1FW1被设定为主设备 --- FW1中的VGMP的active组被激活并且将上下两个VRRP组拉 入到VGMP的active组中并且状态都是ACTIVE 2FE2被设定为备设备 --- FW2中的VGMP的standby组被激活并且将上下两个vrrp组拉入 到VGMP的standby组中并且状态都是standby VGMP组中存在优先级的概念ACTIVE组的默认优先级是65001standby组默认的优先 级为65000并且在VGMP中所有的主都被成为active所有的备成为standby 3主设备上下两个VRRP组的接口将发送免费ARP报文
2.主备故障切换场景 --- 接口故障 FW1接口故障的切换场景 1假设FW1下的接口发生故障接口的状态会从active状态切换到initialize状态接口故障 的一个过渡状态 2VGMP组感知到接口状态变化会降低自身的优先级每一个接口发生故障则优先级会 降低2。 分区 2024.7.5防御保护 的第 2 页 3FW1会向FW2发送一个状态变更的请求报文这个报文中会包含降低后的优先级 4FW2收到请求报文后发现自身的优先级高于对方的优先级则会将自己standby组的状 态从standby切换为active状态 5FW2的VGMP组状态发生变化则组中的VRRP组的状态同步发生变化都从standby切 换到active 6FW2回复FW1应答报文表示允许切换 7FW1收到应答报文后将自身ACTIVE组的状态从ACTIVE切换到standby状态并且其 中的VRRP组同步将状态切换到standby不包含故障接口的状态依旧是initialize状态 8FW2上下两个VRRP组将发送免费ARP报文让交换机切换MAC地址表之后所有的流量 将从FW2通过。
3.主备故障切换场景 --- 整机故障 整机故障可以通过保活机制来进行切换主设备发生故障则不会发送HRP心跳报文 备设备在超时时间内没有接收到主设备的保活包则将会进行状态切换 4.原主设备故障恢复的场景 根据有没有开启抢占分为两种不同的情况 1如果没有开启抢占 --- 原主设备继续以备设备的身份工作 2如果开启了抢占
原设备的状态由initialize状态变为standby状态并通过HRP向另一台设备发起VGMP请求报文表示切换状态。
另一台设备收到后由于优先级比原设备低由active状态变为standby状态并通过HRP向另一台设备发起VGMP请求报文表示允许切换。
原设备接受到后状态由standby状态变为active状态此时原设备就变为主设备另一台设备变为备设备
5.负载分担场景
1.负载分担场景 两台防火墙互为对方的主备设备同时工作。 每台防火墙都有一组active组和standby组在这一台划为active组的在另一台就化为standby组同时两台防火墙都免费发送ARP报文
2.负载分担接口故障场景 如图当左边防火墙下面连接交换机的接口发生故障时该接口的两个备份组的状态都变为initalize,同时该防火墙通过心跳线给左边防火墙告知发生故障右边防火墙的的所有接口VRRP组的状态都变为active此时由右边防火墙向交换机发免费的arp报文交换机就发送数据就只走右边的防火墙。
6.双机设备配置 如果勾选了主动抢占则代表开启抢占模式默认开启60S抢占延迟 抢占延时主要是为了应对一些接口可能出现反复震荡的情况 hello报文周期就是保活报文的发送周期默认是1S可以修改但是需要两边同时修改 否则可能导致对接不上 注意1虚拟mac地址勾选可以让切换对用户全程无感知 2如果虚拟IP地址和接口IP地址不再同一个网段则配置时必须配置子网掩码 HRP手工备份的位置
负载分担 6.其他部署模式下的双机热备
1双机热备直路部署 - 上下二层 这种情况下建议使用主备模式不要使用负载分担模式
1.stp不允许会堵一条路2.两条路都会放行同一个vlan会出现环路情况
2双机热备直路部署 - 上下三层 负载分担下两个防火墙都工作都转发如果是主备工作模式有一条路是断开的这样会导致没有工作的链路上的路由器的邻居关系无法建立不起来工作会被中断。
这种模式建议采用负载分担并建议使用主备模式
