安全防御:双机热备

news2024/12/24 8:40:21

目录

一、防火墙的可靠性

1.1 VRRP --- 虚拟路由器冗余技术

1.2 主备的形成场景

1.3 FW1接口故障的切换场景

1.4 HRP --- 华为冗余协议

HRP三种备份方式

1.4 各场景过程分析

1,主备形成场景

2,主备故障切换场景 --- 接口故障 

3,主备故障切换场景 --- 整机故障

4,原主设备故障恢复的场景

5,负载分担场景

6,负载分担接口故障场景

二、双机热备配置

负载分担

1,双机热备直路部署 - 上下二层

2,双机热备直路部署 - 上下三层

防火墙透明部署 --- 上下二层

防火墙透明部署 --- 上下三层


一、防火墙的可靠性

因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术

  • 1,双机 --- 目前双机热备技术仅支持两台防火墙的互备
  • 2,热备 --- 两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即替代原设备

也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断.

1.1 VRRP --- 虚拟路由器冗余技术

VGMP --- vrrp Group Management Protocol --- HUAWI的私有协议

因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙的双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理。

1.2 主备的形成场景

1,FW1被设定为主设备 --- FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉入到VGMP的active组中,并且状态都是ACTIVE

2,FW2被设定为备设备 --- FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入到VGMP的standby组中,并且状态都是standby

(VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先级为65000,并且,在VGMP中,所有的主都被成为active,所有的备成为standby)

3,主设备上下两个VRRP组的接口将发送免费ARP报文

1.3 FW1接口故障的切换场景

1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障的一个过渡状态)

2,VGMP组感知到接口状态变化,会降低自身的优先级(每一个接口发生故障,则优先级会降低2)

3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;

4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状态从standby切换为active状态

5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切换到active

6,FW2回复FW1应答报文,表示允许切换

7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,并且,其中的VRRP组同步将状态切换到standby,不包含故障接口的状态,依旧是initialize状态

8,FW2上下两个VRRP组将发送免费ARP报文,让交换机切换MAC地址表,之后所有的流量将从FW2通过。

1.4 HRP --- 华为冗余协议

华为的私有协议 --- 可以同步防火墙上的状态和配置信息

配置信息 --- (接口IP地址,路由信息)--- hrp不能同步基本的接口和路由信息,安全策略,NAT策略。

状态信息 --- 会话表,server-map,黑名单和白名单等

HRP在进行双机热备时,还有一个要求,两台热备设备之间,必须拥有一条链路,用来同步信息,并且,这条链路必须是三层链路 --- 这条链路在进行数据传递时,不受安全策略的影响。(注意,如果心跳线是直连的,则不受安全策略的影响,但是,如果中间有中继设备,即非直连场景,则需要配置安全策略) --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线传输的。

HRP会周期性的发送心跳报文,只有主设备会发送,周期时间默认为1S,如果备设备在三个周期时间内默认3S没有收到对方的心跳报文,则认定对方出现故障将以自身为主。

HRP三种备份方式

1,自动备份 --- 自动备份配置和状态信息,但是,配置信息可以立即自动备份,状态信息无法立即备份,只能通过短暂的延迟之后,在进行备份(10S左右)

2,手工备份 --- 由网络管理员手工触发,可以立即同步配置和状态信息

3,快速备份 --- 该备份方式仅针对负载分担的场景。无法同步配置信息,仅能同步状态信息,并且可以立即同步状态信息。

1.4 各场景过程分析

1,主备形成场景

2,主备故障切换场景 --- 接口故障 

3,主备故障切换场景 --- 整机故障

整机故障可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文,

备设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;

4,原主设备故障恢复的场景

根据有没有开启抢占分为两种不同的情况

1,如果没有开启抢占 --- 原主设备继续以备设备的身份工作

2,如果开启了抢占

5,负载分担场景

6,负载分担接口故障场景

二、双机热备配置

如果勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟

(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)

hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上

注意:

1,虚拟mac地址勾选可以让切换对用户全程无感知

2,如果虚拟IP地址和接口IP地址不再同一个网段,则配置时必须配置子网掩码

HRP手工备份的位置

负载分担

其他部署模式下的双机热备

1,双机热备直路部署 - 上下二层

2,双机热备直路部署 - 上下三层

3,防火墙透明部署 --- 上下二层

这种情况下建议使用主备模式不要使用负载分担模式

4,防火墙透明部署 --- 上下三层

这种模式建议采用负载分担,并建议使用主备模式。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1936430.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

深入浅出WebRTC—ALR

ALR(Application Limited Region)指的是网络传输过程中,由于应用层的限制(而非网络拥塞)导致带宽未被充分利用的情况。在这种情况下,应用层可能因为处理能力、手动配置或其他因素无法充分利用可用带宽&…

RICHTEK立锜科技 WIFI 7电源参考设计

什么是WIFI 7? WiFi 7(Wi-Fi 7)是下一代Wi-Fi标准,对应的是IEEE 802.11将发布新的修订标准IEEE 802.11be –极高吞吐量EHT(Extremely High Throughput )。Wi-Fi 7是在Wi-Fi 6的基础上引入了320MHz带宽、4096-QAM、Mu…

【黑马java基础】Lamda, 方法引用,集合{Collection(List, Set), Map},Stream流

文章目录 JDK8新特性:Lambda表达式认识Lambda表达式Lambda表达式的省略规则 JDK8新特性:方法引用静态方法的引用实例方法的引用特定类型方法的引用构造器的应用 集合➡️Collection单列集合体系Collection的常用方法Collection的遍历方法迭代器增强for循…

Spring框架、02SpringAOP

SpringAOP 日志功能 基本方法 分析代码问题 目前代码存在两个问题 代码耦合性高:业务代码和日志代码耦合在了一起 代码复用性低:日志代码在每个方法都要书写一遍 问题解决方案 使用动态代理,将公共代码抽取出来 JDK动态代理 使用JDK动…

Ubuntu系统SSH免密连接Github配置方法

Ubuntu系统SSH免密连接Github配置方法 一、相关介绍1.1 Ubuntu简介1.2 Git简介1.3 Github简介 二、本地环境介绍2.1 本地环境规划2.2 本次实践介绍 三、检查本地环境3.1 检查本地操作系统版本3.2 检查系统内核版本 四、Git本地环境配置工作4.1 安装Git工具4.2 创建项目目录4.3 …

scp免密复制文件

实现在服务器A和服务器B之间使用scp命令免密互相传输文件 1. 在服务器A中免密复制到服务器B 1.1 生成服务器A的公钥私钥 #在服务器A中执行 ssh-keygen -t rsa -P ""命令执行完毕会在服务器A的 ~/.ssh 目录下生成两个文件:id_rsa 和 id_rsa.pub 1.2 拷…

网络爬虫入门(学习笔记)

爬取网页源代码 抓取百度首页的HTML源代码,并将其保存到一个名为baidu.html的文件中。打开这个文件,可以看到一个和百度首页一模一样的页面。 from urllib.request import urlopen# 发送请求并获取响应 response urlopen("http://www.baidu.com&q…

windows中使用Jenkins打包,部署vue项目完整操作流程

文章目录 1. 下载和安装2. 使用1. 准备一个 新创建 或者 已有的 Vue项目2. git仓库3. 添加Jenkinsfile文件4. 成功示例 1. 下载和安装 网上有许多安装教程,简单罗列几个 Windows系统下Jenkins安装、配置和使用windows安装jenkins 2. 使用 在Jenkins已经安装的基础上,可以开始下…

【游戏/社交】BFS算法评价用户核心程度or人群扩量(基于SparkGraphX)

【游戏/社交】BFS算法评价用户核心程度or人群扩量(基于SparkGraphX) 在游戏和社交网络领域,评估用户的核心程度或进行人群扩量是提升用户粘性和拓展社交圈的关键。广度优先搜索(BFS)算法以其在图结构中评估节点重要性…

WebRTC通话原理(SDP、STUN、 TURN、 信令服务器)

文章目录 1.媒体协商SDP简介 2.网络协商STUN的工作原理TURN工作原理 3.信令服务器信令服务器的主要功能信令服务器的实现方式 1.媒体协商 比如下面这个例子 A端与B端要想通信 A端视频采用VP8做解码,然后发送给B端,B端怎么解码? B端视频采用…

使用vscode搜索打开的文件夹下的文件

右键空白处打开命令面板 摁一次删除键,删除掉图中的大于号 这样就能够找到例化的模块,文件具体在哪个位置,然后打开了

pdf怎么压缩的小一点?PDF压缩变小的6种方法(2024全新)

pdf怎么压缩的小一点?首先,PDF文件可以进行压缩。职场文档传阅还是比较建议PDF压缩,PDF文件可以无障碍访问,保持原始文本、图像和表格,无需担心展示效果差异等等优势,成为我们日常工作中不可或缺的一部分。…

Grid Search:解锁模型优化新境界

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 非常期待和您一起在这个小…

8、添加第三方包

目录 1、安装Django Debug Toolbar Django的一个优势就是有丰富的第三方包生态系统。这些由社区开发的包,可以用来快速扩展应用程序的功能集 1、安装Django Debug Toolbar Django Debug Toolbar位于名列前三的第三方包之一 这是一个用于调试Debug Web应用程序的有…

win_vscode_wsl_ubuntu教程

文章目录 win_vscode_wsl_ubuntu教程 win_vscode_wsl_ubuntu教程 在启用或关闭Windows功能处开启适用于Linux的Windows子系统和虚拟机平台,可能会需要重启电脑 设置wsl # 将wsl2设置为默认版本 C:\Users\Administrator>wsl --set-default-version 2 有关与 WS…

PhantomJs将html生成img|pdf

PhantomJS PhantomJS是一个可编程的无头浏览器,‌它基于WebKit内核,‌通过JavaScript API进行脚本化操作,它对各种web标准有快速和原生化的支持,包括DOM处理、CSS选择器、JSON、Canvas和SVG。‌无头浏览器指的是一个完整的浏览器内…

QT反射内存读写操作

反射内存技术适用于通过以太网、光纤通道或其他串行网络连接计算机或可编程逻辑控制器的应用,尤其在实时交互和高通信要求的系统中表现突出。虽然价格较高,但其易用性和性能优势带来了显著回报。反射内存能够在微秒级内将计算机的内存副本分发到整个网络…

Element UI DatePicker选择日期范围区间默认显示前一个月和本月

要求&#xff1a;点击el-date-picker选择时间范围时&#xff0c;默认展开当月和上个月。 但是Element UI的组件默认展开的是本月和下一个月&#xff0c;如下图所示&#xff1a; 改为 <span click"changeInitCalendarRange"><el-date-picker v-model"r…

QT获取电脑网卡IP等信息

文章目录 一、背景信息二、代码实现 一、背景信息 电脑有一个或者多个网卡&#xff0c;如下图所示&#xff1a; 一个网卡又可以配有多个IP地址&#xff0c;包括 IPv4 和 IPv6 地址&#xff1a; 二、代码实现 以下代码实现了查找电脑所有网卡&#xff0c;并获取某个网卡的 IP …

苹果电脑crossover怎么下载 苹果电脑下载crossover对电脑有影响吗 MacBook下载crossover软件

CodeWeavers 发布了 CrossOver 24 版本更新&#xff0c;不仅兼容更多应用和游戏&#xff0c;得益于 Wine 9.0 带来的 7000 多项改进&#xff0c;CrossOver 还可以在 64 位系统上运行Windows应用的软件&#xff0c;使得用户可以在Mac系统中轻松安装使用仅支持Windows系统运营环境…