首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 后端 > 正文

HCIP双机热备

作者:丫头丫头520 | 来源:互联网 | 2023-09-09 21:44
一,双机热备原理1.1双机热备简介FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。双机热备需要两台硬件和软件配置

一,双机热备原理

1.1双机热备简介

  FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。

  双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。


1.2双机热备协议架构

VRRP:负责单个接口的故障检测和流量引导。每个VRRP备份组拥有一个虚拟IP地址,作为网络的网关地址;在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量。

VGMP:将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时能上下行流量能同步切换到备用防火墙。

HRP:负责双机之间的数据同步

 

 

 


二,三层接口上下行连接交换机

2.1拓扑(主备模式)

 

 


2.2底层配置































设备VLAN接口
SW110GE0/0/1
GE0/0/2
GE0/0/3
20GE0/0/4
GE0/0/5
GE0/0/6

 

 

 

 

 

 

 



























































设备接口地址
FW1GE0/0/0192.168.0.10/24
GE1/0/010.1.1.10/24
GE1/0/1202.100.1.10/24
GE1/0/2172.16.1.10/24
FW2GE0/0/0192.168.0.11/24
GE1/0/010.1.1.11/24
GE1/0/1202.100.1.11/24
GE1/0/2172.16.1.11/24
R1GE0/0/0202.100.1.254
PC1Ethernet0/0/110.1.1.1/24
MGMT_PCEthernet0/0/1192.168.1.100/24

 

 

 

 

 

 

 

 

 

 

 

 


2.3双机热备配置

#FW1

1.配置VRRP备份组1

[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 202.100.1.100 active

2.配置VRRP备份组2

[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.254 active

3.配置心跳接口

[FW1]hrp interface GigabitEthernet 1/0/2 remote 172.16.1.11

4.启用HRP

[FW1]hrp enable

#FW2

1.配置VRRP 备份组1

[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 202.100.1.100 standby

2.配置VRRP备份组2

[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.254 standby

3.配置心跳接口

[FW2]hrp interface GigabitEthernet 1/0/2 remote 172.16.1.10

4.启用HRP

[FW2]hrp enable

2.4现象解析

1.从日志看出FW1和FW2的状态机都已从initial先转到standby(abnormal有:standby和active),最后由standby转为normal:load-balance。

[FW1]hrp enable
Info: NAT IP detect function is disabled.
HRP_S[FW1]
Sep 12 2022 07:06:22 FW1 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=initial,new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
Sep 12 2022 07:06:22 FW1 %%01HRPI/4/CORE_STATE(l)[5]:The HRP core state changed due to "Unknown". (old_state=initial, new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
HRP_S[FW1]
Sep 12 2022 07:06:29 FW1 HRPI/6/DEVICEIDOK:1.3.6.1.4.1.2011.6.122.51.2.2.7 HRP link changes to up. Local device ID is 00-e0-fc-04-7f-d2, peer device ID is 00-e0-fc-8a-6d-ae.
Sep 12 2022 07:06:29 FW1 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=abnormal(standby),new_state=normal, local_priority=45000, peer_priority=45000)
Sep 12 2022 07:06:29 FW1 %%01HRPI/4/CORE_STATE(l)[6]:The HRP core state changed due to "Unknown". (old_state=abnormal(standby), new_state=normal, local_priority=45000, peer_priority=45000)

[FW2]hrp enable
Info: NAT IP detect function is disabled.
HRP_S[FW2]
Sep 12 2022 07:06:26 FW2 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=initial,new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
Sep 12 2022 07:06:26 FW2 %%01HRPI/4/CORE_STATE(l)[5]:The HRP core state changed due to "Unknown". (old_state=initial, new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
Sep 12 2022 07:06:26 FW2 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=abnormal(standby),new_state=normal, local_priority=45000, peer_priority=45000)
Sep 12 2022 07:06:26 FW2 %%01HRPI/4/CORE_STATE(l)[6]:The HRP core state changed due to "Unknown". (old_state=abnormal(standby), new_state=normal, local_priority=45000, peer_priority=45000)

2.查看HRP状态,双机优先级相同,FW1角色为active(主设备),FW2角色为standby(备设备)。(设备角色standby≠状态机状态standby)

HRP_M[FW1]display hrp state
2022-09-12 07:16:54.530
Role: active, peer: standby
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 10 minutes
Last state change information: 2022-09-12 7:06:29 HRP core state changed, old_state = abnormal(standby), new_state = normal, local_priority = 45000, peer_priority = 45000.

HRP_S[FW2]display hrp state
2022-09-12 07:20:16.980
Role: standby, peer: active
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 13 minutes
Last state change information: 2022-09-12 7:06:29 HRP link changes to up.

3.配置安全策略放行trust到untrust的流量,只能在FW1上配置,自动同步到FW2。(+B及自动同步)

HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name pc (+B)
HRP_M[FW1-policy-security-rule-pc]source-zone trust (+B)
HRP_M[FW1-policy-security-rule-pc]destination-zone untrust (+B)
HRP_M[FW1-policy-security-rule-pc]action permit (+B)

4.使用PC1pingR1,在SW1的GE0/0/4抓包,FW1会发送免费ARP,通告虚拟网关10.1.1.254。

 

 

 

 

[SW1]display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
0050-56c0-0001 10 - - GE0/0/3 dynamic 0/-
00e0-fc8a-6dae 10 - - GE0/0/2 dynamic 0/-
00e0-fc04-7fd2 10 - - GE0/0/1 dynamic 0/-
0000-5e00-0102 11 - - GE0/0/4 dynamic 0/-
00e0-fc04-7fd3 11 - - GE0/0/4 dynamic 0/-
5489-98d4-4b44 11 - - GE0/0/6 dynamic 0/-
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 6

5.ping命令加上参数t后断开SW2的GE0/0/1,观察现象。PC1丢包两个,FW2切换为主设备状态机由normal:load-balance转为abnormal:active而FW1由normal:load-balance转为abnormal:standby。(在双机优先级相同时是正常的状态,状态机为load-balance。有一方优先级改变,那就是不正常的状态,所以active和standby都是abnormal。)

HRP_S[FW2]
Sep 12 2022 07:34:15 FW2 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=normal,new_state=abnormal(active), local_priority=45000, peer_priority=44998)
Sep 12 2022 07:34:15 FW2 %%01HRPI/4/CORE_STATE(l)[9]:The HRP core state changed due to "Unknown". (old_state=normal, new_state=abnormal(active), local_priority=45000, peer_priority=44998)

Sep 12 2022 07:34:15 FW1 %%01IFNET/4/LINK_STATE(l)[8]:The line protocol IP on the interface GigabitEthernet1/0/1 has entered the DOWN state.
Sep 12 2022 07:34:15 FW1 %%01HRPI/4/PRIORITY_CHANGE(l)[9]:The priority of the local VGMP group changed. (change_reason="VRRP change to down.", local_old_priority=45000, local_new_priority=44998)
Sep 12 2022 07:34:15 FW1 %%01HRPI/4/CORE_STATE(l)[10]:The HRP core state changed due to "VRRP change to Down". (old_state=normal, new_state=abnormal(standby), local_priority=44998, peer_priority=45000)

2.5主备改为负载均衡

添加

  ·AR2:202.100.1.253/24,缺省路由指向202.100.1.101

  ·PC2:10.1.1.2/24,网关指向10.1.1.253

 

 


 2.6修改双机热备配置

1.关闭HRP

HRP_M[FW1]undo hrp enable

2.增加VRRP备份组3和4

#FW1

[FW1-GigabitEthernet1/0/1]vrrp vrid 3 virtual-ip 202.100.1.101 standby
[FW1-GigabitEthernet1/0/0]vrrp vrid 4 virtual-ip 10.1.1.253 standby

#FW2

[FW2-GigabitEthernet1/0/1]vrrp vrid 3 virtual-ip 202.100.1.101 active
[FW2-GigabitEthernet1/0/0]vrrp vrid 4 virtual-ip 10.1.1.253 active

3.启用HRP

[FW1]hrp enable
[FW2]hrp enable

2.7负载均衡现象解析

1.协商后,FW1和FW2状态机稳定在load-balance。

[FW1]hrp enable
Info: NAT IP detect function is disabled.
HRP_S[FW1]
Sep 12 2022 08:11:56 FW1 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=initial,new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
Sep 12 2022 08:11:56 FW1 %%01HRPI/4/CORE_STATE(l)[18]:The HRP core state changed due to "Unknown". (old_state=initial, new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
HRP_S[FW1]
Sep 12 2022 08:11:56 FW1 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=abnormal(standby),new_state=normal, local_priority=45000, peer_priority=45000)
Sep 12 2022 08:11:56 FW1 %%01HRPI/4/CORE_STATE(l)[19]:The HRP core state changed due to "Unknown". (old_state=abnormal(standby), new_state=normal, local_priority=45000, peer_priority=45000)
HRP_S[FW1]
Sep 12 2022 08:11:58 FW1 HRPI/6/DEVICEIDOK:1.3.6.1.4.1.2011.6.122.51.2.2.7 HRP link changes to up. Local device ID is 00-e0-fc-04-7f-d2, peer device ID is 00-e0-fc-8a-6d-ae.

[FW2]hrp enable
Info: NAT IP detect function is disabled.
HRP_S[FW2]
Sep 12 2022 08:11:56 FW2 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=initial,new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
Sep 12 2022 08:11:56 FW2 %%01HRPI/4/CORE_STATE(l)[15]:The HRP core state changed due to "Unknown". (old_state=initial, new_state=abnormal(standby), local_priority=45000, peer_priority=unknown)
HRP_S[FW2]
Sep 12 2022 08:11:57 FW2 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=abnormal(standby),new_state=abnormal(active), local_priority=45000, peer_priority=unknown)
Sep 12 2022 08:11:57 FW2 %%01HRPI/4/CORE_STATE(l)[16]:The HRP core state changed due to "Unknown". (old_state=abnormal(standby), new_state=abnormal(active), local_priority=45000, peer_priority=unknown)
HRP_M[FW2]
Sep 12 2022 08:11:57 FW2 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The HRP core state changed due to "Unknown". (old_state=abnormal(active),new_state=normal, local_priority=45000, peer_priority=45000)
Sep 12 2022 08:11:57 FW2 %%01HRPI/4/CORE_STATE(l)[17]:The HRP core state changed due to "Unknown". (old_state=abnormal(active), new_state=normal, local_priority=45000, peer_priority=45000)
Sep 12 2022 08:11:58 FW2 HRPI/6/DEVICEIDOK:1.3.6.1.4.1.2011.6.122.51.2.2.7 HRP link changes to up. Local device ID is 00-e0-fc-8a-6d-ae, peer device ID is 00-e0-fc-04-7f-d2.

2.查看VRRP表,FW1和FW2分别为配置了不同网关的设备转发流量,也互为对方的备设备,即为负载均衡

HRP_M[FW1]display vrrp brief
2022-09-12 08:16:51.730
Total:4 Master:2 Backup:2 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Master GE1/0/1 Vgmp 202.100.1.100
2 Master GE1/0/0 Vgmp 10.1.1.254
3 Backup GE1/0/1 Vgmp 202.100.1.101
4 Backup GE1/0/0 Vgmp 10.1.1.253

HRP_S[FW2]display vrrp brief
2022-09-12 08:17:59.800
Total:4 Master:2 Backup:2 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Backup GE1/0/1 Vgmp 202.100.1.100
2 Backup GE1/0/0 Vgmp 10.1.1.254
3 Master GE1/0/1 Vgmp 202.100.1.101
4 Master GE1/0/0 Vgmp 10.1.1.253

3.PC1pingAR1,PC2pingAR2,但是PC1不能ping通AR2,PC2不能ping通,AR1。因为来回路径不一致。

4.断开SW2的GE0/0/1查看现象

 

 

HRP_S[FW1]display vrrp brief
2022-09-12 08:33:02.290
Total:4 Master:0 Backup:2 Non-active:2
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Initialize GE1/0/1 Vgmp 202.100.1.100
2 Backup GE1/0/0 Vgmp 10.1.1.254
3 Initialize GE1/0/1 Vgmp 202.100.1.101
4 Backup GE1/0/0 Vgmp 10.1.1.253

HRP_M[FW2]display vrrp brief
2022-09-12 08:34:16.470
Total:4 Master:4 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Master GE1/0/1 Vgmp 202.100.1.100
2 Master GE1/0/0 Vgmp 10.1.1.254
3 Master GE1/0/1 Vgmp 202.100.1.101
4 Master GE1/0/0 Vgmp 10.1.1.253

 



推荐阅读
  • ci

    Java程序设计复习题

    1、编写一个Java程序在屏幕上输出“你好!”。programmenameHelloworld.javapublicclassHelloworld{publicst ... [详细]
  • ci

    视觉Transformer综述

    视觉Transformer综述
    本文综述了视觉Transformer在计算机视觉领域的应用,从原始Transformer出发,详细介绍了其在图像分类、目标检测和图像分割等任务中的最新进展。文章不仅涵盖了基础的Transformer架构,还深入探讨了各类增强版Transformer模型的设计思路和技术细节。 ... [详细]
  • ci

    LeetCode 解题笔记

    本笔记记录了几个典型的 LeetCode 编程题目及其解决方案,包括使用两个栈实现队列、计算斐波那契数列、青蛙跳台阶问题以及寻找旋转排序数组中的最小值。 ... [详细]
  • ci

    为何 TypeScript 如此流行而 Python 类型注解却鲜少使用?

    本文探讨了Python类型注解使用率低下的原因,主要归结于历史背景和投资回报率(ROI)的考量。文章不仅分析了类型注解的实际效用,还回顾了Python类型注解的发展历程。 ... [详细]
  • ci

    解决Win10 1709版本文件共享安全警告问题

    解决Win10 1709版本文件共享安全警告问题
    每当Windows 10发布新版本时,由于兼容性问题往往会出现各种故障。近期,一些用户在升级至1709版本后遇到了无法访问共享文件夹的问题,系统提示‘文件共享不安全,无法连接’。本文将提供多种解决方案,帮助您轻松解决这一难题。 ... [详细]
  • ci

    深入解析 TensorFlow 中的 tf.identity 函数

    本文详细探讨了 TensorFlow 中 `tf.identity` 函数的作用及其应用场景,通过对比直接赋值与使用 `tf.identity` 的差异,帮助读者更好地理解和运用这一函数。 ... [详细]
  • ci

    OpenCV中的霍夫圆检测技术解析

    OpenCV中的霍夫圆检测技术解析
    本文详细介绍了如何使用OpenCV库中的HoughCircles函数实现霍夫圆检测,并提供了具体的代码示例及参数解释。 ... [详细]
  • 并发

    LR Controller中的Pacing设置:关键性能调优

    Pacing设置在性能测试中扮演着至关重要的角色,它直接影响到模拟用户行为的真实性和测试结果的准确性。本文将探讨Pacing设置的不同方法及其应用场景,帮助测试人员更好地理解和利用这一功能。 ... [详细]
  • http

    Windows蓝屏故障代码解析与解决方法

    在测试软件或进行系统维护时,有时会遇到电脑蓝屏的情况,即便使用了沙盒环境也无法完全避免。本文将详细介绍常见的蓝屏错误代码及其解决方案,帮助用户快速定位并解决问题。 ... [详细]
  • http

    基于OpenCV和Python的边缘检测与四点变换实现

    本文介绍了如何利用OpenCV库进行图像的边缘检测,并通过Canny算法提取图像中的边缘。随后,文章详细说明了如何识别图像中的特定形状(如矩形),并应用四点变换技术对目标区域进行透视校正。 ... [详细]
  • http

    hlg_oj_1116_选美大赛

    hlg_oj_1116_选美大赛这题是最长子序列,然后再求出路径就可以了。开始写的比较乱,用数组什么的,后来用了指针就好办了。现在把代码贴 ... [详细]
  • x86

    在中标麒麟操作系统上部署达梦数据库及导入SQL文件

    在中标麒麟操作系统上部署达梦数据库及导入SQL文件
    本文档详细介绍了如何在中标麒麟操作系统上安装达梦数据库,并提供了导入SQL文件的具体步骤。首先,检查系统的发行版和内核版本,接着创建必要的用户和用户组,规划数据库安装路径,挂载安装介质,调整系统限制以确保数据库的正常运行,最后通过图形界面完成数据库的安装。 ... [详细]
  • mysql

    PHP与MySQL实现高效分页查询

    本文探讨了如何在PHP与MySQL环境中实现高效的分页查询,包括基本的分页实现、性能优化技巧以及高级的分页策略。 ... [详细]
  • port

    Delphi XE2 之 FireMonkey 入门(19) - TFmxObject 的子类们(表)

    td{border:1pxsolid#808080;}参考:和FMX相关的类(表)TFmxObjectIFreeNotification ... [详细]
  • http

    敏捷软件开发的核心原则与实践解读

    本文是对《敏捷软件开发:原则、模式与实践》一书的深度解析,书中不仅探讨了敏捷方法的核心理念及其应用,还详细介绍了面向对象设计的原则、设计模式的应用技巧及UML的有效使用。 ... [详细]
author-avatar
丫头丫头520
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有