作者主頁(yè)：點(diǎn)擊！

ENSP專欄：點(diǎn)擊！

創(chuàng)作時(shí)間：2024年5月6日20點(diǎn)26分

---

?💯趣站推薦💯

前些天發(fā)現(xiàn)了一個(gè)巨牛的🤖人工智能學(xué)習(xí)網(wǎng)站，通俗易懂，風(fēng)趣幽默，忍不住分享一下給大家,人工智能,?機(jī)器算法等......??點(diǎn)擊跳轉(zhuǎn)網(wǎng)頁(yè)！https://www.captainbed.cn/sis/

華為防火墻雙機(jī)熱備是一種高可用性解決方案，可以將兩臺(tái)防火墻設(shè)備組成一個(gè)雙機(jī)熱備組，實(shí)現(xiàn)主備切換。當(dāng)主用防火墻出現(xiàn)故障時(shí)，備用防火墻可以自動(dòng)切換為新的主用防火墻，確保網(wǎng)絡(luò)流量不中斷。

華為防火墻雙機(jī)熱備的工作原理

華為防火墻雙機(jī)熱備的工作原理是通過兩臺(tái)防火墻設(shè)備之間定期發(fā)送心跳報(bào)文來判斷對(duì)方的狀態(tài)。如果主用防火墻出現(xiàn)故障，備用防火墻會(huì)收到主用防火墻停止發(fā)送心跳報(bào)文的消息，然后會(huì)自動(dòng)切換為新的主用防火墻。

兩種工作模式

• 主備模式：在主備模式下，只有一臺(tái)防火墻處于工作狀態(tài)，另一臺(tái)防火墻處于備用狀態(tài)。當(dāng)主用防火墻出現(xiàn)故障時(shí)，備用防火墻會(huì)自動(dòng)切換為新的主用防火墻。
• 負(fù)載分擔(dān)模式：在負(fù)載分擔(dān)模式下，兩臺(tái)防火墻都處于工作狀態(tài)，可以同時(shí)處理網(wǎng)絡(luò)流量。當(dāng)其中一臺(tái)防火墻出現(xiàn)故障時(shí)，另一臺(tái)防火墻會(huì)承擔(dān)全部的網(wǎng)絡(luò)流量。

VRRP協(xié)議

VRRP（虛擬路由器冗余協(xié)議）是一種用于實(shí)現(xiàn)路由器冗余的協(xié)議，它可以將多臺(tái)路由器組成一個(gè)虛擬路由器組，并選取其中一臺(tái)路由器作為主用路由器，其他路由器作為備用路由器。當(dāng)主用路由器出現(xiàn)故障時(shí)，備用路由器會(huì)自動(dòng)切換為新的主用路由器，確保網(wǎng)絡(luò)流量不中斷。

VRRP在雙機(jī)熱備中的應(yīng)用主要體現(xiàn)在以下幾個(gè)方面：

• 虛擬化路由器地址：VRRP可以為雙機(jī)熱備組分配一個(gè)虛擬的路由器地址，該地址可以被所有連接到雙機(jī)熱備組的設(shè)備使用。這樣可以簡(jiǎn)化網(wǎng)絡(luò)配置，并提高網(wǎng)絡(luò)的可擴(kuò)展性。
• 負(fù)載分擔(dān)：VRRP支持負(fù)載分擔(dān)模式，在負(fù)載分擔(dān)模式下，所有路由器都可以同時(shí)轉(zhuǎn)發(fā)流量，從而提高網(wǎng)絡(luò)的吞吐量。
• 故障轉(zhuǎn)移：VRRP可以快速檢測(cè)主路由器的故障，并自動(dòng)將備用路由器切換為新的主路由器。這樣可以確保網(wǎng)絡(luò)流量不中斷，并提高網(wǎng)絡(luò)的可用性。

華為防火墻雙機(jī)熱備

VRRP現(xiàn)以下功能

• 虛擬化路由器地址：華為防火墻雙機(jī)熱備組通常會(huì)分配一個(gè)虛擬的路由器地址，該地址可以被所有連接到雙機(jī)熱備組的設(shè)備使用。這樣可以簡(jiǎn)化網(wǎng)絡(luò)配置，并提高網(wǎng)絡(luò)的可擴(kuò)展性。
• 故障轉(zhuǎn)移：VRRP可以快速檢測(cè)主防火墻的故障，并自動(dòng)將備用防火墻切換為新的主防火墻。這樣可以確保網(wǎng)絡(luò)流量不中斷，并提高網(wǎng)絡(luò)的可用性。

VRRP的角色

主路由器（Master）

備份路由器（Backup）

VRRP的狀態(tài)

初始狀態(tài)（Initialize）：當(dāng)接口Up之后，如果其VRRP優(yōu)先級(jí)為255 (這種情況發(fā)生在該接口的實(shí)際IP地址是VRRP虛擬IP地址的情況)，那么接口的VRRP狀態(tài)將由Initialize切換到Master，而如果接口的VRRP優(yōu)先級(jí)不為255，則進(jìn)入Backup狀態(tài)。

活動(dòng)狀態(tài)（Master）：處于活動(dòng)狀態(tài)的路由器是VRRP虛擬路由器組中的主路由器，負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包。主路由器會(huì)定期發(fā)送VRRP通告報(bào)文來宣告自己的狀態(tài)，并更新路由表。

備份狀態(tài)（Backup）：處于備份狀態(tài)的路由器是VRRP虛擬路由器組中的備用路由器。備份路由器會(huì)定期接收主路由器的VRRP通告報(bào)文，如果主路由器出現(xiàn)故障，備份路由器會(huì)經(jīng)過一段時(shí)間的等待時(shí)間后切換為新的主路由器。

VRRP 狀態(tài)機(jī)之間的轉(zhuǎn)換規(guī)則

當(dāng)前狀態(tài)	事件	下一個(gè)狀態(tài)
初始狀態(tài)	收到 VRRP 通告報(bào)文	備份狀態(tài)
備份狀態(tài)	收到更高優(yōu)先級(jí)的 VRRP 通告報(bào)文	初始狀態(tài)
備份狀態(tài)	定時(shí)器超時(shí)	初始狀態(tài)
備份狀態(tài)	檢測(cè)到故障	初始狀態(tài)
活動(dòng)狀態(tài)	收到更高優(yōu)先級(jí)的 VRRP 通告報(bào)文	備份狀態(tài)
活動(dòng)狀態(tài)	定時(shí)器超時(shí)	備份狀態(tài)
活動(dòng)狀態(tài)	檢測(cè)到故障	初始狀態(tài)

VGMP組管理協(xié)議

VGMP（VRRP組管理協(xié)議）代表VRRP組管理協(xié)議。這是華為開發(fā)的專有協(xié)議，專門用于其防火墻，用于管理冗余連接和實(shí)現(xiàn)高可用性。

• 在華為防火墻上管理多個(gè)VRRP（虛擬路由器冗余協(xié)議）組。
• 確保設(shè)備上所有 VRRP 組的故障轉(zhuǎn)移行為一致。
• 為在 VRRP 組中的主狀態(tài)和備份狀態(tài)之間切換提供集中控制。

?工作原理：

• VGMP在華為防火墻上運(yùn)行的多個(gè)VRRP組之間建立通信通道。
• 它協(xié)調(diào)這些組之間的故障轉(zhuǎn)移過程，確保在主防火墻遇到問題時(shí)平穩(wěn)過渡。
• VGMP 依賴于分配給每個(gè) VRRP 組的優(yōu)先級(jí)。發(fā)生故障時(shí)，優(yōu)先級(jí)最高的組將接管主服務(wù)器。

使用場(chǎng)景

• VGMP 在需要最大程度地減少網(wǎng)絡(luò)停機(jī)時(shí)間的高可用性環(huán)境中特別有用。
• 它通常用于數(shù)據(jù)中心、企業(yè)網(wǎng)絡(luò)和其他關(guān)鍵基礎(chǔ)設(shè)施部署。

是華為開發(fā)的專有協(xié)議，旨在為其防火墻和路由器提供高可用性和冗余。它支持主用和備用設(shè)備之間的無(wú)縫故障切換，確保在主設(shè)備發(fā)生故障時(shí)不間斷的網(wǎng)絡(luò)連接和數(shù)據(jù)轉(zhuǎn)發(fā)。

HRP的主要特點(diǎn)

• 快速故障轉(zhuǎn)移：HRP 采用快速故障轉(zhuǎn)移機(jī)制，通常在 50 毫秒內(nèi)，最大限度地減少設(shè)備轉(zhuǎn)換期間的網(wǎng)絡(luò)停機(jī)時(shí)間。

• 負(fù)載均衡：HRP 支持跨活動(dòng) HRP 設(shè)備進(jìn)行負(fù)載均衡，分配網(wǎng)絡(luò)流量并增強(qiáng)整體網(wǎng)絡(luò)性能。

• 安全性：HRP 包含身份驗(yàn)證和加密等安全措施，以防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)操縱。

優(yōu)點(diǎn)

• 高可用性：HRP即使在設(shè)備故障的情況下也能確保網(wǎng)絡(luò)持續(xù)運(yùn)行，最大限度地減少停機(jī)時(shí)間并保持業(yè)務(wù)連續(xù)性。

• 負(fù)載均衡：HRP 在活動(dòng)設(shè)備之間分配網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能并減少擁塞。

• 可擴(kuò)展性：HRP 支持?jǐn)U展 HRP 組以容納更多設(shè)備，從而在不影響冗余的情況下實(shí)現(xiàn)網(wǎng)絡(luò)增長(zhǎng)。

什么是HRP

HRRP 代表 華為快速環(huán)協(xié)議。它是華為開發(fā)的專有協(xié)議，用于在以太網(wǎng)中提供冗余。HRRP主要用于華為設(shè)備，如路由器、交換機(jī)等，用于建立備用路由器組，實(shí)現(xiàn)容錯(cuò)。在此組中，一臺(tái)路由器充當(dāng)活動(dòng)路由器，處理路由職責(zé)，而其他路由器則保持待機(jī)模式，準(zhǔn)備在活動(dòng)路由器發(fā)生故障時(shí)接管。

VRRP（虛擬路由器冗余協(xié)議）和 HSRP（熱備用路由器協(xié)議）是以太網(wǎng)中更廣泛采用的冗余標(biāo)準(zhǔn)。HRRP是華為專有協(xié)議，而VRRP和HSRP則受到更廣泛的供應(yīng)商和設(shè)備的支持。

HRRP的主要特點(diǎn)：

1. 快速故障轉(zhuǎn)移：HRRP 提供快速故障轉(zhuǎn)移，通常在活動(dòng)路由器發(fā)生故障后的 100 毫秒內(nèi)，從而最大限度地減少網(wǎng)絡(luò)停機(jī)時(shí)間。

2. 負(fù)載均衡：HRRP可以在群組中的活動(dòng)路由器之間分配流量，實(shí)現(xiàn)負(fù)載均衡，提高網(wǎng)絡(luò)性能。

3. 簡(jiǎn)單性：與其他冗余協(xié)議（如 VRRP 或 HSRP）相比，HRRP 配置相對(duì)簡(jiǎn)單。

實(shí)驗(yàn)拓?fù)?/h2>

AR1的基本配置

<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[Huawei-GigabitEthernet0/0/0]int lo0
[Huawei-LoopBack0]ip add 100.0.0.100 24
[Huawei-LoopBack0]q//默認(rèn)路由接收1.0網(wǎng)段的數(shù)據(jù)
[Huawei]ip route-s 192.168.1.0 24 10.1.1.100
[Huawei]

FW1配置

基本的IP地址配置

[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.2 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 172.16.1.1 24
[USG6000V1-GigabitEthernet1/0/2]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/1]q//配置默認(rèn)路由所有流量流出
[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.1 

在華為USG6000V1防火墻上配置防火墻區(qū)域。

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g1/0/1[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/0
[USG6000V1-zone-untrust]q[USG6000V1]firewall zone  dmz 
[USG6000V1-zone-dmz]add int g1/0/2
[USG6000V1-zone-dmz]q

[USG6000V1-zone-trust]add int g1/0/1 - 此命令將接口 g1/0/1 添加到“信任”區(qū)域。信任區(qū)域中的接口通常連接到您的內(nèi)部網(wǎng)絡(luò)，該網(wǎng)絡(luò)被視為受信任的。

[USG6000V1-zone-untrust]add int g1/0/0 - 此命令將接口 g1/0/0 添加到“不信任”區(qū)域。不信任區(qū)域通常用于外部連接，例如被視為不受信任的 Internet。

您提供的命令在華為USG6000V1防火墻上配置安全策略規(guī)則，以允許從“信任”區(qū)域到“不信任”區(qū)域的流量。

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_untrust
[USG6000V1-policy-security-rule-trust_untrust]source-zone trust 
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untrust]action permit 
[USG6000V1-policy-security-rule-trust_untrust]q[USG6000V1-policy-security]rule name heat
[USG6000V1-policy-security-rule-heat]source-zone local 
[USG6000V1-policy-security-rule-heat]destination-zone dmz 
[USG6000V1-policy-security-rule-heat]action permit 
[USG6000V1-policy-security-rule-heat]q

讓我們分解每個(gè)步驟：

進(jìn)入安全策略配置：

• [USG6000V1]security-policy - 該命令在USG6000V1防火墻上進(jìn)入安全策略配置模式。此模式允許您定義控制流量如何流經(jīng)防火墻的規(guī)則。
• [USG6000V1-policy-security-rule-trust_untrust] - 此行表示您現(xiàn)在正在配置名為“trust_untrust”的特定規(guī)則。防火墻規(guī)則通常具有描述性名稱來標(biāo)識(shí)其用途。、
• [USG6000V1-policy-security-rule-trust_untrust]source-zone trust - 此命令指定規(guī)則的源區(qū)域。源自“信任”區(qū)域的流量將按此規(guī)則進(jìn)行評(píng)估?！靶湃巍眳^(qū)域通常表示您的內(nèi)部網(wǎng)絡(luò)，該網(wǎng)絡(luò)被視為受信任網(wǎng)絡(luò)。
• [USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust - 此命令定義規(guī)則的目標(biāo)區(qū)域。發(fā)往“不信任”區(qū)域的流量將按此規(guī)則進(jìn)行評(píng)估?！安恍湃巍眳^(qū)域通常表示外部網(wǎng)絡(luò)，如互聯(lián)網(wǎng)，它被認(rèn)為是不受信任的。
• [USG6000V1-policy-security-rule-trust_untrust]action permit - 此命令設(shè)置規(guī)則的操作。在這種情況下， permit 允許與指定條件（源區(qū)域和目標(biāo)區(qū)域）匹配的流量流經(jīng)防火墻。
• 第二組的命名以及信任是同類~~

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.100 active 
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 active 
[USG6000V1-GigabitEthernet1/0/1]q//HRP配置指向?qū)Χ私?[USG6000V1]hrp int g1/0/2 remote 172.16.1.2
記得開啟hrp
hrp enable

• vrrp ：在接口上啟用VRRP功能。
• vrid 1 ：將 VRRP 組 ID 設(shè)置為 1。此 ID 標(biāo)識(shí)參與 VRRP 以實(shí)現(xiàn)冗余的一組路由器。
• virtual-ip 10.1.1.100 ：定義 VRRP 組使用的虛擬 IP 地址。客戶端設(shè)備會(huì)將此 IP 視為其默認(rèn)網(wǎng)關(guān)。
• active ：將接口的 VRRP 狀態(tài)設(shè)置為活動(dòng)狀態(tài)。這意味著該接口將嘗試成為VRRP組中的主路由器，并宣傳其處理路由任務(wù)的可用性。
• 第二組同類~~~

FW2配置

基本的IP地址和路由配置

[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.3 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 172.16.1.2 24
[USG6000V1-GigabitEthernet1/0/2]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.2 24
[USG6000V1-GigabitEthernet1/0/1]q[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.1

創(chuàng)建不同的區(qū)域

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface g1/0/1[USG6000V1]firewall zone  untrust 
[USG6000V1-zone-untrust]add interface g1/0/0[USG6000V1]firewall zone  dmz 
[USG6000V1-zone-dmz]add int g1/0/2

這次就不詳細(xì)介紹了 原理同上~~~

防火墻上配置安全策略規(guī)則

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_untr	
[USG6000V1-policy-security-rule-trust_untr]source-zone trust  
[USG6000V1-policy-security-rule-trust_untr]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untr]action permit 
[USG6000V1-policy-security-rule-trust_untr]q[USG6000V1-policy-security]rule name heat
[USG6000V1-policy-security-rule-heat]source-zone local 
[USG6000V1-policy-security-rule-heat]destination-zone dmz 
[USG6000V1-policy-security-rule-heat]action permit 
[USG6000V1-policy-security-rule-heat]q

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.100 standby 
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1	
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 standby 
[USG6000V1-GigabitEthernet1/0/1]q//指向?qū)Χ穗p機(jī)熱備中，心跳線
[USG6000V1]hrp int g1/0/2 remote  172.16.1.1記得開啟hrp
hrp enable

測(cè)試

FW1的信息

活躍

進(jìn)入

關(guān)閉接口

這是再次查看

變?yōu)榱藗溆玫臓顟B(tài)信息 (檢測(cè)鏈路故障 啟用另外一條鏈路傳輸數(shù)據(jù))

FW2的信息

從standby變?yōu)閍ctive

PC機(jī)器在訪問的時(shí)候也出現(xiàn)丟失一個(gè)包的現(xiàn)象并沒有造成多大的數(shù)據(jù)丟失