华为防火墙主备模式工作原理

最新推荐文章于 2025-06-25 09:24:08 发布
最新推荐文章于 2025-06-25 09:24:08 发布
阅读量1.5k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 华为防火墙 文章标签: 网络 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67050107/article/details/131430319
文章讨论了在主备防火墙模式下,监控接口和未监控接口对流量转发的影响。当监控接口down时,主墙会将流量切换到备墙,实现主备角色切换。未监控接口的故障不会触发这种切换,主备墙保持原角色。即使在备墙,流量也可以被转发。未监控接口的防火墙配置策略可同步,但不能在备墙上单独配置策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 如上图:

主墙  1/0/2 1/0/1 这2个端口都是监控的,命令如下
 hrp track interface GigabitEthernet1/0/1
 hrp track interface GigabitEthernet1/0/2
也就是说 当  1/0/2 1/0/1 这2个端口,任何一个down,主墙会将业务流量全部迁移到备墙来转发,此时主备墙角色会调换

如果接口不监控,则不会影响主备墙的角色
如上图 1/0/3 此接口没有监控,如果down,主墙则不会有任何反应,主墙还是主墙,备墙还是备墙

对于监控接口的设备来说,才会起到主备防火墙的功能。
对于未监控接口的设备来说,相当于是两台独立的防火墙。

主备模式下备墙是否会转发数据

1/0/3 接口没有监控
正常情况下,PC1访问 R5 的流量是如图红线的走向

当主墙1/0/3接口 down 之后,

 此时主墙没有任何变化,主墙还是主墙

这时PC1访问 10.5.5.5的流量走向,如图

此现象可以说明,主备模式下备墙是可以转发数据的

以上是接口不监控的情况

如图:此时主备墙的 1/0/1 与 1/0/2 接口是监控状态

正常情况下PC3访问 R5 的流量走势,要经过 R2->R1->FW1(主墙)->R3->R5

 

R2与R1之间断开连接,PC3没有到主墙的链路

此时测试 PC3访问R5 流量走势如下图,经过备墙R2->FW2(备墙)->R4->R5

此现象说明备墙不管是监控接口下的流量或者不是监控接口下的流量,只要流量经过备墙也是可以转发的

主备模式下的防火墙,备墙不是为宕机状态,如果当数据没有到达主防火墙的链路的时候,备机还是可以转发数据的,或者非要走备机也是可以的

对于防火墙不监控接口下的设备,防火墙起不到主备的作用,只能将其当做两台独立的防火墙来使用。

如果不监控接口,主备防火墙的好处就是,主墙配置策略,可以同步到备墙

备墙不可以配置策略

 

实验 | 利用华为eNSP进行防火墙配置
网络技术联盟站
08-06 2446
局域网中有一台主机名为“PC1”的路由器,充当局域网内的客户端计算机,主机名为“AR1”的路由器充当客户端计算机的网关,FW1 为活动防火墙,F2 为防火墙,公共网络中有一台路由器充当互联网,另一台主机名为“PC2”的路由器充当计算机,FW1的接口GE1/0/3与FW2的接口GE1/0/3相连,用于心跳链路。在 FW1 上,将防火墙规则配置为允许流量,如下所示,我们需要在 FW2 上配置此规则,此规则会自动从 FW1 复制到 FW2。然后,让我们如下配置 IP 和 OSPF 路由协议。
防火墙网关HA主备模式部署实验
悦分享
05-15 194
单击上方导航栏中的“系统配置”→“高可用性”,显示高可用性参数配置,勾选“启用HA”“配置同步”“动态信息同步”复选框,将“HA通信接口(心跳口)”设置为ge4,“HA通信端口”保留默认的6260,在“本地接口IP”中输入“1.1.1.1”,在“对端接口IP”中输入“1.1.1.2”,确认信息无误后,单击“确定”按钮,如下图所示。在弹出的“编辑物理接口”界面中,将“安全域”设置为untrust,“工作模式”选中“路由模式”单选按钮,单击“本地地址列表”一栏中的IPv4标签中的“+添加”按钮,如图所示。
华为防火墙VRRP双机热的原理及配置详解
cheng198956的专栏
08-08 7992
博文大纲: 一、何为双机热? 二、VRRP的概念 三、VRRP的两种角色 四、VRRP的选举流程 五、VRRP的三个状态 六、通过VGMP统一管理VRRP的状态1、VGMP的报文封装2、双机热份方式3、关于上游或下游设的选路问题 七、配置实例 八、总结 一、何为双机热? 所谓的双机热无非就是以7X24小时中断的为企业提供服务为目的,各种双机热的技术很多,那么华为使用了这个...
防火墙双机热A/S模式和A/A模式原理
永远是少年
07-31 4606
今天继续给大家介绍HCIE。本文主要讲解防火墙双机热配置中的主份模式和负载分担模式原理。 一、主份模式原理 主份指正常情况下仅由主要设处理业务,用设空闲。当主用设接口、链路或整机故障时,用设立即换为主用设,解题主用设处理业务。 防火墙在缺省情况下提供了两个VGMP管理组:Active组合Standby组。主份时只有一个VGMP管理组在工作。主份模式需要将两台防火墙一台VGMP组配置为Active组,另一台配置为Standby组。 主份模式如下所示: 在主份模
华为防火墙HRP(双击热冗余技术,介绍)
最新发布
qq_57308794的博客
06-25 949
华为防火墙的 HRP(Huawei Redundancy Protocol,华为冗余协议)是一种用于实现防火墙冗余和高可用性的关键技术,主要用于解决单一设故障导致的业务中断问题,确保网络安全服务的连续性。华为防火墙的 HRP 协议通过冗余架构和状态同步技术,为网络安全提供了高可用性解决方案,是企业构建可靠网络安全体系的重要组成部分。其核心价值在于确保防火墙在故障场景下的业务连续性,同时简化了运维管理,降低了因设故障导致的安全风险和业务损失。
华为防火墙双机热份和负载分担配置案例(两端为路由跑ospf)
IT技术
11-11 2276
华为防火墙双机热份和负载分担配置案例(两端为路由跑ospf)
华为防火墙-双机热
m0_59605653的博客
01-17 4209
双机热是两台设共同承担业务流量,以此来提高可靠性的技术。两台设之间通过“心跳线”进行连接。当主用设故障时,用设可以平滑接替主用设工作。
华为防火墙智能选路篇之传统方案(主方式会遇到哪些问题)
网络之路Blog(其他平台同名)
09-14 1520
在我们遇到有主线路换的时候,那么要注意几点。(1)DNS问题,如果双线路是同一个运营商,建议使用公有DNS下发,这样保障线路换的时候客户端受影响(2)定义ip-link,注意先开启,然后在创建ip-link进程,在定义的时候,建议关联接口、模式以及下一跳(这里说明下,如果是拨号口的话则需要写下一跳)
华为防火墙工作原理
j2669283004的博客
12-01 6600
目录 一、防火墙工作原理 1.2、防火墙安全区域 1.2.1、常见的区域 1.2.2、总结 1.3、防火墙Inbound和Outbound 1.4、状态化信息 1.5、安全策略 1.5.1、防火墙策略规则的执行策略 1.5.2、一体化安全策略的特点 1.5.3、防火墙策略的特点 一、防火墙工作原理 华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。 1、路由模式 如果华为防火墙连接...
华为防火墙介绍和原理,配置详细解析
外游者
12-27 4499
在出向外网的流量中,我们使用默认路由来指定默认的出口,并且使用nat地址转换,而在外网中,我们使用ISIS协议来进行路由的学习和更新,让外网可以访问到dmz非军事化区域的server1服务器。并进行NAT转换,实现了内部IP地址和外部IP地址之间的映射,以便内部网络可以与外部网络进行通信。网络地址转换(NAT):防火墙可实现网络地址转换,将内部私有IP地址转换成公共IP地址,以隐藏网络拓扑结构,增加网络安全性。确定安全需求:根据企业的安全需求和策略,确定防火墙的配置目标和规则。
华为防火墙的双机热
不定期分享一些自己的学习笔记
10-16 1306
华为防火墙的双机热
防火墙————主份双机热
zj2059129607的博客
11-17 2777
FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热。双机热需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地换到另一台设上处理,使业务中断。双机热典型组网图。
防火墙 | 双机热原理
yu_19980401的博客
11-10 2269
防火墙 | 双机热技术 双机热技术原理 双机热技术产生的原因 传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。 双机热份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设,保证了内部网络于外部网络之间的通讯畅通。 USG防火墙作为安全,一般会部署在需要保护的网络受保护的网络之间,即位于业务接
华为防火墙配置笔记,赶紧点赞收藏,防止丢失!
mengmeng_921的博客
07-17 1447
配置外网接口: 配置外网接口GE 1/0/2接口的IP地址,并将其加入到untrust区域中.分别配置防火墙内网接口GE1/0/0 and GE1/0/1设置IP地址,并加入指定区域内.配置内网的接口信息,这里包括个GE 1/0/0 and GE 1/0/1这两个内网地址.配置Gig1/0/0和Gig1/0/1接口为trunk模式,并分别配置好网关地址.配置源NAT: 配置原NAT地址转换,仅配置源地址访问内网 --> 公网的转换.然后配置外网地址,将Gig 1/0/2加入到untrust区域内.
华为防火墙配置双机热
Richardlygo的博客
09-23 3284
公司A基于确保内部网络安全性的考虑,在内外网络之间部署了防火墙。由于防火墙是所有信息流都必须通过的单一节点,故一旦防火墙出现故障所有信息流都会中断。为了增强网络的可靠性,保证当防火墙出现故障时中断网络,公司A利用两台设实现防火墙功能。
华为防火墙双机热配置案例(VRRP、HRP)
WXDCSDN的博客
10-14 7442
华为防火墙双机热配置案例(VRRP、HRP)
防火墙高可用性(HA)
热门推荐
网络安全研究
04-11 1万+
双机热 防火墙高可用性也称双机热,指基于两台设的高可用性。双机热的模式分为主备模式和主主模式。 主备模式 主-方式即指的是一台设处于某种业务的激活状态(即Active状态),另一台设处于该业务的用状态(即Standby状态)。 工作机和用机通过心跳线连接,用机实时监视工作机的情况,当工作机出现问题,用机就接管工作。 在这个状态下,工作防火墙响应ARP请求,并且转发网络流量...
防火墙工作模式
05-23
### 主防火墙的工作模式 主防火墙(High Availability, HA)是一种常见的高可靠性解决方案,用于在网络环境中提供冗余支持。其核心目标是通过两台或多台防火墙协同工作,在一台设发生故障时能够无缝换到另一台设,从而保障网络服务的连续性。 #### 工作模式 主防火墙通常采用以下两种主要工作模式: 1. **主动-被动模式 (Active-Standby Mode)** 在这种模式下,仅有一台防火墙处于活动状态并处理所有流量,而另一台则作为用设待命。如果主防火墙因硬件故障或其他原因无法正常运行,则防火墙接管所有业务流量[^2]。此模式下的换过程依赖于心跳链路和健康检查机制。 2. **主动-主动模式 (Active-Active Mode)** 此种模式允许两台防火墙同时分担流量负载。每台设可以独立处理部分数据流,但在其中一台失效时,剩余的一台仍能承担全部流量过需要注意的是,并非所有的厂商都支持真正的 Active-Active 模式;某些情况下可能只是逻辑上的分工而非完全意义上的均衡分配[^1]。 --- ### 配置方法 以下是基于华为防火墙平台的一个典型配置流程示例: #### 1. 启用HRP功能 ```bash hrp enable ``` #### 2. 设置优先级 为主关系定义同的优先级别以便区分哪一方应该成为当前工作的主体。 ```bash hrp priority 60 # 对于Master节点设置较高数值如60 hrp preempt # 开启抢占特性使得更高优序者可重新获取控制权 ``` #### 3. 跟踪接口状态变化影响HA决策 利用 `hrp track` 命令让系统感知特定物理端口的状态变动进而触发相应的保护动作。 ```bash hrp track interface GigabitEthernet1/0/1 reduced-priority 10 hrp track interface GigabitEthernet1/0/2 reduced-priority 15 ``` 这里表示一旦 GE1/0/1 或 GE1/0/2 出现异常情况(例如DOWN),那么该装置的整体评分就会相应减少一定分数,最终可能导致角色转换事件的发生[^4]。 #### 4. 默认路由设定 为了实现路径选择灵活性以及增强容错能力,建议按照下面的方式规划好默认网关地址及其关联属性: ```bash ip route-static 0.0.0.0 0.0.0.0 Serial1/0 preference 10 ip route-static 0.0.0.0 0.0.0.0 Ethernet1/0 preference 20 ``` 这样做的好处在于平时大部分通信请求都会串口线路(Serial1/0),除非它可用了才会转向以太网连接(Ethernet1/0)[^2]. --- ### 技术原理 从更深层次来看,主防火墙之间的同步主要包括以下几个方面: - **会话信息复制**: 当前正在执行的任务记录会被定期发送给对方存储起来,确保万一出现紧急状况时可以从最近的时间点继续操作下去而丢失任何重要环节的数据完整性[^3]. - **配置一致性维护**: 双方之间保持相同的参数调整结果至关重要,这样才能避免因为细微差异而导致必要的麻烦或者安全隐患. - **实时监控与反馈循环**: 断监视彼此的生命信号强度以及其他关键性能指标表现如何,及时发现潜在威胁因素并作出适当反应. --- ### 注意事项 尽管上述介绍涵盖了大多数常规场景的应用指导方针,实际部署过程中还可能存在其他特殊需求考量要素需额外注意。例如跨数据中心远距离互联条件下延迟效应的影响评估等问题都需要综合分析解决办法才行。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值