switch-A 的配置
hostname switch-A
enable password ^%$&^&&*(*&(
ip subnet-zero
ip routing
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
spanning-tree vlan 500 priority 24576
interface GigabitEthernet1/0/1
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/2
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/3
switchport access vlan 101
switchport mode access
no ip address no mdix auto
interface GigabitEthernet1/0/4
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/5
switchport access vlan 102
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/6
switchport access vlan 102
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/7
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/8
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/9
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/10
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/11
switchport access vlan 100
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/12
switchport access vlan 100
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/13
switchport access vlan 100
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/14 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/15 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/17 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/18 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/19
switchport access vlan 600
switchport mode access
no ip address
no mdix auto
spanning-tree portfast
interface GigabitEthernet1/0/20
switchport access vlan 126
switchport trunk encapsulation
dot1q
switchport mode trunk
no ip address
no mdix auto
interface GigabitEthernet1/0/21
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/22
switchport access vlan 123
switchport trunk encapsulation
dot1q
switchport mode trunk
no ip address
no mdix auto
interface GigabitEthernet1/0/23
switchport access vlan 124
switchport trunk encapsulation
dot1q
switchport mode trunk
no ip address
no mdix auto
interface GigabitEthernet1/0/24
switchport access vlan 125
switchport trunk encapsulation
dot1q
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/25
switchport access vlan 99
switchport trunk encapsulation
dot1q
switchport mode trunk
no ip address
interface GigabitEthernet1/0/26
switchport access vlan 99
switchport trunk encapsulation
dot1q
switchport mode trunk
no ip address
interface GigabitEthernet1/0/27
switchport access vlan 500
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
interface GigabitEthernet1/0/28
no ip address
interface Vlan1
no ip address
shutdown
interface Vlan99
ip address 172.17.1.2 255.255.0.0
ip rip send version 2
ip rip receive version 2
interface Vlan100
ip address 10.10.1.2 255.255.255.0
no ip redirects
standby 1 ip 10.10.1.1
standby 1 priority 200
interface Vlan101
ip address 192.168.100.2
255.255.255.0
no ip redirects
ip rip send version 2
ip rip receive version 2
standby name hexinyewu
standby 2 ip 192.168.100.1
standby 2 priority 200
interface Vlan102
ip address 192.168.101.2
255.255.255.0
no ip redirects
standby 3 ip 192.168.101.1
standby 3 priority 200
interface Vlan103
no ip address
interface Vlan123
ip address 10.10.27.2
255.255.255.0
no ip redirects
standby 4 ip 10.10.27.1
standby 4 priority 200
interface Vlan124
ip address 10.10.26.2
255.255.255.0
no ip redirects
standby 5 ip 10.10.26.1
standby 5 priority 200
interface Vlan125
ip address 10.10.25.2
255.255.255.0
no ip redirects
standby 6 ip 10.10.25.1
standby 6 priority 200
interface Vlan126
ip address 10.10.40.2
255.255.255.0
no ip redirects
standby 8 ip 10.10.40.1
interface Vlan500
ip address 172.16.2.2
255.255.255.252
ip rip v2-broadcast
ip rip send version 2
ip rip receive version 2
interface Vlan600
ip address 172.16.4.99
255.255.255.0
no ip redirects
ip rip send version 2
ip rip receive version 2
standby name link12
standby 7 ip 172.16.4.21
standby 7 priority 200
router rip
network 10.0.0.0
network 172.16.0.0
network 172.17.0.0
network 192.168.100.0
ip classless
ip route 10.10.33.0 255.255.255.0 172.16.4.22
ip route 10.10.34.0 255.255.255.0 172.16.4.22
ip route 10.10.35.0 255.255.255.0 172.16.4.22
ip route 10.10.36.0 255.255.255.0 172.16.4.22
ip route 10.10.37.0 255.255.255.0 172.16.4.22
ip route 192.168.1.0 255.255.255.0 172.16.4.22
ip route 192.168.2.0 255.255.255.0 172.16.4.22
ip route 192.168.3.0 255.255.255.0 172.16.4.22
ip route 192.168.4.0 255.255.255.0 172.16.4.22
ip route 192.168.5.0 255.255.255.0 172.16.4.22
ip route 192.168.10.0
255.255.255.0 172.16.4.22
ip route 192.168.11.0
255.255.255.0 172.16.4.22
ip route 192.168.12.0
255.255.255.0 172.16.4.22
ip route 192.168.13.0 255.255.255.0 172.16.4.22
ip route 192.168.14.0 255.255.255.0 172.16.4.22
ip http server
line con 0
line vty 0 4
password 看不到吧
login
line vty 5 15
login
end
switch-B 的配置
hostname switch-B
enable password 看不到吧
ip subnet-zero
ip routing
spanning-tree mode pvst
no spanning-tree optimize bpdu t ransmission
spanning-tree extend system-id
interface GigabitEthernet1/0/1
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/2
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/3
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/4
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/5
switchport access vlan 102
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/6
switchport access vlan 102
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/7
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/8
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/9
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/10
switchport access vlan 101
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/11
switchport access vlan 100
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/12
switchport access vlan 100
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/13 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/14 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/15 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/16 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/17 switchport access vlan 100 switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/18
switchport access vlan 100
switchport mode access
no ip address
no mdix auto
interface GigabitEthernet1/0/19
switchport access vlan 600
switchport mode access
no ip address
no mdix auto
spanning-tree portfast
interface GigabitEthernet1/0/20
switchport access vlan 126
switchport trunk encapsulation d
ot1q
switchport mode trunk
no ip address
no mdix auto
interface GigabitEthernet1/0/21
no ip address
no mdix auto
interface GigabitEthernet1/0/22
switchport access vlan 123
switchport trunk encapsulation d
ot1q
switchport mode trunk
no ip address
no mdix auto
interface GigabitEthernet1/0/23
switchport access vlan 124
switchport trunk encapsulation d
ot1q
switchport mode trunk
no ip address
no mdix auto
interface GigabitEthernet1/0/24
switchport access vlan 125
switchport trunk encapsulation d
ot1q
switchport mode trunk
no ip address
no mdix auto
interface GigabitEthernet1/0/25
switchport access vlan 99
switchport trunk encapsulation d
ot1q
switchport mode trunk
no ip address
interface GigabitEthernet1/0/26
switchport access vlan 99
switchport trunk encapsulation d ot1q
switchport mode trunk
no ip address
interface GigabitEthernet1/0/27
switchport access vlan 500
switchport trunk encapsulation d ot1q
switchport mode trunk
no ip address
interface GigabitEthernet1/0/28
no ip address
interface Vlan1
no ip address
shutdown
interface Vlan99
ip address 172.17.1.1 255.255.0. 0
ip rip send version 2
ip rip receive version 2
interface Vlan100
ip address 10.10.1.3 255.255.255.
no ip redirects
standby 1 ip 10.10.1.1
interface Vlan101
ip address 192.168.100.3 255.255.
255.0
interface Vlan102
ip address 192.168.101.3 255.255.
255.0
no ip redirects
standby 3 ip 192.168.101.1
interface Vlan123
ip address 10.10.27.3 255.255.25
5.0
no ip redirects
standby 4 ip 10.10.27.1
interface Vlan124
ip address 10.10.26.3 255.255.25
5.0
no ip redirects
standby 5 ip 10.10.26.1
interface Vlan125
ip address 10.10.25.3 255.255.25
5.0
no ip redirects
standby 6 ip 10.10.25.1
interface Vlan126
ip address 10.10.40.3 255.255.25
5.0
no ip redirects
standby 8 ip 10.10.40.1
interface Vlan511
ip address 172.1.2.46 255.255.25
5.252
ip rip send version 2
ip rip receive version 2
interface Vlan600
ip address 172.16.4.100 255.255.
255.0
no ip redirects
standby 7 ip 172.16.4.21
router rip
network 172.16.0.0
network 172.17.0.0
ip classless
ip route 10.10.33.0 255.255.255.
0 172.16.4.22 100
ip route 10.10.34.0 255.255.255.
0 172.16.4.22 100
ip route 10.10.35.0 255.255.255.
0 172.16.4.22 100
ip route 10.10.36.0 255.255.255.
0 172.16.4.22 100
ip route 10.10.37.0 255.255.255.
0 172.16.4.22 100
ip route 192.168.1.0 255.255.255.
0 172.16.4.22 100
ip route 192.168.2.0 255.255.255.
0 172.16.4.22 100
ip route 192.168.3.0 255.255.255.
0 172.16.4.22 100
ip route 192.168.4.0 255.255.255.
0 172.16.4.22 100
ip route 192.168.5.0 255.255.255.
0 172.16.4.22 100
ip route 192.168.10.0 255.255.25 5.0 172.16.4.22 100
ip route 192.168.11.0 255.255.25 5.0 172.16.4.22 100
ip route 192.168.12.0 255.255.25 5.0 172.16.4.22 100
ip route 192.168.13.0 255.255.25 5.0 172.16.4.22 100
ip http server
line con 0
line vty 0 4
password login
line vty 5 15 login
end
技术白皮书 双机热备技术白皮书 双机热备技术白皮书 关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换 摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即 使在防火墙设备故障的情况下,信息流仍然不中断。本文将介绍双机热备的概念、工作 模式、实现机制及典型应用等。 缩略语英文全名中文解释 ALG Application Level Gateway应用层网关 ASPF Application Specific Packet Filter基于应用层的包过滤 NAT Network Address Translator网络地址转换 VRRP Virtual Router Redundancy Protocol虚拟路由冗余协议 OSPF Open Shortest Path First开放最短路径优先
目录 1 概述 1.1 产生背景 在当前的组网应用中,用户对网络可靠性的要求越来越高,对于一些重要的业务入口或接入点(比如企业的Internet接入点、银行的数据库服务器等)如何保证网络的不间断传输,成为急需解决的一个问题。如图1 所示,防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。 图1 单点设备组网图 于是,业界推出了传统备份组网方案来避免此风险,该方案在接入点部署多台设备形成备份,通过VRRP或动态路由等机制进行链路切换,实现一台设备故障后流量自动切换到另一台正常工作的设备。 传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受影响。但是当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当用户发起会话时,状态防火墙只会对会话的首包进行检查,如果首包允许通过则会建立一个会话表项(表项里包括源IP、源端口、目的IP、目的端口等信息),只有匹配该会话表项的后续报文(包括返回报文)才能够通过防火墙。如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断。 双机热备解决方案能够很好的解决这个问题。在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。如图2 所示,在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断,从而提高了网络的稳定性及可靠性。 图2 双机热备组网图 双机热备可以从两个层面去理解:一个是广义的双机热备,它是一种解决方 案,用来解决网络中的单点故障问题,它通过数据同步和流量切换两个技术 来实现;一个是狭义的双机热备,它是设备支持的一个功能模块(只实现了
双机热备软件的安装与配置指导手册 系统版本:A1 文档编号:CHI-PT-NJBL-SJRB-A0
内容简介 《双机热备软件的安装与配置指导手册》主要针对目前公司人员定位系统服务器双机热备软件的安装和配置进行了详细说明,指导现场工程师对双机热备软件进行安装及配置。 本手册共分四章节,分别为: 第一章:概述 第二章:软件的安装 第三章:服务的安装及配置 第四章:注意事项 第五章:常见故障处理 本文档的读者范围: 公司内部员工 版权声明 本文档属南京北路科技有限公司版权所有,侵权必究。 本文文件专供用户、本公司职员以及经本公司许可的人员使用,未经公司书面 同意,任何单位或个人不得以任何方式复制、翻印、改编、摘编、转载、翻 译、注释、整理、出版或传播手册的全部或部分内容。
南京北路自动化系统有限责任公司位于南京江宁经济技术开发区,是南京市高新技术企业,现有高级工程师、工程师及其他专业技术人员100余名。是专业从事煤矿通信、自动化、信息化产品的研发、生产、销售及服务的高科技公司。 公司拥有ISO9001:2000质量管理体系认证,坚持“质量第一、用户至上、至诚服务、持续改进”的质量方针,得到了广大客户的信赖和支持。目前公司产品覆盖全国10多个省、自治区,并在多个煤炭主产区设有售后服务机构。 公司以满足客户需求为己任,不断生产高性价比的产品,为客户创造价值。 南京北路自动化系统有限责任公司 联系地址:南京市江宁开发区菲尼克斯路99号 邮政编码:211106 电话号码:(025)52187543 传真:(025)52185703 邮件地址:njbestway@https://www.doczj.com/doc/622703461.html, 客户服务电话:400-611-5166 客户支持网站:https://www.doczj.com/doc/622703461.html,
双机热备工作原理及切换过程具体剖析 双机热备容错基本原理是一个企业需要长期学习的技术,但是企业在组建的时候还是有很多不解的地方。下面我们就详细的了解下双机热备容错的相关知识。 一.双机工作原理 (1)心跳工作过程 通过IP做心跳检测时,主备机会通过此心跳路径,周期性的发出相互检测的测试包,如果此时主机出现故障,备机在连续丢失设定数目的检测包后,会认为主机出现故障,这时备机会自动检测设置中是否有第二种心跳,如果没有第二种心跳的话,备机则根据已设定的规则,启动备机的相关服务,完成双机热备容错的切换。 (2)IP工作过程 IP地址用虚拟IP地址的方法来实现,主要原理 主机正常的情况下虚拟IP地址指向主机的实IP地址,用户通过虚拟IP地址访问主机,这时,双机热备容错软件将虚拟IP地址解析到主机实IP地址。当主机做相关的切换时,虚拟IP地址通过双机热备容错软件自动将虚拟IP地址解析到备机的实IP地址上,这时,虚拟IP地址指向备机的实IP地址。但对用户来说,用户访问的仍然是虚拟IP地址。所以用户只会在切换的过程中发现有短暂的通信中断,经过一个短暂的时间,就可以恢复通信。 应用及网络故障切换过程 (i)可以检测到操作系统的故障并及时将服务切到备用服务器。 (ii)当操作系统正常的情况下,数据库系统出现意外故障,这时双机容错软件可以及时发现并将其切到备用服务器,使服务不致于停止。(如图2) (iii)当操作系统和数据库系统全都正常的情况下,服务器网络出现故障,这时双机热备容错软件,可以将系统切到正常的备用服务器上。 二.双机热备容错模式 双机热备有两种实现模式,一种是基于共享的存储设备的方式即双机热备容错方式,另一种是没有共享的存储设备的方式,一般称为镜像方式。 双机热备容错方式 对于这种方式,采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用互备、主从、并行等不同的方式。在工作过程中,两台服务器将以一个
PLC常用双机热备系统介绍与比较 (由txt文件修改) 对热备系统的简单分类(基于热备切换方式的分法): 一.硬件级双机热备产品: A.单机架双机热备: 同一块机架上插双电源,双CPU,有1套热备单元(欧姆龙为1个而三菱为2个),一般还可以插双通讯模块(如双以太网单元),CPU的数据交换通过机架底板电路,一般不是RIO式的分布式结构,切换速度快,一般在50ms以下。 1.Omron CVM1D和CS1D 2.Mitsubishi Q4AR 注意: Siemens使用UR2机架的S7-400H不是此类,该产品虽然插在同一块机架上,但该机架在电气上完全独立的,即把2个机架作成一体式。 B.双机架硬件级热备产品: 主、从两个机架,两套完整独立的系统,两套机架上的热备单元一般通过光纤通讯,切换速度飞快。施耐德Quantum切换速度在48ms以下。西门子的S7-400H不太清楚,请咨询技术支持。GE S90-70的切换速度看资料,在25-50ms。 1.Schneider Quantum 2.Siemens S7-400H 3.GE S90-70 4.AB ControlLogix 5000 二.总线级双机热备产品: 我不知道把此类划到硬件级热备好还是软件级热备好,还是另外拉出来单独说吧。基于总线级的通讯传输速率,总线通讯单元兼有热备切换功能。当主CPU故障时,从CPU接管I/O的控制,夺取I/O总线的控制权。切换速度其实还可以,在150-300ms内。 典型代表: 1.AB SLC500,由1747-BSN 实现RIO结构的热备。 2.Mitsubishi小Q,由CC-Link单元实现RIO结构的热备。 其实三菱的大Q和A也可以,但三菱技术支持建议用小Q。 三.软件级双机热备产品:
防火墙双机热备配置案例精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID 相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 主墙
存储集群双机热备方案
目录 一、前言 (3) 1、公司简介 (3) 2、企业构想 (3) 3、背景资料 (4) 二、需求分析 (4) 三、方案设计 (5) 1.双机容错基本架构 (5) 2、软件容错原理 (6) 3、设计原则 (7) 4、拓扑结构图 (7) 四、方案介绍 (10) 方案一1对1数据库服务器应用 (10) 方案二CLUSTER数据库服务器应用 (11) 五、设备选型 (12) 方案1:双机热备+冷机备份 (12) 方案2:群集+负载均衡+冷机备份 (13) 六、售后服务 (15) 1、技术支持与服务 (15) 2、用户培训 (15)
一、前言 1.1、公司简介 《公司名称》成立于2000年,专业从事网络安全设备营销。随着业务的迅速发展,经历了从计算机营销到综合系统集成的飞跃发展。从成立至今已完成数百个网络工程,为政府、银行、公安、交通、电信、电力等行业提供了IT相关系统集成项目项目和硬件安全产品,并取得销售思科、华为、安达通、IBM、HP、Microsoft等产品上海地区市场名列前茅的骄人业绩。 《公司名称》致力于实现网络商务模式的转型。作为国内领先的联网和安全性解决方案供应商,《公司名称》对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全国各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。 《公司名称》推出的一系列互联网解决方案,提供所需的安全性和性能来支持国内大型、复杂、要求严格的关键网络,其中包括国内的20余家企事业和政府机关. 《公司名称》成立的唯一宗旨是--企业以诚信为本安全以创新为魂。今天,《公司名称》通过以下努力,帮助国内客户转变他们的网络经济模式,从而建立强大的竞争优势:(1)提出合理的解决方案,以抵御日益频繁复杂的攻击 (2)利用网络应用和服务来取得市场竞争优势。 (3)为客户和业务合作伙伴提供安全的定制方式来接入远程资源 1.2、企业构想 《公司名称》的构想是建立一个新型公共安全网络,将互联网广泛的连接性和专用网络有保障的性能和安全性完美地结合起来。《公司名称》正与业界顶尖的合作伙伴协作,通过先进的技术和高科产品来实施这个构想。使我们和国内各大企业可通过一个新型公共网络来获得有保障的安全性能来支持高级应用。 《公司名称》正在帮助客户改进关键网络的经济模式、安全性以及性能。凭借国际上要求最严格的网络所开发安全产品,《公司名称》正致力于使联网超越低价商品化连接性的境界。《公司名称》正推动国内各行业的网络转型,将今天的"尽力而为"网络改造成可靠、安全的高速网络,以满足今天和未来应用的需要。 1.3、背景资料 随着计算机系统的日益庞大,应用的增多,客户要求计算机网络系统具有高可靠,高
RoseMirrorHA镜像服务器双机热备解决方案 及具体配置
一、双机热备拓扑图以及工作原理
双机热备工作示意图 二、双机热备方案介绍 在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。 双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件RoseHA)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。
双机备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即双机热备模式、双机互备模式和双机双工模式。下面分别予以简单介绍: ?双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前最理想的一种模式。 ?双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。服务器配置相对要好。 ?双机双工模式 : 是目前Cluster(集群)的一种形式,两台服务器均为活动状态,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。WEB服务器或FTP服务器等用此种方式比较多。 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式,低成本模式。 基于存储共享的双机热备是双机热备的最标准方案。这种方式采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用热备(主从)、互备、双工(并行)等不同的方式。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时,服务器通过心跳线(目前往往采用建立私有网络的方式)侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。对于用户而言,这一过程是全自动的,在很短时间内完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行管理。
双机热备份软件介绍 1、PrimeCluster(PCL)HA集群软件产品概述 PrimeCluster HA(PCL HA)是德国富士通-西门子计算机公司(Fujitsu-Siemens Computers)提供的业界领先的支持双机热备和多节点集群的高可用管理软件。 PCL HA是一种应用与系统高可用性(High Availability)管理器。它为关键业务应用及其相关资源提供了能够持续访问的平台。PCL HA可为任何类型的应用、服务或数据提供最通用的高可用性环境。最主要的优点在于自动识别系统故障及组件错误,并具有诸如透明本地恢复或应用故障转移(Failover)等合适的恢复措施。PCL HA拥有多方向故障转移功能——集群内任一节点均可接管其他节点的功能。若特定服务器出现故障,它所运行的应用会分配给余下正常运行的服务器,使管理员能灵活而有效地应用系统资源。由于应用可通过管理干预转移到其他服务器,这样就能在不中断操作的情况下对集群进行扩容。 PCL HA for Linux同目前市场上其他的基于开放源代码的HA软件不同,PCL是由FSC完全自行开发的Linux平台上的高可用软件,它在维护、故障排除、升级、售后服务方面都能够有充分的保障。同时根据PCL用户的反馈,对于开放源代码的HA类的系统关键软件,最终用户普遍对其版本更新能力、数据安全性和故障(特别是兼容性及底层故障)的排除能力普遍持怀疑态度。PCL for Linux在欧洲已经有相当的关键业务成功案例,在中国也有上百个成功安装使用的案例,因此,最终用户对PCL的接受度明显较高。 PCL HA做为一个高可靠的HA软件,以德国富士通-西门子公司的先进技术、严谨作风和可靠信誉为后盾,为用户提供系统高可用性方面的可靠保障,是关键应用下服务器集群的理想选择。 PCL HA高可用软件应用环境 PCL HA支持的操作系统有Linux和Solaris。 Intel-based的Linux发行版: ?RedHat Enterprise Linux ES/AS 3 (up to Update 5) ?RedHat Enterprise Linux ES/AS 4 (up to Update 2)以及64bit版本 ?SuSE Linux Enterprise Server 8 ( up to SP4) ?SuSE Linux Enterprise Server 9 ( up to SP2)以及64bit版本 ?以及各种兼容上述两种发行版的Linux,比如红旗、中标、CentOS等等 Sparc-based的Solaris ?Solaris 8 / 9 / 10 注:上述操作系统为PCLv4.2A00支持的操作系统,随着操作系统的升级,PCL也会做出相应的版本更新
双机热备主备方式OSPF组网配置 指导手册 关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明:2 2主防火墙配置步骤:2 2.1 配置接口地址5 2.2 配置安全区域6 2.3 配置双机热备8 2.4 配置接口联动11 2.5 配置NAT11 2.6 配置OSPF动态路由协议15 2.7 配置NQA18 2.8 配置静态缺省路由与TRACK 1绑定19 2.9 配置OSPF发布缺省路由20 3备防火墙配置步骤:20 2.1 配置接口地址22 2.2 配置安全区域24 2.3 配置双机热备25 2.4 配置接口联动28 2.5 配置NAT28 2.6 配置OSPF动态路由协议33 2.7 配置NQA35 2.8 配置静态缺省路由与TRACK 1绑定36 2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明: 组网说明: 防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求: 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。 2 主防火墙配置步骤: 1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。 3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
PLUSWELL多机集群、数据备份 解决方案
一:概述 企业和事业单位的运转越来越依赖于计算机系统,如果一旦这个数据处理中心无法正常运转,就会造成业务停顿,导致不可挽回的损失。 而现有的双机热备份设备存在价格高昂,成本较高的情况,往往使用户望而却步。而用户寻求底成本的纯软件方案又往往因产品不容易维护,纯软件双机方案不稳定等因素,往往给用户造成不必要的使用麻烦。有时因护理不当造成数据损坏,发生更大的事故。 蓝科泰达凭借其丰富的研发经验,为您提供高可用性系列产品和优质的服务,推出了蓝科泰达双机容错打包解决方案,目的在于保证数据永不丢失和系统永不停顿,同时为用户节省大量的开支。 蓝科泰达容错系统结合了蓝科泰达磁盘阵列产品的安全可靠性与双机容错技术高可用性的优点,相互配合二者的优势。蓝科泰达磁盘阵列针对双机容错技术做了许多优化和改进,满足了双机硬件的连接要求,根据应用环境的实际情况,适用于Windows2000平台以上,开放源代码Linux平台,SCO UNIX平台上的多种双机热备软件。 二、需求分析 企业关键业务一旦中断,企业的日常运作将受到致命的影响,那么就要求我们的系统在最短的时间内将系统恢复到正常状态。 所以我们要求双机软件能够实现以下几点: 1、异常终端检测 2、网络故障,系统故障,应用程序故障等全系统检测 3、当高可用系统中的某个节点故障,无须人工干预自动切换,保障系统运行 4、速度快(快速恢复) 贵单位业务平台,是以Windwos 2003 Server系统平台为基础,以SQL Server核心的数据库应用系统,该系统对稳定性要求很高、系统实时性和可用性提出要有连续运行的能力,系统一旦出现故障,其损失是惨重的。 因此,建议用户采用高可用技术,高可用系统在各个节点间保持的间歇的通讯,使系统中的独立节点组合成整体的一套系统,并使用PlusWell 软件可以保障该系统中的某一节点故障都可被PlusWell 软件所监控,如主服务器应用程序、网卡、操作系统,均纳入公共的安全体系,确保7*24的不停机。 比较典型的危及系统安全应用和系统错误主要有: (1)进程错误,比如用户应用与文件数据库的连接异常中断或用户进程 发生错误。 (2)文件系统故障,由于异常操作或其它原因造成文件系统内部部分信 息丢失或不一致。 (3)操作系统故障,操作系统本身的系统调用问题及底层的应用驱动在 安装或更新出现冲突; (4)网络线缆故障。 (5)介质问题,网络连接或物理硬盘也可能会出现问题。 方案拓扑:
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
目录结构 目录结构 (1) 一、群集介绍 (2) 二、群集专业术语 (2) 三、环境介绍及要求 (3) 1、网络拓扑结构 (3) 2、软件配置说明 (3) 3、硬件配置要求 (4) 四、安装群集前的准备工作 (5) 1、创建共享磁盘 (5) 2、网络及系统配置 (9) 五、安装群集服务 (20) 1、在A 节点上新建一个群集 (20) 2、将B 节点加入现有群集 (26) 六、配置群集服务 (31) 1、群集网络配置 (31) 2、心跳适配器优先化 (33) 3、仲裁磁盘配置 (34) 4、测试群集安装 (34) 七、故障转移测试 (37) 1、初级测试 (37) 2、高级测试 (38)
一、群集介绍 服务器群集是一组协同工作并运行Microsoft 群集服务(Microsoft Cluster Service,MSCS)的独立服务器。它为资源和应用程序提供高可用性、故障恢复、可伸缩性和可管理性。它允许客户端在出现故障和计划中的暂停时,依然能够访问应用程序和资源。如果群集中的某一台服务器由于故障或维护需要而无法使用,资源和应用程序将转移到可用的群集节点上。(说明:本文档编写的目的是为了帮助大家实现所关心的如何在VMWare Workstation 中完成,典型群集的配置步骤,不会具体的涉及到如何安装群集应用程序) 二、群集专业术语 节点: 构建群集的物理计算机 群集服务: 运行群集管理器或运行群集必须启动的服务 资源: IP 地址、磁盘、服务器应用程序等都可以叫做资源 共享磁盘: 群集节点之间通过光纤SCSI 电缆等共同连接的磁盘柜或存储 仲裁资源: 构建群集时,有一块磁盘会用来仲裁信息,其中包括当前的服务状态各个节点的状态以及群集转移时的一些日志 资源状态: 主要指资源目前是处于联机状态还是脱机状态 资源依赖: 资源之间的依存关系 组: 故障转移的最小单位 虚拟服务器: 提供一组服务--如数据库文件和打印共享等 故障转移: 应用从宕机的节点切换到正常联机的节点 故障回复: 某节点从宕机状态转为联机状态后,仍然继续宕机前的工作,为其他节点分流
Cisco catalyst 4506双机热备配置 catalyst4506#show run 刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。 Current configuration : 4307 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname 4506-1 ! enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561 ! ip subnet-zero no ip domain-lookup ! ! no file verify auto ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-1005 priority 24576 power redundancy-mode redundant ! ! vlan access-map vlan_map 10 action forward match ip address server_acl vlan access-map vlan_map 20 action drop match ip address vlan_acl vlan access-map vlan_map 30 action forward vlan filter vlan_map vlan-list 30-31,33-34,37,39,100-101,200,311 vlan internal allocation policy ascending !
双机热备的步骤 sybase双机问题 ,两台IBM3650,DS3400阵列,用的ROSEHA双机软件。SYBASE 12.5在win2003上不能自动启动,SYBASE应如何建库啊???lllenxue发表于2008-4-2814:07 看一下sybase的服务设置是不是自动启用的 建库进入控制台,建库之前先建设备,之后在设备上按你实际需要创建数据库 netmaple发表于2008-4-3009:33 这个知道呀,就是sybase做双机建库后备份机就不能起SYBASE服务了,不知道做双机如何建库 lllenxue发表于2008-4-3014:19 你参考一下这篇文章,希望对你能有所帮助 ROSE HA3107的安装过程(Sybase)
安装环境: 两台服务器(以下分别称为“服务器1”和“服务器2”,一套磁盘整列柜,Sybase数据库软件,ROSE HA3107软件。) 安装过程: 1、安装WINDOWS NT4.0 (1)在安装NT4.0的过程中,必须安装SNMP和Wins服务(WINDOWS网际名称服务)。 (2)将所有的驱动程序安装好,配置好网络。 (3)安装Services Pack。(SP4,SP5都可以) (4)在两台NT服务器的磁盘管理器中查看磁盘柜中将要安装数据库的卷的盘符是否相同,该盘符必须相同。 2、安装Sybase数据库 (1)在公共磁盘上建立Sybase目录,在其下建立Data,Install 两个子目录。 (2)关闭服务器2,在服务器1上安装Sybase数据库。在安装过程中,将程序文件安装在本地硬盘上,把库文件安装在磁盘柜上,然后重启计算机。 (3)安装完毕后,进入Sybase的Server Config中,删除数据库安装过程中默认建立的SQL Server,Backup Server,Monitor Server。 (4)将公共磁盘Sybase\Data目录下的Master.dat,Sybprocs.dat文件删除。
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
冷备份与热备份、双机热备与容错 冷备份与热备份、双机热备与容错 冷备份与热备份 一、冷备份 冷备份发生在数据库已经正常关闭的情况下,当正常关闭时会提供给我们一个完整的数据库。冷备份时将关键性文件拷贝到另外的位置的一种说法。对于备份Oracle信息而言,冷备份时最快和最安全的方法。冷备份的优点是:1、是非常快速的备份方法(只需拷文件) 2、容易归档(简单拷贝即可) 3、容易恢复到某个时间点上(只需将文件再拷贝回去) 4、能与归档方法相结合,做数据库“最佳状态”的恢复。 5、低度维护,高度安全。 但冷备份也有如下不足: 1、单独使用时,只能提供到“某一时间点上”的恢复。 2、再实施备份的全过程中,数据库必须要作备份而不能作其他工作。也就是说,在冷备份过程中,数据库必须是关闭状态。 3、若磁盘空间有限,只能拷贝到磁带等其他外部存储设备上,速度会很慢。 4、不能按表或按用户恢复。 如果可能的话(主要看效率),应将信息备份到磁盘上,然后启动数据库(使用户可以工作)并将备份的信息拷贝到磁带上(拷贝的同时,数据库也可以工作)。
冷备份中必须拷贝的文件包括: 1、所有数据文件 2、所有控制文件 3、所有联机REDO LOG文件 4、Init.ora文件(可选) 值得注意的使冷备份必须在数据库关闭的情况下进行,当数据库处于打开状态时,执行数据库文件系统备份是无效的。 下面是作冷备份的完整例子。 (1)关闭数据库 sqlplus /nolog sql>connect /as sysdba sql>shutdown normal; (2)用拷贝命令备份全部的时间文件、重做日志文件、控制文件、初始化参数文件 sql>cp (3)重启Oracle数据库 sql>startup 二、热备份 热备份是在数据库运行的情况下,采用archivelog mode方式备份数据库的方法。所以,如果你有昨天夜里的一个冷备份而且又有今天的热备份文件,在发生问题时,就可以利用这些资料恢复更多的信息。热备份要求数据库在Archivelog方式下操作,并需要大量的档案空间。一旦数据库运行在archivelog
JUNIPER双机热备配置 unset key protection enable set clock timezone 0 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nM9dBJrVGrCEc3RGssLAgHAtesLken" set admin auth web timeout 10 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "DMZ" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block unset zone "V1-Trust" tcp-rst unset zone "V1-Untrust" tcp-rst set zone "DMZ" tcp-rst unset zone "V1-DMZ" tcp-rst unset zone "VLAN" tcp-rst set zone "Trust" screen icmp-flood set zone "Trust" screen udp-flood set zone "Trust" screen winnuke set zone "Trust" screen port-scan set zone "Trust" screen ip-sweep
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。