HCSCA105 HCNA-Security-CBSN 第五章 防火墙双机热备技术V2.5

SecPath-防火墙双机热备典型配置SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

双机热备⽬录1、双机热备基础概念双机热备是⼀种概念，各种设备均可以采⽤此概念进⾏部署，⽐如三层交换机、路由器、防⽕墙、服务器等。

如果仅部署⼀台设备，难免会有单点故障的风险，所以部署两台，⼀主⼀备较为保险，⼀台坏了，另⼀台⾃动“顶上”，保证业务不中断，这就是双机热备。

最常见的双机热备就是同时带着同⼀品牌的两台⼿机，A坏了，B登录A的账号，通讯录与邮箱会同步过来，与保证业务不中断。

NOTE：1. 等保三级以上要求必须要有冗余设备，关键设备必须是⼀主⼀备的，这样才能保证业务的稳定性。

双机热备是⽹络⼯程师必须熟练掌握的技术之⼀。

2. 防⽕墙的双机热备其它设备不同，防⽕墙的双机热备需要⼀条专门的备份通道，⽤于两台防⽕墙之间的协商主备状态，以及会话等状态信息。

双机热备主要包括主备备份和负载分担两个场景。

主备备份指正常情况下仅由主⽤设备处理业务，备⽤设备空闲；当主⽤设备接⼝、链路或整机故障时，备⽤设备切换为主⽤设备，接替主⽤设备处理业务。

负载分担也可以称为“互为主备”，即两台设备同时处理业务。

当其中⼀台设备发⽣故障时，另外⼀台会⽴即承担其业务，保证业务不中断。

2、链路聚合讲双机热备之前，必须先讲链路聚合和VRRP，因为双机热备是在这两个技术的基础上进⾏实现的。

2.1 链路聚合的基本概念因为以太⽹的信息传输率主要有：10Mbit/s、100Mbit/s、1000Mbit/s（1Gibt/s）、10Gibt/s、100Gibt/s，它们之间的关系呈10倍递增。

发送/接收速率为10Mbit/s的以太⽹端⼝称为标准以太⽹端⼝。

发送/接收速率为100Mbit/s的以太⽹端⼝称为快速以太⽹端⼝，简称FE（fast ethernet）。

发送/接收速率为1000Mbit/s的以太⽹端⼝称为千兆以太⽹端⼝，1000兆达到了吉，所以也称GE（gigabit ethernet）。

发送/接收速率为10Gbit/s的以太⽹端⼝称为万兆以太⽹端⼝，⼀吉等于1000兆，⼗吉就等于⼗个1000兆，⼗个1000就是⼀万，所以这种接⼝就被称为万兆以太⽹端⼝。

【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D 处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态？两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道？正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导？总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。

天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

第1章硬件设置HA的硬件配置如下表所示：网络拓朴图如下：第2章操作系统设置要配置数据库的HA，首先要配置操作系统的HA。

因此操作系统必须为Windows Advanced Server 或Windows DataCenter。

操作步骤如下：1.将服务器与盘柜断开，再将两台服务器的所有硬盘应该做成NTFS。

安装完操作系统并加到域中后，全部关闭。

2.将盘柜和两台服务器之间连接好后，都在关闭状态3.启动盘柜，并将盘柜做成三个物理分区，R，S和T，注意一定要是物理分区，不能是逻辑分区。

其中T作为仲裁盘，其大小为1G，R放DB2和DB2I2两个实例，S放DB2I1实例。

然后关闭盘柜。

4.只打开主服务器。

注意：开机的顺序是先开盘柜再开服务器，并且如果没有做好HA之前，绝对不能两台机器同时开。

5.在“网络和拨号连接”中可以看到两个网卡，找到心跳线所连的网卡，将其名称改为“Master_Private”，再将连到交换机的网卡改为”“Master_Public”。

6.关闭主服务器，打开备份服务器，在“网络和拨号连接”中可以看到两个网卡，找到心跳线所连的网卡，将其名称改为“Back_Private”，再将连到交换机的网卡改为”“Back_Public”。

并将两台机器的IP进行如下规划：A : public IP :23.47.0.8 private IP :10.0.0.1B: public IP :23.47.0.9 private IP:10.0.0.27 关闭两台服务器后，打开磁盘柜。

8 打开主服务器进行磁盘设置。

2.1 磁盘设置通过磁盘设置可以让两台服务器都能访问到盘柜，设置的步骤如下：进入计算机管理，点击磁盘管理，由于连上了盘柜，因此，系统弹出创建分区向导的对话框点击下一步选择主磁盘分区点击下一步输入主磁盘分区的容量，由于已经做过物理分区，因此容量即按所能分配的最大容量进行分配。

作好一个盘后，同样再做其它两个盘。

●企业虽然部署了杀毒软件和安全设备，但是依然存在如下问题：☐泄密事件屡禁不止：☐非授权访问：外来电脑、跨部门接入电脑、跨权限访问☐有意泄密：外设拷贝、聊天、文件传输、资产外出☐无意泄密：病毒木马蠕虫、恶意网站、资产丢失☐终端异常层现不穷：☐病毒、蠕虫、木马、流氓软件导致机器过慢；☐恶意代码或入侵事件导致网络或软件异常，使得IT人员沦为疲于奔命的“救火队员☐系统破坏、软件冲突导致频繁宕机，使得IT部门形象受损☐网络威胁防不胜防：☐病毒、蠕虫、源自终端的恶意攻击（入网络剪刀手、网络执法官等、ARP攻击）、网络资源滥用导致网络变慢甚至业务终端或应用系统异常●内网安全的诸多问题，困扰着IT管理和维护人员：☐休息日是否有外来终端接入？☐是否有不符合安全要求的终端接入？☐是否有越权访问重要服务器的行为？☐最近有没有泄密事件？☐本次网络事故是否由终端造成？☐安全制度有没有人违反？☐最近公司资产有没有流失？计划升级哪些硬盘？☐哪些终端安装了存在法律问题的软件？☐如何将办公软件或新补丁部署到上万台终端？☐分支机构的电脑出问题了，如何远程解决？☐信息泄密违规趋势？☐终端安全性和可用性趋势？☐安全法规、制度遵从性趋势？●据IDC统计报告和CSI/FBI 计算机犯罪与安全调查显示，存储介质滥用与失窃、未授权访问、重要信息资产泄密、IT系统漏洞、病毒及恶意代码、 IM即时通讯软件和非工作时间的Web访问已经成为企业面临的最严重的安全威胁之一。

而目前企业信息安全建设现状是，企业在严防死守外部黑客和病毒攻击的同时，却忽略了内部威胁。

从2大组织显示的报告得知，有大量的企业内部安全威胁正在对企业重要的信息资产造成严重的影响。

●因此，传统的边界防护措施在越来越多的内网安全风险面前，呈现出“形同虚设”态势。

所以，企业IT管理人员需要逐步将工作中心向内网安全防护转移。

●什么是终端安全？提到终端安全我们很容易联想到传统的防病毒软件、个人防火墙及补丁管理。

双机热备方案1. 介绍双机热备方案（Dual Server Hot Standby Solution）是一种常见的容灾技术，用于确保系统的高可用性和可靠性。

通过使用两台服务器，当其中一台服务器发生故障时，另一台服务器能够立即接管该服务器的工作，并保持服务的连续性。

在这种方案中，一台服务器处于主机状态，负责处理所有的工作请求，而另一台服务器则处于备机状态，等待接管主机的工作。

2. 实施原理双机热备方案的实施基于以下原理：•心跳机制：主机和备机之间会定期发送心跳信号以保持通信连接。

当主机无法正常发送心跳信号时，备机会假设主机发生故障，并迅速接管主机的工作。

•实时数据同步：主机和备机之间进行实时数据同步，确保备机上的数据与主机保持一致。

这样当主机发生故障时，备机可以无缝切换并继续处理客户端请求。

•故障检测和切换机制：备机会监测主机的运行状态，一旦检测到主机发生故障，备机会立即接管主机的工作，继续提供服务，并通知管理员进行相关处理。

3. 部署步骤以下是一个基本的双机热备方案的部署步骤：步骤1：选择硬件设备选择两台具有相同配置的服务器作为主机和备机。

确保服务器具备足够的处理能力和存储容量来处理和存储系统的数据。

步骤2：安装操作系统在主机和备机上安装相同版本的操作系统。

推荐使用稳定且可靠的操作系统，如Linux。

步骤3：安装服务软件安装所需的服务软件，如Web服务器、数据库服务器等。

确保主机和备机上的软件版本一致。

步骤4：配置双机热备方案配置主机和备机之间的心跳连接和数据同步。

使用专门的软件工具设置心跳连接，并确保主机上的数据能够实时同步到备机上。

步骤5：测试和验证进行测试和验证，确保主机和备机之间的切换过程可以顺利进行，并且系统能够正常工作。

测试过程中应模拟主机故障和切换，以验证备机能否正常接管主机的工作。

步骤6：监控和维护建立监控系统，实时监测主机和备机的运行状态。

定期进行维护和更新工作，以确保系统的可用性和稳定性。

•双机热备方案概述•双机热备方案的核心技术•双机热备方案的设计与实施•双机热备方案的测试与验证•双机热备方案的运维与管理•双机热备方案的案例分析01双机热备方案概述定义与特点定义双机热备方案是一种保障关键应用持续运行的解决方案，通过部署两台服务器并配置相应的软件，实现主从服务器之间的数据同步和故障切换。

自动切换具备自动检测和故障切换功能，无需人工干预。

01保障业务连续性关键业务应用对于企业来说至关重要，双机热备方案能够避免因服务器故障导致的业务中断。

02数据安全通过数据同步机制，有效防止数据丢失，确保数据的可靠性和完整性。

03提高服务质量提供稳定、高效的应用服务，提升用户体验和客户满意度。

重要性金融行业银行、证券等金融机构对于业务连续性和数据安全性要求极高，双机热备方案适用于核心业务系统。

电商行业电商平台在高峰期面临着巨大的流量压力，双机热备方案能够保障系统的稳定性和可用性。

政府机构政务系统涉及大量的公民个人信息和公共数据，双机热备方案有助于确保政务服务的正常运行。

其他关键应用领域如医疗、能源、交通等行业的核心业务系统，也可以采用双机热备方案来提高服务的可靠性和连续性。

适用场景02双机热备方案的核心技术01心跳检测是双机热备方案中的关键技术之一，用于监测主备服务器的工作状态。

02通过心跳线，主备服务器会定期发送心跳信号，以告知对方自己正常工作。

03如果备机长时间未收到主机的心跳信号，则认为主机出现故障，此时备机会接管主机的工作。

心跳检测技术01在双机热备方案中，主备服务器需要共享相同的物理资源，如CPU、内存和存储等。

02资源共享技术确保了主备服务器的数据一致性和业务连续性。

当主机出现故障时，备机能够迅速接管主机的工作，保证业务的连续性。

资源共享技术02自动切换技术数据同步技术是双机热备方案中的核心之一，用于确保主备服务器之间的数据一致性。

通过数据同步技术，主服务器上的数据变化会被实时复制到备用服务器上。

双机热备方案概述双机热备方案是一种实现系统高可用性的解决方案，通过使用两台物理服务器进行热备份，当主服务器发生故障时，备用服务器能够立即接管主服务器的工作，确保系统的持续可用性。

方案原理双机热备方案基于主备结构，在正常情况下，主服务器负责处理系统的所有请求和任务，备用服务器处于待命状态。

主服务器会将所有的数据和状态实时同步到备用服务器，确保备用服务器与主服务器保持一致。

当主服务器发生故障时，备用服务器会立即接管主服务器的功能，成为新的主服务器，保证系统的高可用性。

方案特点1.实时同步：主服务器与备用服务器之间实时同步数据和状态，保持一致性，确保在切换时不会丢失任何数据。

2.快速切换：备用服务器通过监控主服务器的状态和健康状况来实现快速切换，当主服务器发生故障时，备用服务器能够立即接管主服务器的功能。

3.自动切换：备用服务器能够自动检测主服务器的故障，并自动触发切换过程，减少人工干预的需求。

4.高可用性：双机热备方案能够有效地提高系统的可用性，当主服务器发生故障时，备用服务器能够快速接管工作，确保系统不会中断服务。

5.可扩展性：双机热备方案可以根据需要进行扩展，可以增加更多的备用服务器，提高系统的容错能力和可靠性。

6.成本效益：双机热备方案相对于其他高可用性方案来说，成本更低，适合中小企业使用。

方案实施双机热备方案的实施主要包括以下几个步骤：步骤一：选择适合的硬件设备和网络环境在实施双机热备方案之前，需要选择适合的硬件设备和网络环境，包括主服务器和备用服务器的选择，网络带宽的配置等。

确保硬件设备和网络环境能够满足系统的性能和可用性需求。

步骤二：安装和配置操作系统和软件在主服务器和备用服务器上安装和配置操作系统和所需的软件，确保系统和软件的版本一致，并进行必要的初始化和配置。

在这一步骤中，需要考虑数据库的备份和恢复策略，确保数据库的数据能够被备份和恢复。

步骤三：配置主备关系和实时同步在主服务器和备用服务器之间建立主备关系，并配置实时数据同步。

防火墙双机热备设计与应用作者：孙中诺来源：《电子技术与软件工程》2018年第03期摘要防火墙内外网通信，可通过防火墙信任区域与非信任区域，采用防火墙安全策略，实现内外网络通信。

使用单台防火墙可实现数据正常转发，但单台设备容易造成网络不可靠。

一旦直连链路或设备故障将会造成网络中断，内外网无法正常通信。

为了解决单点故障，采用防火墙双机热备组网方式，基于虚拟组管理协议，其中一台为主防火墙，另一台为备用防火墙，正常情况下主防火墙负责数据正常转发，当主防火墙或直连链路故障，备用防火墙担任主防火墙角色，实现链路数据正常转发，确保网络稳定性和可靠性。

【关键词】安全区域虚拟组管理协议心跳线1 防火墙双机热备拓扑结构与需求需求（如图1）：（1）按照网络拓扑结构，给出相应设备IP地址信息，华为防火墙USG5500FW1与USG5500FW2 g0/0/1端口属于trust区域，g0/0/2端口属于untrust区域，g0/0/3端口属于dmz 区域，全网采用OSPF路由协议，实现AR1能够与AR2正常通信。

（2）FW1为主防火墙，FW2为备用防火墙，通过心跳线，将防火墙配置信息和工作状态传递给备用防火墙。

当FW1防火墙出现故障或直连链路出现故障，主防火墙FW1失效，FW2备用防火墙担任主防火墙角色，实现链路数据正常转发。

（3）当主防火墙FW1恢复正常，备用防火墙FW2交还防火墙Master角色，继续作为Backup角色。

2 安全区域安全区域是一个或者多个接口所连接的网络。

防火墙提供缺省安全区域，本地区域（Local）、信任区域（Trust）、非军事化区域（Dmz）、非信任区域（Untrust），本地区域优先级为100，信任区域优先级为85、非军事化区域优先级为50、非信任区域优先级为5。

优先级的值越大，安全级别越高。

同一安全区域发送数据，不存在安全风险，不同区域之间发送数据会执行区域安全策略。

FW1防火墙配置：[FW1]firewall zone trust 进入防火墙trust区域[FW1-zone-trust]add interface g0/0/1 将g0/0/1端口加入到trust区域[FW1]firewall zone untrust进入防火墙untrust区域[FW1-zone-untrust]add interface g0/0/2将g0/0/2端口加入到untrust区域[FW1]firewall zone dmz 进入防火墙dmz区域[FW1-zone-untrust]add interface g0/0/3将g0/0/3端口加入到dmz区域同理防火墙FW2做相应的配置。

服务器双机热备教程服务器双机热备是一种提高服务器可用性和可靠性的技术手段，也被称为高可用性集群。

本文将详细介绍服务器双机热备的原理、配置步骤和注意事项。

一、原理介绍服务器双机热备的原理是将两台服务器配置为主备关系，主服务器负责处理用户请求，备服务器处于待机状态。

当主服务器发生故障或不可用时，备服务器会自动接管主服务器的工作，并继续提供服务，从而实现服务器的高可用性。

主备服务器之间通过心跳检测来监测对方的状态，常用的心跳检测方式有互ping和RS-232串口心跳。

当主服务器的心跳检测失败时，备服务器会发起切换请求，使其自己成为主服务器继续提供服务。

二、配置步骤1. 硬件准备：购买两台相同配置的服务器，确保服务器的硬件能够支持双机热备功能。

2. 系统安装：安装相同的操作系统和服务程序，并对操作系统进行适当的优化和调整。

3. 安装双机热备软件：选择适合的双机热备软件并进行安装配置。

常用的双机热备软件有Heartbeat、Keepalived等。

4. 配置主备服务器间的网络连接：可以通过专用网络线缆连接主备服务器的网口，实现高速、可靠的通信。

5. 配置双机热备软件：根据双机热备软件的要求进行配置，包括指定主服务器和备服务器，设置心跳检测方式和间隔时间等。

6. 测试和监控：进行功能测试，确保主备服务器间的切换正常可靠。

同时，配备监控系统，实时监控服务器的状态和性能。

三、注意事项1. 选择合适的双机热备软件：不同的双机热备软件有不同的特点和适用场景，需要根据自身需求选择适合的软件。

2. 确保硬件可靠性：服务器双机热备技术可以提高服务器的可用性，但如果硬件故障，双机热备也无法起到作用。

因此，选择可靠的服务器硬件非常重要。

3. 定期测试和演练：定期进行主备服务器间的切换测试，以确保切换过程的可靠性和服务的连续性。

同时，定期进行双机热备的演练，提高操作的熟练度。

4. 注意数据同步和一致性：主备服务器之间需要进行数据同步，以保证切换过程中数据的一致性。