防御笔记第七天(时需更新)

1.防火墙的可靠性:

因为防火墙不仅需要同步配置信息,还需要同步状态信息(会话表等),所以防火墙不能像路由器那样单纯靠动态协议来进行切换,还需要用到双击热备技术。

  1. 双机---目前双机技术仅仅支持两台防火墙的互备
  2. 热备---两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即代替原设备(也存在冷备的概念,仅工作一台设备,另外一台进行备份,备份设备仅同步配置,并不工作,只有在主设备出现故障时候,再由管理员替换工作,冷设备可能造成较长时间的业务中断)

2.VRRP---虚拟路由器冗余技术

3.VGMP---华为私有协议。

因为VRRP彼此是独立的,所以一个VRRP组进行切换不会直接导致其他组切换,在防火墙的双机热备场景之下,上下由两个VRRP组,需要同步切换,使用传统的上行链路监控比较复杂,所以设计了VGMP协议,来对VRRP进行统一的切换管理。

5主备形成场景:

  1. FW1被设定成为主设备---FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉到VGMP组中,并且状态都是active。
  2. FW2被设定为被设备—FW2中的VGMP的standby组被激活并且将上下两个VRRP组拉进VGMP的standby组中,并且状态都是standby。(VGMP中存在优先级概念,active组的默认优先级为65001,standby组的默认优先级为65000,并且,在VGMP中,所有的主设备都会成为active,所有的被设备都成为standby)
  3. 主设备上下两个VRRP组的接口将发送免费的ARP报文。

6.Fw1接口故障切换场景

  1. 假设fw1下的接口发生故障,接口状态会从active状态切换到initialize状态(接口故障的一个过度状态)
  2. VGMP组感知到接口变化,会降低自身的优先级(每一个接口发生故障则优先级会降低2)
  3. Fw1会项fw2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;
  4. FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己的standby 组的状态切换到active状态
  5. FW2的VGMP组状态发生变化,则组中的VRRP组状态同步发生变化,都从standby到active
  6. FW2回复FW1应答报文,表示允许切换
  7. FW1收到应答报文以后,将自身active状态从active切换到standby状态,并且其中的VRRP组同步切换到standby状态,不包含故障接口的状态,依旧是initialize状态
  8. FW2上下两个VRRP组将发送免费的ARP报文,让交换机切换mac地址表,之后所有的流量将会从FW2过。

注意:HRP---华为冗余协议----华为私有协议---可同步防火墙的状态和配置信息

配置信息---(接口IP地址,路由地址)-----hrp不能同步基本的接口和路由信息,安全策略和NAT策略…….

状态信息-----会话表,server-map,黑名单和白名单等等

HRP在进行双机热备时,还有一个要求,两台热设备之间,必须拥有一条链路,用来同步信息,并且,这条链路必须是三层链路---这两条路在进行数据传输时,不受安全策略的影响,(注意,如果心跳线是直连的,则不受安全策略的影响,但是中间有中继设备,即非直连场景,则需要配置安全策略)----心跳线----VGMP发送的报文也是通过心跳线传输的。

HRP会周期性的发送心跳报文,只有主设备发送,周期时间默认为1s如果设备在三个周期时间内没有收到对方的心跳报文,就会认定对方出现故障将以自身为主。

 7.HRP三种备份方式

  1. 自动备份---自动备份配置和状态信息,但是,配置信息可以立即自动备份,状态信息无法立即备份,智能通过短暂的延时之后,在进行备份。(备份时间大约在10s)
  2. 手工备份---由网络管理员手工触发,可以立即同步配置和状态信息
  3. 快速备份----该备份只针对负载分担场景。无法同步配置信息,仅能同步状态信息,并且可以立即同步状态信息。

8.各场景分析

  1. 主备形成场景

  2. 主备障碍切换场景:---接口故障

9.障碍发生的情况:

  1. 主备障碍切换场景----整机故障

整机故障可以通过保活机制来进行切换,主设备发生故障时则不会发送HRP心跳报文被设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;

  1. 原主设备故障恢复场景

根据有没有开启抢占分为两种不同的情况

  1. 如果没有开启抢占—原主设备继续以被设备身份工作
  2. 如果开启了抢占

10.负载分担场景

11负载分担接口故障场景

12.双机热配置;

如果勾选了主动抢占,则代表开启了抢占模式,默认开启了60s抢占延迟(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)

Hello报文周期就是保活报文的发送周期,默认是1s,可以修改但是,需要两边同时修改。否则可能导致对接不上

注意:1.虚拟mac地址勾选可以让切换对用户全过程无感知

  1. 如果虚拟IP地址和接口IP地址不在同一个网段,则匹配时必须配置子网掩码

HRP手工备份的位置

负载分担

13其他部署模式下的双机热备

  1. 双机热备直路部署-上下二层

  1. 双击直路部署-上下三层

防火墙透明部署---上下二层

这种情况下建议使用主备模式不要使用负载负载分担模式

防火墙透明带部署----上下三层

这种模式建议采用负载分担,并建议使用主备模式。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/872467.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CoCo_annotation_2017

【超级会员V4】通过百度网盘分享的文件:annotati… 链接:https://pan.baidu.com/s/14oipBkQCQ4FzN4gWNQ1oTw?pwdn827 提取码:n827 复制这段内容打开「百度网盘APP 即可获取」

环境配置|PyCharm——Pycharm本地项目打包上传到Github仓库的操作步骤

一、Pycharm端的设置操作 通过Ctrl+Alt+S快捷组合键的方式,打开设置,导航到版本控制一栏中的Git,在Git可执行文件路径中,输入Git.exe。 按照下图顺序,依次点击,完成测试。输出如图标④的结果,即可完成测试。 输出下图结果,配置Git成功,如本地未安装Git,需自行安装。

基于深度学习的游戏AI

基于深度学习的游戏AI涉及使用深度学习模型来提升游戏中的智能行为,包括自动化角色操作、环境交互、策略制定等。以下是这一领域的系统介绍: 1. 任务和目标 游戏AI的主要任务和目标包括: 角色控制:通过深度学习模型控制游戏中的…

自动化回滚的艺术:Conda包依赖的智能管理策略

自动化回滚的艺术:Conda包依赖的智能管理策略 在复杂的Python项目中,依赖管理往往成为开发过程中的一大挑战。Conda作为Anaconda发行版中的包管理器,提供了强大的依赖管理功能,包括自动回滚机制,以确保环境的稳定性。…

代码随想录第十二天|二叉树(5)

目录 LeetCode 669. 修剪二叉搜索树 LeetCode 108. 将有序数组转换为二叉搜索树 LeetCode 538. 把二叉搜索树转换为累加树 LeetCode 669. 修剪二叉搜索树 题目链接:LeetCode 669. 修剪二叉搜索树 思想:本题其实比较简单,首先就是遍历整棵…

鸿蒙特色物联网实训室

一、 引言 在当今这个万物皆可连网的时代,物联网(IoT)正以前所未有的速度改变着我们的生活和工作方式。它如同一座桥梁,将实体世界与虚拟空间紧密相连,让数据成为驱动决策和创新的关键力量。随着物联网技术的不断成熟…

LVS的NAT方式

1. NAT方式 NAT模式是常用的LVS模式之一。 在NAT模式下,LVS会将来自客户端的请求报文中的目的IP地址和端口,修改为LVS内部的IP地址和端口,然后把请求转发到后端服务器。 响应结果返回客户端的过程中,响应报文也要经过LVS的处理…

redis登录缓存

1.pom.xml中引入redis依赖 <!-- Redis依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-data-redis</artifactId></dependency> 2.将登录成功的token存储到redis中 if(Md5…

Python面试全攻略:基础知识、特性、算法与实战解析

随着Python的普及&#xff0c;越来越多的人开始学习Python并尝试在面试中展示自己的技能。在这篇文章中&#xff0c;我们将探讨Python面试需要注意的问题以及一些经典的Python算法。 一、Python面试需要注意的问题 基础知识 在Python面试中&#xff0c;基础知识是非常重要的。…

【雷丰阳-谷粒商城 】【分布式高级篇-微服务架构篇】【23】【订单服务】

持续学习&持续更新中… 守破离 【雷丰阳-谷粒商城 】【分布式高级篇-微服务架构篇】【23】【订单服务】 订单中心订单信息用户信息订单基础信息商品信息优惠信息支付信息物流信息 订单状态订单流程订单创建与支付逆向流程 订单确认页Feign远程调用丢失请求头问题Feign异步…

MD5/AES/RSA 替换为国密 SM3/SM4/SM2 实现前后端交互

APP-META / 元宇宙应用平台 基于 Spring Boot3、Vue3、Naive UI 构建&#xff0c;助力应用快速开发、发布、运维的低代码平台&#xff0c;旨在帮助使用者&#xff08;包含但不限于开发人员、业务人员&#xff09;快速响应业务需求 背景 目前平台使用的加解密算法为 MD5&#x…

LabVIEW设备检修信息管理系统

开发了基于LabVIEW设计平台开发的设备检修信息管理系统。该系统应用于各种设备的检修基地&#xff0c;通过与基地管理信息系统的连接和数据交换&#xff0c;实现了本地检修工位数据的远程自动化管理&#xff0c;提高了设备的检修效率和安全性。 项目背景 现代设备运维过程中信…

Microsoft Edge(简称Edge)

Microsoft Edge&#xff08;简称Edge&#xff09;是一款由微软开发的网页浏览器&#xff0c;它为用户提供了许多便捷的功能和选项。以下是Edge浏览器的使用方法&#xff1a; 一、基本使用方法 打开Edge浏览器&#xff1a; 可以在Windows的开始菜单中找到“Microsoft Edge”并点…

Codeforces Round 958 (Div. 2)

C o d e f o r c e s R o u n d 958 ( D i v . 2 ) \Huge{Codeforces Round 958 (Div. 2)} CodeforcesRound958(Div.2) 文章目录 Problems A. Split the Multiset题意思路标程 Problems B. Make Majority题意思路标程 Problems C. Increasing Sequence with Fixed OR题意思路标…

MySQL 进阶(四)【锁】

1、锁 1.1、锁的概述 锁就不需要多介绍了&#xff0c;多个用户访问共享数据资源&#xff0c;如何保证数据并发访问的一致性、有效性是数据库最重要的问题。同时&#xff0c;锁冲突也是影响一个数据库并发性能最重要的因素。 MySQL 中锁的划分有三类&#xff1a; 全局锁&…

2024-07-12升级问题:Android SDK升级导致 Canvas.FULL_COLOR_LAYER_SAVE_FLAG 等标志位无法使用

Canvas.FULL_COLOR_LAYER_SAVE_FLAG 是一个标志位&#xff0c;用于在 Android 的 Canvas 类中保存画布的颜色层。当使用 saveLayer() 方法时&#xff0c;可以传递这个标志位来指示保存整个颜色层。这样&#xff0c;在恢复画布状态时&#xff0c;颜色层也会被恢复。 工程从Andr…

力扣---46.全排列

给定一个不含重复数字的数组 nums &#xff0c;返回其 所有可能的全排列 。你可以 按任意顺序 返回答案。 示例 1&#xff1a; 输入&#xff1a;nums [1,2,3] 输出&#xff1a;[[1,2,3],[1,3,2],[2,1,3],[2,3,1],[3,1,2],[3,2,1]]示例 2&#xff1a; 输入&#xff1a;nums …

前后端工作重点小结

前端和后端的区分 前端&#xff08;Frontend&#xff09; 和 后端&#xff08;Backend&#xff09; 是 Web 开发中的两个主要部分&#xff0c;它们有不同的职责和技术栈。 前端&#xff08;Frontend&#xff09; 职责&#xff1a;负责用户界面的呈现和用户交互。主要语言&am…

Qt中While循环等待

QEventLoop的方法&#xff1a; .h文件 #ifndef CONTROLLER_H #define CONTROLLER_H#include <QWidget> #include <QPushButton> #include <QVBoxLayout> #include <QEventLoop> #include <QTimer> #include <QDebug>class Controller : …

如何通过网络快速搜寻到自己的STM32设备

目录 一、问题概述 二、解决思路 三、代码实现 1.创建任务 2.UDP广播接收 一、问题概述 以前一直用RS232串口修改设备配置信息&#xff0c;但是现场施工人员的232线太细&#xff0c;经常容易断掉&#xff0c;这次准备用网口去修改&#xff0c;遇到了一个问题&#xff0c;…