SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换
摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:
目录
1 特性简介 (3)
1.1 双机热备的工作机制 (3)
2 特性使用指南 (4)
2.1 使用场合 (4)
2.2 配置指南 (4)
2.2.1 双机热备组网应用配置指南 (4)
2.2.2 双机热备应用涉及的配置 (4)
2.3 注意事项 (4)
3 支持的设备和版本 (5)
3.1 设备版本 (5)
3.2 支持的设备 (5)
3.3 配置保存 (5)
4 配置举例 (6)
4.1 典型组网 (6)
4.2 设备基本配置 (9)
4.2.1 其他共同配置: (9)
4.3 双机热备业务典型配置举例 (9)
4.3.1 透明模式+主备模式 (9)
4.3.2 透明模式+负载分担模式 (14)
4.3.3 路由模式+主备模式 (17)
4.3.4 路由模式+负载分担模式 (19)
4.3.5 路由模式+主备模式+支持非对称路径 (21)
4.3.6 路由模式+负载分担模式+支持非对称路径 (27)
4.3.7 动态路由模式组网 (32)
5 相关资料 (33)
1 特性简介
双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制
互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。另外需要使用专有的备份链路口进行会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高可靠性及高性能。
A.在命令行下无法配置双机热备,只能在WEB页面上配置;
WEB配置页面:
B.必须配置心跳口,心跳口也须在WEB页面上配置,指定一个物理口后保存,重启,
心跳口开始工作,心跳口在命令行和WEB页面下的接口管理中都不可见,但是双机
热备配置页面下可见。
C.没有主备设备之分,工作中的设备称为主用设备比较合适些,两台防火墙的会话信
息相互备份,主用设备上产生的会话会自动通过心跳口备份到备用设备上,目前只
有稳态的会话才会进行备份;
D.主要有两种模式的组网:静态路由模式和动态路由模式,静态路由模式组网依赖于
VRRP,当一台设备Down机后,Vrrp的主备状态发生切换,工作的防火墙随之切换;
动态路由模式依赖于动态路由协议,由于动态路由协议进行路由学习比VRRP切换
慢,所以路由模式的双机热备主用设备切换时间较长;在这两种组网的基础上又可
以配置为双主用模式、主备用模式;
E.目前版本仅支持对称路径的双机热备份,即报文来回都要通过同一台防火墙;若出
报文从A出,回来的报文从B返回的话,称为非对称路径,在以后的版本将支持非对
称的报文转发。
2 特性使用指南
2.1 使用场合
Secpath防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。
2.2 配置指南
2.2.1 双机热备组网应用配置指南
双机热备典型组网应用包括以下内容:
●透明模式+主备模式
●透明模式+负载分担模式
●路由模式+主备模式
●路由模式+负载分担模式
●路由模式+主备模式+支持非对称路径
●路由模式+负载分担模式+支持非对称路径
2.2.2 双机热备应用涉及的配置
用户必须在Web设置双机热备功能,命令行无法配置。
2.3 注意事项
双机热备关于Web配置根据具体实例再作说明。
3 支持的设备和版本
3.1 设备版本
[f5000a-1]_dis ver
H3C Comware Platform Software
Comware Software, Version 5.20, Beta 3203
Comware Platform Software Version COMWAREV500R002B62D001
H3C SecPath F5000-A5 Software Version V300R002B01D012
Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
Compiled Oct 31 2008 14:56:27, RELEASE SOFTWARE
H3C SecPath F5000-A5 uptime is 0 week, 0 day, 0 hour, 51 minutes
CPU type: RMI XLR732 1000MHz CPU
2048M bytes DDR2 SDRAM Memory
4M bytes Flash Memory
MPUA PCB Version:Ver.A
SWBA PCB Version:Ver.A
MPUA Basic Logic Version:133.0
MPUA Extend Logic Version:133.0
SWBA Logic Version:132.0
MPUA LX30T FPGA Version: 3.08
Basic BootWare Version: 1.02
Extend BootWare Version: 1.02
[FIXED PORT] CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0
[FIXED PORT] AUX (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0
[FIXED PORT] M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0
[SUBCARD 1] NSQ1GT8C40 (Hardware)Ver.A, (Driver)1.0, (Cpld)134.0
[SUBSLOT 2] The SubCard is not present
[SUBSLOT 3] The SubCard is not present
[SUBSLOT 4] The SubCard is not present
3.2 支持的设备
Secpath F5000-A5
3.3 配置保存
每次配置完成后,注意进行配置的保存。
系统管理 > 配置维护 > 配置保存,点击<确定>。
4 配置举例
4.1 典型组网
图1 双机热备(路由)典型组网
F1000E (主)
F5000A-A
F5000A-B
S56A
S56B
Trust 域:Untrust 域:
G1/6
A
vlan11
B
vlan11
C
vlan12
D
vlan12
E
vlan12
G
vlan11
G1/9G1/6
G1/9
G1/8
G1/8
G0/2G0/3
G1/0/13PC-B:150.1.1.2
PC-C 160.1.1.2
G1/0/13
G1/0/14
图2 双机热备(透明)典型组网
F1000e-01
图3 双机热备(非对称主备)典型组网
图4 双机热备(非对称双主)典型组网
4.2 设备基本配置
4.2.1 其他共同配置:
(1) 接口模式:M-G0/0为管理接口
Interface Physical Protocol IP Address
M-GigabitEthernet0/0 up up 192.1.1.1
4.3 双机热备业务典型配置举例
4.3.1 透明模式+主备模式
1. 功能简述
主备模式就是只有一台防火墙处于工作状态,另一台处于备用状态,当主用设
备Down机后,备用设备会接管工作。
2. 典型配置步骤(组网图2 )
1、防火墙运行在二层模式,配置如图所示的Vlan;
F5000A-B 配置:
[f5000a-2]dis cu
sysname f5000a-2
#
vlan 12
#
interface GigabitEthernet1/6
port link-mode bridge
port access vlan 12
#
interface GigabitEthernet1/8
port link-mode bridge
port access vlan 12
#
interface GigabitEthernet1/9
port link-mode bridge
port access vlan 12
F5000A-A 配置:
[f5000a-1]dis cu
sysname f5000a-1 #
vlan 11
# interface GigabitEthernet1/6
port link-mode bridge
port access vlan 11
# interface GigabitEthernet1/8
port link-mode bridge
port access vlan 11
#
interface GigabitEthernet1/9
port link-mode bridge
port access vlan 11
2、路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、
vlan12两个网段;提供两个网关(15.1.1.1和16.1.1.1),并分别指回程路由。
F1000E 配置:
[f1000e]dis cu
# interface GigabitEthernet0/2
port link-mode route
ip address 15.1.1.1 255.255.255.0 #
interface GigabitEthernet0/3
port link-mode route
ip address 16.1.1.1 255.255.255.0 # ip route-static 150.1.1.0 255.255.255.0 15.1.1.2
ip route-static 150.1.1.0 255.255.255.0 16.1.1.2 preference 100
ip route-static 160.1.1.0 255.255.255.0 15.1.1.3
ip route-static 160.1.1.0 255.255.255.0 16.1.1.3 preference 100
3、 S56A和S56B上配置静态路由分别指向这两个网关,配置两条路由,使优先级
不同。实现当链路断时,使优先级高的静态路由失效。
S56A 配置:
[lsw-up]dis cu
#
vlan 11 to 14
#
interface Vlan-interface11
ip address 15.1.1.2 255.255.255.0
#
interface Vlan-interface12
ip address 16.1.1.2 255.255.255.0
#
interface Vlan-interface13
ip address 150.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/11
port access vlan 11
#
interface GigabitEthernet1/0/12
port access vlan 12
#
interface GigabitEthernet1/0/13
port access vlan 13
#
interface GigabitEthernet1/0/14
port access vlan 14
# ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60
ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100
S56B 配置:
[lsw-down]dis cu #
sysname lsw-down #
vlan 11 to 14
#
interface Vlan-interface11
ip address 15.1.1.3 255.255.255.0
#
interface Vlan-interface12
ip address 16.1.1.3 255.255.255.0
#
interface Vlan-interface13
ip address 160.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/11
port access vlan 11
#
interface GigabitEthernet1/0/12
port access vlan 12
#
interface GigabitEthernet1/0/13
port access vlan 13
#
interface GigabitEthernet1/0/14
port access vlan 14 #
ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60
ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100
B.WEB 配置:
1.首先把F5000A相关接口加入域;
2.把需要联动的接口加入到同一联动组。一旦其中一个接口down丢,组内
其他接口同样down丢。配置切换时F5000A结合透明方式接口组联动来实现
3. 验证结果
●从PC-B到PC-A,从PC-C到PC-A通过默认路由,默认都走F5000A-A
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
Press CTRL_C to break
1 160.1.1.1
2 ms 1 ms 1 ms
2 15.1.1.1 1 ms 0 ms 1 ms
3 155.1.1.10 0 ms 1 ms 0 ms
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
1 150.1.1.1 11 ms 5 ms 6 ms
2 15.1.1.1 19 ms
3 ms 8 ms
3 155.1.1.10 9 ms 3 ms 3 ms
●当F5000A-A出现故障后,则切换到F5000A-B上
[PC-B]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
Press CTRL_C to break
1 160.1.1.1 1 ms
2 ms 1 ms
2 16.1.1.1 0 ms 1 ms 0 ms
3 155.1.1.10 1 ms 1 ms 0 ms
[PC-C]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
1 150.1.1.1 11 ms 4 ms 7 ms
2 16.1.1.1 19 ms
3 ms 9 ms
3 155.1.1.10 8 ms 3 ms
4 ms
4. 注意事项
●本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。
4.3.2 透明模式+负载分担模式
1. 功能简述
双主组网就是两台防火墙都处于工作状态,每台设备负责转发一部分流量,实现负载分担,而当任一台设备Down机后,另一台设备会接管全部工作。
2. 典型配置步骤(组网图2 )
1、负载分担模式和主备模式区别在于路由配置。
2、路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、
vlan12两个网段;提供两个网关(15.1.1.1和16.1.1.1),
F1000E 配置:
[f1000e]dis cu # interface GigabitEthernet0/2
port link-mode route
ip address 15.1.1.1 255.255.255.0 #
interface GigabitEthernet0/3
port link-mode route
ip address 16.1.1.1 255.255.255.0 # ip route-static 150.1.1.0 255.255.255.0 15.1.1.2
ip route-static 150.1.1.0 255.255.255.0 16.1.1.2 preference 100
ip route-static 160.1.1.0 255.255.255.0 16.1.1.3
ip route-static 160.1.1.0 255.255.255.0 15.1.1.3 preference 100
3、S56A和S56B上配置静态路由分别指向这两个网关,配置两条路由,使优先级
不同。为了实现当链路断时,使优先级高的静态路由失效,配置切换时结合透
明方式接口组联动来实现。F1000E上分别指回程路由,使防火墙负载分担。
S56A 配置:
[lsw-up]dis cu #
vlan 11 to 14
#
interface Vlan-interface11
ip address 15.1.1.2 255.255.255.0
#
interface Vlan-interface12
ip address 16.1.1.2 255.255.255.0
#
interface Vlan-interface13
ip address 150.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/11
port access vlan 11
#
interface GigabitEthernet1/0/12
port access vlan 12
#
interface GigabitEthernet1/0/13
port access vlan 13
#
interface GigabitEthernet1/0/14
port access vlan 14
# ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60
ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100
S56B 配置:
[lsw-down]dis cu #
sysname lsw-down #
vlan 11 to 14
#
interface Vlan-interface11
ip address 15.1.1.3 255.255.255.0
#
interface Vlan-interface12
ip address 16.1.1.3 255.255.255.0
#
interface Vlan-interface13
ip address 160.1.1.1 255.255.255.0
# interface GigabitEthernet1/0/11
port access vlan 11
#
interface GigabitEthernet1/0/12
port access vlan 12
#
interface GigabitEthernet1/0/13
port access vlan 13
#
interface GigabitEthernet1/0/14
port access vlan 14 #
ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 60
ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 100
3. 验证结果
●从PC-B到PC-A,从PC-C到PC-A通过默认路由进行负载分担,分别走
F5000A-1 和F5000A-2
[PC-B]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
1 150.1.1.1 11 ms 6 ms 8 ms
2 15.1.1.1 16 ms
3 ms 9 ms
3 155.1.1.10 8 ms
4 ms 3 ms
[PC-C]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
Press CTRL_C to break
1 160.1.1.1 1 ms
2 ms 1 ms
2 16.1.1.1 0 ms 1 ms 0 ms
3 155.1.1.10 1 ms 0 ms 1 ms
●当F5000A-1 和F5000A-2中有一个接口down了,则切换到另一台上。
如F5000A-1一个接口down,则切换到F5000-B上。
[PC-B]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
1 150.1.1.1 11 ms 4 ms 7 ms
2 16.1.1.1 9 ms
3 ms 3 ms
3 155.1.1.10 1
4 ms 3 ms 9 ms
[PC-C]tracert 155.1.1.10
traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet
1 150.1.1.1 11 ms 4 ms 7 ms
2 16.1.1.1 9 ms
3 ms 3 ms
3 155.1.1.10 1
4 ms 3 ms 9 ms
4. 注意事项
●本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。
4.3.3 路由模式+主备模式
1. 功能简述
静态路由模式需要同时配置Vrrp以支持主备用设备的切换。所谓主备模式就是只有一台防火墙处于工作状态,另一台处于备用状态,当主用设备Down机后,备
用设备会接管工作。
2. 典型配置步骤(组网图2 )
(1) 命令行下进行如下配置:
F5000a-1 配置:(作为主用设备)
nat address-group 1 102.0.1.1 102.0.1.254 level 1 #
acl number 3001 rule 0 permit ip source 101.0.5.0 0.0.0.255 rule 5 permit ip source 101.0.6.0 0.0.0.255 # interface GigabitEthernet1/0
port link-mode route
ip address 101.0.0.254 255.255.0.0 vrrp vrid 1 virtual-ip 101.0.0.1 vrrp vrid 1 priority 105 vrrp vrid 1 track interface GigabitEthernet1/1
# interface GigabitEthernet1/1
port link-mode route
ip address 102.0.0.254 255.255.0.0 vrrp vrid 1 virtual-ip 102.0.0.1 vrrp vrid 1 priority 105 vrrp vrid 1 track interface GigabitEthernet1/0
nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track
vrrp 1
#(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为
应答!)
F5000a-2配置:(作为备用设备)
nat address-group 1 102.0.1.1 102.0.1.254 level 1 #
acl number 3001 rule 0 permit ip source 101.0.5.0 0.0.0.255 rule 5 permit ip source 101.0.6.0 0.0.0.255 //与主用设备配置要一致
# interface GigabitEthernet1/0
port link-mode route
ip address 101.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 101.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/1
# interface GigabitEthernet1/1
port link-mode route
ip address 102.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 102.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/0
nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track
vrrp 1
#(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为
应答!)
PC机IP配置:
Server:155.1.1.10
PC1:101.0.0.13
PC2:101.0.6.2
3. 验证结果
(1) 从Server可以ping通pc1(转换后的102.0.0.13)。
(2) 从pc1可以访问Server 的ftp/http/telnet等业务。
4. 注意事项
●
4.3.4 路由模式+负载分担模式
1. 功能简述
双主组网就是两台防火墙都处于工作状态,每台设备负责转发一部分流量,实现负载分担,而当任一台设备Down机后,另一台设备会接管全部工作,要实现双
主组网要配置至少两个VRRP组以产生两个网关,每台设备分别是一个网关的主用
设备,若使用NAT则至少要配置两个地址池以进行地址转换。
2. 典型配置步骤(组网图2 )
(1) 命令行配置如下:
F5000a-1配置:
#
nat address-group 1 102.0.1.1 102.0.1.254 level 1
nat address-group 2 102.0.2.1 102.0.2.254 level 1
#
acl number 3001
rule 0 permit ip source 101.0.5.0 0.0.0.255
rule 5 permit ip source 101.0.6.0 0.0.0.255
acl number 3002
rule 0 permit ip source 101.0.7.0 0.0.0.255
rule 5 permit ip source 101.0.8.0 0.0.0.255
#
interface GigabitEthernet1/0
port link-mode route
ip address 101.0.0.254 255.255.0.0
vrrp vrid 1 virtual-ip 101.0.0.1
vrrp vrid 1 priority 105
vrrp vrid 1 track interface GigabitEthernet1/1
vrrp vrid 2 virtual-ip 101.0.0.2
vrrp vrid 2 track interface GigabitEthernet1/1
#
interface GigabitEthernet1/1
port link-mode route
ip address 102.0.0.254 255.255.0.0
vrrp vrid 1 virtual-ip 102.0.0.1
vrrp vrid 1 priority 105
vrrp vrid 1 track interface GigabitEthernet1/0
vrrp vrid 2 virtual-ip 102.0.0.2
vrrp vrid 2 track interface GigabitEthernet1/0
nat outbound 3002 address-group 2 track vrrp 2 nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track
vrrp 1
#(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为
应答!)
F5000a-2 配置:
nat address-group 1 102.0.1.1 102.0.1.254 level 1
nat address-group 2 102.0.2.1 102.0.2.254 level 1
#
acl number 3001 rule 0 permit ip source 101.0.5.0 0.0.0.255 rule 5 permit ip source 101.0.6.0 0.0.0.255
acl number 3002 rule 0 permit ip source 101.0.7.0 0.0.0.255 rule 5 permit ip source 101.0.8.0 0.0.0.255
#(这儿与主用设备配置要一致!)
# interface GigabitEthernet1/0
port link-mode route
ip address 101.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 101.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/1
vrrp vrid 2 virtual-ip 101.0.0.2 vrrp vrid 2 priority 105 vrrp vrid 2 track interface GigabitEthernet1/1
# interface GigabitEthernet1/1
port link-mode route
ip address 102.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 102.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/0
vrrp vrid 2 virtual-ip 102.0.0.2 vrrp vrid 2 priority 105 vrrp vrid 2 track interface GigabitEthernet1/0
nat outbound 3002 address-group 2 track vrrp 2 nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track
vrrp 1
#(track vrrp关键字,意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
双机热备解决方案 1.1 双机备份方案描述 现代IT技术认为,一个成功系统中数据及作业的重要性已远超过硬件设备本身,在一套完善的系统中对数据的安全及保障有着极高的要求。双机容错系统是由IBM公司提出的全套集群解决方案,结合IBM 服务器产品的安全可靠性和集群技术的优点,为用户提供一个完善的系统。 1.1.1 双机备份方案的原理 两台服务器通过磁盘阵列或纯软件模式,连接成为互为备份的双机系统,当主服务器停机后,备份服务器能继续工作,防止用户的工作被中断。 1.1.2 双机备份方案的适用范围 用户对系统的连续工作性和实时性要求较高,系统停机对系统的影响很大,造成很大的损失。 1.1.3 双机备份的方式及优缺点 磁盘阵列备份方式—— 两台服务器通过磁盘阵列连接起来,形成备份系统,此方法硬件投资 大,价格较贵,但系统易于安装,也相对稳定。 磁盘阵列备份模式示意图 1.2双机备份方案 由IBM系列产品组成硬盘备份模式 主机:采用IBM X255 主机网卡:采用IBM 10/100/1000MM网卡 磁盘阵列:采用EXP300 磁盘阵列, 配制RAID 5 具体实现方法参见后面章节附图和说明 IBM X255结合EXP300磁盘阵列的双机方案
系统简述: 整个系统由两台IBM高端服务器X255和EXP 300磁盘阵列构成双机备份模式,双台服务器互为备份,当一台服务器出现问题停机时,另一台服务器能实时接管中断的工作,保证业务系统的正常运行。EXP 300磁盘柜磁盘具有热插拔功能,具可以灵活组成RAID模式,当一块硬盘损坏,数据可以恢复,保证数据不丢失。 1 .3 IBM PC 服务器双机容错系统解决方案 由于采用了双机容错的集群结构,系统具有极高的可靠性。两台服务器可以作为一个整体对网络提供服务,且相互间互为监控。集群具有一定的负载平衡功能,可将一个任务的多个进程分摊到两台服务上运行,提高系统的整体性能。当一台服务器发生故障时,其上所运行的进程及服务可以自动地由另一台服务器接管,保证网络用户的工作不受影响。同时,如果系统采用RAID技术对数据进行保护,可确保重要数据不因系统故障而造成损失。 特点: 高可靠性 支持冗余磁盘阵列 冗余电源和风扇设计 所有部件均支持热插拔 主机可各自运行自己的应用,互为备份,共享磁盘数据 高性能单块IBM ServeRAID卡数据传输带宽可达 160MB/s 数据传输I/O可达3000次/s 主机与磁盘间的距离可达20米 高可用性 可扩展性强/性能价格比高/高容错性,系统安全高效 产品介绍(略,有兴趣的朋友可以去IBM网站看看详细的介绍)
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
防火墙双机热备配置案例精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID 相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 主墙
UPS电源安装实施方案 1.双机集群介绍 1.1.双机集群的原理说明 双机容错是计算机应用系统稳定、可靠、有效、持续运行的重要保证。它通过系统冗余的方法解决计算机应用系统的可靠性问题,并具有安装维护简单、稳定可靠、监测直观等优点。当一台主机出现故障的时候,可及时启动另一台主机接替原主机任务,保证了用户数据的可靠性和系统的持续运行。在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。 双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前采用较多的一种模式。
Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例(双机热备) 1.设置时间 switch#config t switch(config)#clock timezone GMT8;配置时区 switch(config)#clock set13:30:2131JAN2004;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config
6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307
1.1防火墙典型配置举例
[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound
双机热备主备方式OSPF组网配置 指导手册 关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明:2 2主防火墙配置步骤:2 2.1 配置接口地址5 2.2 配置安全区域6 2.3 配置双机热备8 2.4 配置接口联动11 2.5 配置NAT11 2.6 配置OSPF动态路由协议15 2.7 配置NQA18 2.8 配置静态缺省路由与TRACK 1绑定19 2.9 配置OSPF发布缺省路由20 3备防火墙配置步骤:20 2.1 配置接口地址22 2.2 配置安全区域24 2.3 配置双机热备25 2.4 配置接口联动28 2.5 配置NAT28 2.6 配置OSPF动态路由协议33 2.7 配置NQA35 2.8 配置静态缺省路由与TRACK 1绑定36 2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明: 组网说明: 防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求: 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。 2 主防火墙配置步骤: 1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。 3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
双机热备的数据备份和灾难备份方案 一、方案背景 1. 用户目前数据环境及需求 根据提供的信息,目前用户的系统环境如下描述:操作系统:Windows 操作系统,关键数据:VSS 数据库现在用户要备份的服务器为2台数据库服务器做双机热备集群,整个系统对于备份的要求:备份系统稳定可靠,保证随时能够备份/还原关键数据;对服务器有灾备的考虑,操作系统崩溃时能通过灾难备份快速恢复操作系统。同时考虑远期建设目标平滑过渡,避免重复投资。 2. 用户目前状态和存在的问题 目前用户双机服务器拓扑图如下,这样的方式存在以下问题: a) 由于主机与备机及磁盘阵列中的数据都没有备份,一旦发生磁盘阵列数据丢失、主机与备机数据丢失事故时,将会造成重大损失。 b) 当服务器操作系统崩溃时,无法快速恢复。 二、设计方案 1. 设计原则 根据上述问题建议的备份方案应该遵循以下原则:备份系统应该支持Open File 热备份功能磁盘阵列连接在专用的备份服务器上、对双机集群中的2台机器都能进行数据备份、备份软件支持定时计划备份、备份软软件支持服务器灾难备份、备份软件提供网络集中备份功能,能集中备份网络上其余SQL Server、ORACLE或文件数据,提供良好的扩展性。 2. 方案的设计 依据上述设计原则,建议采用爱数备份软件专业备份软件安装在一台备份服务器上,通过网络对双机系统进行数据备份和操作系统灾难备份。Backup Exec 作为专业的备份软件,具有以下优点: c) 专业的企业网络集中备份解决方案,一台备份服务器可以备份网络上多台服务器数据(文件服务器、VSS服务器、数据库服务器、邮件服务器等) d) 备份软件支持Open file 热备份功能,能对正在使用的数据进行备份。 e) 能根据需要制定灵活多变的备份计划任务 f) 支持服务器操作系统崩溃灾难备份/恢复
Cisco catalyst 4506双机热备配置 catalyst4506#show run 刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。 Current configuration : 4307 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname 4506-1 ! enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561 ! ip subnet-zero no ip domain-lookup ! ! no file verify auto ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-1005 priority 24576 power redundancy-mode redundant ! ! vlan access-map vlan_map 10 action forward match ip address server_acl vlan access-map vlan_map 20 action drop match ip address vlan_acl vlan access-map vlan_map 30 action forward vlan filter vlan_map vlan-list 30-31,33-34,37,39,100-101,200,311 vlan internal allocation policy ascending !
存储集群双机热备方案
目录 一、前言 (3) 1、公司简介 (3) 2、企业构想 (3) 3、背景资料 (4) 二、需求分析 (4) 三、方案设计 (5) 1.双机容错基本架构 (5) 2、软件容错原理 (6) 3、设计原则 (7) 4、拓扑结构图 (7) 四、方案介绍 (10) 方案一1对1数据库服务器应用 (10) 方案二CLUSTER数据库服务器应用 (11) 五、设备选型 (12) 方案1:双机热备+冷机备份 (12) 方案2:群集+负载均衡+冷机备份 (13) 六、售后服务 (15) 1、技术支持与服务 (15) 2、用户培训 (15)
一、前言 1.1、公司简介 《公司名称》成立于2000年,专业从事网络安全设备营销。随着业务的迅速发展,经历了从计算机营销到综合系统集成的飞跃发展。从成立至今已完成数百个网络工程,为政府、银行、公安、交通、电信、电力等行业提供了IT相关系统集成项目项目和硬件安全产品,并取得销售思科、华为、安达通、IBM、HP、Microsoft等产品上海地区市场名列前茅的骄人业绩。 《公司名称》致力于实现网络商务模式的转型。作为国内领先的联网和安全性解决方案供应商,《公司名称》对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全国各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。 《公司名称》推出的一系列互联网解决方案,提供所需的安全性和性能来支持国内大型、复杂、要求严格的关键网络,其中包括国内的20余家企事业和政府机关. 《公司名称》成立的唯一宗旨是--企业以诚信为本安全以创新为魂。今天,《公司名称》通过以下努力,帮助国内客户转变他们的网络经济模式,从而建立强大的竞争优势:(1)提出合理的解决方案,以抵御日益频繁复杂的攻击 (2)利用网络应用和服务来取得市场竞争优势。 (3)为客户和业务合作伙伴提供安全的定制方式来接入远程资源 1.2、企业构想 《公司名称》的构想是建立一个新型公共安全网络,将互联网广泛的连接性和专用网络有保障的性能和安全性完美地结合起来。《公司名称》正与业界顶尖的合作伙伴协作,通过先进的技术和高科产品来实施这个构想。使我们和国内各大企业可通过一个新型公共网络来获得有保障的安全性能来支持高级应用。 《公司名称》正在帮助客户改进关键网络的经济模式、安全性以及性能。凭借国际上要求最严格的网络所开发安全产品,《公司名称》正致力于使联网超越低价商品化连接性的境界。《公司名称》正推动国内各行业的网络转型,将今天的"尽力而为"网络改造成可靠、安全的高速网络,以满足今天和未来应用的需要。 1.3、背景资料 随着计算机系统的日益庞大,应用的增多,客户要求计算机网络系统具有高可靠,高
JUNIPER双机热备配置 unset key protection enable set clock timezone 0 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nM9dBJrVGrCEc3RGssLAgHAtesLken" set admin auth web timeout 10 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "DMZ" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block unset zone "V1-Trust" tcp-rst unset zone "V1-Untrust" tcp-rst set zone "DMZ" tcp-rst unset zone "V1-DMZ" tcp-rst unset zone "VLAN" tcp-rst set zone "Trust" screen icmp-flood set zone "Trust" screen udp-flood set zone "Trust" screen winnuke set zone "Trust" screen port-scan set zone "Trust" screen ip-sweep
服务器双机热备方案精 编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备方案 双机热备针对的是服务器的临时故障所做的一种备份技术,通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。 1.集群技术 在了解双机热备之前,我们先了解什么是集群技术。 集群(Cluster)技术是指一组相互独立的计算机,利用高速通信网络组成一个计算机系统,每个群集节点(即集群中的每台计算机)都是运行其自己进程的一个独立服务器。这些进程可以彼此通信,对网络客户机来说就像是形成了一个单一系统,协同起来向用户提供应用程序、系统资源和数据,并以单一系统的模式加以管理。一个客户端(Client)与集群相互作用时,集群像是一个独立的服务器。计算机集群技术的出发点是为了提供更高的可用性、可管理性、可伸缩性的计算机系统。一个集群包含多台拥有共享数据存储空间的服务器,各服务器通过内部局域网相互通信。当一个节点发生故障时,它所运行的应用程序将由其他节点自动接管。 其中,只有两个节点的高可用集群又称为双机热备,即使用两台服务器互相备份。当一台服务器出现故障时,可由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续对外提供服务。可见,双机热备是集群技术中最简单的一种。 2. 双机热备适用对象 一般邮件服务器是要长年累月工作的,且为了工作上需要,其邮件备份工作就绝对少不了。有些企业为了避免服务器故障产生数据丢失等现象,都会采用RAID技术和数据备份
技术。但是数据备份只能解决系统出现问题后的恢复;而RAID技术,又只能解决硬盘的问题。我们知道,无论是硬件还是软件问题,都会造成邮件服务的中断,而RAID及数据备份技术恰恰就不能解决避免服务中断的问题。 要恢复服务器,再轻微的问题或者强悍的技术支持,服务器都要中断一段时间,对于一些需要随时实时在线的用户而言,丢失邮件就等于丢失金钱,损失可大可小,这类用户是很难忍受服务中断的。因此,就需要通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。 3. 实现方案 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式。 1)基于共享的存储设备的方式 基于存储共享的双机热备是双机热备的最标准方案。对于这种方式,采用两台服务器(邮件系统同时运行在两台服务器上),使用共享的存储设备磁盘阵列(邮件系统的数据都存
SecBlade防火墙插卡配置管理典型配置举例 关键词:配置管理,备份 摘要:配置管理模块主要用于对SecBlade防火墙插卡进行配置保存(加密和非加密)、备份、配置恢复和恢复出厂配置,用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语: 缩略语英文全名中文解释 - - -
目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)
1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置,如果将配置信息备份下来,打开文件查看时,看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护,当配置修改后,可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来,用于日后的配置恢复。如果想清空配置信息时,可以恢复出厂配置。 3 注意事项 (1) 软件升级时,尽量在流量少的时候操作,以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中,设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网(内网)接口配置地址为192.168.252.98/22,加入ManageMent域,使GE0/1成为管理口。
RoseMirrorHA镜像服务器双机热备解决方
案及具体配置 . 一、双机热备拓扑图以及工作原理 专业资料Word .
双机热备工作示意图 二、双机热备方案介绍操作系统和应用程序是安装在两台服务器的本地系统盘在高可用性方案中,数据的集磁盘阵列集中管理和数据备份的。上的,而整个网络系统的数据是通过将所有站点的数据直接从中央存储设备来读取和中管理是通过双机热备份系统,用户的数极大地保护了数据的安全性和保密性。存储,并由专业人员进行管理,备机主动替代主机工在一台服务器出现故障时,据存放在外接共享磁盘阵列中,作,保证网络服务不间断。 心双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系”跳统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统双机软件无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(专业资料 Word .
RoseHA)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。 双机备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即双机热备模式、双机互备模式和双机双工模式。下面分别予以简单介绍: 双机热备模式即目前通常所说的active/standby 方式,active服务器?处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前最理想的一种模式。 双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均?设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。服务器配置相对要好。 双机双工模式: 是目前Cluster(集群)的一种形式,两台服务器均为?活动状态,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。WEB服务器或FTP服务器等用此种方式比较多。 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式,低成本模式。 基于存储共享的双机热备是双机热备的最标准方案。这种方式采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用热备(主从)、互备、双工(并行)等不同的方式。在工作过程中,两台服专业资料 Word .
RoseMirrorHA镜像服务器双机热备解决方案 及具体配置
一、双机热备拓扑图以及工作原理
双机热备工作示意图 二、双机热备方案介绍 在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。 双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件RoseHA)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。
双机备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即双机热备模式、双机互备模式和双机双工模式。下面分别予以简单介绍: ?双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前最理想的一种模式。 ?双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。服务器配置相对要好。 ?双机双工模式 : 是目前Cluster(集群)的一种形式,两台服务器均为活动状态,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。WEB服务器或FTP服务器等用此种方式比较多。 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式,低成本模式。 基于存储共享的双机热备是双机热备的最标准方案。这种方式采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用热备(主从)、互备、双工(并行)等不同的方式。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时,服务器通过心跳线(目前往往采用建立私有网络的方式)侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。对于用户而言,这一过程是全自动的,在很短时间内完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行管理。
LB服务器负载均衡(双机热备) 配置参考 H3C Technologies Co., Limited, Copyright 2003-2009, All rights reserved 杭州华三通信技术有限公司 版权所有 侵权必究
前言 本文参考LB在江西电信网上营业厅实施方案更改,作为服务器负载均衡双机热备配置参考所用,如有不妥之处请指正,多谢。
修订记录Revision Records 日期Date 修订版本 Revision 描述 Description 作者 Author 2009-7-29 (V1.00) 初稿06399
目录 1组网拓扑: (5) 1.1对组网拓扑说明: (5) 1.2LB上业务调用说明: (6) 2数据流量走向说明: (7) 2.1数据流量走向说明: (7) 3组网配置 (8) 3.1防火墙配置 (8) 3.2S65配置: (8) 3.3S75配置 (9) 3.3.1S75-01配置: (9) 3.3.2S75-01配置: (9) 3.4LB配置 (10) 3.4.1LB配置: (10) 4配置注意事项 (12)
1 组网拓扑组网拓扑:: 图1 组网拓扑图 1.1 对组网拓扑说明: 两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器,两台S65交换机作为核心路由交换设备,下连WEB 服务器和应用服务器,服务器对外提供WEB 访问和用户登陆查询相关信息。 两台防火墙启用双机热备,实现业务冗余备份,同时配置两个Vrrp 组(做主备模式),对外网Vrrp 组vrid 2(218.65.103.252)作为外网到内网转发数据报文的下一跳(可以保证在防火墙),对内vrrp 组 vrid 1(172.16.101.3)作为S65到
oracle双机热备架构方案 双机热备有两种实现模式,一种是基于共享的储备设备的方式,另一种是没有共享的储备设备的方式,一样称为纯软件方式。 基于储备共享的双机热备是双机热备的最标准方案。 关于这种方式,采纳两台(或多台)服务器,使用共享的储备设备(磁盘阵列柜或储备区域网SAN)。两台服务器能够采纳互备、主从、并行等不同的方式。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务要求发送给其中一台服务器承担。同时,服务器通过心跳线(目前往往采纳建立私有网络的方式)侦测另一台服务器的工作状况。当一台服务器显现故障时,另一台服务器依照心跳侦测的情形做出判定,并进行切换,接管服务。关于用户而言,这一过程是全自动的,在专门短时刻内完成,从而对业务可不能造成阻碍。由于使用共享的储备设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行治理。 关于纯软件的方式,则是通过支持镜像的双机软件,将数据能够实时复制到另一台服务器上,如此同样的数据就在两台服务器上各存在一份,假如一台服务器显现故障,能够及时切换到另一台服务器。 纯软件方式还有另外一种情形,即服务器只是提供应用服务,而并不储存数据(比如只进行某些运算,做为应用服务器使用)。这种情形下同样也不需要使用共享的储备设备,而能够直截了当使用双机或集群软件即可。但这种情形事实上与镜像无关,只只是是标准的双机热备的一种小的变化。 本方案是前者————基于共享储备设备的数据库热备。 数据库服务器双机热备的好处 这种配置模式的优点是有利于数据库的升级,当其中systemA需要升级的时候,就把服务切换到systemB上运行,升级A的DB2程序,之后还能够把服务切换回到A来,然后升级B的DB2程序。那个升级过程可不能阻碍用户的DB2使用,因为总有一台机器能够使用DB2程序来响应用户的服务要求。 服务器的故障可能由各种缘故引起,如设备故障、操作系统故障、软件系统故障等等。一样地讲,在技术人员在现场的情形下,复原服务器正常可能需要10分钟、几小时甚至几天。从实际体会上看,除非是简单地重启服务器(可能隐患仍旧存在),否则往往需要几个小时以上。而假如技术人员不在现场,则复原服务的时刻就更长了。 而关于一些重要系统而言,用户是专门难忍耐如此长时刻的服务中断的。因此,就需要通过双机热备,来幸免长时刻的服务中断,保证系统长期、可靠的服务。
服务器双机热备解决方案
前言 数据信息是当今社会进步、发展的关键。面对日益庞大的计算机网络,用户的要求是网络能够可靠、高速、稳定地运行。当前大部分网络服务都是采用中心服务器的模式(只有一台服务器),服务器的高可靠性、高可用性是网络安全运行的关键,一旦服务器出现故障,所提供的服务就会被中断,影响正常工作,并可能丢失关键数据,从而造成严重后果。无论对企业的有形和无形资产都带来不必要的损失。如何在故障情况下尽快恢复使用并保证数据的安全,已经成为一个日渐突出的问题。服务器双机热备份技术正是解决由软硬件故障引起可靠性降低的有效措施,该技术较为成熟,成本相对较低,具有安装维护简单、稳定可靠、监测直观等优点,在网络保障中获得了广泛的应用。 一、双机热备阐述 什么是双机热备? 所谓双机热备份,概况地说,就是用网络两台服务器连接起来,平时互相备份,共同执行同一服务。当一台服务器停机时,可以由双机中的另一台服务器自动将停机服务器的业务接管,从而在不需要人工干预的情况下,保证系统能持续提供服务。 什么时候需要双机热备呢? 一般服务器要长年累月(7 X 24 小时)不间断工作,其备份工作就绝对少不了。所以,决定是否使用双机热备,应首先对系统的重要性,以及终端用户对服务中断的容忍程度进行考虑,然后再来决定是否使用双机热备。比如网络中的用户最多能容忍多长时间恢复服务?如果服务不能很快恢复会造成什么样的后果等等。
二、双机热备拓扑图以及工作原理 双机热备工作示意图
三、双机热备方案介绍 在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。 双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件RoseHA)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。 双机备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即双机热备模式、双机互备模式和双机双工模式。下面分别予以简单介绍: ?双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前最理想的一种模式。 ?双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。服务器配置相对要好。 ?双机双工模式 : 是目前Cluster(集群)的一种形式,两台服务器均为活动状态,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。WEB服务器或FTP服务器等用此种方式比较多。