目次
一、防火墙的可靠性
1.1 VRRP --- 假造路由器冗余技能
1.2 主备的形成场景
1.3 FW1接口故障的切换场景
1.4 HRP --- 华为冗余协议
HRP三种备份方式
1.4 各场景过程分析
1,主备形成场景
2,主备故障切换场景 --- 接口故障
3,主备故障切换场景 --- 整机故障
4,原主设备故障恢复的场景
5,负载分担场景
6,负载分担接口故障场景
二、双机热备设置
负载分担
1,双机热备直路部署 - 上下二层
2,双机热备直路部署 - 上下三层
防火墙透明部署 --- 上下二层
防火墙透明部署 --- 上下三层
一、防火墙的可靠性
因为防火墙上不光需要同步设置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技能。
- 1,双机 --- 目前双机热备技能仅支持两台防火墙的互备
- 2,热备 --- 两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即更换原设备
也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步设置,并不工作,只有在主设备出现故障时,再由管理员更换工作,冷备可能会造成较长时间的业务中断.
1.1 VRRP --- 假造路由器冗余技能
VGMP --- vrrp Group Management Protocol --- HUAWI的私有协议
因为VRRP彼此是独立的,所以,一个VRRP组举行切换不会直接导致其他组同步切换,在防火墙的双机热备场景下,上下有两个VRRP组,需要同步切换,利用传统的上行链路监控,比力复杂,所以,设计了VGMP协议,来对VRRP组举行同一的切换管理。
1.2 主备的形成场景
1,FW1被设定为主设备 --- FW1中的VGMP的active组被激活,而且将上下两个VRRP组拉入到VGMP的active组中,而且状态都是ACTIVE
2,FW2被设定为备设备 --- FW2中的VGMP的standby组被激活,而且将上下两个vrrp组拉入到VGMP的standby组中,而且状态都是standby
(VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先级为65000,而且,在VGMP中,所有的主都被成为active,所有的备成为standby)
3,主设备上下两个VRRP组的接口将发送免费ARP报文
1.3 FW1接口故障的切换场景
1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障的一个过渡状态)
2,VGMP组感知到接口状态变革,会低沉自身的优先级(每一个接口发生故障,则优先级会低沉2)
3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包罗低沉后的优先级;
4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状态从standby切换为active状态
5,FW2的VGMP组状态发生变革,则组中的VRRP组的状态同步发生变革,都从standby切换到active
6,FW2复兴FW1应答报文,表示允许切换
7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,而且,此中的VRRP组同步将状态切换到standby,不包罗故障接口的状态,仍旧是initialize状态
8,FW2上下两个VRRP组将发送免费ARP报文,让互换机切换MAC地址表,之后所有的流量将从FW2通过。
1.4 HRP --- 华为冗余协议
华为的私有协议 --- 可以同步防火墙上的状态和设置信息
设置信息 --- (接口IP地址,路由信息)--- hrp不能同步基本的接口和路由信息,安全策略,NAT策略。
状态信息 --- 会话表,server-map,黑名单和白名单等
HRP在举行双机热备时,另有一个要求,两台热备设备之间,必须拥有一条链路,用来同步信息,而且,这条链路必须是三层链路 --- 这条链路在举行数据通报时,不受安全策略的影响。(注意,假如心跳线是直连的,则不受安全策略的影响,但是,假如中间有中继设备,即非直连场景,则需要设置安全策略) --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线传输的。
HRP会周期性的发送心跳报文,只有主设备会发送,周期时间默认为1S,假如备设备在三个周期时间内默认3S没有收到对方的心跳报文,则认定对方出现故障将以自身为主。
HRP三种备份方式
1,自动备份 --- 自动备份设置和状态信息,但是,设置信息可以立即自动备份,状态信息无法立即备份,只能通过短暂的延迟之后,在举行备份(10S左右)
2,手工备份 --- 由网络管理员手工触发,可以立即同步设置和状态信息
3,快速备份 --- 该备份方式仅针对负载分担的场景。无法同步设置信息,仅能同步状态信息,而且可以立即同步状态信息。
1.4 各场景过程分析
1,主备形成场景
2,主备故障切换场景 --- 接口故障
3,主备故障切换场景 --- 整机故障
整机故障可以通过保活机制来举行切换,主设备发生故障,则不会发送HRP心跳报文,
备设备在超时时间内没有接收到主设备的保活包,则将会举行状态切换;
4,原主设备故障恢复的场景
根据有没有开启抢占分为两种差异的情况
1,假如没有开启抢占 --- 原主设备继续以备设备的身份工作
2,假如开启了抢占
5,负载分担场景
6,负载分担接口故障场景
二、双机热备设置
假如勾选了自动抢占,则代表开启抢占模式,默认开启60S抢占延迟
(抢占延时重要是为了应对一些接口可能出现反复震荡的情况)
hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上
注意:
1,假造mac地址勾选可以让切换对用户全程无感知
2,假如假造IP地址和接口IP地址不再同一个网段,则设置时必须设置子网掩码
HRP手工备份的位置
负载分担
其他部署模式下的双机热备
1,双机热备直路部署 - 上下二层
2,双机热备直路部署 - 上下三层
3,防火墙透明部署 --- 上下二层
这种情况下建议利用主备模式不要利用负载分担模式
4,防火墙透明部署 --- 上下三层
这种模式建议接纳负载分担,并建议利用主备模式。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
