双机热备、BFD双向转发检测、IP-LINK链路检测、Link-Group逻辑组、ETH-Trunk链路捆绑、Bypass,跨数据中心集群,双主控、业务板备份、数据中心会话同步
双机热备
目的:为了防止单点故障
实现:两台硬件软件相同的FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
关键技术:vrrp(虚拟路由冗余协议),VGMP(vrrp group management protocol),hrp(双机热备协议)redundancy(冗余)
Vrrp:是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。
将局域网内的一组路由器(实际上是路由器的下行接口)划分在一起,形成一个VRRP备份组。VRRP备份组相当于一台虚拟路由器,这个虚拟路由器有自己的虚拟IP地址和虚拟MAC地址(格式:00-00-5E-00-01-{VRID},VRID是VRRP备份组的ID)。
局域网内的主机可以将默认网关设置为VRRP备份组的虚拟IP地址。在局域网内的主机看来,他们就是与虚拟路由器进行通信的,然后通过虚拟路由器与外部网络进行通信。
VRRP备份组中的多个路由器会根据管理员指定的VRRP备份组优先级确定各自的VRRP备份组状态。优先级最高的VRRP备份组状态为Master,其余VRRP备份组状态为Backup。
缺陷:无法实现主备防火墙状态的一致性(来回路径一致)。
Vgmp:将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,管理组通过统一控制各VRRP备份组状态的切换,来保证所有VRRP备份组状态都是一致的。当防火墙上的VGMP为Active/Standby状态时,组内所有VRRP备份组的状态统一为Active/Standby状态。状态为Active的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等),Standby端收到HELLO报文后,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等,Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态。
vgmp管理:状态一致性、抢占。
Hrp:
FW属于状态检测防火墙,对于每一个动态生成的连接,都有一个会话表项与之对应。主用设备处理业务过程中创建了很多动态会话表项;而备用设备没有报文经过,因此没有创建会话表项。如果备用设备切换为主用设备前,会话表项没有备份到备用设备,则会导致后续业务报文无法匹配会话表,从而导致业务中断。
因此为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。
用来实现防火墙双机之间动态状态数据和关键配置命令的备份。备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。备份通道:心跳线
我们定义负载分担组网下,发送备份配置命令的FW称为配置主设备(命令行提示符前有HRP_M前缀),接收备份配置命令的FW称为配置从设备(命令行提示符前有HRP_S前缀)。
在负载分担组网下,配置命令只能由“配置主设备”备份到“配置备设备”。状态信息则是两台设备相互备份的。
在负载分担组网下,设备名称(sysname)的ASCⅡ码较小的FW会成为配置主设备。例如,FW_A与FW_B形成负载分担,FW_A会成为配置主设备;如果两台设备名称(sysname)相同,执行hrp enable命令时的时钟小为主,执行hrp enable命令时的时钟大为备。(也可以通过配置hrp standby-device来指定备设备)
工作模式:
主备备份模式:两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断
负载分担模式:两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。
备份方式:
自动备份、手工批量备份、会话快速备份、设备重启后主备FW的配置自动同步
Link-Group:VGMP有类似于link-group的功能
定义:将多个接口的状态相互绑定,组成一个逻辑组。当组内任一接口出现故障,系统将组内其他接口状态为Down。当组内所有接口恢复正常后,整个组内的接口状态才重新被设置为up。
目的:Link-Group管理组保证了组内物理接口的状态一致性,同时在链路故障时能够加快路由收敛速度。通过Link-Group可以使上下行接口状态一致,这样可以避免主备切换后,上下行链路路径不一致的问题
IP-LINK:链路状态检测
定义:通过NGFW定时地向指定的目的IP进行ICMP回显请求(ICMP ping探测一般是用在非直连链路)或ARP请求(ARP探测用在直连链路),并等待应答来探测链路是否发生故障。在三个报文周期(默认15秒)未收到回应报文时,则认为当前链路发生故障,ip-link的状态变为Down。当原来认为故障的链路,有连续的3个回应报文收到,则认为链路故障已经消除,此时进行链路状态恢复为up。
目的:IP-LINK主要用于业务链路正常与否的自动侦测,可以检测到与NGFW不直接相连的链路状态,保证业务持续通畅。(大多数时候是用ip-link来探测非直连链路的)
IP-Link与静态路由联动:当ip-link自动检查发现链路故障时,NGFW会对自身的静态路由进行相应的调整,保证每次用到的链路是最高优先级和链路可达的,以保证业务的持续流通。lab中就是与静态路由联动的(ip route-static x.x.x.x track ip-link link-id)
1047
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
