高可用,就是避免单点故障
树根:
高可用
分叉:
保证高可用 -- 防止单点故障
故障可能 -- 设备故障 + 链路故障
枝叶 :
设备故障 -- 单台设备故障,则会造成业务中断。因此采用双机热备,跨数据中心集群,硬件BYPASS
双机热备 -- 主备 / 负载分担
跨数据中心集群 -- 多台防火墙组成集群,本地设备故障后,由其他设备代为转发
硬件BYPASS--防火墙故障后,数据自动放通流量
链路故障:
eth-trunk : 多条链路聚合为一个逻辑链路,单条链路故障,不会影响业务
此技术为数通技术,防火墙也可以支持
---------------------------------------------------------------------------
ip-link:使用ARP或者ICMP对链路进行检测,出现故障后,切换到备链路
---------------------------------------------------------------------------
BFD:使用BFD报文检测链路,出现故障后,切换到备链路
对端设备上做配置,形成BFD邻居
bfd 1 bind peer-ip 8.8.8.20
discriminator local 40
discriminator remote 20
---------------------------------------------------------------------------
link-group:多个接口状态绑定为一个逻辑组,避免单接口故障
Link-group 作用:组中任意一个接口down,则整个Link-group组down,防止非直连故障造成数据丢包。
健康检查:防火墙上的功能,可对服务可用性、链路可用性或链路时延等进行探测
---------------------------------------------------------------------------
双机热备
主备模式
设备流量全部通过主,不经过备设备。主设备故障,则流量全部走备设备。
优点:相对负载分担模式简单。
缺点:一台设备闲置,资源利用率不高
负载分担:
两台设备同时转发流量,一台设备故障,另一台则转发全部流量。
优点:负载分担模式组网中设备发生故障时,只有一半的业务需要切换,故障切换的速度更快,资源利用率高。
缺点:相较于主备备份模式,组网方案和配置相对复杂。
技术实现
双机热备 -- vrrp双机热备、路由协议双机热备、透明模式双机热备
实践
双机热备要求: 硬件完全相同(型号、板卡等),软件完全相同(系统版本、补丁、特征库),授权相同(授权控制项种类、资源数量、升级服务到期时间都要相同)
---------------------------------------------------------------------------
VRRP双机热备(华为防火墙)
选举主用:
首先 优先级的大小,优先级高--Master设备
其次 接口IP地址大小,接口IP地址大--Master设备
成为Master的设备--优先级自动变为255
当主用设备正常工作时,网络内主机通过主用设备与外部网络通信。
当主用设备出现故障时,备用设备会成为新的主用设备,保证网络不中断。
VRRP使用组播224.0.0.18发送通告报文,因此需要防火墙之间通过二层设备连接。
地址规划
PC1
ip 5.1.3.1/24 5.1.3.254
PC2
ip 5.1.1.1/24 5.1.1.254
USG1
MANAGER :10.1.1.10
同网段全10
USG2
MANAGER :10.1.1.20
同网段全20
交换机免配
1/0/3 和 1/0/4为eth-trunk 1的成员接口,eth-trunk1为心跳线。
心跳:
5.1.2.0/24
虚拟地址
trust --5.1.1.254
untrust --5.1.3.254
防火墙配置图
基础配置1 接口:
网络中点击接口
eth 0
接口配置完成后
基础配置2 高可用:
启用双机热备
启用VRRP
照推 USG2
主备状态即配置完成
<
最低0.47元/天 解锁文章
1486
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
