高可用性功能_AF

最新推荐文章于 2024-07-11 03:29:05 发布
最新推荐文章于 2024-07-11 03:29:05 发布
阅读量1k 收藏 18
点赞数 18
分类专栏: 产品安全基础 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_h666/article/details/135520058
版权
本文详细介绍了AF的高可用性功能,包括双机部署模式(主备、双主)、心跳线、抢占机制、监控条件、配置注意事项以及常见故障排除。重点讨论了如何在确保网络可靠性和业务连续性的前提下进行有效配置。
摘要由CSDN通过智能技术生成

1. 功能概述

高可用性功能,用来解决网络中AF自身的单点故障的问题,两台满足条件的AF组合在一起,实现相互的冗余备份,提高网络的可靠性,实现业务不间断转发

2. 建立条件

  • 网口数量一致

  • cpu核心个数、内存大小、磁盘大小需一致

  • 设备序列号功能开启且保持一致

  • appversion版本信息一致

  • 配置同步要一致,这是双机配置与设备无关

  • vrrp组的配置要一致,这是双机配置与设备无关

3. 名词解释

1)心跳线 - 主线路和辅线路

主线路:主备设备之间心跳保持、配置同步、会话同步,可以将多个物理链路聚合成一个聚合链路(主心跳线路),聚合口只支持主备模式。

辅线路:当主心跳线路故障,接替主心跳线路保持心跳,但是不能同步配置,所以尽快修复主心跳,否则影响业务

2)抢占

不开启抢占:主故障,备变主,原主恢复,变为备,不抢占主的位置

开启抢占:主故障,备变主,原主恢复,抢占主的位置,一般不建议开启抢占,防止主备已切换,链路未切换,导致通信异常,频繁故障导致网络业务频繁中断

3)网口监视

双机切换的条件之一:当物理接口状态故障时,进行主备切换,物理接口出现协议down(ifconfig down)/ 网线脱落(线松了、断了,光口收光太弱) / 协商失败等接口故障,向对端设备发送Priority=0的报文,无延迟切换。

4)链路监视

双击切换的条件之一,检测链路的连通状况,可以发送ARP / DNS / PING报文检测,检测失败,链路故障,主备切换

5)主备机和主备控

主机:主设备为主机(主控),备设备为备机(备控)

主设备允许正常转发数据,备设备不允许转发数据

配置同步:

  • 备控向主控发送配置请求更新(10s发送一次配置文件的MD5给主)
  • 主收到请求后,对比MD5,将差异的配置发送给备

4. 高可用部署类型 – 双机部署模式

1)主备部署

一主一备,主工作,备不工作

2)双主部署

  • 有VRRP双主:加入多个VRRP组,不同的VRRP组不同主,走不同流量 – 不推荐
  • 无VRRP双主:无VRRP组,需要上下联设备引流到不同设备

5. AF双机热备(主备)和VRRP区别

image-20231228102601560

主备选举:先比优先级,大为主,优先级相同比心跳接口IP地址,大为主

主设备配置:双机配置+网络互通配置

备设备配置:双机配置 – 同步主的配置

心跳接口IP地址和管理口IP地址不能同步:IP-HA(加-HA,不同步)

6. 主备切换的原因及时长

image-20231228103110560

7. 高可用性配置注意事项

image-20231228163454210

8. 主备部署配置思路

1)应用场景

主要应用于对网络可靠性高,业务连续性强的网络环境,在出现故障时能快速切换到热备的线路上,保证业务的连续性,常用的是路由模式和网桥模式下主备部署(网桥模式包括透明模式和虚拟网线模式)

image-20240102114752995

2)配置思路 – 了解

image-20240102114916783

3)注意事项 – 重点

image-20240102143449345

9. 主主部署配置思路

1)应用场景

主要应用于对网络可靠性高,业务连续性强的网络环境,两台AF同时在工作,常用于透明部署于VRRP组网环境和链路聚合环境 --透明或虚拟网线

image-20240102143542280

2)配置思路 – 了解

image-20240102143647125

3)注意事项 – 重点

image-20240102144006050

10. 双机聚合配置思路

1)应用场景

主要应用于上下联两个设备启用链路聚合的场景下, AF做透明主主模式或者虚拟网线模式主主部署在中间,由于会出现请求和回应的数据流经过不同的AF (非对称流量) ,导致来回数据包在AF上的连接跟踪不一致而被AF丢包

如果AF的上下联有链路聚合,就需要双机聚合线,无双机聚合线会出现来回路径不一致,导致丢包(出去的数据包从AF1出去时建立会话,从AF2回来时会话未同步,导致丢包) – 重点

2)双机聚合线原理 – 重点

防火墙后台程序计算为0或者1,此时防火墙收到数据包时(源目IP地址计算为0或为1),在为0 – 在为0的防火墙转发,为1 – 给到为1的防火墙转发,此时解决来回路径不一致丢包问题

3)注意事项 – 重点

image-20240102150310428

11. 双机部署常见故障排除

1)常见故障 – 了解

image-20240102150615609

image-20240102150636562

image-20240102150647669

image-20240102150659878

image-20240102150715268

image-20240102150734128

2)注意事项 – 重点

image-20240102150813071

Galactus_hao
关注
  • 18
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SANGFOR AF如何配置双机热备并替换旧防火墙上架运行-经验实记
玩人工智能的辣条哥的博客
04-01 815
1.旧防火墙 8.0.482.新防火墙A 8.0.753.新防火墙B 8.0.75。
云计算的高可用
沉迷单车的追风少年
07-18 2763
目录 云计算的高可用性... 1 一、可用性相关概念... 2 1.1 可用性定义... 2 1.2 高可用性定义... 2 1.3 高可用性度量标准... 2 二、云计算相关概念... 3 2.1 云计算定义... 3 2.2 云计算的服务模式分类... 3 2.3 云计算典型架构... 4 三、云计算高可用性关键技术... 5 3.1 资源弹性扩展和动态伸缩... 5 3.2 负载均衡... 6 3.3 虚拟机节点迁移... 7 参考文献... 9 一、可用性相关概
linux双机网卡聚合,keepalived01:双网卡服务器双机热备
weixin_39767887的博客
05-01 272
keepalived双网卡服务器双机热备环境:master: eth0(192.168.0.100/24) eth1(10.0.0.100/24)backup: eth0(192.168.0.200/24) eth1(10.0.0.200/24)软件安装:安装依赖:yum install ipvsadm kernel-devel openssl-devel popt-devel \libnl-de...
交换机-链路冗余、链路聚合、堆叠、热备、虚拟化
热门推荐
weixin_43283381的博客
09-27 2万+
链路聚合:是将两个或更多数据信道结合成一个单个的信道,该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备,例如连接骨干网络的服务器或服务器群。 冗余链路:在骨干网设备连接中,单一链路的连接很容 堆叠一般来说是跟级联作为比较来说的. 2 者的主要作用都是用来扩充可用的端口. 其他厂商我不知道, Cisco 的堆叠可以讲多台同型交换机串成一台, 在逻辑上视作一台...
用户体验与可用性测试_读书笔记
qq_18362345的博客
10-13 5913
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AdbjKn8z-1570968118513)(https://raw.githubusercontent.com/mikufes/token/master/%E7%94%A8%E6%88%B7%E4%BD%93%E9%AA%8C%E4%B8%8E%E5%8F%AF%E7%94%A8%E6%80%A7%E6%B5%8B%...
Rancher HA 高可用安装步骤
偶尔记一下 - mybatis.io
08-01 6468
详细的介绍了 Rancher 高可用部署的完整过程,提供了大量的相关资料进行扩展阅读。.
About AF_NETLINK in Linux Socket
团长的专栏
08-13 6180
About AF_NETLINK in Linux Socket 由于开发和维护内核的复杂性,只把最为关键同时对性能要求最高的代码放进内核中。其他的诸如GUI,管理和控制代码,通常放在用户空间运行。这种将实现分离在内核和用户空间的思想在Linux中非常常见。现在的问题是内核代码和用户代码如何交互通信。 答案是内核空间和用户空间存在的各种IPC方法,例如系统调用、ioctl、proc文件系统和n...
高并发-高可用-高性能
远行的博客
02-26 3791
文章目录高并发,高可用,高性能简介高并发高性能高可用 高并发,高可用,高性能 简介 软件开发通常会提到一个名词 “三高”,即高并发、高性能、高可用。 具体的指标定义,如:高并发方面要求QPS 大于 10万;高性能方面要求请求延迟小于 100 ms;高可用方面要求系统可用性高于 99.99%。 高并发 我们使用 QPS(Queries Per Second,每秒查询率)来衡量系统承载能力 高性能 性能直接影响用户的感官体验,访问一个系统,如果超过5秒没有响应,绝大数用户会选择离开。 高可用 高可用
深信服下一代防火墙NGAF高可用组网
weixin_48085330的博客
05-14 2587
防火墙高可用组网功能概述 两台AF主备部署也称为双机热备部署,一台设备处于工作状态,另外一台处于热备状态。两台设备通过心跳口检测对端是否存在并同步配置及会话,当主设备出现问题触发切换条件时,设备会自动把业务切换到备设备,并且通过会话同步等机制,保证业务不断,从而实现业务稳定的运行 。 应用场景 客户内网是VRRP环境,为了避免单点故障,购买了两台AF需要做网关主备部署在公网出口替换原有的防火墙,任一设备或链路故障,实现快速切换,保障业务稳定性。 具体配置 配置步骤-主AF 1、划分内网区域LA.
SANGFOR_NGAF_v6.8_路由模式场景下高可用性配置.pdf
09-25
SANGFOR NGAF v6.8 路由模式场景下高可用性配置 深信服公司的 SANGFOR NGAF v6.8 是一款优秀的安全网关产品,旨在提供高可用性和高安全性的网络解决方案。在路由模式场景下,高可用性配置是确保网络稳定运行的关键...
深信服AF高级-A卷78分.docx
06-24
13. **NGAF双机部署**:NGAF的双机部署涉及到高可用性和负载均衡,它允许设备间进行心跳检测,确保在一台设备出现故障时,另一台能接管网络流量,保证服务的连续性。具体的配置和工作模式可能会因版本和具体需求有所...
80_CH103_1_AF_QCC5141_WLCSP_DATA_SHEET_.pdf
09-09
5. **噪声消除技术**:具备先进的主动噪声消除(ANC)功能,支持混合、前馈和反馈模式,可利用可用的授权密钥启用数字或模拟麦克风。 6. **Qualcomm音频技术**:内置了Qualcomm aptX和aptX HD Audio技术,提供卓越...
MyQQ.rar_VC++ SOCKET
09-22
使用`socket()`函数创建一个套接字,需要指定协议族(如AF_INET对应IPv4)、套接字类型(如SOCK_STREAM对应TCP,SOCK_DGRAM对应UDP)以及协议(通常是0,让系统选择默认的协议)。 2. **绑定IP和端口**: 使用`...
UDp.zip_UDP_udp 发送消息
09-23
sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) ``` 2. 绑定地址和端口:服务器需要绑定到一个特定的IP地址和端口号,以便接收来自客户端的数据。通常使用'0.0.0.0'表示任何可用的本地IP,而端口号可以...
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
最新发布
Snu77的博客
07-11 1万+
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
从零开始做题:logtime
weixin_44626085的博客
07-10 245
给出1个pcapng文件。
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 650
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
【观成科技】Websocket协议代理隧道加密流量分析与检测
GCKJ_0824的博客
07-10 957
Websocket中的掩码加密使用异或(xor)做简单的加密,当MASK字段对应位被设置为 1 时表示加密,那么后续会设置4字节的Masking-key,Mask位设置为 0 时表示不加密,则不会携带Masking-key。观成科技的安全团队通过研究Websocket协议本身结构特点,并与对应的工具流量相结合,从而提出行之有效的检测方法应用于产品当中,能在Websocket流量中准确发现异常,找出相关隧道的搭建和使用痕迹,保障客户网络的安全。Websocket协议代理工具加密流量检测。
深信服PT1-AF.docx
07-19
深信服PT1-AF文档是一份...深信服AF是一款注重性能、应用层防护和高可用性的防火墙,适用于数据中心环境,并提供了丰富的安全管理和控制功能。同时,文档还强调了防火墙技术的区别和选择,以及在实际部署中的注意事项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Galactus_hao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值