在线做效果图有哪些网站,精准客户运营推广,学平面设计需要准备什么东西,男女做暧昧试看网站防火墙双机热备 随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展#xff0c;网络承载的业务越来越多#xff0c;越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。 防火墙部署在企业网络出口处#xff0c;内外网之…防火墙双机热备 随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展网络承载的业务越来越多越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。 防火墙部署在企业网络出口处内外网之间的业务都会通过防火墙转发。如果防火墙出现故障便会导致内外网之间的业务全部中断。由此可见在这种网络关键位置上如果只使用一台设备的话无论其可靠性多高都存在因设备单点故障而导致网络中断的风险。于是在做网络架构设计时通常会在网络的关键位置部署两台网络设备以提升网络的可靠性。 防火墙是状态检测设备它会对一条流量的首包进行完整的检测并建立会话来记录报文的状态信息包括报文的源IP、源端口、目的IP、目的端口、协议等。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发如果后续报文不能匹配会话则会被防火墙丢弃。
在网络中部署防火墙双机时面临的问题
如果在网络出口处部署两台独立的防火墙则两台防火墙独立运行需分别进行配置维护如下图所示 此外以在防火墙的上行、下行部署VRRP为例由于这两组VRRP相互独立因此容易出现主备状态不一致的情况如下图所示 此时内网访问外网的往返流量路径不一致当回程流量抵达FW2时由于FW2没有匹配的会话表项因此这些流量将被丢弃。
所以当防火墙双机部署时需要考虑两台防火墙之间的会话等状态信息的备份。 防火墙双机热备简介 双机热备需要两台硬件和软件配置均相同的防火墙组成双机热备系统。防火墙之间通过独立的链路连接心跳线如下图所示通过心跳线了解对端的健康状况向对端备份配置和表项如会话表、IPsec SA等。 当一台防火墙出现故障时业务流量能平滑地切换到另一台设备上处理使业务不中断。
部署要求
目前只支持两台设备进行双机热备。主备设备的产品型号和版本必须相同。主备设备业务板和接口卡的位置、类型和数目都须相同否则会出现主用设备备份过去的信息与备用设备的物理配置无法兼容导致主备切换后出现问题。 防火墙双机热备关键组件 VRRP
VRRP是一种容错协议它保证当主机的下一跳路由器默认网关出现故障时备份路由器能自动代替前者完成报文转发任务从而保持网络通信的连续性和可靠性。
VGMP
将防火墙上的所有VRRP组都加入到一个VGMP组中由VGMP组来集中监控并管理所有的VRRP组状态。如果VGMP组检测到其中一个VRRP组的状态变化则VGMP组会控制组中的所有VRRP组统一进行状态切换保证各VRRP备份组状态的一致性。 每台FW上有一个VGMP组。VGMP组有四种状态 Initialize启用双机热备功能后VGMP组的短暂初始状态。Load Balance当防火墙本端的VGMP组与对端的VGMP组优先级相等时两端的VGMP组都处于Load Balance状态。Active当本端的VGMP组优先级高于对端时本端的VGMP组处于Active状态。Standby当本端的VGMP组优先级低于对端时本端的VGMP组处于Standby状态。两台FW组成双机热备组网后正常情况下两台FW的VGMP组优先级相等且都处于Load Balance状态。这时两台FW处于负载分担状态。可以通过VRRP配置和手工指定备设备这两种方式使两台FW形成主备备份状态。VRRP配置的方式适用于FW连接二层交换机的组网指定备设备的方式适用于FW其他方式的双机热备组网。FW的VGMP优先级有一个初始优先级当FW的接口或者单板等出现故障时会在初始优先级基础上减去一定的降低值。 HRP
为了通过防火墙双机之间动态状态数据和关键配置命令的备份实现主用设备出现故障时备用设备能平滑地接替工作华为防火墙引入了HRP协议实现防火墙双机之间动态状态数据和关键配置命令的备份备份又分为了主备备份组网和负载分担组网。 在主备备份组网下配置命令和状态信息都由主用设备备份到备用设备。而在负载分担组网下两台FW都是主用设备。因此如果允许两台主用设备之间能够相互备份命令那么可能就会造成两台设备命令相互覆盖或冲突的问题。所以为了方便管理员对两台FW配置的统一管理避免混乱我们引入配置主和配置从设备的概念。 防火墙能够备份的配置如下 策略安全策略、NAT策略包括NAT地址池、NAT Server等。对象地址、地区、服务、应用、用户等。网络安全区域、DNS、IPsec、SSL VPN等。系统管理员、虚拟系统、日志配置。防火墙能够备份的状态信息如下 会话表、SeverMap表、黑名单/白名单、PAT方式端口映射表、NO-PAT方式地址映射表、二层转发表静态MAC备份、AAA用户表缺省用户admin不备份、在线用户监控表、PKI证书、IPsec备份等。 防火墙双机热备典型组网场景
双机热备直路部署连接二层设备
防火墙的业务接口工作在三层上下行连接交换机终端可将默认网关设置为VRRP VRID1的虚拟IP地址。SW3/SW4配置回程路由时可将下一跳设置为VRRP VRID100的虚拟IP地址。 双机热备直路部署连接三层设备
防火墙的业务接口工作在三层上下行连接路由器防火墙与路由器之间运行OSPF。当FW1的业务接口故障时其切换成备用设备FW2成为主用设备。FW1发布的路由Cost值自动修改为65500。路由重新收敛后流量通过FW2转发。
