概述
防火墙(FW,Firewall)部署在网络出口位置时,如果发生故障会影响到整网业务
为了提升网络的可靠性,部署两台FW组成双机热备(只能是两台,不可多不可少)
这两台防火墙的设备硬件型号、单板类型、数量都要相同
如图所示:
双机热备部署方案 主备备份模式------路由规划简单
两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断
负载分担模式------路由规划复杂
两台设备互为主备,正常情况下两台设备共同分担整网的业务流量,当其中一台故障时,另外一台承担全部业务流量。
双机热备相关协议 心跳线 基本概念:
两台防火墙之间通过一条独立的链路连接,进行信息同步---此链路称为心跳线
心跳线五种状态:
前两种是正常状态,后三种是异常状态
|--------------------|--------------------------------------------------------------------------------------|
| Running | 正常运行,能够发送报文 |
| Ready | 正常运行,此接口为备用备份通道,当前未使用 |
| Down | 心跳接口的物理状态与协议状态都为Down |
| Invalid | 未指定心跳接口的IP地址,心跳口工作在二层 |
| Negotiation failed | 本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。 |
心跳线传递信息:
|-------------------|------------------------------------------|
| HRP心跳链路探测报文 | 检测对端设备的心跳口能否正常接收本端设备的报文 (确定是否有心跳口可以用) |
| HRP一致性检查报文 | 检测两台FW的关键配置是否一致 |
| HRP Hello报文(心跳报文) | 周期1s,互发心跳报文检测对端是否存活 |
| HRP数据报文 | 用于两台FW同步配置命令和状态信息 |
| VGMP报文 | 确定本端和对端设备当前VGMP组状态是否稳定 周期1s,(是否需要进行故障切换) |
心跳接口注意事项:
1.MGMT接口(G0/0/0)口不能作为心跳接口
2.两台FW心跳接口必须加入相同的安全区域。
3.配置了VRRP Cirtual-mac enable命令的接口不能作为心跳接口VGMP
4.两台FW的心跳接口类型、接口编号、链路协议类型必须相同
如使用Eth-Trunk接口为心跳线,那Eth-Trunk的成员接口也要相同
如果使用Vlan接口作为心跳口,实际收发报文的二层物理接口也必须相同
5.接口MTU值小于1500的接口不能作为心跳接口。
配置和表项备份报文的最大长度为1500字节,且报文不支持分片。
如果心跳接口MTU值小于1500,会导致报文发送失败。
6.如果FW上配置了虚拟系统,心跳接口不能是虚拟系统的接口,必须是根系统的接口。
虚拟系统的配置命令和表项也能通过规划在根系统的心跳接口备份到对端设备。
7.心跳接口可以为二层(一般防火墙工作在二层是会有此情况),也可以为三层(一般防火墙工作在三层)