防火墙--高可用性

个人学习笔记，如有侵权，联系删除，谢谢！！！

一、AF高可用性（使用于老架构）

高可用性概述：

高可用性功能，用来解决网络中AF自身的单点故障的问题，两台满足条件的AF组合在一起，实现相互的冗余备份，提高网络的可靠性。

建立条件：

1.网口数量一致;

2.cpu核心个数、内存大小、矿磁盘大小需一致;

3.设备序列号功能开启且保持一致;

4.app version版本信息一致;

5.配置同步要一致，这是双机配置与设备无关；

6.vrrp组的配置要一致，这是双机配置与设备无关。

注意事项：

1.双机热备页面中抢占与链路检测不能同时开启;

2.不要使用两个成对的bypass接口做双机业务口，避免广播风暴;

3.MANAGE口可做心跳口，但不能做双机的业务口;

4.心跳口在配置时，需要加-HA，而管理口也可以通过加-HA来避免同步;

5.网口监视和链路监视的切换条件有组的概念，即多个接口可以配置在同组中，同组中所有接口检测故障即判定该组故障，任意一组故障，即双机发生切换，

6.主机强制绑定为主控，备机强制绑定为备控。

部署模式：

1.主主模式

客户内网出口两台路由器做VRRP，两台核心交换机做堆，路由器和核心交换机之间互联的线路做了链路聚合现购买了两台AF做安全防护，准备透明主主部署进网络中。

注意事项

1.不要使用两个成对的bypass接口做双机，避免广播风暴；

2.MANAGE口可做心跳口，但不能做双机的业务口；

3.心跳口在配置时，需要加-HA，而管理口也可以通过加-HA来避免同步；

4.心跳口建议使用聚合接口，如无条件做聚合接口，建议配置辅线路；

5.需将实际业务口做接口联动，防止链路故障导致业务中断；

6.双机聚合数据同步口的接口带宽要大于等于业务口；

7.双机聚合数据同步口当前仅支持单条链路

2.主备模式

主要应用于对网络可靠性高，业务连续性强的网络环境，在出现故障时能快速切换到热备的线路上，保证

业务的连续性，常用的是路由模式和网桥模式下主备部署（网桥模式包括透明模式和虚拟网线模式）。

注意事项:

1.双机热备页面中抢占与链路检测不能同时开启;

2.不要使用两个成对的bypass接口做双机业务口，避免广播风暴;

3.MANAGE口可做心跳口，但不能做双机的业务口;

4.心跳口在配置时，需要加-HA，而管理口也可以通过加-HA来避免同步;

5.心跳口建议使用聚合接口，如无条件做聚合接口，建议配置辅线路;

6.网口监视和链路监视的切换条件有组的概念，即多个接口可以配置在同组中，同组中所有接口检测故障即判定该组故障，任意一组故障，即双机发生切换;

7.主机强制是主控，备机强制是备控。

3.双机聚合模式

客户网络中核心路由器和交换机之间做了两条链路聚合，客户购买了两台AF做双机主主，网桥部署在核心路由

器和核心交换机之间，为了避免出现数据来回路径不一致而出现问题，需要配置双机聚合。

注意事项

1.需开启配置同步，但不能开启双机热备功能;

2.仅支持AF透明部署和虚拟网线部署，不支持三层部署（不支持路由部署）；

3.需将实际业务口接口联动，防止链路故障导致业务中断；

4.仅支持链路聚合场景下使用;

5.不支持存在父子连接以及ip不一致的情况，例如认证系统功能、SIP、H323等;

6.双机聚合数据同步口的接口带宽要大于等于业务口;

7.双机聚合数据同步口当前仅支持单条链路。

二**、AF高可用性（使用于新架构）适用于AF8.0.59及以上版本**

1.高可用性功能

高可用性功能，用来解决网络中AF自身的单点故障问题，两台满足条件的AF组合在一起，实现相互的冗

余备份，提高网络的可靠性。

2.高可用性基本元素

控制链路（同之前版本心跳接口）

控制链路负责传递双机心跳报文，其中包含本端双机配置、本端双机状态等信息。两端使用相同接口配置控制链路后，通过控制链路进行协商主备机，并将主机的配置同步到备机，最终建立双机。

控制链路负责监控双机状态，默认每100毫秒发送一次Hello报文，默认连续超过9次未收到Hello报文视为对端设备发生了故障。用户可以在高级设置中修改Hello报文配置。

数据链路（同之前版本数据同步口）

数据链路负责同步会话等数据，为选填选项。如果不配置数据链路，控制链路会代替数据链路工作。控制链路故障时，数据链路会承担心跳报文传输，一般情况下可以不用配置数据链路，但在使用双机聚合的时候必须配置数据链路来进行同步。

接口监视组

接口监视组用于监视接口状态。当一个接口对象未插网线、或者处在禁用状态时，该接口对象被视为处于"故障"状态。

接口监视组可以监视多个接口对象，如果检测模式为"同时满足"，那么当接口监视组引I用的全部接口对象都处于"故障"状态时接口监视组进入"故障状态"。如果检测模式为"任一满足"，那么当接口监视组引用的任一接口对象处于"故障"状态时接口监视组进入"故障状态"。

链路检测监视组

链路检测对象用于监视上下游设备。如果上下游设备发生故障，则链路检测对象进入"故障"状态。

在对象-链路检测中可以对链路检测对象进行配置。链路检测的检测方法包括ARP探测、DNS解析、PING、BFD四种方法。链路检测对象会根据配置向目标地址发送检测数据包，根据响应判断目标设备是否正常。

链路检测监视组可以监视多个链路检测对象，如果检测模式为"同时满足"，那么当链路检测监视组引用的全部链路检测对象都处于"故障"状态时链路检测监视组进入"故障状态"。如果检测模式为"任一满足"，那当链路检测监视组引用的任一链路检测对象处于"故障"状态时链路检测监视组进入"故障状态"。

实IP

如果一个IP只在一台设备上工作，不需要同步到另一台设备，那么这个IP被称为实IP，即[网络/接口]中配置的IP。

实MAC

接口的网卡MAC地址，就是这个接口的实MAC。对于双机中同一个接口，因为使用了不同网卡，实MAC地址是不同的。

虚拟IP

如果一个IP需要在主备机中同步，且承担双机的业务流量，那么这个IP被称为虚IP。相比于实IP，虚IP会从主机同步到备机，只在主机下发，备机不下发。当主备发生切换时，新主机会下发虚IP，新备机会取消下发虚IP。

虚拟MAC

双机发生主备切换时，新主机会向上下游设备发生免费ARP报文，通知自己业务IP的MAC地址。如果使用网卡的MAC地址，主备机的同接口网卡MAC地址不同，上下游设备会修改对应的MAC值。虚MAC是双机内置的虚拟MAC地址，对于主备机来说，相同的虚IP使用相同的虚MAC。相比于实MAC,使用虚MAC的好处在于，当主备机发生切换时，虚IP的MAC地址对于上下游来说没有发生变化。

组0和组1

一个组代表一套双机。在主备模式和镜像模式中，在双机热备的配置里只能看到组0，因为主备模式和镜像模式只有一套双机。而主主路由模式有两套双机，需要两台设备分别作为主机去承担业务，因此主主路由模式有组0和组1。组0中一台设备作为主机，另一台设备作为备机;组1中一台设备作为主机，另一台设备作为备机。

双机聚合

主要用于AF透明模式主主部署模式下，AF上、下联的设备做了链路聚合，数据包存在来回路径不一致的场景。开启后，每台AF都会在后台程序自动生成一个是0或者是1的编号，这个编号界面上看不到，所有经过AF双机聚合配置中内外网区域接口的流量都会是经过算法(即根据源/目的IP地址)计算，看计算结果的值是0还是1，从而将对应数据包转发到对应编号的AF上进行转发(比如根据算法算出来的值是0，则从编号为0的AF转发数据)双机聚合开启条件:1、主主透明模式下;2、有配置数据链路接口;3、有两个可用的二层口或成对虚拟网线口。

HA Traffic

该功能用于在上下游设备为路由设备，AF做路由双主或者透明双主情况下存在来回流量不一致的场景，需要开启，不存在此场景时无需开启。开启该功能后AF将业务口收到的所有数据包以hash分配方式决定是否通过同步口发送到对端设备进行数据包处理，保证同一条流的所有数据包都能在同一台设备进行安全检测，解决数据非对称转发中出现的网络不通和安全检测失效问题，对端设备安全检测完成后，再将数据包通过同步口发回来由本端再做数据转发，避免了下游设备路由口因数据包目的MAC地址非本机而丢包，从而导致网络不通。

同步角色

同步角色中主控的配置会同步到备控，这样可以保证双机切换时新的主机和原主机没有配置差异。对于不同的双机模式，配置同步角色的选举方式不同。

主备非镜像模式:主机永远是主控，备机永远是备控。主备控不可手动切换。

主备镜像模式:主机永远是主控，备机永远是备控。主备控不可手动切换。

双主路由模式:组0为主机的设备是主控，组0为备机的设备是备控。主备控不可手动切换双主透明模式:可以手动随意切换主备控。

自动同步

在自动同步设置中可以对需要同步的对象进行编辑，目前可选对象是会话表。双机会话由数据链路接口同步，如果没有配置数据链路接口则由控制链路接口负责会话同步。双机的同步包括实时同步(session发生增删改操作时会触发会话同步)、手动同步(控制台触发)、定时同步(定时触发双机同步)、全同步(双机发生切换时批量同步，期间不允许再次主备切换。全同步优先同步高优先级配置，如果

某一项同步失败，立即停止同步。)配置信息使用TCP同步保证可靠性。对于数据面(如会话)，存在一定误差，不要求完全一致，使用UDP传输。同时使用流控机制，避免超负载丢包。

关于会话同步中存在的父子链接，先同步父链接，再同步子链接，如FTP的控制链接(port21)和数据链接。

不会同步的会话包括:本机session不会同步，ICMP不会同步，接口down引起会话删除时不同步。

3.高可用性模式

主备非镜像模式

主备非镜像模式下，只有主机承担业务流量，备机不承担。主机会下发承担业务流量的虚IP，备机不下发。当主机发生故障时，触发主备切换，新主机会下发虚IP，新备机取消下发虚IP，实现双机切换无感知。在这个模式中，主机作为配置同步角色的主控，在主机中的配置会同步到备机，在备机中无法编辑配置。

主主透明模式

主主透明模式工作在二层，没有组0，组1的概念。在此模式下，上下游设备如果是聚合口，且存在来回路径不一致数据(非对称流量)，则需要开启双机聚合功能，来保障流量的转发，开启此功能后，当流量经过其中一台AF时，AF会通过计算哈希，决定该流量交给哪台AF来处理。同一条流的请求数据和响应数据的哈希值一致会被同一台AF处理。如果需要交给对端AF处理，则会将流量通过数据链路接口传递到对端。如果数据链路接口流量太大，会导致丢包。

4.高可用性主备原理
5.高可用性配置方法

主要应用于对网络可靠性高，业务连续性强的网络环境，在出现故障时能快速切换到热备的线路上，保证业务的连续性，常用的是路由模式和网桥模式下主备部署(网桥模式包括透明模式和虚拟网线模式)。

6.注意事项

1.非对称流量场景下，做主主部署时，如果上下联非链路聚合，而是不同路由口的场景下，需要开启HATraffic 功能，在透明模式下需要再开启双机聚合功能;

2.非对称流量场景下，如果上下联是链路聚合成一个口，透明主主模式部署，需要开启双机聚合功能（虚拟网 线模式支持，透明二层口不支持）;

3.数据链路在非对称流量场景下需要开启接口巨帧功能，因为报文从一台AF设备通过控制链路接口发送到另一 台AF设备时，需要在原来报文的基础上继续封装二三四层头以及HA头和Zmode信息，可能大于MTU值从而引I 起报文分片重组，影响性能，开启对应接口处巨帧功能后，就不存在报文分片重组的情况;

4.上下联设备做链路聚合，建议是用LACP进行聚合，聚合口转发算法要改为源目IP（默认是源目mac），否则 有概率出现所有流量都是非对称的场景，影响AF转发性能;

5.控制链路如果有使用聚合接口，聚合模式建议使用负载均衡-RR，双机聚合场景下数据链路接口如果有使用 聚合接口，聚合模式建议使用LACP，HASH策略为-基于源IP和目的IP以及源端口和目的端口。