防火墙高可靠性

防火墙高可靠性技术概述

防火墙高可靠性技术分为两类：设备高可靠性和链路高可靠性

防火墙双机热备

双机热备概述及相关协议

HRP协议 ：即Huawei Redundancy Protocol，主要用于实现防火墙双机之间关键配置命令和状态化信息的备份，状态化信息主要包括会话表、Servermap表、黑白名单、NAT映射表等。 VGMP协议 ：即VRRP Group Management Protocol，主要用于实现对VRRP备份组的统一管理，保证多个VRRP备份组状态的一致性，同时VGMP的状态也会影响路由协议的开销。 备份通道：也称为"心跳线"，用于HRP协议和VGMP协议的通信。

VGMP状态：当防火墙上的VGMP为Active状态时，它保证组内所有VRRP备份组的状态统一为Active状态，这样所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态，该防火墙成为备用防火墙。

双机热备工作模式

主备备份模式

bash 复制代码

1、两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时，备用设备接替主用设备处理业务流量，保证业务不中断。
2、流量由单台设备处理，相较于负载分担模式，路由规划和故障定位相对简单。
3、主备备份模式中，备用设备不承载任何业务流量，资源利用率不高。

负载分担模式

bash 复制代码

1、两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时，另外一台设备会承担其业务，保证原本通过该设备转发的业务不中断。
2、相较于主备备份模式，组网方案和配置相对复杂。
3、负载分担模式组网中流量由两台设备共同处理，可以提高防火墙整体的业务吞吐量。
4、负载分担模式组网中设备发生故障时，只有一半的业务需要切换，故障切换的速度更快。

不同模式中备份的注意事项

bash 复制代码

1、在主备备份组网下，配置命令和状态信息都由主用设备备份到备用设备。
2、而在负载分担组网下，两台防火墙都是主用设备。因此如果允许两台主用设备之间能够相互备份命令，那么可能就会造成两台设备命令相互覆盖或冲突的问题。所以为了方便管理员对两台防火墙配置的统一管理，避免混乱，我们引入配置主和配置从设备的概念。
3、负载分担组网下，发送备份配置命令的防火墙称为配置主设备（命令行提示符前有HRP_M前缀），接收备份配置命令的防火墙称为配置从设备（命令行提示符前有HRP_S前缀）。配置命令只能由"配置主设备"备份到"配置从设备"。状态信息则是两台设备相互备份。

防火墙链路高可靠性技术

Eth-Trunk

Eth-Trunk技术简称链路聚合，可以将多条以太网物理链路捆绑在一起成为一条逻辑链路，可实现增加带宽、提高链路可靠性的作用。

Eth-Trunk主要功能如下：

bash 复制代码

增加带宽：链路聚合接口的最大带宽可以达到各成员接口带宽之和。
流量负载分担：在一个链路聚合组内，可以实现业务流量的负载分担。
提高可靠性：当某条链路出现故障时，流量可以切换到其他可用链路上，从而提高链路聚合接口的可靠性。

链路聚合组和链路聚合接口：

链路聚合组LAG（Link Aggregation Group）是指将若干条以太链路捆绑在一起所形成的逻辑链路。

每个聚合组唯一对应着一个逻辑接口，这个逻辑接口称之为链路聚合接口或Eth-Trunk接口。

活动接口和非活动接口：链路聚合组的成员接口存在活动接口和非活动接口两种。转发数据的接口称为活动接口，不转发数据的接口称为非活动接口。

活动链路和非活动链路：活动接口对应的链路称为活动链路，非活动接口对应的链路称为非活动链路。

Eth-Trunk的链路聚合模式：

手工模式：Eth-Trunk接口的创建、成员接口的加入由手工配置。手工模式下，所有链路都是活动链路，如果有链路断连，则其他活动链路自动分担流量。

LACP模式：Eth-Trunk接口的创建、成员接口的加入由手工配置。链路状态协商由LACP协议控制，可以动态监控链路的状态，推荐使用此方式。

防火墙高可靠性