防火墙高可靠性技术概述
防火墙高可靠性技术分为两类:设备高可靠性和链路高可靠性
防火墙双机热备
双机热备概述及相关协议
HRP协议 :即Huawei Redundancy Protocol,主要用于实现防火墙双机之间关键配置命令和状态化信息的备份,状态化信息主要包括会话表、Servermap表、黑白名单、NAT映射表等。 VGMP协议 :即VRRP Group Management Protocol,主要用于实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性,同时VGMP的状态也会影响路由协议的开销。 备份通道:也称为"心跳线",用于HRP协议和VGMP协议的通信。
VGMP状态:当防火墙上的VGMP为Active状态时,它保证组内所有VRRP备份组的状态统一为Active状态,这样所有报文都将从该防火墙上通过,该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态,该防火墙成为备用防火墙。
双机热备工作模式
主备备份模式
bash
1、两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断。
2、流量由单台设备处理,相较于负载分担模式,路由规划和故障定位相对简单。
3、主备备份模式中,备用设备不承载任何业务流量,资源利用率不高。负载分担模式
bash
1、两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。
2、相较于主备备份模式,组网方案和配置相对复杂。
3、负载分担模式组网中流量由两台设备共同处理,可以提高防火墙整体的业务吞吐量。
4、负载分担模式组网中设备发生故障时,只有一半的业务需要切换,故障切换的速度更快。不同模式中备份的注意事项
bash
1、在主备备份组网下,配置命令和状态信息都由主用设备备份到备用设备。
2、而在负载分担组网下,两台防火墙都是主用设备。因此如果允许两台主用设备之间能够相互备份命令,那么可能就会造成两台设备命令相互覆盖或冲突的问题。所以为了方便管理员对两台防火墙配置的统一管理,避免混乱,我们引入配置主和配置从设备的概念。
3、负载分担组网下,发送备份配置命令的防火墙称为配置主设备(命令行提示符前有HRP_M前缀),接收备份配置命令的防火墙称为配置从设备(命令行提示符前有HRP_S前缀)。配置命令只能由"配置主设备"备份到"配置从设备"。状态信息则是两台设备相互备份。基于VRRP的双机热备
基于路由协议的双机热备
透明模式的双机热备
防火墙链路高可靠性技术
Eth-Trunk
Eth-Trunk技术简称链路聚合,可以将多条以太网物理链路捆绑在一起成为一条逻辑链路,可实现增加带宽、提高链路可靠性的作用。
Eth-Trunk主要功能如下:
bash
增加带宽:链路聚合接口的最大带宽可以达到各成员接口带宽之和。
流量负载分担:在一个链路聚合组内,可以实现业务流量的负载分担。
提高可靠性:当某条链路出现故障时,流量可以切换到其他可用链路上,从而提高链路聚合接口的可靠性。链路聚合组和链路聚合接口:
链路聚合组LAG(Link Aggregation Group)是指将若干条以太链路捆绑在一起所形成的逻辑链路。
每个聚合组唯一对应着一个逻辑接口,这个逻辑接口称之为链路聚合接口或Eth-Trunk接口。
活动接口和非活动接口:链路聚合组的成员接口存在活动接口和非活动接口两种。转发数据的接口称为活动接口,不转发数据的接口称为非活动接口。
活动链路和非活动链路:活动接口对应的链路称为活动链路,非活动接口对应的链路称为非活动链路。
Eth-Trunk的链路聚合模式:
手工模式:Eth-Trunk接口的创建、成员接口的加入由手工配置。手工模式下,所有链路都是活动链路,如果有链路断连,则其他活动链路自动分担流量。
LACP模式:Eth-Trunk接口的创建、成员接口的加入由手工配置。链路状态协商由LACP协议控制,可以动态监控链路的状态,推荐使用此方式。