双机热备如果只用自身的检测机制去做一些业务转发的话,那么就会有问题:双机热备这些协议,默认只能感知到自己的直连链路出现故障,如果是远端链路故障,是感知不到的。
所以防火墙的高可靠技术不仅仅局限于要在两个防火墙之间部署双机热备,也要考虑到双击热备的状态的及时切换。
IP-Link
hrp,vrrp默认只能感知到自己接口故障。
问题:ARP能探测的ICMP都能做到,为什么还有ARP?
表面看ICMP很全能,但是有可能网络中有些设备是禁止ICMP探测的。(或者中间可能有防火墙拦截Ping测试)
而ARP是所有网络设备的通信基础,这在网络中是不可能禁止的。
防火墙上还需要配置IP-Link监控
现在把左边上联的链路Down掉
现在IP-Link的状态就已经Down了
IP-Link一Down又联动着双机热备去工作时,防火墙A就会出日志
现在左边防火墙优先级降低了
一旦链路恢复正常,优先级又会调整回来。但是没开抢占模式,主备不会切换。
有关健康度检查的报文是不用书写安全策略的。-- 但具体型号的设备还得查看具体文档
BFD
IP-Link的检测时间也比较长(以秒为单位)
AR8也得配置
Link-Group
