3 防火墙透明接入,连接路由器时的VGMP招式

如下图所示,两台防火墙上下行业务接口都工作在二层,连接路由器。两台路由器之间运行OSPF。在此种组网中防火墙的VGMP组采用的故障监控和流量引导方式与上一种组网相同,即通过VLAN监控接口状态实现故障监控,通过控制VLAN是否转发流量实现流量引导

 

故障监控的区别之处在于此种组网只支持负载分担方式的双机热备,不支持主备备份方式。因为如果工作于主备备份方式,备用设备上的VLAN被禁用,它的上下行路由器就无法进行通信,无法建立OSPF路由。这样当主备切换时,新的主用设备(原备用设备)的VLAN被启用,它的上下行路由器才开始新建OSPF路由。而OSPF路由的新建是需要一定时间的,所以会导致业务的暂时中断。此组网的双机热备配置步骤如下:

FW1的配置

FW2的配置

vlan 2

port GigabitEthernet 1/0/1

port GigabitEthernet 1/0/3 //将二层业务接口加入VLAN2

hrp track active //VLAN2加入Active组,由Active组监控VLAN2

hrp track standby //VLAN2加入Standby组,由Standby组监控VLAN2

vlan 2

port GigabitEthernet 1/0/1

port GigabitEthernet 1/0/3 //将二层业务接口加入VLAN2

hrp track active //VLAN2加入Active组,由Active组监控VLAN2

hrp track standby //VLAN2加入Standby组,由Standby组监控VLAN2

hrp interface GigabitEthernet 1/0/2 //指定心跳口

hrp enable //启用双机热备功能

hrp interface GigabitEthernet 1/0/2 //指定心跳口

hrp enable //启用双机热备功能

 

如上图所示,配置完成后,由于FW1FW2上都存在状态为ActiveVGMP组,所以FW1FW2都是主用设备,他们的VLAN2都转发流量。这时在R1的路由表上也可以看到去往PC2的流量可以分别通过FW1FW2转发。

如下图所示,当FW1的业务接口故障后,两台防火墙的VGMP组会进行状态切换,双机热备状态也会由负载分担变成主备备份,具体切换过程请参见上篇的“负载分担双机热备状态形成和切换过程”。FW1VGMP组状态由Active切换到Standby时,组内VLAN中的所有接口都会Down然后Up一次。这会导致上下行路由器的路由变化并收敛(从下图的路由表中可以看到),从而将流量引导到FW2上。这时由于FW2VGMP组状态已经由Standby切换成Active,所以FW2VLAN2能够正常转发流量。


4 VGMP组监控远端接口的招式

上面描述的是VGMP组应对各种双机热备组网的招式,其中VGMP组监控的是防火墙本身的接口。下面我们再来学习两个VGMP组监控远端接口的招式。远端接口是指链路上其他设备的接口。需要注意的是这两种VGMP监控远端接口的招式只能用于防火墙业务接口工作在三层的组网,因为只有业务接口工作在三层才有IP地址,才能对远端设备发送IP-LinkBFD的探测报文。

l 通过IP-Link监控远端接口状态:方法是建立IP-Link探测远端接口, 然后VGMP组监控IP-Link状态。当IP-Link探测的接口故障时,IP-Link的状态变成DownVGMP组感知到IP-Link的状态变化,从而降低自身的优先级。

如下图所示,我们需要在FW1上使用IP-Link1探测R1GE1/0/1接口(非直连的远端接口),然后将IP-Link1加入Active组,由Active组监控IP-Link1的状态。


具体配置如下表所示(配置的前提条件是已配置完成双机热备功能):

FW1的配置

FW2的配置

ip-link check enable //启用IP-Link功能

ip-link 1 destination 1.1.1.1 interface GigabitEthernet1/0/3 mode icmp //建立IP-Link1探测1.1.1.1

hrp track ip-link 1 active //IP-Link1加入Active

ip-link check enable //启用IP-Link功能

ip-link 1 destination 2.2.2.1 interface GigabitEthernet1/0/3 mode icmp //建立IP-Link1探测2.2.2.1

hrp track ip-link 1 standby //IP-Link1加入Standby

l 通过BFD监控远端接口状态:方法是通过BFD探测远端接口, VGMP组监控BFD状态。当BFD探测的远端接口故障时,BFD的状态变成DownVGMP组感知到BFD的状态变化,从而降低自身的优先级。

如下图所示,我们需要在FW1上使用BFD会话10探测R1GE1/0/1接口(非直连的远端接口),然后将BFD会话1加入Active组,由Active组监控BFD会话1的状态。


具体配置如下表所示(配置的前提条件是已配置完成双机热备功能):

FW1的配置

FW2的配置

bfd 1 bind peer-ip 1.1.1.1 //建立BFD会话1监控1.1.1.1

discriminator local 10 //本地标识符为10

discriminator remote 20/ /对端标识符为20

hrp track bfd-session 10 active //BFD加入Active

bfd 1 bind peer-ip 2.2.2.1 //建立BFD会话1监控2.2.2.1

discriminator local 10 //本地标识符为10

discriminator remote 20/ /对端标识符为20

hrp track bfd-session 10 standby //BFD加入Active

 

5 总结

综上所述,尽管VGMP组监控和流量引导招式五花八门,但都遵循以下两条准则:

l 每当VGMP组监控的一个接口故障时,无论是直接监控还是间接监控,无论是监控防火墙本身的接口还是远端接口,VGMP组的优先级都会降低2

l 只有主用设备(VGMP组状态为Active)才会将流量引导到本设备上,备用设备(VGMP组状态为Standby)则是想办法拒绝将流量引导到本设备上。

 

最后,我们总结下双机热备各种典型组网与VGMP故障监控和流量引导招式的关系,具体如下表所示:

 

双机热备组网

故障监控招式

流量引导招式

防火墙业务接口工作在三层,连接二层交换机(上篇讲到)

通过VRRP备份组监控接口

通过IP-Link监控接口(可选)

通过BFD监控接口(可选)

主用设备会向连接的交换机发送免费ARP报文,更新交换机的MAC转发表。

防火墙业务接口工作在三层,连接路由器

直接监控接口

通过IP-Link监控接口(可选)

通过BFD监控接口(可选)

主用设备正常对外发布路由,备用设备发布的路由Cost值增加65500

防火墙业务接口工作在二层(透明模式),连接二层交换机

通过VLAN监控接口

主用设备的VLAN能够转发流量,备用设备的VLAN被禁用。当主用设备切换成备用设备时,主用设备的VLAN中的接口会down然后up一次,触发上下行二层设备更新MAC转发表。

防火墙业务接口工作在二层(透明模式),连接路由器

通过VLAN监控接口

主用设备的VLAN能够转发流量,备用设备的VLAN被禁用。当主用设备切换成备用设备时,主用设备的VLAN中的接口会down然后up一次,触发上下行三层设备的路由收敛。

 

至此,双机热备的VGMP部分全部学习完毕,下篇强叔会为大家带来双机热备功能的最后一块拼图“HRP”,大家敬请期待!