Day 27.Sept
旁路模式:
旁挂在交换机上面:PC通过交换机,再通过路由器进行上网,而防火墙设备旁挂在交换机上。旁挂之后,将通过交换机与路由器的流量copy一份发送给防火墙设备,这种旁挂防火墙设备的行为叫旁挂模式。
EG设备有三种工作模式:网关模式、网桥模式和旁路模式,比较常用的是网关模式和桥模式。
网关模式是把设备当作网络出口,支持NAT和路由选路下报文转发的部署方式。
桥模式是把设备作为桥接,串接在内网核心交换机和外网网关出口之间的部署方式。
旁路模式则可以对报文进行应用识别,只接收报文,不转发。
HA:High Availability,高可用性
目的:可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
双机热备来实现HA。
主-备模式:
主备模式是指实现HA的两台设备中,一台作为主设备,另外一台作为备设备。主设备在进行业务的同时,将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。
主备模式支持路由模式和透明模式:
路由模式:设备接口配置IP地址,通过路由转发数据,上下游设备的接口IP地址处于不用网段。
透明模式:设备接口配置加入桥中,只有桥接口配置IP地址,通过桥转发数据,上下游设备的接口IP地址处于同一网段,不知道MSG设备的存在。
HA工作状态:主模式和备模式。
主模式是指在设备HA主备模式中,实际参与工作。
备模式是指设备是指在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。
HA接口状态:
HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备直接心跳报文和同步报文发送。
监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。
抢占模式:
非抢占方式:如果备份组中的设备工作在非抢占方式下,则只要主设备没有出现故障,备设备不会主动成为主设备。
抢占模式:抢占模式时指用户可以根据需要,指定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。
HA抢占延时定时器:
为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知备设备,抢占成主。
心跳报文:
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
HA管理地址:
处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
HA状态同步:
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息、设备配置、特征库。
· Session信息:包括设备连接表、FBD、用户信息、PKI。
·设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。
·特征库:特征库包括APP特征库以及URL特征库。
HA状态切换:
·当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。
·如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的FBD信息(工作在桥模式)。
·如果设备成为备设备,设备会清除自己的FBD表(如果工作在桥模式),并且向主设备请求状态信息。
注意:
·如果设备工作在桥模式,为了防止形成环路,在刚刚成为主设备的一秒内,桥不转发报文。
·如果设备工作在桥模式,在成为备设备后,设备会将加入桥的接口关闭打开一次,用来刷新上下游交换机的FBD表。
·设备刚变成备状态,会从主设备获取配置信息,但是不会立刻加载。如果主备设备的信息不一致。需要重启备设备。
http get 与 post:
Http定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。URL全称是资源描述符,我们可以这样认为:一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,DELETE就对应着对这个资源的查,改,增,删4个操作。
GET一般用于获取/查询资源信息,而POST一般用于更新资源信息。
LDAP:
Lightweight Directory Access Protocol 轻量级的目录访问协议