防火墙双机热备技术详解

今天继续给大家介绍HCIE安全相关内容。本文主要介绍防火墙双机热备技术。
阅读本文,您需要对防火墙相关理论知识有一定了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获!

一、防火墙双机热备技术概述

一般而言,防火墙部署于公司网络的出口位置,以便对进出公司的所有访问流量进行限制。然而,如果防火墙部署在公司网络出口位置,一旦防火墙发生故障,就会影响到整个网络业务。因此,为了提升防火墙的可靠性,可以类似路由交换设备中的VRRP技术一样,配置防火墙双机热备技术。
在防火墙双击热备架构中,当一台防火墙出现故障时,业务流量能平稳地切换到另一台防火墙上,保证流量业务不中断,使得对内外网用户透明,感知不到防火墙的故障。
防火墙双机热备技术有以下三种协议架构:
HRP协议: 用于双击之间关键配置命令和链接状态信息的备份。
VGMP协议: 用于主备设备状态管理、接口链路状态监控。
VRRP协议: 负责监控单个链路的状态和流量引导。
这三大协议协同工作,实现了防火墙的双机热备功能。

二、防火墙双击热备故障检测技术

故障检测技术是双机热备的基础。为了实现完美的双机热备效果,必须尽可能快地检测到各种故障,才能出发后续的业务切换。目前防火墙双机热备故障检测的方式有以下几种:

1、检测VRRP备份组状态。

这种检测方式用于防火墙业务接口为三层接口,业务接口连接二层交换机时的场景。在这种检测方式下,当物理接口故障时,接口下的VRRP备份组处于Initialise状态,而物理接口故障恢复时,接口下的VRRP备份组处于Active或者是Standby状态。

2、检测单个物理接口状态。

由于三层设备无法转发VRRP组播报文,所以当防火墙业务接口为三层接口并且链接三层设备时,使用此方式实现故障检测。VGMP管理组直接进行监控连路由状态。当接口状态变化时,将执行触发相关的VGMP管理组调整优先级并进行主备倒换。

3、检测透明模式下VLAN接口状态

当防火墙业务接口为二层接口,无法配置VRRP时,可以采取这种方式,由VGMP管理组直接监控整个VLAN。当VLAN中有任何一个接口状态变化时,都会触发VGMP管理组调整优先级,并进行主备切换。

4、检测IP-LINK逻辑链路的状态

该方式可以检测非直连链路的可达性。VGMP可以利用IP-LINK来检测和防火墙直连或非直连链路的三层可达性。IP-LINK可以用来检测以下几种故障:
(1)板接口假死,接口状态为UP,但是接口无法收发报文
(2)接口不支持自动协商的光纤链路,比如党恩光纤故障
(3)非直连链路远端设备故障。

5、检测BFD逻辑链路的状态

同样的,也可以配置BFD,使得VGMP与BFD联动,从而通过检测BFD逻辑链路的状态决定防火墙VGMP的状态。

三、防火墙双击热备流量引导技术

当VGMP管理组检测到成员状态变化,从而进行主备切换后,需要能即使有效地对业务流量进行引导。VGMP管理组的流量引导功能负载在倒换时进行业务流量的引导。目前,VGMP管理组支持的业务流量引导手段有以下几种:

1、虚拟IP地址方式。

此方式主要用于防火墙三层业务接口直连二层交换机组网时使用。利用VRRP协议,当VGMP状态切换后,新的主设备发送免费ARP报文,刷新上下行交换机的MAC竹筏表,将下一跳为虚拟IP的业务报文调整到主用设备上来。

2、路由COST调整方式。

此方式主要用于防火墙三层业务接口连接路由器,主备备份组网时使用。主备设备防御对接的设备上运行OSPF动态路由协议,但是主设备业务链路上配置的路由COST值较小,业务流量送到主设备进行转发。当主设备业务板故障,OSPF无法感知,不能自动收敛时VGMP管理组能感知到这种故障,并进行主动切换。此时状态原本为Active的VGMP管理组,控制运行OSPF的业务链路自动升高路由COST,触发对设备路由收敛到备用设备。

3、动态路由收敛方式。

此方式主要用于防火墙三层业务接口连接路由器,路由器组网,防火墙负载分担组网时的场景。在此方式下,主备防火墙对接的设备上运行动态路由协议,一般情况下,主设备相关业务链路上配置的路由COST值较小,业务流量送到主设备进行转发。主设备业务接口故障时,动态路由自动收敛,业务流量送到备用设备继续进行转发。使用动态路由的引流方式,当故障发生时,不需要VGMP管理组控制流量切换,而是通过动态路由控制。

4、VLAN启用和禁用方式。

此方式主要用于防火墙业务接口工作在透明模式的组网中。当防火墙工作在二层转发时,无法通过路由的变化来引导上下行设备的流量。通过接口down/up的方式来刷新上下行设备的MAC转发表或促使路由收敛,然后通过使能/禁用VLAN转发功能的方式来保证流量不会发送到故障的防火墙。
在二层转发模式下,VLAN和VGMP管理组绑定,管理组状态为Active时,VLAN能转发报文;管理组状态为Standby状态时,VLAN被禁用,不能转发报文。
管理组切换到Standby时,VLAN内所有接口都会down——up一次,触发上下行设备刷新MAC转发表或者路由收敛,接口重新UP后,由于VLAN被禁用,接口仍然无法转发相关VLAN的报文。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119256200

你可能感兴趣的:(HCIE安全)