今天来聊一聊防火墙高可靠特性,具体涉及一下6方面,不同厂商还会有个别特性:
(1)双机
(2)IP-link
(3)BFD
(4)Link-group
(5)Bypass
(6)Eth-trunk
首先看一下双机热备:
一、背景:
FW部署在网络出口位置(关键位置)时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
二、VGMP简介:
每台FW都有一个VGMP组,用户不能删除这个VGMP组,也不能再创建其他的VGMP组。VGMP组有优先级和状态两个属性。VGMP组优先级决定了VGMP组的状态。(6000系列默认45000)
VGMP组有四种状态:initialize、load-balance、active和standby。其中,initialize是初始化状态,设备未启用双机热备功能时,VGMP组处于这个状态。其他三个状态则是设备通过比较自身和对端设备VGMP组优先级大小确定的。设备通过心跳线接收对端设备的VGMP报文,了解对端设备的VGMP组优先级。
设备自身的VGMP组优先级等于对端设备的VGMP组优先级时,设备的VGMP组状态为load-balance。
设备自身的VGMP组优先级大于对端设备的VGMP组优先级时,设备的VGMP组状态为active。
设备自身的VGMP组优先级小于对端设备的VGMP组优先级时,设备的VGMP组状态为standby。
设备没有接收到对端设备的VGMP报文,无法了解到对端VGMP组优先级时,设备的VGMP组状态为active。
三、心跳线:
双机热备组网中,心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。
心跳线主要传递如下消息:
(1)心跳报文(Hello报文):两台FW通过定期(默认周期为1秒)互相发送心跳报文检测对端设备是否存活。
(2)VGMP报文:了解对端设备的VGMP组的状态,确定本端和对端设备当前状态是否稳定,是否要进行故障切换。
(3)配置和表项备份报文:用于两台FW同步配置命令和状态信息。
(4)心跳链路探测报文:用于检测对端设备的心跳口能否正常接收本端设备的报文,确定是否有心跳接口可以使用。
(5)配置一致性检查报文:用于检测两台FW的关键配置是否一致,如安全策略、NAT等。
上述报文均不受FW的安全策略控制。因此,不需要针对这些报文配置安全策略。
四、工作模式:
主备备份(推荐)、负载分担
五、双机组网
配合防火墙的部署模式(路由模式、透明模式、混合模式)
防火墙路由(三层)模式,具体双机组网分为“基于VRRP(主备、负载)”、“基于OSPF(主备、负载)”
(1)防火墙路由模式,接二层交换机组网,配置VRRP 主备
FW的VRRP备份组状态则不是由VRRP优先级大小决定。实际上,FW的VRRP优先级是不可配置的。FW启用双机热备功能后,VRRP优先级固定为120。最终VRRP状态由VGMP状态和配置决定;
在FW上,接口故障时,接口下VRRP备份组状态为Initialize。接口无故障时,接口下VRRP备份组状态由VGMP组的状态决定,具体如下:
当VGMP组状态为active时,VRRP备份组的状态都是Master。
当VGMP组状态为standby时,VRRP备份组的状态都是Backup。
当VGMP组状态为load-balance时,VRRP备份组状态由VRRP备份组的配置决定。
VRRP备份组的配置命令如下:
vrrp vrid virtual-router-id virtual-ip virtual-address { active | standby }
其中,active表示指定VRRP备份组的状态为Master,standby表示指定VRRP备份组的状态为Backup。当一台防火墙出现故障,优先级降级,此时VGMP状态通过优先级比较决定,VRRP状态会伴随VGMP状态变化而变化。
(2)防火墙路由模式,接二层交换机组网,配置VRRP 负载分担
配置多个VRRP备份组,开启会话快速备份功能,将NAT资源进行分割;
(3)防火墙路由模式,接路由器组网,配置OSPF主备
启用双机热备功能后,FW能根据VGMP组状态动态调整OSPF、OSPFv3发布路由的开销值、动态调整BGP发布路由的MED值:
VGMP组状态为active时,FW按照OSPF/OSPFv3路由的配置正常发布路由(不进行路由开销的调整)。
VGMP组状态为standby时,将OSPF/OSPFV3发布路由的开销值调整为一个指定数值。默认是将开销值调整为65500,可以使用hrp adjust ospf-cost enable slave-cost命令修改这个数值。
VGMP组状态为load-balance时,FW默认按照OSPF/OSPFv3路由的配置正常发布路由(不进行路由开销的调整)。如果用户在FW上配置了hrp standby-device命令指定FW为备机或者将FW的所有VRRP备份组状态参数都配置为standby时,FW会调整OSPF、OSPFv3发布路由的开销值,调整的方法与VGMP组状态为standby时相同。
最终通过路由开销引导流量转发到主墙。
(4)防火墙路由模式,接路由器组网,配置OSPF负载分担
两台防火墙状态都为active,开启会话快速备份功能
防火墙透明模式(二层),具体双机组网分为“上下行接交换机主备”和“上下行接路由器负载分担”
(5)防火墙透明模式(二层),上下接二层交换机,推荐主备(不推荐负载-出环)
使用VGMP监控VLAN,当VLAN内的一个接口故障时,VLAN内的其他接口都会Down然后Up一次。这种机制能加快上下行路由器的路由收敛速度。接口故障的FW,优先级降级,状态变为standby,VLAN禁用,上下行路由器流量转发到备墙链路。
VGMP组状态为active时,FW将VGMP组监控的VLAN状态调整为启用状态,该VLAN可以转发报文。
VGMP组状态为standby时,FW将VGMP组监控的VLAN状态调整为禁用状态,该VLAN不能转发报文。
VGMP组状态为load-balance时,FW默认将VGMP组监控的VLAN状态调整为启用状态。如果用户在FW上配置了hrp standby-device命令指定FW为备机或者将FW的所有VRRP备份组状态参数都配置为standby时,FW会将VGMP组监控的VLAN状态调整为禁用状态。
(6)防火墙透明模式(二层),上下接路由器,推荐负载分担(不推荐主备)
让两台FW形成负载分担组网,流量在两台防火墙之间之间负载分担(所有接口开销一致)
关于备份:
备份使用HRP协议,走心跳线
配置命令+各种表项
配置命令:
一般管理的命令、VLAN、静态/动态路由不支持备份,其他大部分支持,需要时查看
各种表项:基本都支持
备份方式:
A、自动备份(实时备份配置命令+周期性备份表项(10s));
B、会话快速备份:不备份配置命令,实时备份各种表项(负载分担模式下务必开启);
C、手工批量备份:管理员手工触发,当发现主墙部分配置存在而备墙没有,可以进行手工触发;
D、备重启后主备FW的配置自动同步:设双机热备组网中,如果一台FW重启,重启期间业务都是由另一台FW承载。在此期间,承载业务的FW上可能会新增、删除或修改配置。为了保证主备FW配置一致,在FW重启完成后,会自动从当前承载业务的FW上进行一次配置同步。