防火墙双机热备配置及组网指导
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
1 1:防火墙双机热备命令行说明
防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
1.1 1.1 HRP命令行配置说明
HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。
在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。
两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。
HRP的配置命令的功能和使用介绍如下:
★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。
★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★ hrp configuration check hrp :检查主备防火墙两端的HRP的配置是否一致。执行此
命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★hrp interface Ethernet/ GigabitEthernet :添加防火墙配置会话备份通道。通常就是指防火墙心跳口,此接口用来备份防火墙的会话的。
★ hrp interface Ethernet 1/0/0 high-availability :配置防火墙的高可用性接口。主要是用来实现防火墙的会话快速备份,如果不配置high-availability,会话快速备份的命令将不能使能,配置此命令之后,此接口会被有限选择作为防火墙会话备份的接口。
在防火墙上配置了hrp interface之后,防火墙选择备份通道的接口为:先选择配置的时候带了high-availability的接口,如果配置了多个带high-availability的接口,先选择槽位号和端口号比较小的接口,然后在选择槽位号和端口号比较小的不带high-availability的接口。接口发生故障导致接口上的VRRP处于初始化状态或者是接口上的VRRP所属的VGMP没有使能的时候,防火墙会重新选择备份通道。
★ hrp mirror session enable :会话快速备份使能命令,此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上,在配置high-availability之后才能配置此命令。
★ hrp mirror packet enable :报文搬迁使能命令,此命令使能之后,如果ICMP的应答报文或者是TCP的ACK报文在其中一台防火墙上找不到会话,会把报文搬迁到另外一台防火墙上,如果在另外一台防火墙上找到会话,报文根据会话转发,如果找不到会话,直接丢弃。此功能现在保留,但是基本上不再使用,因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上,并且报文搬迁占用比较多的带宽,所以这个命令推荐不使用。
★ hrp ospf-cost adjust-enable :这个命令是在防火墙和路由器组网的时候使用的,在防火墙上配置这个命令后,防火墙发布OSPF的路由的时候,会判断是主防火墙或者是备防火墙,如果是主防火墙,防火墙把学习到的路由直接发布出去,如果是备防火墙,防火墙把学习到的路由加上一个COST值再发布出去,这个COST值默认是65535,可以根据需要进行调整,这样和防火墙相连的路由器在计算路由的时候,路由就都能指到主防火墙上,路由器把报文转发到主防火墙上。在使用防火墙和路由器进行组网起OSPF协议的时候,尽量保证OSPF的域小一些,这样在防火墙发生主备倒换的时候,OSPF的路由能尽快收敛,保证业务很快恢复。
★ hrp auto-sync connection-status :防火墙连接状态备份命令。防火墙会话备份不分防火墙是主防火墙或者是备防火墙,使能了次命令后,防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。此命令行在防火墙hrp enable执行之后就默认使能了。
★ hrp auto-sync config:防火墙配置备份命令。防火墙上使能此命令后,在主防火墙上配置的命令行如ACL,域等都可以自动备份到备防火墙上,保证命令行能实时同步。此命令行在hrp enable之后就默认使能了,此时在备防火墙上是默认不能配置ACL等配置的,但是如果需要单独配置,执行undo hrp auto-sync config就可以在备防火墙上配
置此命令行了,主防火墙上执行ACL等配置发送到备防火墙上不会备执行,如果在主防火墙上执行此命令,主防火墙上将不把配置发送到备防火墙上执行。
★ hrp auto-sync config batch-backup :防火墙配置批量备份使能命令。使能此命令,在防火墙发生主备倒换之后,新的主防火墙备自动把配置备份到新的备防火墙上。此命令默认是不使能的,现在也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync config:防火墙配置批量备份命令。执行此命令后主防火墙能把自己的配置发送到备防火墙上执行,此命令行在用户视图下使用,在使能了hrp之后才能使用。此命令默认是也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync connection-status:手工同步连接状态信息命令,会进行会话,黑名单,地址转换表,以及ARP表等的备份等,同时对于Eudemon 1000来说还会刷新备份的通道。
★ display hrp:显示当前HRP的状态信息,主要包括HRP的备份通道,HRP的状态,hrp 是否使能快速备份,为MASTER状态的VGMP信息。
★ display hrp verbose:显示当前HRP的详细状态信息。
1.2 1.2 VGMP配置说明
VGMP(vrrp group management protocol)是VRRP的组管理协议,同样VGMP协议也是华为私有的协议。VGMP通过把VRRP加入到一个组中进行管理,通过VGMP报文和对端进行协商,确定自己和对端的VGMP的状态,根据VGMP的状态的主备,把VGMP组下面的VRRP的状态改成和VGMP的状态一致。VGMP状态也分Master和Slave,同样VGMP 报文是在VRRP报文的基础上进行封装的,它通过VRRP报文通知对端自己的状态以及和对端进行协商。
防火墙的VGMP功能现在支持两台防火墙之间的VGMP协商,通过协商,在两台防火墙上形成一主一备的状态,当其中主防火墙发生故障或者其他原因导致VGMP的优先级降低的时候,备防火墙的VGMP会抢占为主,原来的主防火墙的VGMP会变成备,同时VGMP 组里面的VRRP也跟随这VGMP的状态的变化发生变化。通过VGMP来管理VRRP,使VGMP为主的防火墙对外发布VGMP组下面的所有的VRRP的虚地址,而VGMP为备的防火墙不对外发布VRRP虚地址,形成VRRP的冗余备份。
VGMP的配置命令的功能和使用介绍如下:
★ vrrp group <1-16>:创建VGMP管理组。执行此命令行之后,创建一个VGMP管理组,并进入此管理组视图,所有的VGMP的配置都在VGMP视图下进行配置。
★ add interface Ethernet 1/0/7 vrrp vrid 1 :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理。
★ add interface Ethernet 1/0/7 vrrp vrid 1 data :把接口Ethernet1/0/7下配置的
VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。配置了发送VGMP的数据通道之后,VGMP才能使能。防火墙的配置同步是通过VGMP的数据通道进行发送的。
★add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道,并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。通常在防火墙上下行都是交换机组网的情况,心跳口上的VRRP可以以此种方式加入到VGMP组中。
★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1:把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP 数据报文的通道,同时在VGMP上绑定ip-link功能。ip-link的使用介绍请参考其他文档。
★ vrrp-group enable:VGMP组使能命令。在配置了VGMP的数据通道之后,此命令才可以执行,执行此命令后,防火墙会从数据通道发送VGMP的报文和对端防火墙进行交互,确定VGMP的主备状态。
★ vrrp-group preempt:配置VGMP组的抢占模式。此命令配置之后本端VGMP和对端VGMP 进行协商,并进行抢占,如果优先级高就抢占为主,如果优先级低就被抢占为备。配置此命令后默认抢占延时为0,即立即抢占。
★ vrrp-group preempt delay <0-1800000>:配置VGMP组抢占延时,单位为毫秒(ms),如果本地的VGMP组的优先级比对端的VGMP的优先级高,在延时配置的时间后VGMP就抢占为Master状态。对于防火墙组网,我们建议的抢占方式是备防火墙抢占延时为0,主防火墙配置抢占延时为20000ms或者是不抢占。具体的配置在相关组网中详细说明如何配置防火墙的抢占方式。
★ vrrp-group priority <1-254>:配置VGMP组的优先级。配置VGMP组的优先级后, VGMP 和对端的防火墙的VGMP进行协商,并确定VGMP的主备状态。默认使用这种方式作为VGMP 组的优先级,默认优先级是100。VGMP组的优先级调整算法为:当前优先级-(当前优先级/16)。如果VGMP组下的一个VRRP变成初始化状态,则VGMP组的优先级调整一次,同样如果配置的一个ip-link检测远端IP为不可达,VGMP组的优先级也会调整一次,每次都使用上面的算法进行调整。对于采用此种方式,建议主防火墙配置为105,备防火墙使用默认配置100。
★ vrrp-group priority using-vrrppriority:使用VRRP的优先级作为VGMP组的优先级。
配置VGMP组的优先级后,VGMP和对端的防火墙的VGMP进行协商,并确定VGMP的主备状态。如果采用此种方式决定VGMP组的优先级,首先把VGMP组下所有的VRRP的优先级加起来,再除以VGMP组下的VRRP的个数。如果还在VGMP下面配置了ip-link,并且ip-link检测到远端的IP地址不可达,计算出ip-link调整的优先级,计算方法为ip-link绑定的VRRP的优先级除以16,然后用根据VGMP组下的所有的VRRP计算出来的优先级减去ip-link调整的优先级,得到最终的VGMP组的优先级。采用此种方式,建议
VRRP的优先级主防火墙配置为105,备防火墙配置为默认的100。
★ vrrp-group priority plus <0-254>:此命令也是用来调整VGMP的优先级的,但是现在不再使用,也不推荐配置此命令。
★ vrrp-group manual-preempt:VGMP组手动抢占命令。在VGMP配置了抢占延时的时候,如果延时时间没有到,即使本地防火墙的VGMP组的优先级比对端高,也不进行抢占。如果在VGMP组下面配置了不抢占,即使本地优先级比对端高,也不进行抢占。但是通过vrrp-group manual-preempt可以进行手动抢占,如果本地VGMP组优先级高,配置的抢占延时没有到或者配置不抢占,通过此命令本地VGMP能马上抢占为Master状态。
★ vrrp-group timer hello <200-60000>:VGMP组发送VGMP的hello报文的时间间隔,单位为毫秒(ms),默认值为1000ms。通过配置VGMP组下的VGMP的hello报文的发送时间间隔,VGMP组能更快的进行抢占切换。建议采用默认值,如果参数设置的太小,导致防火墙发送和接受的VGMP的报文的数量会很多,会占用较多的CPU资源,并且配置1s的hello报文的时间间隔也能满足现网故障反应时间间隔。
★ vrrp-group group-send:VGMP组下的所有数据通道都发送VGMP报文。配置此命令后,VGMP发送数据报文和hello报文的时候,加入此VGMP组的每个数据通道都发送一次。
此命令默认不使能,VGMP会自动选择一个数据通道作为发送VGMP报文的通道,并且在检测到数据通道发生故障的时候重新进行选择。
1.3 1.3 VRRP配置说明
防火墙的VRRP和标准的VRRP协议一样,下面大概说说VRRP的配置,详细信息可以找相关的RFC查看。在防火墙上,如果VRRP加入到VGMP中,VRRP的状态由VGMP 决定,不再自己协商。
VRRP的配置命令的功能和使用介绍如下:
★ vrrp vrid 1 virtual-ip 1.1.1.100:在接口视图下配置VRRP。此命令是在接口上配置VRRP的ID以及VRRP的虚地址。
★ vrrp vrid 1 track Ethernet1/0/6:配置VRRP监视的端口。配置监视的端口之后,如果此端口的协议状态down,VRRP的优先级会自动调整。默认是调整10,可以在此命令后面继续配置下降多少。
★ vrrp vrid 1 priority <1-254>:配置VRRP的优先级。默认值是100,如果是主防火墙,建议配置为105,备防火墙建议配置为默认值100。
★ vrrp vrid 1 timer advertise <1-255>:VRRP的hello报文发送的时间间隔。默认VRRP 的hello报文的发送时间间隔为1s,建议使用默认配置。
★ vrrp vrid 1 preempt-mode:VRRP的抢占参数。如果VRRP加入VGMP组中,VRRP的抢占参数不再生效。
1.4 1.4 IP-Link配置说明
1.4.1 1.4.1:ip-link功能说明:
防火墙ip-link功能是一种检测三层链路是否可达的功能,基本原理就是在防火墙上配置ip-link使能并配置ip-link的目的地址之后,防火墙会向该目的地址发送icmp的报文判断该目的地址是否可达,判断从防火墙到该目的地址三层链路是否可通,应用在双机热备组网中,VGMP能根据ip-link特测的结果调整VGMP的优先级,从而使防火墙在和路由器组网中能在发生故障的时候进行主备倒换。
防火墙在使能ip-link功能时,需要判断ip-link的目的地址的设备能和防火墙进行正常的icmp交互,这样防火墙才能正确的检测该目的地址,从而在该设备发生故障的时候正确引导主备防火墙进行主备切换,所以ip-link使用的前提条件是ip-link配置的目的地址的设备能正常的和防火墙进行icmp会话。
1.4.2 1.4.2:ip-link在组网中的应用:
防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示:
如上图所示,如果在防火墙上不使能ip-link功能,正常情况下报文会通过防火墙A进行转发,这时必须保证防火墙A的上下行设备都是正常工作。但是一旦和防火墙A相连的路由器A的0/1口发生故障,报文不能从该口进行转发,此时防火墙A的VRRP是检测不到路由器A的0/1口发生故障的,报文会继续从防火墙A转发到路由器A,导致业务中断。
如果在防火墙A上使能ip-link的功能,使得ip-link的目的地址是路由器A的0/1口,当路由器A的0/1口发生故障的时候,防火墙A能探测到路由器A的0/1接口的IP地址是不可达的,此时防火墙A认为从本地0/0口出去的链路不通,这个时候防火墙A会自动调整优先级,使防火墙A和防火墙B发生主备倒换,防火墙A上面的业务全部转移到防火墙B 上,保证了业务的正常转发。
1.4.3 1.4.3:防火墙ip-link的配置:
在防火墙上配置ip-link功能时首先要确认ip-link配置中的目的地址的设备在正常的情况下能正确的和防火墙进行icmp会话。相关配置介绍如下:
1:使能防火墙ip-link功能
在系统视图下执行命令ip-link check enable 如:
[Eudemon]ip-link check enable
2:配置ip-link其他参数
ip-link INTEGER<1-32> [ vpn-instance vpn-name] destination X.X.X.X [ interface | timer ]
上述命令参数含义可参考命令行给出的提示信息。
3:vrrp绑定ip-link
进入VGMP的视图
Vrrp group 1
配置ip-link
[E1000_A-vrrpgroup-1]add int Ethernet 4/0/0 vrrp vrid 1 ip-link 1
1.4.4 1.4.4:防火墙ip-link的配置:
配置防火墙ip-link使能之后,防火墙将向ip-link目的地址的设备发送icmp报文检测目的设备是否正常。我们通过查看vrrp 组的状态可以看到ip-link已经开始影响vrrp组的优先级了,防火墙ip-link检查调整优先级的大小和加入vrrp管理组的接口down掉调整vrrp管理组的优先级相同。
HRP_M[E1000_A]dis v v
Vrrp Group 16
state : Master
Priority : 98 ――――>此处优先级会根据ip-link检查的结果进行调整
Preempt : YES Delay Time : 0
Timer : 1000
Group-Send : YES
Peer Status : OnLine
Vrrp number : 3
: Same
interface : Ethernet4/0/7, vrrp id : 254 Up
interface : Ethernet4/0/0, vrrp id : 2 Up
interface : Ethernet4/0/1, vrrp id : 1 Down,ip-link: 32 Down
22:防火墙双机热备典型组网
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,不管是在路由模式下还是在透明模式下,我们都建议采用主备的组网方式而不采用负载分担的组网方式。
在防火墙双机热备组网的时候,我们需要根据需求决定组网情况以及在此组网下出现网络故障的时候防火墙如何正确的倒换保证业务正常,这些都是在配置的时候需要考虑的。下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
2.1 2.1 路由模式防火墙和路由器双机热备组网
路由模式下的组网分防火墙和路由器组网,防火墙和交换及组网,以及防火墙上下行分别是交换机和路由器的组网,下面就防火墙和这些设备的组网做一个说明。
2.1.1 2.1.1组网一:推荐组网
如上图所示,此种组网是防火墙上下行都是路由器的时候在外面应用的最多的一种组网,对于此种组网,防火墙需要和路由器之间起OSPF协议。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令,使备防火墙发布路由的时候增大COST,保证业务只在主防火墙上转发。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置等价路由的方式实现,同时在防火墙上去掉根据HRP状态调整OSPF路由的COST的命令。在防火墙上配置会话快速备份功能,
保证在存在来回路径不一致的时候不影响业务。
组网优点:
1:网络拓扑简单,发生故障的时候OSPF的路由能快速收敛,减小业务中断的时间,同时出现问题时定位比较容易。
2:防火墙上下行业务口采用1GE的板卡,成本较低,转发性能高,能达到防火墙最大转发性能。
3:可以根据需要,只需要在命令行上配置,就能在主备组网和负载分担组网上进行切换。4:对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。
组网缺点:
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用,不能使用虚地址,因为一旦其中一台防火墙down掉,虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。
2:发生故障的时候,OSPF的收敛时间较长,如果业务中断的时候需要更快的响应时间,防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。
可靠性分析:
这里只分析主备组网的可靠性。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,备防火墙向外发布路由的时候会自动加上一个COST值(默认是65500)。
1:FW-2和R4之间的链路故障
当FW-2和R4之间的链路故障,防火墙上配置的vrrp track了此接口,所以vrrp的优先级降低,并且是使用的vrrp的优先级作为VGMP的优先级,所以vgmp的优先级降低,此时FW-2的优先级比FW-1的优先级低,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1和FW-2都会更新自身的路由并对外发布路由,此时FW-1为主,对外直接发布自身的路由,而FW-2变成了备防火墙,对外发布路由的时候会另外加上一个cost值(默认是65500),路由重新计算并收敛,业务都从FW-1上走。此组网图中任何一个和防火墙相连的路由器的链路down或者是路由器故障,都会引发上述过程。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙因为心跳口down,导致vrrp的状态变成初始化状态,VGMP的状态也变成初始化状态,HRP的状态变成初始化状态,此时防火墙更新自身路由,同时整个链路的路由收敛,业务从没有故障的防火墙上走,从而保证业务的正常。如果发生故障的防火墙FW-2恢复,防火墙FW-1上的VRRP 会up起来,VGMP会变成主状态,HRP也会变成主状态,而FW-2上的VRRP,VGMP以及HRP都是备状态,FW-2和FW-1都对外发布路由信息,HRP状态为备FW-2对外发布路由的时候会自动加上一个cost值,使业务仍然从为主的FW-1上走。如果VGMP配置了抢占,抢占延时设置为20s左右,保证FW-1上的会话充分备份到FW-2上,此时FW-2变成主防火墙的时候重新发布路由,业务从主防火墙FW-2上走,因为会话已经从FW-1上备份过来了,所以也不会对业务产生影响。
如果是防火墙之间的心跳线中的一根down掉,因为两台防火墙上的两个心跳线上都配
置了VRRP并加入了VGMP组中,所以不会对状态产生影响,但是要注意即使是防火墙的一根心跳线down,也要保证在其他设备出现故障的时候防火墙能正常倒换,所以需要每个接口上的VRRP都track上下行业务口。
组网配置要点:
主备模式配置要点:
1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP,加入同一个VGMP 组中,使心跳线形成备份,保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。
2:防火墙的VGMP的优先级使用VRRP的优先级,每个VRRP都监视防火墙的上下两个业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。3:防火墙上下行接口都加入到同一个link-group组中,保证一个接口down的时候另外一个接口也跟着down,OSPF收敛的速度快。
4:在防火墙上配置ip-link,分别检测防火墙上下行路由器的接口,保证在接口没有down 但是不转发数据的时候防火墙也能检测到并且能进行主备倒换,注意使用ip-link的时候需要添加包过滤规则使防火墙和路由器能进行icmp交互。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛速度快,防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。同时如果防火墙上做nat转换,有私网路由的时候,需要保证私网路由不发布出去,需要在ospf中通过acl限制私网路由的发布。6:配置根据HRP的状态调整OSPF的cost值的命令,形成主备模式的组网。
7:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat 地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
8:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,配置的transfer-only上绑定的ip-link也将不再起作用。
9:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
10:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP,加入同一个VGMP 组中,使心跳线形成备份,保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。
2:在防火墙的两个心跳线上配置两个VRRP,把两个VRRP加入不同的VGMP组中,防火墙的VGMP的优先级使用VRRP的优先级,为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,并使得两边的VGMP各有一个是主状态。
3:防火墙上下行接口都加入到同一个link-group组中,保证一个接口down的时候另外一个接口也跟着down,OSPF收敛的速度快。
4:负载分担的组网链路的可靠性靠OSPF路由的计算,防火墙主备倒换不会引起路由的变化,所以不用配置ip-link进行探测,所以负载分担的组网防火墙收敛速度慢一些。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛速度快,防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的
IP 地址的路由,保证心跳口不转发数据。同时如果防火墙上做nat 转换,有私网路由的时候,需要保证私网路由不发布出去,需要在ospf 中通过acl 限制私网路由的发布。 6:防火墙上的nat 地址池或者是nat server 配置时不能加上VRRP 的ID ,在路由器请求nat 地址池或者时nat server 的arp 的时候,因为收到ARP 请求的接口和配置VRRP 的接口不一致,防火墙不会回应ARP 请求,会导致上行路由器上没有ARP 导致业务不通,不配置VRRP 的ID ,防火墙直接根据用接口地址回应ARP 请求。
7:心跳口不能配置成transfer-only ,否则VGMP 状态会是初始化状态,导致VGMP 无法协商形成主备,同时配置的transfer-only 上绑定的ip-link 也将不再起作用。
8:心跳口不能配置成transfer-only ,否则VGMP 状态会是初始化状态,导致VGMP 无法协商形成主备,同时如果配置的transfer-only 上绑定的ip-link 也将不再起作用。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT 中的配置。
验证组网一:
主备模式组网:
组网验证图及配置_主备模式.ppt 防火墙重点配置说明:
防火墙重点配置说明.doc
验证组网二:
负载分担组网:组网验证图及配置_负载分担.ppt
防火墙重点配置说明:防火墙重点配置说明.doc
2.1.2 2.1.1组网二:多冗余组网
如上图所示组网,此种组网是对组网一的一种扩展,可以进一步提高网络的可靠性,
对于此种组网,防火墙需要和路由器之间运行OSPF协议,由于网络拓扑结构比组网一复杂,出现故障的时候OSPF的收敛速度比组网一慢,故障恢复时间比组网一要长。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令,使备防火墙发布路由的时候增大COST,保证业务在同一边的路由器上转发。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置等价路由的方式实现,同时在防火墙上去掉根据HRP状态调整OSPF路由的COST的命令。如果存在来回路径不一致的情况,需要在防火墙上配置会话快速备份功能。
组网优点:
1:此种组网能提供更好的冗余性能,保证此组网中的任意上下行路由器或者是防火墙的其中两台发生故障网络都能正常工作。
2:可以根据需要,只需要在命令行上配置,就能在主备组网和负载分担组网上进行切换。3:对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。
组网缺点:
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用,不能使用虚地址,因为一旦其中一台防火墙down掉,虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。
2:发生故障的时候,OSPF的收敛时间比组网一更长,如果业务中断的时候需要更快的响应时间,防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。
3:防火墙上下行业务口都需要采用2GE的板卡,2GE的板卡小包不能线速转发,并且增加了接口并不能增加防火墙的转发能力。
4:采用2GE卡成本较高,网络拓扑比较复杂,对于出现故障的时候的OSPF收敛速度比组网一要慢,并且出现故障时定位也比组网以复杂。
5:此组网防火墙端口已经全部都占用,网络不具有可扩展性。
组网配置要点:
主备模式配置要点:
1:防火墙之间采用2GE板卡,心跳线形成备份。
2:防火墙上行两个口采用一个2GE卡的两个接口,防火墙下行两个口也采用一个2GE卡的两个接口。
3:在防火墙的每个心跳线上配置一个VRRP,两个心跳线上的VRRP加入同一个VGMP组中。
4:防火墙的VGMP的优先级使用VRRP的优先级,所有的VRRP都监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。
6:两台防火墙形成主备组网,需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令,根据HRP状态调整OSPF的cost值采用默认值65500就可以,如果由于组网特殊需要可以调整这个值。
7:防火墙上的nat 地址池或者是nat server 配置时不能加上VRRP 的ID ,在路由器请求nat 地址池或者时nat server 的arp 的时候,因为收到ARP 请求的接口和配置VRRP 的接口不一致,防火墙不会回应ARP 请求,会导致上行路由器上没有ARP 导致业务不通,不配置VRRP 的ID ,防火墙直接根据用接口地址回应ARP 请求。
8:心跳口不能配置成transfer-only ,否则VGMP 状态会是初始化状态,导致VGMP 无法协商形成主备,同时如果配置的transfer-only 上绑定的ip-link 也将不再起作用。
9:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
10:配置VGMP 为主的防火墙VGMP 不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙之间采用2GE 板卡,心跳线形成备份。
2:防火墙上行两个口采用一个2GE 卡的两个接口,防火墙下行两个口也采用一个2GE 卡的两个接口。
3:在防火墙的每个心跳线上配置两个VRRP ,形成负载分担的组网,把两个VRRP 加入不同的VGMP 组中,并使得两边的VGMP 各有一个是主状态。如果是形成主备组网,两个心跳线上的VRRP 加入同一个VGMP 组中。
4:防火墙的VGMP 的优先级使用VRRP 的优先级,所有的VRRP 都监视防火墙的上下业务口,并且为主状态的VRRP 优先级设置为105,为备状态的优先级设置为默认值100。 5:防火墙和上下行路由器起OSPF ,形成动态路由,OSPF 区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF 能很快收敛。同时不要引入心跳口的IP 地址的路由,保证心跳口不转发数据。
6:防火墙上的nat 地址池或者是nat server 配置时不能加上VRRP 的ID ,在路由器请求nat 地址池或者时nat server 的arp 的时候,因为收到ARP 请求的接口和配置VRRP 的接口不一致,防火墙不会回应ARP 请求,会导致上行路由器上没有ARP 导致业务不通,不配置VRRP 的ID ,防火墙直接根据用接口地址回应ARP 请求。
7:心跳口不能配置成transfer-only ,否则VGMP 状态会是初始化状态,导致VGMP 无法协商形成主备,同时如果配置的transfer-only 上绑定的ip-link 也将不再起作用。
8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务,保证在来回路径不一致的时候不会对业务产生影响。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT 中的配置。
验证组网一:
主备模式组网:组网验证图及配置.ppt 防火墙重点配置说明:参考组网一配置
验证组网二:
负载分担组网:略 防火墙重点配置说明:略
2.2 2.2 路由模式防火墙和路由器以及交换机双机热备组网
路由模式下防火墙和路由器的组网,防火墙可以对外发布VRRP虚地址,使VRRP虚地址作为路由的下一跳地址,同时防火墙和路由器之间起OSPF,使得路由器形成备份关系。
2.2.1 2.2.1组网三:推荐组网
如上图所示,此种组网是防火墙上行是路由器下行为交换机的时候在外面应用的最多的一种组网,对于此种组网,防火墙需要和路由器之间运行OSPF协议,防火墙对交换机一侧起VRRP协议,使VRRP虚地址作为交换机下面设备的下一跳地址来保证报文转发到主防火墙上。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令,使备防火墙发布路由的时候增大COST,保证业务在同一边的路由器上转发,同时防火墙上配置一个VGMP,把所有的接口上的VRRP加入到同一个VGMP组中。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置路由的方式实现,对交换机一侧需要起两个VRRP,分别加入不同VGMP组中,两个VGMP组在两台防火墙上分别为主状态,同时最好保证来回路径一致,可以通过在路由器上配置策略路由来实现。如果存在来回路径不一致的情况,需要在防火墙上配置会话快速备份功能。
组网优点:
1:防火墙上行是路由器下行是交换机,能适应绝大部分的组网需要,在绝大部分的组网需求中通过在汇聚层交换机和核心层路由器之加防火墙来保护网络免受攻击。
2:防火墙下行为交换机,通过VRRP报文来感知网络故障,故障相应速度快,防火墙上行路由器和防火墙之间起路由协议,能快速收敛。
3:此种组网能适合路由模式下的防火墙的所有的应用类型,对外提供虚IP,能以虚IP 地址作为L2tp或者是IPSec的协商地址,使此种应用也能在一台防火墙发生故障的时候能进行备份。
4:防火墙上下行业务口采用1GE的板卡,成本较低,转发性能高,能达到防火墙最大转发性能。
组网缺点:
此组网是我们主推的一种组网,对于上行是路由器下行是交换机的组网是一种最优的组网方案。
可靠性分析:
这里只分析主备组网的可靠性。
防火墙上行路由器转发数据到哪台防火墙的路由是靠OSPF来保证的,下行交换机转发数据到哪台防火墙是靠VRRP来实现的,防火墙的主备状态时对外发布的路由以及对外发布的VRRP虚地址能保证防火墙上下行设备的报文都转发到主防火墙上,保证形成主备组网,这里只分析主备组网的可靠性。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,备防火墙向外发布路由的时候会自动加上一个COST值(默认是65500),加入到VGMP组中的VRRP会和VGMP的状态保证一致。1:FW-2和R2/SW-2之间的链路故障
当FW-2和R2之间的链路故障,防火墙上配置的vrrp track了此接口,所以vrrp的优先级降低,并且是使用的vrrp的优先级作为VGMP的优先级,所以vgmp的优先级降低,此时FW-2的优先级比FW-1的优先级低,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
当FW-2和SW-2之间的链路down的时候,防火墙FW-2和SW-2相连的接口上的VRRP 变成初始化状态,防火墙FW-2的VGMP的优先级降低,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1和FW-2都会更新自身的路由并对外发布路由,此时FW-1为主,对外直接发布自身的路由,而FW-2变成了备防火墙,对外发布路由的时候会另外加上一个cost值(默认是65500),路由重新计算并收敛;防火墙FW-1的VGMP的状态变成主状态,VGMP中的加入的VRRP也变成主状态,此时FW-1和SW-1相连的接口上的VRRP成为主,对外发送VRRP的hello报文,更新二层交换机的MAC转发表,同时发布VRRP虚地址的免费ARP,更新下行设备的ARP表,保证业务都转发到FW-1上,同时上行路由器根据路由的变化也把报文转发到FW-1上。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙立即抢占为主状态,调整对外发布的路由,更改VGMP的状态以及VRRP的状态,对外发布VRRP的免费ARP,使上下行设备的报文转发到FW-1上。
组网配置要点:
主备模式配置要点:
1:防火墙业务口和心跳口都采用1GE板卡,心跳线和交换机相连的接口上都上起VRRP监视到NE40的上行口,配置ip-link监视路由器的接口,两个接口上的VGMP都加入同一个VGMP组中。
2:防火墙的VGMP的优先级使用VRRP的优先级,VRRP分别监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,VGMP 组中添加VRRP的时候,先添加心跳口做为data通道,使VGMP优先选择心跳口作为VGMP报文的通道。
3:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。
4:两台防火墙形成主备组网,需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令,根据HRP状态调整OSPF的cost值采用默认值65500就可以,如果由于组网特殊需要可以调整这个值。
5:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP 抢占方式为立即抢占。
6:防火墙在对路由器上的出口上起NA T功能,防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不要配置成transfer-only,否则如果形成备份的交换机其中一台down掉,将会导致其中一台防火墙HRP的状态是初始化状态,无法调整上行路由器的路由的COST,导致报文转到这台防火墙上业务中断,配置的transfer-only上绑定的ip-link也将不起作用。8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
9:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙业务口和心跳口都采用1GE板卡,心跳线和交换机相连的接口上都上起VRRP监视到NE40的上行口,配置ip-link监视路由器的接口。心跳线和交换机相连的接口上都配置两个VRRP,分别加入不同的VGMP组中,并使得两边的VGMP组都有一个是主状态。
2:防火墙的VGMP的优先级使用VRRP的优先级,VRRP分别监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,VGMP 组中添加VRRP的时候,先添加心跳口做为data通道,使VGMP优先选择心跳口作为VGMP报文的通道。
3:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。防火墙形成负载分担的组网,不需要配置根据HRP状态调整防火墙发布的路由的命令。
5:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP 抢占方式为立即抢占。
6:防火墙在对路由器上的出口上起NA T功能,防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不要配置成transfer-only ,否则如果形成备份的交换机其中一台down 掉,将会导致其中一台防火墙HRP 的状态是初始化状态,无法调整上行路由器的路由的COST ,导致报文转到这台防火墙上业务中断,配置的transfer-only 上绑定的ip-link 也将不起作用。 8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
9:最好保证来回路径一致,可以通过在上行的路由器上配置策略路由的方式实现。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT 中的配置。
验证组网一:
主备模式组网:组网验证图及配置_
主备模式.ppt
防火墙重点配置说明:防火墙重点配置说明.doc 验证组网一:
负载分担组网:组网验证图及配置_
负载分担.ppt
防火墙重点配置说明:防火墙重点配置说明.doc
2.3 2.3 路由模式防火墙和交换机双机热备组网
防火墙和交换机的组网是指防火墙上下行都是交换机,防火墙对上行和对下行都起VRRP,通过交换机透传VRRP报文,防火墙通过VRRP报文来感知上下行链路的故障,从而发生主备倒换,此组网也是我们主推组网方式。防火墙和交换机的组网比较简单,就只有一种组网方式。
2.3.1 2.3.1组网四:推荐组网
如上图所示,防火墙上下行都是交换机,交换机透传防火墙的VRRP报文,交换机既可以作为二层设备也可以做三层设备,此组网防火墙通过VRRP报文来感知链路故障,防火墙能快速切换,保证发生故障的时候业务迅速恢复。
此组网一般采用主备模式,防火墙上行交换机可以起VRRP协议,下行交换机也可以起VRRP协议,防火墙采用静态路由的方式,分别指向上下行的交换机的VRRP的虚地址。由于采用主备模式,交换机之间可能会转发数据报文,所以交换机之间的接口需要保证链路的畅通和带宽满足需求。
组网优点:
1:防火墙推荐的典型组网,是已经应用的很成熟的组网方式。
2:上下行都是交换机,并且配置的是静态路由,发生故障的时候能能快速切换。
3:在防火墙上如果配置多个VGMP组,就能形成负载分担的组网。
4:防火墙上的所有的应用类型都能在此种组网上实现。
组网缺点:
对防火墙上下行设备都需要是交换机。
可靠性分析:
这里只分析主备组网的可靠性。
防火墙对上下行设备都发布VRRP的虚地址,上下行设备通过配置静态路由的方式指向防火墙的虚地址,使得数据都转发到VRRP为主的防火墙上。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,加入到VGMP组中的VRRP会和VGMP的状态保证一致。
1:FW-2和SW-3之间的链路故障
当FW-2和SW-3之间的链路故障,此接口上的VRRP变成初始化状态,FW-2防火墙上的VGMP的优先级降低,FW-2上的对应的VGMP变成备状态,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1变成主防火墙,对外发布VRRP的免费ARP,同时VRRP发送hello报文,更新上下行交换机的MAC表,这样以虚地址为下一跳报文都能转发到主防火墙FW-1上。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙立即抢占为主状态,对外发布VRRP的免费ARP,同时VRRP发送hello报文,使上下行设备的报文转发到FW-1上。
组网配置要点:
主备组网配置要点:
1:防火墙所有的接口都采用1GE的板卡,保证达到最大的转发性能,心跳口做会话备份接口,防火墙上下行和心跳口都起VRRP,并加入同一个VGMP组中。
2:防火墙的VGMP的优先级使用配置的优先级,为主状态的VGMP优先级设置为105,为备状态的优先级设置为默认值100,,所有的接口都作为VGMP的数据通道,同时心跳口以transfer-only的方式加入VGMP组中。
3:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP 抢占方式为立即抢占。
4:防火墙在对路由器上的出口上起NA T功能,防火墙上的nat地址池或者是nat server配置时加上VRRP的ID,此VRRP所蜀的接口必须保证和收到ARP请求的接口一致,在路由器请求nat地址池或者时nat server的arp的时候,主防火墙回应ARP请求而备防火墙不会回应ARP请求,使到NAT地址池地址的报文能正确的转发到主防火墙上,如果不配置VRRP的ID,主备防火墙都直接用接口地址回应ARP请求,将会导致上行设备上的ARP表出错。
5:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
负载分担组网配置要点:
1:防火墙所有的接口都采用1GE的板卡,保证达到最大的转发性能,心跳口做会话备份接口,防火墙上下行和心跳口都起VRRP,上下行每个业务口上配置两个VRRP,加入不同的VGMP组。
2:防火墙的VGMP的优先级使用配置的优先级,为主状态的VGMP优先级设置为105,为备状态的优先级设置为默认值100,,所有的接口都作为VGMP的数据通道。
3:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP 抢占方式为立即抢占。
4:防火墙在对路由器上的出口上起NA T 功能,防火墙上的nat 地址池或者是nat server 配置时加上VRRP 的ID ,此VRRP 所蜀的接口必须保证和收到ARP 请求的接口一致,在路由器请求nat 地址池或者时nat server 的arp 的时候,主防火墙回应ARP 请求而备防火墙不会回应ARP 请求,使到NAT 地址池地址的报文能正确的转发到主防火墙上,如果不配置VRRP 的ID ,主备防火墙都直接用接口地址回应ARP 请求,将会导致上行设备上的ARP 表出错。
5:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT 中的配置。
验证组网一:
主备模式组网:组网验证图及配置_
主备组网.ppt 防火墙重点配置说明: 防火墙重点配置说明.doc 验证组网一:
负载分担组网:组网验证图及配置_
负载分担.ppt 防火墙重点配置说明:
防火墙重点配置说明.doc
技术白皮书 双机热备技术白皮书 双机热备技术白皮书 关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换 摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即 使在防火墙设备故障的情况下,信息流仍然不中断。本文将介绍双机热备的概念、工作 模式、实现机制及典型应用等。 缩略语英文全名中文解释 ALG Application Level Gateway应用层网关 ASPF Application Specific Packet Filter基于应用层的包过滤 NAT Network Address Translator网络地址转换 VRRP Virtual Router Redundancy Protocol虚拟路由冗余协议 OSPF Open Shortest Path First开放最短路径优先
目录 1 概述 1.1 产生背景 在当前的组网应用中,用户对网络可靠性的要求越来越高,对于一些重要的业务入口或接入点(比如企业的Internet接入点、银行的数据库服务器等)如何保证网络的不间断传输,成为急需解决的一个问题。如图1 所示,防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。 图1 单点设备组网图 于是,业界推出了传统备份组网方案来避免此风险,该方案在接入点部署多台设备形成备份,通过VRRP或动态路由等机制进行链路切换,实现一台设备故障后流量自动切换到另一台正常工作的设备。 传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受影响。但是当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当用户发起会话时,状态防火墙只会对会话的首包进行检查,如果首包允许通过则会建立一个会话表项(表项里包括源IP、源端口、目的IP、目的端口等信息),只有匹配该会话表项的后续报文(包括返回报文)才能够通过防火墙。如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断。 双机热备解决方案能够很好的解决这个问题。在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。如图2 所示,在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断,从而提高了网络的稳定性及可靠性。 图2 双机热备组网图 双机热备可以从两个层面去理解:一个是广义的双机热备,它是一种解决方 案,用来解决网络中的单点故障问题,它通过数据同步和流量切换两个技术 来实现;一个是狭义的双机热备,它是设备支持的一个功能模块(只实现了
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
双机热备工作原理及切换过程具体剖析 双机热备容错基本原理是一个企业需要长期学习的技术,但是企业在组建的时候还是有很多不解的地方。下面我们就详细的了解下双机热备容错的相关知识。 一.双机工作原理 (1)心跳工作过程 通过IP做心跳检测时,主备机会通过此心跳路径,周期性的发出相互检测的测试包,如果此时主机出现故障,备机在连续丢失设定数目的检测包后,会认为主机出现故障,这时备机会自动检测设置中是否有第二种心跳,如果没有第二种心跳的话,备机则根据已设定的规则,启动备机的相关服务,完成双机热备容错的切换。 (2)IP工作过程 IP地址用虚拟IP地址的方法来实现,主要原理 主机正常的情况下虚拟IP地址指向主机的实IP地址,用户通过虚拟IP地址访问主机,这时,双机热备容错软件将虚拟IP地址解析到主机实IP地址。当主机做相关的切换时,虚拟IP地址通过双机热备容错软件自动将虚拟IP地址解析到备机的实IP地址上,这时,虚拟IP地址指向备机的实IP地址。但对用户来说,用户访问的仍然是虚拟IP地址。所以用户只会在切换的过程中发现有短暂的通信中断,经过一个短暂的时间,就可以恢复通信。 应用及网络故障切换过程 (i)可以检测到操作系统的故障并及时将服务切到备用服务器。 (ii)当操作系统正常的情况下,数据库系统出现意外故障,这时双机容错软件可以及时发现并将其切到备用服务器,使服务不致于停止。(如图2) (iii)当操作系统和数据库系统全都正常的情况下,服务器网络出现故障,这时双机热备容错软件,可以将系统切到正常的备用服务器上。 二.双机热备容错模式 双机热备有两种实现模式,一种是基于共享的存储设备的方式即双机热备容错方式,另一种是没有共享的存储设备的方式,一般称为镜像方式。 双机热备容错方式 对于这种方式,采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用互备、主从、并行等不同的方式。在工作过程中,两台服务器将以一个
双机热备软件的安装与配置指导手册 系统版本:A1 文档编号:CHI-PT-NJBL-SJRB-A0
内容简介 《双机热备软件的安装与配置指导手册》主要针对目前公司人员定位系统服务器双机热备软件的安装和配置进行了详细说明,指导现场工程师对双机热备软件进行安装及配置。 本手册共分四章节,分别为: 第一章:概述 第二章:软件的安装 第三章:服务的安装及配置 第四章:注意事项 第五章:常见故障处理 本文档的读者范围: 公司内部员工 版权声明 本文档属南京北路科技有限公司版权所有,侵权必究。 本文文件专供用户、本公司职员以及经本公司许可的人员使用,未经公司书面 同意,任何单位或个人不得以任何方式复制、翻印、改编、摘编、转载、翻 译、注释、整理、出版或传播手册的全部或部分内容。
南京北路自动化系统有限责任公司位于南京江宁经济技术开发区,是南京市高新技术企业,现有高级工程师、工程师及其他专业技术人员100余名。是专业从事煤矿通信、自动化、信息化产品的研发、生产、销售及服务的高科技公司。 公司拥有ISO9001:2000质量管理体系认证,坚持“质量第一、用户至上、至诚服务、持续改进”的质量方针,得到了广大客户的信赖和支持。目前公司产品覆盖全国10多个省、自治区,并在多个煤炭主产区设有售后服务机构。 公司以满足客户需求为己任,不断生产高性价比的产品,为客户创造价值。 南京北路自动化系统有限责任公司 联系地址:南京市江宁开发区菲尼克斯路99号 邮政编码:211106 电话号码:(025)52187543 传真:(025)52185703 邮件地址:njbestway@https://www.doczj.com/doc/2514337104.html, 客户服务电话:400-611-5166 客户支持网站:https://www.doczj.com/doc/2514337104.html,
防火墙双机热备配置案例精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID 相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 主墙
存储集群双机热备方案
目录 一、前言 (3) 1、公司简介 (3) 2、企业构想 (3) 3、背景资料 (4) 二、需求分析 (4) 三、方案设计 (5) 1.双机容错基本架构 (5) 2、软件容错原理 (6) 3、设计原则 (7) 4、拓扑结构图 (7) 四、方案介绍 (10) 方案一1对1数据库服务器应用 (10) 方案二CLUSTER数据库服务器应用 (11) 五、设备选型 (12) 方案1:双机热备+冷机备份 (12) 方案2:群集+负载均衡+冷机备份 (13) 六、售后服务 (15) 1、技术支持与服务 (15) 2、用户培训 (15)
一、前言 1.1、公司简介 《公司名称》成立于2000年,专业从事网络安全设备营销。随着业务的迅速发展,经历了从计算机营销到综合系统集成的飞跃发展。从成立至今已完成数百个网络工程,为政府、银行、公安、交通、电信、电力等行业提供了IT相关系统集成项目项目和硬件安全产品,并取得销售思科、华为、安达通、IBM、HP、Microsoft等产品上海地区市场名列前茅的骄人业绩。 《公司名称》致力于实现网络商务模式的转型。作为国内领先的联网和安全性解决方案供应商,《公司名称》对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全国各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。 《公司名称》推出的一系列互联网解决方案,提供所需的安全性和性能来支持国内大型、复杂、要求严格的关键网络,其中包括国内的20余家企事业和政府机关. 《公司名称》成立的唯一宗旨是--企业以诚信为本安全以创新为魂。今天,《公司名称》通过以下努力,帮助国内客户转变他们的网络经济模式,从而建立强大的竞争优势:(1)提出合理的解决方案,以抵御日益频繁复杂的攻击 (2)利用网络应用和服务来取得市场竞争优势。 (3)为客户和业务合作伙伴提供安全的定制方式来接入远程资源 1.2、企业构想 《公司名称》的构想是建立一个新型公共安全网络,将互联网广泛的连接性和专用网络有保障的性能和安全性完美地结合起来。《公司名称》正与业界顶尖的合作伙伴协作,通过先进的技术和高科产品来实施这个构想。使我们和国内各大企业可通过一个新型公共网络来获得有保障的安全性能来支持高级应用。 《公司名称》正在帮助客户改进关键网络的经济模式、安全性以及性能。凭借国际上要求最严格的网络所开发安全产品,《公司名称》正致力于使联网超越低价商品化连接性的境界。《公司名称》正推动国内各行业的网络转型,将今天的"尽力而为"网络改造成可靠、安全的高速网络,以满足今天和未来应用的需要。 1.3、背景资料 随着计算机系统的日益庞大,应用的增多,客户要求计算机网络系统具有高可靠,高
RoseMirrorHA镜像服务器双机热备解决方案 及具体配置
一、双机热备拓扑图以及工作原理
双机热备工作示意图 二、双机热备方案介绍 在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。 双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件RoseHA)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。
双机备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即双机热备模式、双机互备模式和双机双工模式。下面分别予以简单介绍: ?双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前最理想的一种模式。 ?双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。服务器配置相对要好。 ?双机双工模式 : 是目前Cluster(集群)的一种形式,两台服务器均为活动状态,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。WEB服务器或FTP服务器等用此种方式比较多。 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式,低成本模式。 基于存储共享的双机热备是双机热备的最标准方案。这种方式采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用热备(主从)、互备、双工(并行)等不同的方式。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时,服务器通过心跳线(目前往往采用建立私有网络的方式)侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。对于用户而言,这一过程是全自动的,在很短时间内完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行管理。
双机热备主备方式OSPF组网配置 指导手册 关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明:2 2主防火墙配置步骤:2 2.1 配置接口地址5 2.2 配置安全区域6 2.3 配置双机热备8 2.4 配置接口联动11 2.5 配置NAT11 2.6 配置OSPF动态路由协议15 2.7 配置NQA18 2.8 配置静态缺省路由与TRACK 1绑定19 2.9 配置OSPF发布缺省路由20 3备防火墙配置步骤:20 2.1 配置接口地址22 2.2 配置安全区域24 2.3 配置双机热备25 2.4 配置接口联动28 2.5 配置NAT28 2.6 配置OSPF动态路由协议33 2.7 配置NQA35 2.8 配置静态缺省路由与TRACK 1绑定36 2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明: 组网说明: 防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求: 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。 2 主防火墙配置步骤: 1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。 3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
PLUSWELL多机集群、数据备份 解决方案
一:概述 企业和事业单位的运转越来越依赖于计算机系统,如果一旦这个数据处理中心无法正常运转,就会造成业务停顿,导致不可挽回的损失。 而现有的双机热备份设备存在价格高昂,成本较高的情况,往往使用户望而却步。而用户寻求底成本的纯软件方案又往往因产品不容易维护,纯软件双机方案不稳定等因素,往往给用户造成不必要的使用麻烦。有时因护理不当造成数据损坏,发生更大的事故。 蓝科泰达凭借其丰富的研发经验,为您提供高可用性系列产品和优质的服务,推出了蓝科泰达双机容错打包解决方案,目的在于保证数据永不丢失和系统永不停顿,同时为用户节省大量的开支。 蓝科泰达容错系统结合了蓝科泰达磁盘阵列产品的安全可靠性与双机容错技术高可用性的优点,相互配合二者的优势。蓝科泰达磁盘阵列针对双机容错技术做了许多优化和改进,满足了双机硬件的连接要求,根据应用环境的实际情况,适用于Windows2000平台以上,开放源代码Linux平台,SCO UNIX平台上的多种双机热备软件。 二、需求分析 企业关键业务一旦中断,企业的日常运作将受到致命的影响,那么就要求我们的系统在最短的时间内将系统恢复到正常状态。 所以我们要求双机软件能够实现以下几点: 1、异常终端检测 2、网络故障,系统故障,应用程序故障等全系统检测 3、当高可用系统中的某个节点故障,无须人工干预自动切换,保障系统运行 4、速度快(快速恢复) 贵单位业务平台,是以Windwos 2003 Server系统平台为基础,以SQL Server核心的数据库应用系统,该系统对稳定性要求很高、系统实时性和可用性提出要有连续运行的能力,系统一旦出现故障,其损失是惨重的。 因此,建议用户采用高可用技术,高可用系统在各个节点间保持的间歇的通讯,使系统中的独立节点组合成整体的一套系统,并使用PlusWell 软件可以保障该系统中的某一节点故障都可被PlusWell 软件所监控,如主服务器应用程序、网卡、操作系统,均纳入公共的安全体系,确保7*24的不停机。 比较典型的危及系统安全应用和系统错误主要有: (1)进程错误,比如用户应用与文件数据库的连接异常中断或用户进程 发生错误。 (2)文件系统故障,由于异常操作或其它原因造成文件系统内部部分信 息丢失或不一致。 (3)操作系统故障,操作系统本身的系统调用问题及底层的应用驱动在 安装或更新出现冲突; (4)网络线缆故障。 (5)介质问题,网络连接或物理硬盘也可能会出现问题。 方案拓扑:
双机热备的步骤 sybase双机问题 ,两台IBM3650,DS3400阵列,用的ROSEHA双机软件。SYBASE 12.5在win2003上不能自动启动,SYBASE应如何建库啊???lllenxue发表于2008-4-2814:07 看一下sybase的服务设置是不是自动启用的 建库进入控制台,建库之前先建设备,之后在设备上按你实际需要创建数据库 netmaple发表于2008-4-3009:33 这个知道呀,就是sybase做双机建库后备份机就不能起SYBASE服务了,不知道做双机如何建库 lllenxue发表于2008-4-3014:19 你参考一下这篇文章,希望对你能有所帮助 ROSE HA3107的安装过程(Sybase)
安装环境: 两台服务器(以下分别称为“服务器1”和“服务器2”,一套磁盘整列柜,Sybase数据库软件,ROSE HA3107软件。) 安装过程: 1、安装WINDOWS NT4.0 (1)在安装NT4.0的过程中,必须安装SNMP和Wins服务(WINDOWS网际名称服务)。 (2)将所有的驱动程序安装好,配置好网络。 (3)安装Services Pack。(SP4,SP5都可以) (4)在两台NT服务器的磁盘管理器中查看磁盘柜中将要安装数据库的卷的盘符是否相同,该盘符必须相同。 2、安装Sybase数据库 (1)在公共磁盘上建立Sybase目录,在其下建立Data,Install 两个子目录。 (2)关闭服务器2,在服务器1上安装Sybase数据库。在安装过程中,将程序文件安装在本地硬盘上,把库文件安装在磁盘柜上,然后重启计算机。 (3)安装完毕后,进入Sybase的Server Config中,删除数据库安装过程中默认建立的SQL Server,Backup Server,Monitor Server。 (4)将公共磁盘Sybase\Data目录下的Master.dat,Sybprocs.dat文件删除。
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
Cisco catalyst 4506双机热备配置 catalyst4506#show run 刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。 Current configuration : 4307 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname 4506-1 ! enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561 ! ip subnet-zero no ip domain-lookup ! ! no file verify auto ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-1005 priority 24576 power redundancy-mode redundant ! ! vlan access-map vlan_map 10 action forward match ip address server_acl vlan access-map vlan_map 20 action drop match ip address vlan_acl vlan access-map vlan_map 30 action forward vlan filter vlan_map vlan-list 30-31,33-34,37,39,100-101,200,311 vlan internal allocation policy ascending !
ROSE 共享存储双机热备解决方案 解决方案优点: ●对服务器硬件配置要求不高,可以根据应用情况采用不同型号或配置●可利用原有生产系统快速构建双机系统,性价比高 ●系统切换时间短,最大程度减少业务中断的影响 ●切换过程对应用程序无影响,无需重新启动或登录,做到无人值守
●系统效率高,系统中数据读写、管理及容错由磁盘阵列来完成。而系统服务器故障监控切换处理由HA软件来完成。双机监控依靠RS232串口线路或专用TCP/IP网路线路,既不占用主机CPU资源也不占用基础业务网络带宽,在实际应用中得到用户的一致好评 ●支持丰富的应用配置,如:Oracle、MSSQL、Sybase、MySQL、文件服务、Web服务等,无需额外插件支持用户自定义应用 ●硬件可采用机架式结构,便于维护管理 RoseHA产品介绍 RoseHA高可用系统解决方案,由两台服务器和一台共享存储设备组成主要硬件环境,通过RoseHA持续、稳定、高效的软件系统,实现两个节点的高可用功能。采用Rose基于共享存储的高可用解决方案,实现企业关键业务7×24小时不间断运营,是企业最佳之选。 RoseHA的工作原理 RoseHA双机系统的两台服务器(主机)都与磁盘阵列(共享存储)系统连接,用户的操作系统、应用软件和RoseHA高可用软件分别安装在两台主机上,数据库等共享数据存放在存储系统上,两台主机之间通过私用心跳网络连接。配置好的系统主机开始工作后,RoseHA软件开始监控系统,通过私用网络传递的心跳信息,每台主机上的RoseHA软件都可监控另一台主机的状态。当工作主机发生故障时,心跳信息就会产生变化,这种变化可以通过私用网络被RoseHA软件捕捉。当捕捉到这种变化后RoseHA就会控制系统进行主机切换,即备份机启动和工作主机一样的应用程序接管工作主机的工作(包括提供TCP/IP网络服务、存储系统的存取等服务)并进行报警,提示管理人员对故障主机进行维修。当维修完毕后,可以根据RoseHA的设定自动或手动再切换回来,也可以不切换,此时维修好的主机就作为备份机,双机系统继续工作。 RoseHA实现容错功能的关键在于,对客户端来说主机是透明的,当系统发生错误而进行切换时,即主机的切换在客户端看来没有变化,所有基于主机的应用都仍然正常运行。RoseHA采用了虚拟IP地址映射技术来实现此功能。客户端通过虚拟地址和工作主机通讯,无论系统是否发生切换,虚拟地址始终指向工作主机。在进行网络服务时,RoseHA提供一个逻辑的虚拟地址,任何一个客户端需要请求服务时只需要使用这个虚拟地址。正常运行时,虚拟地址及网络服务由主服务器提供。当主服务器出现故障时,RoseHA会将虚拟地址转移到另外一台服务器的网卡上,继续提供网络服务。切换完成后,在客户端看来系统并没有出现故障,网络服务仍然可以使用。除IP地址外,HA还可以提供虚拟的计算机别名供客户端访问。对于数据库服务,当有主服务器出现故障时,另外一台服务器就会自动接管,同时启动数据库和应用程序,使用户数据库可以正常操作。 RoseHA主要功能特点 ●简洁直观的管理方式 RoseHA提供了友好直观的图形安装界面和监控管理界面。通过直观而又方便的Java Applet管理界面,用户可以交互式地对集群系统进行配置、监控和管理,并可以利用Applet的网络特性,通过网络对系统进行远程管理,实时地显示出主机系统及服务的状态。
JUNIPER双机热备配置 unset key protection enable set clock timezone 0 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nM9dBJrVGrCEc3RGssLAgHAtesLken" set admin auth web timeout 10 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "DMZ" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block unset zone "V1-Trust" tcp-rst unset zone "V1-Untrust" tcp-rst set zone "DMZ" tcp-rst unset zone "V1-DMZ" tcp-rst unset zone "VLAN" tcp-rst set zone "Trust" screen icmp-flood set zone "Trust" screen udp-flood set zone "Trust" screen winnuke set zone "Trust" screen port-scan set zone "Trust" screen ip-sweep
Pluswell配置说明 二、硬件环境检查 1、查看整个局域网内是否有与双机环境提供的虚拟IP和服务名存在 冲突 2、磁盘阵列柜的电源是否打开 3、RAID 是否完成 4、控制卡是否安装且工作正常 5、磁盘阵列柜连接主、备服务器的线缆是否牢固 6、主、备服务器的系统磁盘管理中是否找到磁盘阵列柜 7、磁盘阵列柜在主服务器和备用服务器中的驱动器号要求一致(注 意:不可将磁盘分区标记为活动的) 8、主、备服务器TCP/IP心跳线是否连接正常且测试通过(可以互 ping) 9、检查磁盘阵列的配置,如查看各逻辑盘,确定好安装数据库Data 的盘符。 三、双机服务器操作系统安装及注意事项 1、先安装双机中的第一台服务器的操作系统(Windows Server2003 标 准版 X64 +Sp2)。 1) 注意安装服务器操作系统时,该服务器的引导盘信息需与 所安装的操作系统相匹配,即在引导盘中能够找到该操作 系统。 2)安装时注意先检查本机的磁盘号与第一台安装好的磁盘号是否一致(必须一致,否则配置双机时,会导致双机切换不成 功),如:第一台安装时磁盘0给了本机磁盘,磁盘1给了磁盘 阵列柜,那么此时在开机自检时需注意观察本机有多少个磁盘 号,是否与第一台机器相匹配,如果不匹配的情况一般有两 种:
a) 本机磁盘未做RAID1,所以有多个磁盘号。 b) 本机磁盘未做RAID1,而且又没配有RAID卡的情况下。 2、两台服务器操作系统安装完毕后,主、备服务器上都可以操作磁盘 阵列(注:主、备服务器不能同时去读写阵列柜上的文件、数据 等) 4、数据库软件安装配置 1. 关闭备服务器,只保持主服务器在开机的状态下进行数据库 的安装 2. 双机中安装数据的注意事项 1) 数据文件的路径必须在阵列柜上的同一个目录下; 2) 程序文件必须安装在本地磁盘上; 3) 服务(server、agent)启动模式必须设置成手动停止,用户 帐号必须为本地系统帐户; 4) 安装完第一台服务器的数据库系统后要保证: a) SQLSERVER和SQLSERVERAGENT服务处于停止状 态 b) 把磁盘阵列柜(卷锁)上第一次建立的数据文件夹改 名或删除。 5) 安装第二台数据库的方法、路径必须与第一台保持一致 6) 安装完数据库后,还要在每台服务器上安装相关的数据库 补丁,如安装补丁SP4。 5、双机软件安装配置 a) 以administrator用户逐台安装两台服务器的pluswell软件。 b) 保证双机的Administrator用户的密码一致。 c) 进行pluswell软件的配置 i. 进行心跳线的配置
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。
双机热备解决方案 方案特点: 双机热备可以采用第三方双机软件实现,也可以采用windows server系统自带的mscs来实现双机热备。两套相同应用的服务器采用主/备机模式,主备机采用心跳线连接, 备机会监测主机的运行状态,如果主机出现故障,备机可以自动接管主机的应用继续服务,保证业务的连续性。双机热备的方案建议采用存储设备,数据全部存放在存储设备中,保证数据的一致性,可以让备机顺利接管主机应用。也可以选择不带存储来实现双机。需要软件支持,相当于两台服务器做镜像的模式。 避免的风险: 随着业务对IT系统的依存度越来越高、为保证业务连续性、IT系统的安定、连续运行成为必需。系统中断服务、业务被中断的可能性如下所示。 一、由于操作错误造成系统停止 二、软件/硬件故障 三、利用备份软件等进行恢复的情况下、长时间的操作导致业务中断 四、自然灾害 您的收益: 一、系统安全:双重保护,实时保护公司重要的无形资产 二、业务连续性:IT系统7x24在线,减少停机时间,提供最优质的IT服务 三、IT体验:提高企业员工IT使用体验,提高工作效率 四、满意度:先进的IT系统能更好的服务客户,提高客户满意度
WINDOWS故障转移群集 故障转移群集是一种高可用性的基础结构层,由多台计算机组成,每台计算机相当于一个冗余节点,整个群集系统允许某部分节点掉线、故障或损坏而不影响整个系统的正常运作。一台服务器接管发生故障的服务器的过程通常称为"故障转移"。 如果一台服务器变为不可用,则另一台服务器自动接管发生故障的服务器并继续处理任务。群集中的每台服务器在群集中至少有一台其他服务器确定为其备用服务器。 故障转移群集可应用于Windows server 2003、Windows server 2008、Windows 2012 server等操作系统中部署。 适用环境 1. 硬件组件、应用程序或服务出现故障导致程序或服务无法使用或影响工作;例 如某服务器电源出现故障,如果该该服务器和电源都是唯一的,则存在单点故障, 并且服务器提供的应用程序将不可用。 2. 计划内的服务器停机或维护影响应用程序的可用性;例如要更新无备用服务器 的一台数据库服务器 上的操作系统,你可能需要重启或停止应用程序服务才能安装更新修补程序; 3. 监视和维护多服务器层增加了对系统和网络资源的要求。例如你需要多台服务 器提供多种应用程序服务,各自独立的服务器不利于监视与维护; 工作原理 故障转移群集必须基于域的管理模式部署,以“心跳机制”来监视各个节点的健康状况;备用服务器以心跳信号来确定活动服务器是否正常,要让备用服务器变成活动服务器,它必须确定活动服务器不再正常工作。 同步状态 备用服务器必须首先将其状态与发生故障的服务器的状态进行同步,然后才能开始处理事务。主要有三种不同的同步方法: