一、ASPF--- 针对应用层的包过滤
ASPF --- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端 口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。
主动模式:
被动模式:
2. 防火墙认证策略
防火墙的NAT
二、NAT策略配置
高级配置:
三元组:
目标NAT:
双向NAT:
多出口NAT
源NAT:
目标NAT:
三、防火墙的智能选路
就近选路 --- 我们希望在访问不同运营商的服务器是,通过对应运营商的链路。这样可以提高通信效率,避免绕路。
策略路由 -- PBR
传统的路由,仅基于数据包中的目标IP地址查找路由表。仅关心其目标,所以,在面对一些特殊的需求时,传统路由存在短板,缺乏灵活性,适用场景比较单一。策略路由本身也是一种策略,策略主要先匹配流量,再执行动作。策略路由可以从多维度去匹配流量,之后,执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐含一条不做策略的规则,即所有没有匹配上策略路由的流量,都将匹配传统路由表进行转发。
如果存在多条策略路由,则匹配规则也是自上而下,逐一匹配,如果匹配上了,则按照
对应动作执行,不再向下匹配。
智能选路 --- 全局路由策略
防火墙的可靠性
防火墙和路由器在进行可靠性备份时,路由器备份可能仅需要同步路由表中的信息就可以了,
但是,防火墙是基于状态检测的,所以,还需要同步记录状态的会话表等。所以,防火墙需要使用到 双机热备技术 。
双机 --- 目前防火墙的双机热备技术仅支持两台设备
热备 --- 两台设备同时运行,在一台设备出现故障的情况下,另一台设备可以 立即替代原设备。
VRRP技术
虚拟路由器冗余协议
主(Master)路由器:在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。
备份(Backup)路由器:在同一个备份组中的多个路由器中,除主路由器外,其他路由器均为备份路由器,处于备份状态。
主路由器通过组播方式定期向备份路由器发送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。由于VRRPHELLO报文为组播报文,所以要求备份组中的各路由器通过二层设备相连,即启用VRRP时上下行设备必须具有二层交换功能,否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足,则不能使用VRRP。
Initialize --- 在VRRP中,如果一个接口出现故障之后,则这个接口将进入到该过渡状态VRRP备份组之间是相互独立的,当一台设备上出现多个VRRP组时,他们之间的状态无法同步。
VGMP ---- VRRP Group Management Protocol
华为私有协议 --- 这个协议就是将一台设备上的多个VRRP组看成一个组,之后统一进行管理,统一切换的协议。以此来保证VRRP组状态的一致性。
1,假设主设备的下联口发生故障,则这个接口的vrrp状态将由原来的Active状态切换为
initialize状态。(这种情况下,按照VRRP自己的机制,主设备将无法发送周期保活报文,
则备设备在超过超时时间后将切换为主的状态。但是,因为这里启用VGMP在,则VRRP
切换状态将由VGMP接管,VRRP的机制名存实亡。)
2,VGMP组发现VRRP组出现变化,将降低自身的优先级。(说明,在VGMP组中,也
存在优先级的概念。一开始,每台设备中都会存在两个VGMP组,一个叫做Active组,
另一个叫做Standby组。Active组初始的默认优先级为65001,Standby组初始的默认
优先级为65000(不同版本的防火墙,这个优先级的定义不同)。一开始,我们FW1将
两个VRRP组都拉入VGMP_ACTIVE组中,因为ACTIVE组的状态时active,所以,里面
两个vrrp组的状态也是active(VGMP组的状态决定了VRRP组的状态),FW2同理。当
一个VRRP组的状态变为initialize,则VGMP则的优先级-2。)之后,原主设备会发送一
个VGMP请求报文给对端,里面包含了自己当前变化后的优先级。
3,当原备设备接收到请求报文后,看到里面的优先级时64999,而低于自身的65000,
则会将自己的VGMP_STANDBY组的状态由原来的standby切换为active。同时,发送
一个同意请求报文给原主设备。
4,原主设备接收到对方的应答报文之后,将会把自身VGMP_ACTIVE组的状态由原来的
ACTIVE切换为STANDBY。
5,在原备设备发送应答报文的同时,因为其VGMP组的状态切换,所以,其内部的
VRRP组状态也将由原来的standby转换为avtive。原主设备在接受到对方的应答报文之
后,因为将其VGMP组状态切换,所以,同时将其内部的VRRP组状态由原来的active状
态切换为standby状态(注意,故障接口依旧保持init的状态。)
6,原备设备会通过接口向上下联链路发送免费ARP报文,切换交换机的MAC地址表。
流量将被切换到原被设备上。
HRP --- Huawei Redundancy Protocol --- 华为冗余协议
这是一款华为的私有协议 --- 备份配置信息和状态信息。
HRP备份有一个前提,就是两台设备之间必须专门连一根用于备份的线路,这跟线路我们称为心跳线(广义上,任何两台设备之间的链路都可以叫做心跳线)
心跳线的接口必须是一个三层接口,需要配置对应的IP地址。这条备份数据的链路不受路由策略限制(直连场景。非直连场景依然需要配置安全策略。)
HRP协议本身算是VGMP协议的一部分
HRP的心跳线也会传递心跳报文,用于检测对端是否处于工作状态。这个周期时间默认1s,逻辑和vrrp一样,只有主设备会周期发送,备设备仅监听即可,如果在三个周期内,都没有收到HRP的心跳报文,则将认定原主设备故障,则将进行失效判断,认定自身为主。
VGMP的报文也是通过这条心跳线发送的。
第一种备份方式 --- 自动备份
默认开启自动备份,可以实时备份配置信息。但是,自动备份不能立即同步状态信息。
一般是在主设备上状态生成后一段时间(10s左右)同步到备设备上。
Hrp standby config enable --- 这个命令可以让备设备上的配置同步到主设备上。
第二种备份方式 --- 手工备份
由管理员手工触发,可以立即同步配置信息以及状态信息。
第三种备份方式 --- 快速备份
该模式仅使用在 负载分担 的工作方式下。
因为负载分担的场景下,两台设备都需要处于工作状态,为了避免因为状态信息同步不
及时,导致业务流量中断,所以,该场景下,默认开启快速备份。
快速备份可以实时同步状态信息。但是,该方式不同步配置信息。
各场景过程分析
1,主备形成场景
2,主备模式下,接口故障切换场景
3,主备场景,主设备故障切换 --- 主故障之后,将无法周期发送HRP心跳报文,则备设备监听超时,进行设备状态的切换。
4,主备场景,主设备接口故障恢复切换
没有开启抢占 --- 没有抢占则原主设备保持备份状态。
开启抢占:
5,负载分担
6,负载分担接口故障场景
