防火墙的可靠性
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能
像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。
1,双机 --- 目前双机热备技术仅支持两台防火墙的互备
2,热备 --- 两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即替
代原设备
(也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并
不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时
间的业务中断)
VGMP --- vrrp Group Management Protocol --- HUAWI的私有协议
因为VRRP彼此是独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火
墙的双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较
复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理
主备的形成场景
1,FW1被设定为主设备 --- FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉
入到VGMP的active组中,并且状态都是ACTIVE
2,FE2被设定为备设备 --- FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入
到VGMP的standby组中,并且状态都是standby
(VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先
级为65000,并且,在VGMP中,所有的主都被成为active,所有的备成为standby)
3,主设备上下两个VRRP组的接口将发送免费ARP报文
FW1接口故障的切换场景
1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障
的一个过渡状态)
2,VGMP组感知到接口状态变化,会降低自身的优先级(每一个接口发生故障,则优先级会
降低2。)
3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;
4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状
态从standby切换为active状态
5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切
换到active
6,FW2回复FW1应答报文,表示允许切换
7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,并且,其
中的VRRP组同步将状态切换到standby,不包含故障接口的状态,依旧是initialize状态
8,FW2上下两个VRRP组将发送免费ARP报文,让交换机切换MAC地址表,之后所有的流量
将从FW2通过。
HRP --- 华为冗余协议 --- 华为的私有协议 --- 可以同步防火墙上的状态和配置信息
配置信息 --- (接口IP地址,路由信息)--- hrp不能同步基本的接口和路由信息,安全策略,
NAT策略。。。
状态信息 --- 会话表,server-map,黑名单和白名单等
HRP在进行双机热备时,还有一个要求,两台热备设备之间,必须拥有一条链路,用来同步信
息,并且,这条链路必须是三层链路 --- 这条链路在进行数据传递时,不受安全策略的影
响。(注意,如果心跳线是直连的,则不受安全策略的影响,但是,如果中间有中继设备,即
非直连场景,则需要配置安全策略) --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线
传输的。
HRP会周期性的发送心跳报文,只有主设备会发送,周期时间默认为1S,如果备设备在三个周
期时间内默认3S没有收到对方的心跳报文,则认定对方出现故障将以自生为主
HRP三种备份方式
1,自动备份 --- 自动备份配置和状态信息,但是,配置信息可以立即自动备份,状态信息无
法立即备份,只能通过短暂的延迟之后,在进行备份(10S左右)
2,手工备份 --- 由网络管理员手工触发,可以立即同步配置和状态信息
3,快速备份 --- 该备份方式仅针对负载分担的场景。
无法同步配置信息,仅能同步状态信息,并且可以立即同步状态信息。
各场景过程分析
3,主备故障切换场景 --- 整机故障
整机故障可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文,
备设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;
4,原主设备故障恢复的场景
根据有没有开启抢占分为两种不同的情况
1,如果没有开启抢占 --- 原主设备继续以备设备的身份工作
2,如果开启了抢占
