发布时间 : 星期五 文章防火墙双机热备配置及组网指导更新完毕开始阅读263ae4f3fc4ffe473268ab38
视到NE40的上行口,配置ip-link监视路由器的接口,两个接口上的VGMP都加入同一个VGMP组中。
2:防火墙的VGMP的优先级使用VRRP的优先级,VRRP分别监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,VGMP组中添加VRRP的时候,先添加心跳口做为data通道,使VGMP优先选择心跳口作为VGMP报文的通道。
3:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。 4:两台防火墙形成主备组网,需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令,根据HRP状态调整OSPF的cost值采用默认值65500就可以,如果由于组网特殊需要可以调整这个值。 5: 在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP
抢占方式为立即抢占。
6:防火墙在对路由器上的出口上起NAT功能,防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不要配置成transfer-only,否则如果形成备份的交换机其中一台down掉,将会导致其中一台防火墙HRP的状态是初始化状态,无法调整上行路由器的路由的COST,导致报文转到这台防火墙上业务中断,配置的transfer-only上绑定的ip-link也将不起作用。 8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
9:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙业务口和心跳口都采用1GE板卡,心跳线和交换机相连的接口上都上起VRRP监视到NE40的上行口,配置ip-link监视路由器的接口。心跳线和交换机相连的接口上都配置两个VRRP,分别加入不同的VGMP组中,并使得两边的VGMP组都有一个是主状态。
2:防火墙的VGMP的优先级使用VRRP的优先级,VRRP分别监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,VGMP组中添加VRRP的时候,先添加心跳口做为data通道,使VGMP优先选择心跳口作为VGMP报文的通道。
3:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。防火墙形成负载分担的组网,不需要配置根据HRP状态调整防火墙发布的路由的命令。 5: 在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP
抢占方式为立即抢占。
6:防火墙在对路由器上的出口上起NAT功能,防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因
为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不要配置成transfer-only,否则如果形成备份的交换机其中一台down掉,将会导致其中一台防火墙HRP的状态是初始化状态,无法调整上行路由器的路由的COST,导致报文转到这台防火墙上业务中断,配置的transfer-only上绑定的ip-link也将不起作用。 8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
9:最好保证来回路径一致,可以通过在上行的路由器上配置策略路由的方式实现。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT中的配置。 验证组网一:
主备模式组网:验证组网一:
组网验证图及配置_主备模式.ppt 防火墙重点配置说明:
防火墙重点配置说明.doc
负载分担组网:
组网验证图及配置_负载分担.ppt 防火墙重点配置说明:
防火墙重点配置说明.doc
2.3 2.3 路由模式防火墙和交换机双机热备组网
防火墙和交换机的组网是指防火墙上下行都是交换机,防火墙对上行和对下行都起VRRP,通过交换机透传VRRP报文,防火墙通过VRRP报文来感知上下行链路的故障,从而发生主备倒换,此组网也是我们主推组网方式。防火墙和交换机的组网比较简单,就只有一种组网方式。
2.3.1 2.3.1组网四:推荐组网
SW1 SW4 VRRP 链路正常时的业务走向 备防火墙发生故障防火墙倒换后业务从新的主防火墙走 FW1 主防火墙FW2 故障时此处链路down,防火墙主备倒换,接口下的VRRP切换为备 双机热备心跳线 SW2 VRRP SW3 如上图所示,防火墙上下行都是交换机,交换机透传防火墙的VRRP报文,交换机既
可以作为二层设备也可以做三层设备,此组网防火墙通过VRRP报文来感知链路故障,防火墙能快速切换,保证发生故障的时候业务迅速恢复。
此组网一般采用主备模式,防火墙上行交换机可以起VRRP协议,下行交换机也可以起VRRP协议,防火墙采用静态路由的方式,分别指向上下行的交换机的VRRP的虚地址。由于采用主备模式,交换机之间可能会转发数据报文,所以交换机之间的接口需要保证链路的畅通和带宽满足需求。
组网优点:
1:防火墙推荐的典型组网,是已经应用的很成熟的组网方式。
2:上下行都是交换机,并且配置的是静态路由,发生故障的时候能能快速切换。 3:在防火墙上如果配置多个VGMP组,就能形成负载分担的组网。 4:防火墙上的所有的应用类型都能在此种组网上实现。
组网缺点:
对防火墙上下行设备都需要是交换机。
可靠性分析:
这里只分析主备组网的可靠性。
防火墙对上下行设备都发布VRRP的虚地址,上下行设备通过配置静态路由的方式指向防火墙的虚地址,使得数据都转发到VRRP为主的防火墙上。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,加入到VGMP组中的VRRP会和VGMP的状态保证一致。
1:FW-2和SW-3之间的链路故障
当FW-2和SW-3之间的链路故障,此接口上的VRRP变成初始化状态,FW-2防火墙上的VGMP的优先级降低,FW-2上的对应的VGMP变成备状态,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1变成主防火墙,对外发布VRRP的免费ARP,同时VRRP发送hello报文,更新上下行交换机的MAC表,这样以虚地址为下一跳报文都能转发到主防火墙FW-1上。 2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙立即抢占为主状态,对外发布VRRP的免费ARP,同时VRRP发送hello报文,使上下行设备的报文转发到FW-1上。
组网配置要点: 主备组网配置要点:
1:防火墙所有的接口都采用1GE的板卡,保证达到最大的转发性能,心跳口做会话备份接口,防火墙上下行和心跳口都起VRRP,并加入同一个VGMP组中。
2:防火墙的VGMP的优先级使用配置的优先级,为主状态的VGMP优先级设置为105,为备状态的优先级设置为默认值100,,所有的接口都作为VGMP的数据通道,同时心跳口以transfer-only的方式加入VGMP组中。
3:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP抢占方式为立即抢占。
4:防火墙在对路由器上的出口上起NAT功能,防火墙上的nat地址池或者是nat server配置时加上VRRP的ID,此VRRP所蜀的接口必须保证和收到ARP请求的接口一致,在路由器请求nat地址池或者时nat server的arp的时候,主防火墙回应ARP请求而备防火墙不会回应ARP请求,使到NAT地址池地址的报文能正确的转发到主防火墙上,如果不配置VRRP的ID,主备防火墙都直接用接口地址回应ARP请求,将会导致上行设备上的ARP表出错。
5:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
负载分担组网配置要点:
1:防火墙所有的接口都采用1GE的板卡,保证达到最大的转发性能,心跳口做会话备份接口,防火墙上下行和心跳口都起VRRP,上下行每个业务口上配置两个VRRP,加入不同的VGMP组。
2:防火墙的VGMP的优先级使用配置的优先级,为主状态的VGMP优先级设置为105,为备状态的优先级设置为默认值100,,所有的接口都作为VGMP的数据通道。