今天继续介绍HCIE安全相关内容。 本文主要介绍防火墙双机热备技术。
阅读本文需要有关防火墙的理论知识。 如果你还困惑的话,请看我博客里的其他文章。 我相信你一定会得到的。
另一方面,防火墙双机热备技术概述一般来说,防火墙位于公司网络的出口位置,用于限制进出公司的所有接入流量。 但是,如果防火墙位于公司的网络出口,防火墙出现故障可能会影响整个网络业务。 因而,为了提高防火墙的可靠性,可以与路由交换装置的VRRP技术一样配置防火墙多机热备盘技术。
在防火墙双击热备盘体系结构中,当一个防火墙出现故障时,通信可以顺利切换到另一个防火墙,从而通信业务不会中断,对内外用户透明,防火墙也不会中断
双机热备有三种协议体系结构。 用于备份HRP协议:双击之间的重要配置命令和链路状态信息。VGMP协议:用于主备用设备的状态管理、接口链接的状态监视。VRRP协议:监视单个链路的状态和流量引导。
这三个协议联合起来实现了防火墙的双机热备功能。
二、防火墙热备故障检测技术故障检测技术是双机热备的基础。 为了实现完美的双机热备效果,必须尽快检测到各种故障,并出发进行后续的业务切换。 检测防火墙双机热备故障的方法如下:
1、检测VRRP备份组的状态。 当防火墙业务接口为三层接口,业务接口连接到双层交换机时,该检测方法用于场景。 在这种检测方法中,如果物理接口出现故障,接口下的VRRP备份组将进入Initialise状态;如果物理接口故障恢复,接口下的VRRP备份组将处于活动状态或SSS
2、检测单个物理接口的状态。 由于第3层设备无法传输VRRP多播消息,因此如果防火墙业务接口为第3层接口,且第3层设备链接,则使用此方法实现故障检测。 VGMP管理组监视直接连接状态。 当接口状态发生变化时,与触发器相关联的VGMP管理组将调整优先级并执行主备份交换。
3、检测透明模式下VLAN接口状态的防火墙业务接口为双层接口,如果不能配置VRRP,可以采用该方式,由VGMP管理组直接监测整个VLAN。 当VLAN中的任何接口的状态发生变化时,VGMP管理组将调整优先级并运行主交换机。
4、检测IP-LINK逻辑链路状态此方案可以检测不直接连接的链路的可达性。 VGMP可以使用IP-LINK来检测与防火墙直接连接或未直接连接的链路的三层可达性。 IP-LINK可用于检测以下故障:
)板连接器假死,连接器状态为UP,但连接器无法发送和接收消息
)2)接口不支持自动协商的光纤链路,如党恩光纤故障
)3)未直接连接的链路的远程设备故障。
5、与检测BFD逻辑链路状态类似,BFD可以被布置为VGMP和BFD互锁,并且可以通过检测BFD逻辑链路状态来确定防火墙VGMP的状态。
三、防火墙双击热备用流量引导技术VGMP管理组检测成员状态变化,进行预切换后,必须能有效引导业务流量。 VGMP管理组的流量引导功能负载在更换时引导业务流量。 目前,VGMP管理集团支持的业务流程引导手段如下。
1、虚拟IP地址方式。 该方式主要用于防火墙三层业务接口直连双层交换机组网时。 利用VRRP协议,当VGMP状态切换时,新的主设备发送免费的ARP消息,更新上下交换机的MAC筏表,然后向主设备调整跳转到虚拟IP的业务消息。
2、路由成本调整方式。 该方式主要用于将路由器连接到防火墙的三层业务接口,主要用于备份网络。 在与主设备接口对接的设备上运行OSPF动态路由协议,但主设备流量链路上设置的路由COST值较小,流量将转发到主设备主设备业务板故障、OSPF无法感知、无法自动收敛时,VGMP管理组可以感知到该故障,并积极切换。 此时,状态为活动的VGMP管理组控制运行OSPF的业务链路,以自动提升根COST,从而触发目标设备的根收敛到备用设备。
3、动态路由收敛方式。 该方式主要用于将路由器连接到防火墙三楼的业务接口,分担路由器组网、防火墙负载组网时的场景。 这种方式主要在防火墙连接的设备上执行动态路由协议,通常放置在与主设备相关的业务链路上的路由成本值较小,业务流量被发送到主设备进行传输。 主设备业务接口出现故障时,动态路由自动收敛,业务流程送至备用设备继续传输。 在动态路由引流方案中,在出现故障时,VGMP管理组不需要控制业务切换,而是通过动态路由进行控制。
4、VLAN的启用和禁用方法。 该方案主要用于防火墙业务接口在透明模式的网络中运行。 防火墙在二楼传输时,路径变化无法引导上下设备的流量。 在接口down/up上更新上下设备的MAC转发表,或促进路由收敛,通过启用/禁用VLAN转发功能来防止流量发送到故障防火墙。
在双层传输模式下,如果VLAN和VGMP管理组绑定,且管理组状态为活动,则VLAN可以传输消息; 如果管理组的状态为Standby,则VLAN已禁用,无法传输消息。
当管理组切换到Standby时,VLAN中的所有接口都将刷新一次down——up,上下设备将更新MAC转发表
路由收敛,接口重新UP后,由于VLAN被禁用,接口仍然无法转发相关VLAN的报文。原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119256200