防火墙双机热备特性FAQ1:问:R6新增了支持防火墙和路由器双机热备份组网,的这种组网是如何实现的防火墙主备组网的,需要在防火墙上配置哪些命令,需要注意哪些东西?答:R6上新增支持防火墙和路由器双机热备份组网,这种组网防火墙和路由器之间器OSPF 协议,同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值,使得路由器学到的路由都指向主防火墙,保证业务都从主防火墙上过,形成双机热备份的。
为了实现防火墙和双机热备份组网,需要在主备防火墙上配置命令:hrp ospf-cost adjust-enable,这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值,主防火墙直接发布路由。
这个COST值默认是65500。
防火墙和路由器组网的时候,心跳线不能配置成transfer-only,同时需要使用VRRP的优先级作为防火墙的VGMP的优先级,VRRP需要track上和路由器相连的接口。
2:问:R6双机热备份是如何支持来回路径不一致的,会话快速备份和传统的会话实时备份有什么区别,会话快速备份涉及到哪些命令行。
答:R6是通过支持会话快速备份来支持来回路径不一致的,会话快速备份就是在会话建立的时候就立即备份到对端防火墙上,保证即使是来回路径不一致,到备防火墙上的报文也能命中会话进行转发。
会话快速备份和传统的会话实时备份的区别是:1:会话快速备份在会话一建立就备份到备防火墙上,而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的,所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上,所以仅仅有会话实时备份不能支持来回路径不一致。
2:会话快速备份能备份tcp半连接会话和ICMP会话,而会话实时备份不备份半连接会话和ICMP的会话。
会话快速备份首先需要配置心跳口,并配置high-availability参数,保证此接口是高可用性接口,同时配置hrp mirror session enable。
3:问:R6版本的IP-link应用场景如何?,配置ip-link需要注意什么?防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示:如上图所示,如果在防火墙上不使能ip-link功能,正常情况下报文会通过防火墙A进行转发,这时必须保证防火墙A的上下行设备都是正常工作。
但是一旦和防火墙A相连的路由器A 的0/1口发生故障,报文不能从该口进行转发,此时防火墙A的VRRP是检测不到路由器A的0/1口发生故障的,报文会继续从防火墙A转发到路由器A,导致业务中断。
如果在防火墙A上使能ip-link的功能,使得ip-link的目的地址是路由器A的0/1口,当路由器A的0/1口发生故障的时候,防火墙A能探测到路由器A的0/1接口的IP地址是不可达的,此时防火墙A认为从本地0/0口出去的链路不通,这个时候防火墙A会自动调整优先级,使防火墙A和防火墙B发生主备倒换,防火墙A上面的业务全部转移到防火墙B上,保证了业务的正常转发。
防火墙在使能ip-link功能时,需要判断ip-link的目的地址的设备能和防火墙进行正常的icmp交互,这样防火墙才能正确的检测该目的地址,从而在该设备发生故障的时候正确引导主备防火墙进行主备切换,所以ip-link使用的前提条件是ip-link配置的目的地址的设备能正常的和防火墙进行icmp会话。
4:问:防火墙Eudemon 1000是怎样备份会话的,备份会话需要有哪些配置。
答:防火墙Eudemon 1000通过配置Hrp interface来备份会话,在hrp使能的时候默认就使能了会话实时备份,但是如果没有会话备份的通道会话将不能备份。
配置了hrp interface的配置后,并不能保证会话就能备份到对端防火墙上,需要在配置的hrp interface接口上配置VRRP,并把此VRRP加入VGMP组中,才能备份会话,同时只要配置的hrp interface上的vrrp组所属的VGMP组为Master状态,就能向对端备份会话,所以负载分担的组网需要在防火墙上配置多个VGMP组,并形成两台防火墙上都有一个VGMP组为主。
通常我们配置多个hrp interface,在有多个hrp interface的时候,会先选择high-availability的接口作为备份会话的通道,如果此接口down,再按照槽位号和端口号的大小从小到大选择一个接口备份会话。
5:问:配置VGMP的时候需要注意哪些?答:配置VGMP的时候需要注意主备防火墙两边的配置,除了抢占延时和优先级大小不一样之外,其他的都要一样,才能形成一对VGMP组进行协商,否则无法协商主备状态。
并且如果两边都要选择使用相同的优先级方式,要么就是直接配置VGMP的优先级,要么就是使用VRRP 的优先级作为防火墙的优先级。
对于配置VGMP的优先级,建议主防火墙为105,备防火墙为默认的100。
对于VGMP的抢占延时,建议主防火墙抢占延时为20000ms以及更长或者是配置不抢占,备防火墙配置立即抢占。
VGMP使能必须要配置数据通道,VGMP添加心跳口的时候需要根据组网来判断是否需要加上transfer-only参数,通常防火墙上下行都起VRRP就把心跳口配置成transfer-only,否则心跳口不配置transfer-only。
6:问:双机热备份组网中,为什么一定要nat或者nat server上配置出接口的VRRP ID?答:双机热备份组网中,如果配置了nat address-group 或者nat server,则必须在它们的后面配置出接口VRRP备份组的ID号。
出接口就是当我们做NAT或NAT Server时,报文经过NAT或NAT Server转换后从哪个以太网口出去的接口,就为业务的出接口。
如果没有配置地址池和nat server的vrrp参数,arp请求或应答中携带的MAC地址是该网口的MAC,如果配置了vrrp参数,发送的arp就是VRRP虚拟MAC地址。
如果不配置VRRP的话,还会带来一个问题就是防火墙在收到对nat地址的ARP请求的时候无法判断是否需要回应ARP 响应(特别是在互为备份的组网中),如果主备都回应arp响应的话首先不能保证arp响应的mac地址的正确性,其次不能保证与防火墙相连的三层交换机上的arp地址转发表的正确性,所以在双机热备的组网中nat的配置一定要在后面加上vrrp id,对于nat server的配置也是如此。
如果出接口不配置VRRP,则配置nat 或者是nat server的时候,就不能代VRRP的ID,否则在请求nat 地址池或者是nat server的ARP表的时候,防火墙是不会回应的。
所以必在双机热备份组网中需要正确的配置nat 或者是nat server,如果需要代VRRP的ID而没有带,就会出现有时业务通有时业务不通的情况。
7:问:为什么双机热备份组网中不支持easy-ip的组网方式?答:在作EASY-IP的配置中,无法设置VRRP的选项。
所以在主备倒换后,两台防火墙均采用自身的出接口作为内部地址的公网地址进行转换。
当主防火墙DOWN掉后,SESSION备份过去,但是备防火墙的出接口IP地址与SESSION不能匹配。
所以包无法收回。
造成连接中断。
8:问:防火墙透明模式组网,为什么要在vlan下面绑定VGMP?答:防火墙透明模式组网,是指防火墙工作在混合模式下,上下行业务口通过配portswitch,使上下行业务口工作在透明模式下,同时使心跳口工作在路由模式下,在心跳口上配置VRRP 形成双机热备份。
上下行业务口都加入到一个vlan,并在vlan下面绑定VGMP,命令行使 set vgmp <1-16>,vlan下面的接口在up/down的时候就会影响vlan下面绑定的VGMP的优先级,保证一个vlan下面的接口发生故障的时候能发生主备倒换。
同时在防火墙透明模式组网的时候,需要在防火墙上配置允许备转发的命令,命令行是:firewall composite-hrp permit-backupforward,如果不配置允许备机转发,vlan的转发状态会根据下面绑定的VGMP状态决定此vlan是否需要转发,如果VGMP是备,vlan接口收到的所以的报文都将备丢弃,如果是主,vlan下的接口将正常转发报文。
对于防火墙透明模式和路由器组网,配置允许备机转发,保证防火墙上下行的路由器能正确的学习路由,发生故障的时候流量立即切换到备用路由上,业务中断延时比较小。
同时需要在链路正常的时候需要在上下行路由器上调整路由的COST值保证报文从主防火墙转发。
对于防火墙透明模式和交换机组网,配置允许备机转发,保证防火墙上下行交换机能正确的形成STP树,在发生故障的时候STP能立即重新计算。
同时需要保证在链路正常的时候业务是从主防火墙上经过的。
另外,在vlan下面绑定了VGMP,VGMP发生主备倒换的时候,主备防火墙的vlan下面的接口都会up/down一次,保证上下行设备重新学习mac表。
9:问:防火墙双机热备组网,在配置比较多的情况下,如何保证主备防火墙的配置的正确性?答:通常现网双机热备组网,配置非常的多,如果逐条核对,将是非常苦难的一件事情,并且现网如果出现故障,首先需要查看双机热备的配置是否正确,这个可以通过beyond compare这个软件来比较一下,对于主备组网,除了接口地址,VGMP的优先级,抢占延时不一样之外,其他的配置基本上都要一样,所以用这个软件能很容易的发现配置不一样的地方,并且这个软件曾经帮我们维护组快速的定位了多个网上问题。
10:问:双机热备组网通常什么故障是由双机热备份模块引起的?答:双机热备份组网,防火墙通过双机热备份模块来影响上下行设备的MAC转发表和ARP表,MAC表等,如果在现网上出现通过防火墙的所有的业务中断,或者是不定期的所有业务中断,就有可能是双机热备份引起的,这个时候我们可以查看上下行设备的ARP表项,MAC表项,以及防火墙自身的ARP表项和MAC表项,如果发现这些出错,就会导致所有业务,如果防火墙是透明模式,就有可能是防火墙上的MAC转发表备份错误,这个可以通过配置不允许备机转发并删掉MAC表来解决故障,并后续升级最新的版本,消除故障。
如果是路由模式,需要看日志中是否由在发生故障的时候出现了主防火墙或者是备防火墙的VGMP发生了倒换,并且通常是备防火墙VGMP发生了主备倒换,如果发现备防火墙发生了VGMP主备倒换,就会引起上下行设备的ARP表错误,这个时候可以通过在上下行设备配置静态ARP,来解决问题,并把此问题反馈到研发定位分析。
11:问:防火墙什么情况下会发生主备倒换?答:防火墙VGMP主备倒换会有三种情况,第一种是因为优先级调整,VGMP配置了抢占,发生主备倒换,第二种是接口DOWN而进行的主备倒换,第三种是设备故障发生的主备倒换,下面分别就这三种情况加以说明。