本帖最后由 新手576859 于 2021-6-30 00:05 编辑
1.实施背景
客户购买两条防火墙,路由模式部署在服务器区防护,主备部署保证冗余性 AF高可用性功能类似于虚拟路由器冗余协议(VRRP),可以类比。 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP 地址可以作为终端主机的默认第一跳路由器。使用VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP包封装在IP 包中发送。 虚拟IP和虚拟MAC: 为了保证双机切换时内网PC不需要重新修改网关IP和重新学习网关mac,要求主备机在同一个vrid组中对应的接口拥有同样的IP地址和mac地址,AF实现方法是,同一个vrid组中的对应接口拥有同一个IP地址,设备工作为备机时通过ha_drv模块丢弃所有到本接口和从本接口出去的数据包,这样只有主机工作,不会产生冲突。同一vrid组中的对应的两个接口分别有自己的实MAC,还有一个虚拟MAC,谁工作在主机谁就使用这个虚拟MAC,切换成备机后接口的MAC地址又换回成实MAC,这样内网PC得到网关的IP/MAC不会随着设备切换而发生改变。虚拟MAC的构成:vrrp mac(00-00-5E)+接口序号(00-0x)+vrid(xx),比如:vrid为101,eth1口的虚拟MAC就是: 00-00-5E-00-01-65,eth2口的虚拟MAC就是:00-00-5E-00-02-65,65的十进制就是101。 2.配置过程 1.基础网络配置 配置聚合口的地址和聚合方式,与对端一致 配置心跳口,地址后加-HA主备配置同步时不会进行同步 2.防火墙默认策略为全拒绝,提前配置为全通后续调整,或者配置好响应的应用控制策略 3.路由配置 配置默认路由及回程路由 4.配置高可用基本信息,本端心跳口以及对端 5.启用双机热备进行配置 同一组中的网口为或关系,不同组之间为与关系 6.配置同步配置 7.配置备机心跳口和高可用部分,优先级修改为90,先不要勾选配置同步,防止因设备上架顺序不对导致备机将配置同步到主机上从而使配置丢失。 注意事项 1.心跳通信故障会导致两台防火墙均为主状态,IP冲突导致客户断网 2.【系统】-【高可用性】-【配置同步】中备机配置如无需向主机同步则需启用配置同步但不要勾选同步内容,防止因设备上架顺序不对导致备机将配置同步到主机上从而使配置丢失。 3.虚拟路由组网口监视里需勾选所有业务网口,未加入网口监视的网口将不受双机状态控制,即使备机状态也会响应数据。 4.【抢占模式】与【接口链路监控】不能同时开启,如开启,会导致主备无法正常切换。 5.影响双机切换的条件:心跳数据超时;监测网口掉线;链路故障检测接口故障。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-8-20 09:21
技术员1级 
