#原创分享# AF-双机主主-双机聚合 项目实施
  

新手844710 25455人觉得有帮助

{{ttag.title}}
“当前已有100+用户参与分享,共计发放奖励50000+“

一、网络环境描述

双机聚合拓扑图

双机聚合拓扑图

两台防火墙需要透明部署在内网核心交换机出口处,出口有三个专线分别是视频专网/XX网/互联网,在防火墙接口配置中体现为三进一出,也就是3个WAN口 1个LAN
接口信息
WAN1:视频专网 trunk  某  vlan     万兆
WAN2:XX网   trunk    某  vlan    万兆
WAN3:互联网   trunk    某  vlan    千兆
LAN1:总平台核心交换机   trunk   某vlan    万兆  
数据同步口:  万兆
HA1与HA2    主备聚合   千兆*2

管理口:千兆

设备配置暂未截图,只截图出一个双机聚合的配置界面
图片2.jpg

二、部署模式介绍
有双机主备与双机主主模式以及  双机主主模式下的双机聚合,以下针对网络环境来对三个模式进行一个分析

双机主备 优缺点
缺点.:
1:上下联核心交换机链路 万兆*2  会减小到万兆*1,客户不满意
2:可能会出现性能不足
优点:  部署简单方便,没有后顾之忧

双机主主:
优点:  可解决双机主备模式下的缺点,并且配置接口联动,能做到主备模式下的冗余的效果
缺点:  该网路环境中会出现非对称数据转发的情况,导致丢包

双机聚合:
优点:可解决非对称数据转发存在的丢包问题

非对称数据转发:由于请求和回应的数据流在不同的AF,导致来回数据包在AF上的连接跟踪不一致而被AF丢包
举个例子,在拓扑图中可以看到,假设从视频专网交换机在A链路发包,然后总平台核心交换机从B链路回包,这个情况下就是非对称数据转发,会出现丢包,重传,甚至环路,这些情况

解决办法:使用双机聚合
为了避免出现这个情况,双机聚合就是在双机主主的情况下,又增加了一条数据同步线,防火墙在检测到该数据包是从防火墙A流入的,回包的时候如果在防火墙B,防火墙B会把这个数据包从数据同步口传向A,然后回去的线路保持一致,这样就解决了非对称数据转发的问题。双机聚合的缺点
1.需开启配置同步,但不能开启双机热备功能-----该环境下满足该条件
2.双机聚合的使用仅支持AF透明部署和虚拟网线部署,不支持三层部署-----满足
3:双机聚合当前仅支持链路聚合场景下使用--------满足
4.需将实际业务口接口联动,防止链路故障导致业务中断  (达到冗余效果)-----满足
5.数据同步口当前仅支持单条链路,存在单点故障风险-------风险点
6.数据同步口的接口带宽要大于等于业务口,否则非对称数据转发方案存在风险-----满足
7.不支持存在父子连接以及ip不一致的情况,例如认证系统功能、SIP、H323等------待定


双机聚合缺点中的第七条,该模式不支持在父子连接的情况下使用
父子连接:一条连接建立通道后,另外起一条源目端口不一样的连接建立会话
这个父子连接就是开始协商时使用固定的一对端口,协商完传数据使用别的随机端口。

举个例子:FTP的 PORT 主动连接:
客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条数据链路来传送数据。

为什么双机聚合不支持父子连接的场景:
类似视频会议和FTP这种流量,父连接+子连接,这种流量AF设备有优化机制,设备会放通子连接,单机跑是正常的。双机聚合的时候我们会同步会话和来回路径不一致的数据包。比如父子连接开始是在A主机跑流量,这时切换到了B主机,A的父会话会同步到B,B会把流量通过数据同步口发到A主机以匹配会话从A走。但是只会转发父连接的会话,子连接的会话不转发,导致子连接被丢弃。

判断业务中是否有父子连接的办法:防火墙双机聚合上架后,排除其他所有故障,业务还是会出现异常。


三、项目结论
以上,就是该项目的三钟部署模式的分析,其实到这里已经清晰了,也就是为了满足客户的链路需求(万兆*2),给客户提供的双机聚合的方案,但该方案取决于客户的业务,所以跟客户商量后,先暂时把防火墙下架,待业务上线之后,防火墙再上线,如果出现父子连接的情况,再换成主备模式。

打赏鼓励作者,期待更多好文!

打赏
7人已打赏

Sangfor2546 发表于 2020-7-31 23:33
  
感谢您的分享
楼主分享的案例很有参考价值,反馈的第五点后续版本会进行优化的;
感谢您,期待您更多的分享
新手844710 发表于 2020-7-27 12:28
  
本帖最后由 新手844710 于 2020-7-27 13:16 编辑

各位大哥要是觉得写得不错,帮忙点个赞吧
Sangfor_闪电回_朱丽 发表于 2020-7-28 09:31
  
您好,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
点击查看本季原创内容要求及奖励规则:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=113795
新手767939 发表于 2020-7-28 16:19
  
当时做服务器防护墙琢磨双主模式好久,最后交换机不支持PPRP放弃了。
现在支持双机聚合了?这种是横向虚拟化技术吧?
第5条数据同步口当前仅支持单条链路,这个应该有待改进,
第7条看不懂什么意思。
feeling 发表于 2020-7-28 22:56
  
比较详细
HappyShao 发表于 2020-7-29 11:34
  
trun聚合只接一条线到A B防火墙?
新手081074 发表于 2020-7-30 16:41
  
感谢分享
新手455343 发表于 2020-7-31 08:41
  
谢谢分享。
新手081074 发表于 2020-7-31 08:55
  
感谢分享
发表新帖
作者其他文章
热门标签
全部标签>
每日一问
信服课堂视频
技术笔记
GIF动图学习
产品连连看
安装部署配置
项目案例
技术咨询
在线直播
功能体验
专家分享
新版本体验
答题自测
技术圆桌
原创分享
SDP百科
畅聊IT
专家问答
云计算知识
SANGFOR资讯
每日一记
运维工具
排障笔记本
产品预警公告
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
用户认证
解决方案
sangfor周刊
VPN 对接
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术

本版版主

397
98
58

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人