找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2158|回复: 0

防火墙双机热备配置及组网1

[复制链接]
发表于 2009-6-2 23:34:07 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
嘿嘿,说要做技术专题有一段时间了因为每天都很忙而忘记了自己需要每天学习的东西,感觉自己天天都在瞎忙有点虚度的感觉,今天就弥补一下自己的感觉,聊以慰藉吧。说正事:
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分为路由模式下的双机热备组网和透明模式下的双机热备组网(不管是在路由模式下还是在透明模式下,我们都建议采用主备的组网方式而不采用负载分担的组网方式。),我将分别给出(不知道可不可以上图...):
组网一:推荐组网
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]
如上图所示,此种组网是防火墙上下行都是路由器的时候在外面应用的最多的一种组网,对于此种组网,防火墙需要和路由器之间起OSPF协议。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令,使备防火墙发布路由的时候增大COST,保证业务只在主防火墙上转发。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置等价路由的方式实现,同时在防火墙上去掉根据HRP状态调整OSPF路由的COST的命令。在防火墙上配置会话快速备份功能,保证在存在来回路径不一致的时候不影响业务。
组网优点:
1:网络拓扑简单,发生故障的时候OSPF的路由能快速收敛,减小业务中断的时间,同时出现问题时定位比较容易。
2:防火墙上下行业务口采用1GE的板卡,成本较低,转发性能高,能达到防火墙最大转发性能。
3:可以根据需要,只需要在命令行上配置,就能在主备组网和负载分担组网上进行切换。
4:对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。
组网缺点:
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用,不能使用虚地址,因为一旦其中一台防火墙down掉,虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。
2:发生故障的时候,OSPF的收敛时间较长,如果业务中断的时候需要更快的响应时间,防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。
组网配置要点:
主备模式配置要点:
1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP,加入同一个VGMP组中,使心跳线形成备份,保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。
2:防火墙的VGMP的优先级使用VRRP的优先级,每个VRRP都监视防火墙的上下两个业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。
3:防火墙上下行接口都加入到同一个link-group组中,保证一个接口down的时候另外一个接口也跟着down,OSPF收敛的速度快。
4:在防火墙上配置ip-link,分别检测防火墙上下行路由器的接口,保证在接口没有down但是不转发数据的时候防火墙也能检测到并且能进行主备倒换,注意使用ip-link的时候需要添加包过滤规则使防火墙和路由器能进行icmp交互。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛速度快,防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。同时如果防火墙上做nat转换,有私网路由的时候,需要保证私网路由不发布出去,需要在ospf中通过acl限制私网路由的发布。
6:配置根据HRP的状态调整OSPF的cost值的命令,形成主备模式的组网。
7:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
8:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,配置的transfer-only上绑定的ip-link也将不再起作用。
9:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
10:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP,加入同一个VGMP组中,使心跳线形成备份,保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。
2:在防火墙的两个心跳线上配置两个VRRP,把两个VRRP加入不同的VGMP组中,防火墙的VGMP的优先级使用VRRP的优先级,为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,并使得两边的VGMP各有一个是主状态。
3:防火墙上下行接口都加入到同一个link-group组中,保证一个接口down的时候另外一个接口也跟着down,OSPF收敛的速度快。
4:负载分担的组网链路的可靠性靠OSPF路由的计算,防火墙主备倒换不会引起路由的变化,所以不用配置ip-link进行探测,所以负载分担的组网防火墙收敛速度慢一些。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛速度快,防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。同时如果防火墙上做nat转换,有私网路由的时候,需要保证私网路由不发布出去,需要在ospf中通过acl限制私网路由的发布。
6:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,同时配置的transfer-only上绑定的ip-link也将不再起作用。
   组网二:多冗余组网
   [img]/qzone/newblog/v5/editor/css/loading.gif[/img]

如上图所示组网,此种组网是对组网一的一种扩展,可以进一步提高网络的可靠性,对于此种组网,防火墙需要和路由器之间运行OSPF协议,由于网络拓扑结构比组网一复杂,出现故障的时候OSPF的收敛速度比组网一慢,故障恢复时间比组网一要长。
组网优点:
1:此种组网能提供更好的冗余性能,保证此组网中的任意上下行路由器或者是防火墙的其中两台发生故障网络都能正常工作。
2:可以根据需要,只需要在命令行上配置,就能在主备组网和负载分担组网上进行切换。
3:对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。
组网缺点:
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用,不能使用虚地址,因为一旦其中一台防火墙down掉,虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。
2:发生故障的时候,OSPF的收敛时间比组网一更长,如果业务中断的时候需要更快的响应时间,防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。
3:防火墙上下行业务口都需要采用2GE的板卡,2GE的板卡小包不能线速转发,并且增加了接口并不能增加防火墙的转发能力。
4:采用2GE卡成本较高,网络拓扑比较复杂,对于出现故障的时候的OSPF收敛速度比组网一要慢,并且出现故障时定位也比组网以复杂。
5:此组网防火墙端口已经全部都占用,网络不具有可扩展性。
组网配置要点:
主备模式配置要点:
1:防火墙之间采用2GE板卡,心跳线形成备份。
2:防火墙上行两个口采用一个2GE卡的两个接口,防火墙下行两个口也采用一个2GE卡的两个接口。
3:在防火墙的每个心跳线上配置一个VRRP,两个心跳线上的VRRP加入同一个VGMP组中。
4:防火墙的VGMP的优先级使用VRRP的优先级,所有的VRRP都监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。
6:两台防火墙形成主备组网,需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令,根据HRP状态调整OSPF的cost值采用默认值65500就可以,如果由于组网特殊需要可以调整这个值。
7:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
8:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,同时如果配置的transfer-only上绑定的ip-link也将不再起作用。
9:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
10:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙之间采用2GE板卡,心跳线形成备份。
2:防火墙上行两个口采用一个2GE卡的两个接口,防火墙下行两个口也采用一个2GE卡的两个接口。
3:在防火墙的每个心跳线上配置两个VRRP,形成负载分担的组网,把两个VRRP加入不同的VGMP组中,并使得两边的VGMP各有一个是主状态。如果是形成主备组网,两个心跳线上的VRRP加入同一个VGMP组中。
4:防火墙的VGMP的优先级使用VRRP的优先级,所有的VRRP都监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。
6:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,同时如果配置的transfer-only上绑定的ip-link也将不再起作用。
8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务,保证在来回路径不一致的时候不会对业务产生影响。
    PS:这个就先到这里,下面一篇文章将介绍路由模式其他两种组网方式:防火墙和路由器以及交换机双机热备组网,路由模式防火墙和交换机双机热备组网。

  
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|维修人员 ( 鲁ICP备17033090号 )

GMT+8, 2024-12-5 10:35 , Processed in 6.243365 second(s), 16 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表