状态。如果采用此种方式决定VGMP组的优先级,首先把VGMP组下所有的VRRP的优先级加起来,再除以VGMP组下的VRRP的个数。如果还在VGMP下面配置了ip-link,并且ip-link检测到远端的IP地址不可达,计算出ip-link调整的优先级,计算方法为ip-link绑定的VRRP的优先级除以16,然后用根据VGMP组下的所有的VRRP计算出来的优先级减去ip-link调整的优先级,得到最终的VGMP组的优先级。采用此种方式,建议VRRP的优先级主防火墙配置为105,备防火墙配置为默认的100。
★ vrrp-group priority plus <0-254>:此命令也是用来调整VGMP的优先级的,但是现在不再使用,也不推荐配置此命令。
★ vrrp-group manual-preempt:VGMP组手动抢占命令。在VGMP配置了抢占延时的时候,如果延时时间没有到,即使本地防火墙的VGMP组的优先级比对端高,也不进行抢占。如果在VGMP组下面配置了不抢占,即使本地优先级比对端高,也不进行抢占。但是通过vrrp-group manual-preempt可以进行手动抢占,如果本地VGMP组优先级高,配置的抢占延时没有到或者配置不抢占,通过此命令本地VGMP能马上抢占为Master状态。
★ vrrp-group timer hello <200-60000>:VGMP组发送VGMP的hello报文的时间间隔,单位为毫秒(ms),默认值为1000ms。通过配置VGMP组下的VGMP的hello报文的发送时间间隔,VGMP组能更快的进行抢占切换。建议采用默认值,如果参数设置的太小,导致防火墙发送和接受的VGMP的报文的数量会很多,会占用较多的CPU资源,并且配置1s的hello报文的时间间隔也能满足现网故障反应时间间隔。
★ vrrp-group group-send:VGMP组下的所有数据通道都发送VGMP报文。配置此命令后,VGMP发送数据报文和hello报文的时候,加入此VGMP组的每个数据通道都发送一次。此命令默认不使能,VGMP会自动选择一个数据通道作为发送VGMP报文的通道,并且在检测到数据通道发生故障的时候重新进行选择。
1.3 1.3 VRRP配置说明
防火墙的VRRP和标准的VRRP协议一样,下面大概说说VRRP的配置,详细信息可以找相关的RFC查看。在防火墙上,如果VRRP加入到VGMP中,VRRP的状态由VGMP决定,不再自己协商。
VRRP的配置命令的功能和使用介绍如下:
★ vrrp vrid 1 virtual-ip 1.1.1.100:在接口视图下配置VRRP。此命令是在接口上配置VRRP的ID以及VRRP的虚地址。
★ vrrp vrid 1 track Ethernet1/0/6:配置VRRP监视的端口。配置监视的端口之后,如果此端口的协议状态down,VRRP的优先级会自动调整。默认是调整10,可以在此命令后面继续配置下降多少。
★ vrrp vrid 1 priority <1-254>:配置VRRP的优先级。默认值是100,如果是主防火墙,建议配置为105,备防火墙建议配置为默认值100。 ★ vrrp vrid 1 timer advertise <1-255>:VRRP的hello报文发送的时间间隔。默认VRRP
的hello报文的发送时间间隔为1s,建议使用默认配置。
★ vrrp vrid 1 preempt-mode:VRRP的抢占参数。如果VRRP加入VGMP组中,VRRP的抢占参数不再生效。
1.4 1.4 IP-Link配置说明 1.4.1 1.4.1:ip-link功能说明:
防火墙ip-link功能是一种检测三层链路是否可达的功能,基本原理就是在防火墙上配置ip-link使能并配置ip-link的目的地址之后,防火墙会向该目的地址发送icmp的报文判断该目的地址是否可达,判断从防火墙到该目的地址三层链路是否可通,应用在双机热备组网中,VGMP能根据ip-link特测的结果调整VGMP的优先级,从而使防火墙在和路由器组网中能在发生故障的时候进行主备倒换。
防火墙在使能ip-link功能时,需要判断ip-link的目的地址的设备能和防火墙进行正常的icmp交互,这样防火墙才能正确的检测该目的地址,从而在该设备发生故障的时候正确引导主备防火墙进行主备切换,所以ip-link使用的前提条件是ip-link配置的目的地址的设备能正常的和防火墙进行icmp会话。
1.4.2 1.4.2:ip-link在组网中的应用:
防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示:
防火墙A(主) 0/0 0/0 路由器A 0/1 路由器C
如上图所示,如果在防火墙上不使能ip-link功能,正常情况下报文会通过防火墙A进行转发,这时必须保证防火墙A的上下行设备都是正常工作。但是一旦和防火墙A相连的路由器A的0/1口发生故障,报文不能从该口进行转发,此时防火墙A的VRRP是检测不到路由器A的0/1口发生故障的,报文会继续从防火墙A转发到路由器A,导致业务中断。
如果在防火墙A上使能ip-link的功能,使得ip-link的目的地址是路由器A的0/1口,当路由器A的0/1口发生故障的时候,防火墙A能探测到路由器A的0/1接口的IP地址是不可达的,此时防火墙A认为从本地0/0口出去的链路不通,这个时候防火墙A会自动调整优先级,使防火墙A和防火墙B发生主备倒换,防火墙A上面的业务全部转移到防火墙B上,保证了业务的正常转发。
防火墙B(备) 0/0 0/0 路由器B 0/1 1.4.3 1.4.3:防火墙ip-link的配置:
在防火墙上配置ip-link功能时首先要确认ip-link配置中的目的地址的设备在正常的情况下能正确的和防火墙进行icmp会话。相关配置介绍如下: 1:使能防火墙ip-link功能
在系统视图下执行命令ip-link check enable 如:
[Eudemon]ip-link check enable 2:配置ip-link其他参数
ip-link INTEGER<1-32> [ vpn-instance vpn-name] destination X.X.X.X [ interface | timer ] 上述命令参数含义可参考命令行给出的提示信息。 3:vrrp绑定ip-link 进入VGMP的视图 Vrrp group 1 配置ip-link
[E1000_A-vrrpgroup-1]add int Ethernet 4/0/0 vrrp vrid 1 ip-link 1
1.4.4 1.4.4:防火墙ip-link的配置:
配置防火墙ip-link使能之后,防火墙将向ip-link目的地址的设备发送icmp报文检测目的设备是否正常。我们通过查看vrrp 组的状态可以看到ip-link已经开始影响vrrp组的优先级了,防火墙ip-link检查调整优先级的大小和加入vrrp管理组的接口down掉调整vrrp管理组的优先级相同。
HRP_M[E1000_A]dis v v Vrrp Group 16 state : Master
Priority : 98 ――――>此处优先级会根据ip-link检查的结果进行调整 Preempt : YES Delay Time : 0 Timer : 1000 Group-Send : YES Peer Status : OnLine Vrrp number : 3 : Same
interface : Ethernet4/0/7, vrrp id : 254 Up interface : Ethernet4/0/0, vrrp id : 2 Up
interface : Ethernet4/0/1, vrrp id : 1 Down,ip-link: 32 Down
2 2:防火墙双机热备典型组网
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,不管是在路由模式下还是在透明模式下,我们都建议采用主备的组网方式而不采用负载分担的组网方式。
在防火墙双机热备组网的时候,我们需要根据需求决定组网情况以及在此组网下出现网络故障的时候防火墙如何正确的倒换保证业务正常,这些都是在配置的时候需要考虑的。下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
2.1 2.1 路由模式防火墙和路由器双机热备组网
路由模式下的组网分防火墙和路由器组网,防火墙和交换及组网,以及防火墙上下行分别是交换机和路由器的组网,下面就防火墙和这些设备的组网做一个说明。
2.1.1 2.1.1组网一:推荐组网
R1 R2 链路正常时的业务走向 OSPF区域 FW-1 备防火墙 FW-2 主防火墙 发生故障防火墙倒换调整路由后业务走向 双机热备心跳线 故障时此处链路down,防火墙主备倒换,调整对外发布的路由 OSPF区域 R3 R4
如上图所示,此种组网是防火墙上下行都是路由器的时候在外面应用的最多的一种组网,对于此种组网,防火墙需要和路由器之间起OSPF协议。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令,使备防火墙发布路由的时候增大COST,保证业务只在主防火墙上转发。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置等价路由的方式实现,同时在防火墙