上去掉根据HRP状态调整OSPF路由的COST的命令。在防火墙上配置会话快速备份功能,保证在存在来回路径不一致的时候不影响业务。
组网优点:
1:网络拓扑简单,发生故障的时候OSPF的路由能快速收敛,减小业务中断的时间,同时
出现问题时定位比较容易。
2:防火墙上下行业务口采用1GE的板卡,成本较低,转发性能高,能达到防火墙最大转发
性能。
3:可以根据需要,只需要在命令行上配置,就能在主备组网和负载分担组网上进行切换。 4:对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。
组网缺点:
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用,不能使用虚地址,因为一旦其中一台防火墙down掉,虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。
2:发生故障的时候,OSPF的收敛时间较长,如果业务中断的时候需要更快的响应时间,防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。
可靠性分析:
这里只分析主备组网的可靠性。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,备防火墙向外发布路由的时候会自动加上一个COST值(默认是65500)。 1:FW-2和R4之间的链路故障
当FW-2和R4之间的链路故障,防火墙上配置的vrrp track了此接口,所以vrrp的优先级降低,并且是使用的vrrp的优先级作为VGMP的优先级,所以vgmp的优先级降低,此时FW-2的优先级比FW-1的优先级低,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1和FW-2都会更新自身的路由并对外发布路由,此时FW-1为主,对外直接发布自身的路由,而FW-2变成了备防火墙,对外发布路由的时候会另外加上一个cost值(默认是65500),路由重新计算并收敛,业务都从FW-1上走。此组网图中任何一个和防火墙相连的路由器的链路down或者是路由器故障,都会引发上述过程。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙因为心跳口down,导致vrrp的状态变成初始化状态,VGMP的状态也变成初始化状态,HRP的状态变成初始化状态,此时防火墙更新自身路由,同时整个链路的路由收敛,业务从没有故障的防火墙上走,从而保证业务的正常。如果发生故障的防火墙FW-2恢复,防火墙FW-1上的VRRP会up起来,VGMP会变成主状态,HRP也会变成主状态,而FW-2上的VRRP,VGMP以及HRP都是备状态,FW-2和FW-1都对外发布路由信息,HRP状态为备FW-2对外发布路由的时候会自动加上一个cost值,使业务仍然从为主的FW-1上走。如果VGMP配置了抢占,抢占延时设置为20s左右,保证FW-1上的会话充分备份到FW-2上,此时FW-2变成主防火墙的时候重新发布路由,业务从主防火墙FW-2上走,因为会话已经从FW-1上备份
过来了,所以也不会对业务产生影响。
如果是防火墙之间的心跳线中的一根down掉,因为两台防火墙上的两个心跳线上都配置了VRRP并加入了VGMP组中,所以不会对状态产生影响,但是要注意即使是防火墙的一根心跳线down,也要保证在其他设备出现故障的时候防火墙能正常倒换,所以需要每个接口上的VRRP都track上下行业务口。
组网配置要点: 主备模式配置要点: 1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP,加入同一个VGMP组中,使心跳线形成备份,保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。
2:防火墙的VGMP的优先级使用VRRP的优先级,每个VRRP都监视