防火墙双机热备技术详解

今天继续给大家介绍HCIE安全相关内容。本文主要介绍防火墙双机热备技术。
阅读本文，您需要对防火墙相关理论知识有一定了解，如果您对此还存在困惑，欢迎您查阅我博客内的其他文章，相信您一定会有所收获！

一、防火墙双机热备技术概述

一般而言，防火墙部署于公司网络的出口位置，以便对进出公司的所有访问流量进行限制。然而，如果防火墙部署在公司网络出口位置，一旦防火墙发生故障，就会影响到整个网络业务。因此，为了提升防火墙的可靠性，可以类似路由交换设备中的VRRP技术一样，配置防火墙双机热备技术。
在防火墙双击热备架构中，当一台防火墙出现故障时，业务流量能平稳地切换到另一台防火墙上，保证流量业务不中断，使得对内外网用户透明，感知不到防火墙的故障。
防火墙双机热备技术有以下三种协议架构：
HRP协议： 用于双击之间关键配置命令和链接状态信息的备份。
VGMP协议： 用于主备设备状态管理、接口链路状态监控。
VRRP协议： 负责监控单个链路的状态和流量引导。
这三大协议协同工作，实现了防火墙的双机热备功能。

二、防火墙双击热备故障检测技术

故障检测技术是双机热备的基础。为了实现完美的双机热备效果，必须尽可能快地检测到各种故障，才能出发后续的业务切换。目前防火墙双机热备故障检测的方式有以下几种：

1、检测VRRP备份组状态。

这种检测方式用于防火墙业务接口为三层接口，业务接口连接二层交换机时的场景。在这种检测方式下，当物理接口故障时，接口下的VRRP备份组处于Initialise状态，而物理接口故障恢复时，接口下的VRRP备份组处于Active或者是Standby状态。

2、检测单个物理接口状态。

由于三层设备无法转发VRRP组播报文，所以当防火墙业务接口为三层接口并且链接三层设备时，使用此方式实现故障检测。VGMP管理组直接进行监控连路由状态。当接口状态变化时，将执行触发相关的VGMP管理组调整优先级并进行主备倒换。

3、检测透明模式下VLAN接口状态

当防火墙业务接口为二层接口，无法配置VRRP时，可以采取这种方式，由VGMP管理组直接监控整个VLAN。当VLAN中有任何一个接口状态变化时，都会触发VGMP管理组调整优先级，并进行主备切换。

4、检测IP-LINK逻辑链路的状态

该方式可以检测非直连链路的可达性。VGMP可以利用IP-LINK来检测和防火墙直连或非直连链路的三层可达性。IP-LINK可以用来检测以下几种故障：
（1）板接口假死，接口状态为UP，但是接口无法收发报文
（2）接口不支持自动协商的光纤链路，比如党恩光纤故障
（3）非直连链路远端设备故障。

5、检测BFD逻辑链路的状态

同样的，也可以配置BFD，使得VGMP与BFD联动，从而通过检测BFD逻辑链路的状态决定防火墙VGMP的状态。

三、防火墙双击热备流量引导技术

当VGMP管理组检测到成员状态变化，从而进行主备切换后，需要能即使有效地对业务流量进行引导。VGMP管理组的流量引导功能负载在倒换时进行业务流量的引导。目前，VGMP管理组支持的业务流量引导手段有以下几种：

1、虚拟IP地址方式。

此方式主要用于防火墙三层业务接口直连二层交换机组网时使用。利用VRRP协议，当VGMP状态切换后，新的主设备发送免费ARP报文，刷新上下行交换机的MAC竹筏表，将下一跳为虚拟IP的业务报文调整到主用设备上来。

2、路由COST调整方式。

此方式主要用于防火墙三层业务接口连接路由器，主备备份组网时使用。主备设备防御对接的设备上运行OSPF动态路由协议，但是主设备业务链路上配置的路由COST值较小，业务流量送到主设备进行转发。当主设备业务板故障，OSPF无法感知，不能自动收敛时VGMP管理组能感知到这种故障，并进行主动切换。此时状态原本为Active的VGMP管理组，控制运行OSPF的业务链路自动升高路由COST，触发对设备路由收敛到备用设备。

3、动态路由收敛方式。

此方式主要用于防火墙三层业务接口连接路由器，路由器组网，防火墙负载分担组网时的场景。在此方式下，主备防火墙对接的设备上运行动态路由协议，一般情况下，主设备相关业务链路上配置的路由COST值较小，业务流量送到主设备进行转发。主设备业务接口故障时，动态路由自动收敛，业务流量送到备用设备继续进行转发。使用动态路由的引流方式，当故障发生时，不需要VGMP管理组控制流量切换，而是通过动态路由控制。

4、VLAN启用和禁用方式。

此方式主要用于防火墙业务接口工作在透明模式的组网中。当防火墙工作在二层转发时，无法通过路由的变化来引导上下行设备的流量。通过接口down/up的方式来刷新上下行设备的MAC转发表或促使路由收敛，然后通过使能/禁用VLAN转发功能的方式来保证流量不会发送到故障的防火墙。
在二层转发模式下，VLAN和VGMP管理组绑定，管理组状态为Active时，VLAN能转发报文；管理组状态为Standby状态时，VLAN被禁用，不能转发报文。
管理组切换到Standby时，VLAN内所有接口都会down——up一次，触发上下行设备刷新MAC转发表或者路由收敛，接口重新UP后，由于VLAN被禁用，接口仍然无法转发相关VLAN的报文。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119256200