双机热备
当部署两台防火墙在出口处时,由于VRRP组相互独立,可能会导致往返路径不一致,由于另一台防火墙没有会话,流量会被丢弃。
双机热备需要两台硬件和软件配置都相同的防火墙组成双击热备系统。防火墙之间通过心跳线,同步对端的配置和一些表项。
部署的要求:
- 需要两台设备
- 两台设备的产品型号和版本以及接线等等都需要相同
- 业务板卡,接口板卡也需要相同。
双机热备的关键组件:
VRRP+VGMP+HRP
VRRP:保证当防火墙链路故障时,PC机能够及时切换下一跳转发流量。
VGMP:把一台防火墙上的所有VRRP组都加入到一个组中,叫做VGMP组,当一个VRRP组故障,这个VGMP内的所有VRRP组都会故障,进行统一的状态切换。
HRP:基于IP,只要IP可达就行。用来实现防火墙之间的配置备份、表项同步的。
VGMP状态:
Active:本端VGMP组优先级高于对端
Standby:本端VGMP组优先级低于对端
Load Balance:两端VGMP组优先级相等
HRP及心跳线:
防火墙能够备份的配置:策略、对象、网络、系统
防火墙能够备份的状态:会话表、SeverMap表、黑名单/白名单等
hrp enable
虚拟系统
防火墙上存在两种类型的虚拟系统:
根系统 --全局系统(Public):缺省存在的一个特殊虚拟系统。缺省时,对防火墙进行的配置就是对根系统进行配置。根系统可以管理其他虚拟系统,并为虚拟系统间提供通信。
虚拟系统(VSYS):在防火墙上虚拟出来的,独立运行的逻辑设备。
防火墙默认把全局系统和虚拟系统相连,是通虚拟接口连起来的。 所有系统是全互连。
虚拟系统底层需要VRF支撑路由表,VRF的名字就是VSYS的名字。
防火墙虚拟化的方面:
- 资源虚拟化:每个虚拟系统有独享的资源,包括VLAN,接口等
- 配置虚拟化:每个虚拟系统都有独立的虚拟系统配置界面
- 安全功能虚拟化:每个虚拟系统都可以配置独立的安全策略和安全功能。
- 路由虚拟化:每个虚拟系统都有独立的路由表,相互独立隔离。目前只支持静态路由虚拟化
虚拟接口:
- 虚拟系统之间通过虚拟接口实现互访,是创建虚拟系统时设备自动创建的接口。
- 虚拟接口必须配置安全区域,IP地址可以不用配置。
- 虚拟接口名的格式为Virtual-if+接口号,根系统的虚拟接口名为Virtual-if0,其他接口号从1开始。
