Bypass机制---旁路机制
工业标准:1U ,要求 MTBF>4 万小时(U是设备高度)MTBF---平均无故障工作时间
定义:通过特定的触发状态( 断电或死机 ) 让两个网络不通过安全设备的系统,而直接在物理上导通 。所以有了bypass 功能后,当安全设备故障以后,还可以让连接在这台设备上的网络相互通讯。 --- 此时,这台网络设备就不再会对数据包进行任何操作了。
Bypass机制 ---> 实际上是一种网络接口卡 。
bypass 按照控制或触发方式来区分
- 通过电源触发 --- 设备断电,Bypass开启。通电,Bypass关闭。
- 由GPIO(通用输入/输出端口)控制 --- 在进入OS,通过GPIO来对特定的端口进行操作,实现Bypass功能的开关
Bypass 不是防火墙的专属,市面上几乎所有的安全设备的通用机制 。
Link-Group技术
链路组技术。
定义:Link-Group 功能,是将多个接口的状态相互绑定,组成一个逻辑组。当组内任意一个接口出 现故障,系统将组内其他接口状态也设定为 Down 。当组内所有接口恢复正常后,整个组的接口状态才 会重新 UP 。
使得上行下接口状态一致,从而避免主备切换后,上下行链路路径不一致。
Link-Group技术,不仅仅可以将不同接口加入同一个组中,将接口关系进行关联,还可以将不同 Link-Group 之间进行关联 。
- 同一个Link-Group只能添加到一个Link-Group监控组的一个子组中,不能重复属于多个子组。
- 同一个Link-Group监控组下的子组之间,互相独立
- 同一个Link-Group监控组下的子组之间,当子组下所有Link-Group状态均为Fault,设备才会强制其他子组中的所有接口切换为Down
[USG6000V1-GigabitEthernet1/0/0]link-group 1
link-group-monitor name aa --- 创建监控组列表monitor 1 link-group 1 --- 创建监控组,并将 Link-Group 组 1 加入其中
双机热备技术
双机热备 ---VRRP 、 VGMP 、 HRP 三个协议组成 。
防火墙双机热备
主备备份模式
双机热备中最大的特点就是为防火墙提供了一条专门的 备份通道 ( 心跳线 ) , 用于两台防火墙之间传输 备份会话, Server-map 表等 重要信息和配置 。并且心跳线也为防火墙之间提供 协商 通道 。
- 主用设备 --- 会处理业务流量、并将设备上的会话表等信息以及配置信息通过备份通道实时同步给备用设备。
- 备用设备 --- 不会处理业务流量,只是通过心跳线,接收来自于主用设备的状态信息以及配置信息。
一旦主用设备发生故障,会通过心跳线重新协商主备状态,如果进行切换,同时,业务流量也需要
被上下行设备的路由信息引导到新的主用设备上。否则流量还是无法通讯 。
负载分担模式
在该场景下,两台防火墙均为主用设备,都需要建立会话,都需要处理业务流量 。同时两台防火墙又都相互作为对方的备用设备,接收对方备份的会话和配置信息。
VRRP和VGMP
在双机热备场景中,因为需要上下行流量的统一切换,故需要创建两个VRRP 组,分别加入上行接口 和下行接口。从而控制上下行设备的流量转向。 --- 且两个不同的 VRRP 组的 Master 设备必须为同一台防 火墙 。
VRRP备份组之间是相互独立的,当一台设备上出现多个 VRRP 备份组时, VRRP 备份组之间的状态 是无法同步的 。
VGMP 解决 VRRP 问题
VGMP---VRRP组管理协议 --- 实现对 VRRP 备份组的统一管理,保证多个 VRRP 本分组状态的一致性 。
将防火墙上所有的VRRP 备份组都加入到同一个 VGMP 组中,由 VGMP 组来集中监控并管理所有的 VRRP 备份组状态。如果 VGMP 组检测到其中一个 VRRP 备份组状态变化,则 VGMP 会控制组中的所有 VRRP 组统一进行状态切换。保证状态一致性 。
VGMP 存在状态和优先级两个属性 。并且由 三条运行原则 :
- VGMP的状态决定了组内VRRP备份组的状态,也决定了防火墙的主备状态。
- VGMP组的状态是由两个防火墙的VGMP组通过比较优先级来决定的。
- 优先级高的VGMP组称为Active,优先级低的VGMP组Standby
- VGMP组会根据组内VRRP备份组的状态变化来更新自己的优先级。
- 每个VRRP备份组的状态切换为初始化状态,VGMP组的优先级降低2。
当 FW1 接口发生故障时, VGMP 组控制 VRRP 备份组状态统一切换过程:
1. FW1G1/0/3 接口故障, FW1 上的 VRRP 备份组 2 发生状态切换(由主 --- 初始化)
2. FW1 的 VGMP 组感知到这一变化后,会降低自身的优先级,然后与 FW2 的 VGMP 组比较优先级,重新协商主备状态
3. 协商后, FW1 的 VGMP 状态变为 Standby , FW2 的 VGMP 组状态变为 Active
4. 同时,由于 VGMP 组的状态决定了组内的 VRRP 备份组状态,所以 FW1 和 FW2 身上各自的 VRRP 备份组1 和备份组 2 都会进行状态切换。
5. FW2 成为 Active 状态,并从上下游分别发送免费 ARP 报文,更新设备的 MAC 地址表
VGMP报文结构
在防火墙中,优先级信息会通过 VGMP 报文传递 。 VGMP 是华为私有协议,对原本的 VRRP 协议报文进行了扩展和修改。
- 标准的VRRP报文的“Type”字段恒定为1,而VGMP增加了2;
- 在VGMP中,1代表标准的VRRP报文。2代表VGMP报文
- 在标准的VRRP报文中,“virtual Rtr ID”,携带的是VRRP备份组的组ID,即VRID。
- 在VGMP中,恒定为0
- 去掉了VRRP的IP地址字段
- 标准VRRP报文中的优先级字段,在VGMP中被修改为“Type2”字段
- Type2=1,则报文为心跳链路探测报文。
- Type2=5,则报文为一致性检查报文。---- 检查双机热备状态下,两台防火墙的是否配置了相同的策略。
- Type2=2,VRRP报文才会进一步封装VGMP报文头。---该报文,才能被认为是真正的VGMP协商报文。
- 会根据VGMP中的“vType”字段继续被分为三种不同的报文
- VGMP报文 --- Hello包 ---- 用于两台防火墙之间VGMP组协商主备状态
- HRP心跳报文 --- Hello包 ---主发送
- 用来探测对端设备是否处于工作状态。
- 主设备每隔一段时间(1S)向备份设备发送HRP心跳报文,用来通知对方主用设备处于工作状态如果备用设备在三个周期内,没有收到HRP心跳报文,则认为主用设备故障
- HRP数据报文---主发送
- 在VGMP报文头后,继续增加一个HRP报文头,完整封装为HRP数据报文。
- 在主备设备之间进行数据备份。
- 会根据VGMP中的“vType”字段继续被分为三种不同的报文
- VGMP组需要携带上VGMP组优先级信息,才可以代替VRRP进行管理
- 类型(mode) --- 代表报文是请求报文,还是应答报文
- VGMP-ID --- 代表VGMP组为Active还是Standby组
- 优先级 ---代表VGMP组的优先级
在双机热备中,除了 VRRP 标准报文以外,其他所有报文的发送接收,都是基于心跳线完成的 。
标准的 VRRP 协议是一个跨四成封装协议,即没有传输层封装,直接由 IP 层封装。
而 VGMP 继承了 VRRP 的特点,但是也增加了 UDP 进行封装的模式。
- IP协议封装 --- 组播报文
数据链路层 IP 协议封装 VRRP 协议 VGMP 协议 VGMP 数据
不能跨网段传输,不受安全策略控制
- UDP封装 --- 单播报文
数据链路层 IP 协议封装 UDP 封装 VRRP 协议 VGMP 协议 VGMP 数据
- 只要路由可达,就可以跨越网段传输,但是收到安全策略控制。
- ·端口号=18514
VGMP工作过程
VGMP组缺省情况
每台防火墙提供两个 VGMP 组, Active 组和 Standby 组。默认情况下, Active 组的优先级为
65001 ,状态为 Active ; Standby 组优先级为 65000 ,状态为 Standby
主备备份双机热备状态形成过程
上图中表示的是主用设备的接口发生故障后的变化情况。而当主用设备整机故障时,主用设备的
VGMP 组将不会发送 HRP 心跳报文 。如果备用设备的 VGMP 组连续三次收不到,则认定对端故障,从而将自身切换为主用状态。
当原主用设备故障恢复后,如果配置了抢占功能,那么原主重新成为主用设备。如果没有配置,则
原主保持在备份状态 。 --- 缺省情况下,主动抢占功能开启,抢占延迟时间为 60 秒 。
负载分担双机热备状态形成过程
VGMP 总结
1. 故障监控 --- VGMP 组能够监控 VRRP 备份组状态变化。
2. 状态切换 --- VGMP 组感知到 VRRP 备份组状态变化后,会调整自己的优先级,并与对端的 VGMP 组 重新协商主备状态
3. 流量引导 --- 两个 VGMP 组主备状态建立或切换后,会强制组内的 VRRP 备份组统一进行状态切换,然后由状态为Active 的 VRRP 备份组发送免费的 ARP 报文来引导流量
仅仅适用于防火墙上行或下行设备为交换机的场景 。
VGMP协议
防火墙连接路由器场景
VGMP组使用的 故障监控 方式,是 直连监控接口状态 。 --- 就是直接将接口加入到 VGMP 组中,当VGMP组中的接口故障, VGMP 可以直接感知到变化,从而降低自己的优先级。
如果是负载分担方式的双机热备,则需要在每个业务接口上执行特殊命令,将业务接口分别加入到Active和 Standby 组中。
VGMP的流量引导功能,将流量自动引导到主用设备 --- 手工将备用设备所在链路的OSPF开销值改大。VGMP具备根据状态自动调整OSPF的Cost数值。 --- 启用流量引导功能后,如果防火墙上存在状态为Active的VGMP组,则防火墙会正常对外发布路由;如果防火墙上VGMP组状态为Standby,则防火墙在发布路由时,将Cost增加65500。
防火墙透明接入,连接二层交换机场景
防火墙接口现在工作在二层,没有IP 地址。 故障监控 方式为 通过 VLAN 监控接口状态 。 --- 将二层业 务接口加入VLAN , VGMP 监控 VLAN 。当 VGMP 中的接口故障时, VGMP 组会通过 VLAN 感知到接口状态变化,从而降低自身优先级。
当VGMP 组状态为 Active 时,组内的 VLAN 能够转发流量。当 VGMP 组状态为 Standby 时,组内 VLAN 被禁用,不能转发流量 。
防火墙透明接入,连接路由器场景
故障监控的逻辑和流量引导的逻辑与上一种组网方式相同 。 该组网只支持负载分担方式的双机热
备,不支持主备备份场景 。 --- 原因:如果工作在主备备份,那么备份设备的 VLAN 会被禁用,导致上下行路由器无法通讯,无法建立OSPF 邻居。
VGMP组监控技术
VGMP可以监控自己本身的接口 --- 物理接口、 VRRP 接口等。
但是VGMP 还可以监控远端接口。 --- VGMP 监控远端接口的方式,只适用于防火墙业务接口工作在 三层时;因为此时接口才能存在 IP 地址,才可以与远端设备发送 IP-link 或 BFD 的探测报文 。
总结
- 每当VGMP组监控的一个接口故障时,无论是直接监控还是简介监控,无论监控的是本地还是远端,VGMP优先级都是降低2。
- 只有主用设备才会将流量引导到本设备上,备用设备则是想尽办法拒绝流量引导到本设备
HRP(双机热备协议)协议
HRP 数据报文、 HRP 心跳报文、 HRP 一致性检查报文。
HRP 协议功能
- 动态状态数据备份 --- 实时备份防火墙的会话表、Server-map表、黑白名单、NAT映射表
- 关键配置命令备份 --- 很多;display、reset、debugging...不支持备份。网络基本配置如接口地址和路由等不能够=备份,这些内容需要在双机热备成功建立之前配置完成。
HRP概述
在主备组网中,由主设备将状态数据和配置命令同步给备份设备。
而在负载分担组网中,状态数据双方均会想对端同步。但是配置命令,不可以。--- 原因,如果允许 两台主用设备之间相互备份配置命令,可能会造成两台设备命令相互冲突 。 --- 引入了 “ 配置主设备 ” 和 “ 配 置从设备 ” 。 --- 在负载分担组网中,发送备份配置命令的防火墙为配置主设备 ( 命令行前存在 HRP_M 前 缀 ) ,接收备份配置命令的防火墙成为配置从设备 ( 命令行前存在 HRP_S 前缀 ) 。 --- 在负载分担组网中,谁最先建立双机热备状态的防火墙会成为配置主设备;即最先启动双机热备功能的。
HRP备份方式
- 自动备份 --- 默认开启的,能够自动实时备份配置命令和周期性备份状态信息。
- 主用设备每执行一次可备份命令,该命令都会立即被同步到备用设备。注意:对于这些可备份命令,备用设备不能配置,只能等到主用设备的同步。
- 对于不可备份命令---分别配置
- 对于状态信息,周期性备份(部分状态信息)。
- 手工批量备份 --- 需要管理员手工触发的,每执行一次手工批量备份命令,主用设备就会立即同步一次配置命令和状态信息。
- 快速备份 --- 仅适用于负载分担场景的,用来应对报文来回路径不一致的场景。
- 主要为了保证状态信息的及时同步,快速备份功能仅仅备份状态信息,是为了弥补自动备份的时差问题。
- 如果启动快速备份功能,主设备将实时进行状态信息备份。
心跳链路探测报文
心跳口必须是状态独立且具有 IP 地址的接口 。且该接口不要参与到其他协议的工作过程中,以免产
生不必要的影响。
HRP一致性检查报文
该报文是用于检测双机热备状态下两台防火墙的双机热备配置是否一致,以及策略配置是否相同
的 。
