FAQ-防火墙双机热备配置注意事项

发布时间:  2016-05-23 浏览次数:  264 下载次数:  0
问题描述
防火墙双机热备是常见的部署特性,因存在负载分担和主备备份两种模式,在配置过程中很多命令容易在两种模式下混淆,现进行小结。
处理过程
对防火墙双机热备的相关配置命令进行分析和小结。
建议与总结

防火墙双机热备的配置命令小结:

1、hrp mirror session enable用于解决负载分担模式下来回路径不一致问题,此模式下必须启用会话快速备份;主备备份模式下,无需启用此功能
会话快速备份是在会话建立的时候立即备份到备用防火墙上;会话实时备份只有当会话老化线程扫描到会话、且此会话需要备份,才会备份到备用防火墙上。

2、hrp auto-sync config用于启动HRP备份功能(默认开启),HRP备份功能将关键配置命令和会话表状态信息会实时同步备份到备用设备快速备份功能只是备份状态信息,不备份配置的命令

3、hrp standby-device用于将防火墙的运行角色切换为备用。双机热备的主备备份模式下,需要在备用防火墙上配置此命令,在想要切换主备状态的情况下,如果不配置,主备不会自动切换(正常情况下,主备通过VGMP管理组的优先级来确定);负载分担场景下,无需配置。

4、hrp loadbalance-device用于设置双机热备运行模式为负载分担。防火墙的双机热备运行模式缺省为主备备份,配置此命令可以将双机热备运行模式切换为负载分担模式。 负载分担模式下,两台防火墙上均需配置此命令。主备备份模式无需配置

5、VGMP管理组监控的接口故障或监控的VLAN中的接口故障时,VGMP管理组的优先级降低。每个接口故障,VGMP管理组的优先级降低2。
(1)主备备份:正常运行时,NGFW_A的Active组的优先级为65001,状态为Active,因此NGFW_A为主用设备。 当NGFW_A的一个监控接口故障时,NGFW_A的Active组的优先级降低到64999,低于NGFW_B的Standby组的优先级,因此NGFW_A的Active组的状态切换为Standby,NGFW_A切换成备用设备。NGFW_B的Standby组切换到Active状态,NGFW_B成为新的主用设备。 NGFW_A的故障恢复后,Active组的优先级恢复到65001,重新高于NGFW_B的Standby组的优先级65000,因此NGFW_A会重新“抢占”成为主用设备。 

(2)负载分担:正常运行时,NGFW_A的Active组与NGFW_B的Standby组构成一组“主备”,NGFW_B的Active组与NGFW_A的Standby组也构成一组“主备”。这样NGFW_A与NGFW_B就都认为自己是主用设备,形成“双主”组网。 这时流量通过哪台设备转发是由上下行设备的路由决定的。当NGFW_A的监控接口故障时,NGFW_A的Active组与Standby组的优先级都降低,分别低于NGFW_B的Standby组和Active组,状态都切换成Standby。这样NGFW_A就成为了备用设备,所有流量都通过NGFW_B转发了。

6、hrp ospf-cost adjust-enable用来启动根据HRP状态调整OSPF相关的COST值功能。缺省值是65500.NGFW发布OSPF路由时,会判断自身是主用设备还是备用设备。如果是主用设备,NGFW把学习到的路由直接发布出去;如果是备用设备,NGFW发布Cost值为standby-cost的路由。这样上下行路由器在计算路由的时候,就能将下一跳指向主用设备,并把报文转发到主用设备上。 主备备份模式下必须配置,负载分担模式下无需配置。

7、hrp preempt用来开启VGMP管理组的抢占功能,VGMP管理组的抢占功能默认开启,抢占延迟时间为60s。
主备备份场景下,不能关闭备用设备VGMP管理组的抢占功能,否则可能会导致备用设备无法正常切换为主用设备。

END