以下讲的是高可用技术不全 仍需补充
IP-LINK:向指定目的地址发送ICMP或ARP请求,等待应答,在设定的时限内(默认15s)未收到回应报文则认定故障
反应速度慢
静态路由联动,双热备联动,策略路由联动,DHCP联动
状态恢复:能收到3个连续的相应报文(15s)
ETH-TRUNK:接口冗余,提高链路带宽,提高可靠性,负载分担
LINK-GROUP:多个接口加入到一个LINK-GROUP后,组内任何一个接口DOWN,组全DOWN。可以和双机热备 联动,可提高路由收敛速度,不用等待VGMP切换协商的过程
HRP:同步命令和会话,通过心跳线使用HRP协议来同步会话和命令
VRRP:负责单个接口的故障检测和流量引导。每个VRRP组都有一个虚拟IP地址,作为网关地址,在VRRP主备切换时通过发送免费ARP来刷新对接设备的MAC转发表引导流量。
VRRP通告报文用来将主用设备的优先级和状态通告给备用设备,VRRP报文承载在IP报文之上,为组播报文(组播地址224.0.0.18),协议号112。由主设备疫苗发送一次,超过三次未收到则认定主设备故障,备设备成为主设备
VGMP:集中管理所有VRRP备份组,控制状态统一切换,保证出现故障流量能同步到备份防火墙
HRP:负责双机之间的数据同步,默认1秒发送一次。
其中,如果单纯使用VRRP是一秒发送一次,VGMP管理下是60秒一次
对于USG2000/5000/6000防火墙,如果心跳口不指定remote参数,则VGMP报文和HRP报文为组播报文,不收安全策略控制,如果指定remote参数,则VGMP报文和HRP报文会封装成UDP单播报文,需要在心跳口所在安全区域和local区域配置安全策略,允许目的端口为18514的报文双向通过
BFD:双向转发检测,主要用于快速(毫秒级)检测系统之间的故障,配置两边,应用场景比Ip-link多。使用UDP/3784进行封装。
报文类型:控制报文和回声报文(UDP/3784).
| 组网 | 主备备份 | 负载分担 |
| 三层,连接交换机 | 支持 | 支持 |
| 三层,连接路由器 | 支持 | 支持 |
| 二层,连接交换机 | 支持 | 不支持 |
| 二层,连接路由器 | 不支持 | 支持 |
V5不需要放行策略的报文:
| 心跳链路探测报文 | 探测对端心跳口是否正常 |
| 一致性检查报文 | 检查配置是否一致 |
| HRP HELLO | 探测对端设备是否正常(1s/次) |
| VGMP HELLO | 协商主备状态 |
| HRP数据报文 | 同步命令和各种状态信息 |
自我思考
自动备份不会备份以下的类型
到防火墙自身的会话,例如管理员登录防火墙时产生的会话
未完成3次握手的TCP半连接会话
只为UDP首包创建,而不被后续包匹配的会话
iplink和BFD的区别?
原理不一样,IPLINK用ICMP或者ARP,BFD用控制报文结合使用回声报文通过双方创建会话的方式
检测间隔,BFD理论上微秒级别,IP-LINK是秒级
配置,IP-LINK是单向检测,BFD因为双方建立会话,所以双方都要建立会话
VRRP优先级的作用?
协商确定主备状态,如果引入了VGMP,VRRP优先级失效
VMAC格式?
00-00-5E-00-01-VRID
心跳线使用eth-trunk和多跟心跳线有什么区别?
功能:如果用多跟心跳线,只能实现冗余效果,没有负载分担,无法提高带宽;链路捆绑反之
防火墙双机二层,上下行交换机,支持负载分担?
不支持。因为有环路。
VRRP虚拟IP地址与物理接口不在同一个段时需要注意什么?
虚拟IP地址配置子网掩码
负载分担场景下,能不能用UTM?
不是全部不可以
V5版本中不需要放行的策略
VGMP HELLO
HRP HELLO
HRP数据报文
一致性检查报文
心跳链路探测报文
原主墙不抢占的原因?
关闭了抢占功能
尚未满足抢占延迟(为了防止频繁主备切换)
为什么Ping不通VRRP虚拟IP地址?
VRID冲突
关闭了虚拟IP地址的Ping开关。
为什么在主用防火墙上配置的命令没有备份到备墙?
如果关闭了配置自动备份功能,则不会备份。另外,不是所有命令都备份,接口和路由相关就不会备份
免费ARP发送周期?可以刷新什么表?
默认30s,可以修改(30-1200s)。可以刷新MAC地址表和ARP表
虚拟MAC是固定的吗?
00-00-5E-00-00是固定的,后面的VRRP组是不固定的
双机心跳线中间加交换机会有什么问题?
交换机二层:不带remote参数,不用放行策略
交换机三层:带remote参数,放行hrp的双向流量
可能造成单点故障
双机为什么不支持easy-ip?
因为无法指定vrid,可能导致业务中断
双机双活场景下,怎么保证Server-map往返路由一致?
关闭状态检测或开启快速会话备份
心跳口你为什么不加入link-group组?
1、无法同步会话。2、恢复后直接主备协商,且由于没有同步会话,造成流量中断
