建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
温馨提示

抱歉,您需设置社区昵称后才能参与社区互动!

前往修改
我再想想

浙江经贸学院

话题 : 21 成员 : 65

加入HCSD

高可用技术枚举

XueMian 2020/10/22 517

以下讲的是高可用技术不全 仍需补充


IP-LINK:向指定目的地址发送ICMP或ARP请求,等待应答,在设定的时限内(默认15s)未收到回应报文则认定故障

反应速度慢

静态路由联动,双热备联动,策略路由联动,DHCP联动

状态恢复:能收到3个连续的相应报文(15s)


ETH-TRUNK:接口冗余,提高链路带宽,提高可靠性,负载分担


LINK-GROUP:多个接口加入到一个LINK-GROUP后,组内任何一个接口DOWN,组全DOWN。可以和双机热备   联动,可提高路由收敛速度,不用等待VGMP切换协商的过程


HRP:同步命令和会话,通过心跳线使用HRP协议来同步会话和命令


VRRP:负责单个接口的故障检测和流量引导。每个VRRP组都有一个虚拟IP地址,作为网关地址,在VRRP主备切换时通过发送免费ARP来刷新对接设备的MAC转发表引导流量。


VRRP通告报文用来将主用设备的优先级和状态通告给备用设备,VRRP报文承载在IP报文之上,为组播报文(组播地址224.0.0.18),协议号112。由主设备疫苗发送一次,超过三次未收到则认定主设备故障,备设备成为主设备


VGMP:集中管理所有VRRP备份组,控制状态统一切换,保证出现故障流量能同步到备份防火墙


HRP:负责双机之间的数据同步,默认1秒发送一次。




其中,如果单纯使用VRRP是一秒发送一次,VGMP管理下是60秒一次


对于USG2000/5000/6000防火墙,如果心跳口不指定remote参数,则VGMP报文和HRP报文为组播报文,不收安全策略控制,如果指定remote参数,则VGMP报文和HRP报文会封装成UDP单播报文,需要在心跳口所在安全区域和local区域配置安全策略,允许目的端口为18514的报文双向通过


BFD:双向转发检测,主要用于快速(毫秒级)检测系统之间的故障,配置两边,应用场景比Ip-link多。使用UDP/3784进行封装。


报文类型:控制报文和回声报文(UDP/3784).


组网 主备备份 负载分担
三层,连接交换机 支持 支持
三层,连接路由器 支持 支持
二层,连接交换机 支持 不支持
二层,连接路由器 不支持 支持


V5不需要放行策略的报文:


心跳链路探测报文 探测对端心跳口是否正常
一致性检查报文 检查配置是否一致
HRP HELLO 探测对端设备是否正常(1s/次)
VGMP HELLO 协商主备状态
HRP数据报文 同步命令和各种状态信息
V5不需要放行策略的报文


自我思考


自动备份不会备份以下的类型


  1. 到防火墙自身的会话,例如管理员登录防火墙时产生的会话

  2. 未完成3次握手的TCP半连接会话

  3. 只为UDP首包创建,而不被后续包匹配的会话


iplink和BFD的区别?


  1. 原理不一样,IPLINK用ICMP或者ARP,BFD用控制报文结合使用回声报文通过双方创建会话的方式

  2. 检测间隔,BFD理论上微秒级别,IP-LINK是秒级

  3. 配置,IP-LINK是单向检测,BFD因为双方建立会话,所以双方都要建立会话


VRRP优先级的作用?


协商确定主备状态,如果引入了VGMP,VRRP优先级失效


VMAC格式?


00-00-5E-00-01-VRID


心跳线使用eth-trunk和多跟心跳线有什么区别?


功能:如果用多跟心跳线,只能实现冗余效果,没有负载分担,无法提高带宽;链路捆绑反之


防火墙双机二层,上下行交换机,支持负载分担?


不支持。因为有环路


VRRP虚拟IP地址与物理接口不在同一个段时需要注意什么?


虚拟IP地址配置子网掩码


负载分担场景下,能不能用UTM?


不是全部不可以


V5版本中不需要放行的策略


  1. VGMP HELLO

  2. HRP HELLO

  3. HRP数据报文

  4. 一致性检查报文

  5. 心跳链路探测报文


原主墙不抢占的原因?


  • 关闭了抢占功能

  • 尚未满足抢占延迟(为了防止频繁主备切换)


为什么Ping不通VRRP虚拟IP地址?


  • VRID冲突

  • 关闭了虚拟IP地址的Ping开关。


为什么在主用防火墙上配置的命令没有备份到备墙?


如果关闭了配置自动备份功能,则不会备份。另外,不是所有命令都备份,接口和路由相关就不会备份


免费ARP发送周期?可以刷新什么表?


默认30s,可以修改(30-1200s)。可以刷新MAC地址表和ARP表


虚拟MAC是固定的吗?


00-00-5E-00-00是固定的,后面的VRRP组是不固定的


双机心跳线中间加交换机会有什么问题?


  • 交换机二层:不带remote参数,不用放行策略

  • 交换机三层:带remote参数,放行hrp的双向流量

  • 可能造成单点故障


双机为什么不支持easy-ip?


因为无法指定vrid,可能导致业务中断


双机双活场景下,怎么保证Server-map往返路由一致?


关闭状态检测或开启快速会话备份


心跳口你为什么不加入link-group组?


1、无法同步会话。2、恢复后直接主备协商,且由于没有同步会话,造成流量中断


回复 (0)

没有评论
上划加载中
标签
您还可以添加5个标签
  • 没有搜索到和“关键字”相关的标签
  • 云产品
  • 解决方案
  • 技术领域
  • 通用技术
  • 平台功能
取消

XueMian

角色:校园大使

话题:13

发消息
发表于2020年10月22日 21:17:53 5170
直达本楼层的链接
楼主
倒序浏览 只看该作者
高可用技术枚举

以下讲的是高可用技术不全 仍需补充


IP-LINK:向指定目的地址发送ICMP或ARP请求,等待应答,在设定的时限内(默认15s)未收到回应报文则认定故障

反应速度慢

静态路由联动,双热备联动,策略路由联动,DHCP联动

状态恢复:能收到3个连续的相应报文(15s)


ETH-TRUNK:接口冗余,提高链路带宽,提高可靠性,负载分担


LINK-GROUP:多个接口加入到一个LINK-GROUP后,组内任何一个接口DOWN,组全DOWN。可以和双机热备   联动,可提高路由收敛速度,不用等待VGMP切换协商的过程


HRP:同步命令和会话,通过心跳线使用HRP协议来同步会话和命令


VRRP:负责单个接口的故障检测和流量引导。每个VRRP组都有一个虚拟IP地址,作为网关地址,在VRRP主备切换时通过发送免费ARP来刷新对接设备的MAC转发表引导流量。


VRRP通告报文用来将主用设备的优先级和状态通告给备用设备,VRRP报文承载在IP报文之上,为组播报文(组播地址224.0.0.18),协议号112。由主设备疫苗发送一次,超过三次未收到则认定主设备故障,备设备成为主设备


VGMP:集中管理所有VRRP备份组,控制状态统一切换,保证出现故障流量能同步到备份防火墙


HRP:负责双机之间的数据同步,默认1秒发送一次。




其中,如果单纯使用VRRP是一秒发送一次,VGMP管理下是60秒一次


对于USG2000/5000/6000防火墙,如果心跳口不指定remote参数,则VGMP报文和HRP报文为组播报文,不收安全策略控制,如果指定remote参数,则VGMP报文和HRP报文会封装成UDP单播报文,需要在心跳口所在安全区域和local区域配置安全策略,允许目的端口为18514的报文双向通过


BFD:双向转发检测,主要用于快速(毫秒级)检测系统之间的故障,配置两边,应用场景比Ip-link多。使用UDP/3784进行封装。


报文类型:控制报文和回声报文(UDP/3784).


组网 主备备份 负载分担
三层,连接交换机 支持 支持
三层,连接路由器 支持 支持
二层,连接交换机 支持 不支持
二层,连接路由器 不支持 支持


V5不需要放行策略的报文:


心跳链路探测报文 探测对端心跳口是否正常
一致性检查报文 检查配置是否一致
HRP HELLO 探测对端设备是否正常(1s/次)
VGMP HELLO 协商主备状态
HRP数据报文 同步命令和各种状态信息
V5不需要放行策略的报文


自我思考


自动备份不会备份以下的类型


  1. 到防火墙自身的会话,例如管理员登录防火墙时产生的会话

  2. 未完成3次握手的TCP半连接会话

  3. 只为UDP首包创建,而不被后续包匹配的会话


iplink和BFD的区别?


  1. 原理不一样,IPLINK用ICMP或者ARP,BFD用控制报文结合使用回声报文通过双方创建会话的方式

  2. 检测间隔,BFD理论上微秒级别,IP-LINK是秒级

  3. 配置,IP-LINK是单向检测,BFD因为双方建立会话,所以双方都要建立会话


VRRP优先级的作用?


协商确定主备状态,如果引入了VGMP,VRRP优先级失效


VMAC格式?


00-00-5E-00-01-VRID


心跳线使用eth-trunk和多跟心跳线有什么区别?


功能:如果用多跟心跳线,只能实现冗余效果,没有负载分担,无法提高带宽;链路捆绑反之


防火墙双机二层,上下行交换机,支持负载分担?


不支持。因为有环路


VRRP虚拟IP地址与物理接口不在同一个段时需要注意什么?


虚拟IP地址配置子网掩码


负载分担场景下,能不能用UTM?


不是全部不可以


V5版本中不需要放行的策略


  1. VGMP HELLO

  2. HRP HELLO

  3. HRP数据报文

  4. 一致性检查报文

  5. 心跳链路探测报文


原主墙不抢占的原因?


  • 关闭了抢占功能

  • 尚未满足抢占延迟(为了防止频繁主备切换)


为什么Ping不通VRRP虚拟IP地址?


  • VRID冲突

  • 关闭了虚拟IP地址的Ping开关。


为什么在主用防火墙上配置的命令没有备份到备墙?


如果关闭了配置自动备份功能,则不会备份。另外,不是所有命令都备份,接口和路由相关就不会备份


免费ARP发送周期?可以刷新什么表?


默认30s,可以修改(30-1200s)。可以刷新MAC地址表和ARP表


虚拟MAC是固定的吗?


00-00-5E-00-00是固定的,后面的VRRP组是不固定的


双机心跳线中间加交换机会有什么问题?


  • 交换机二层:不带remote参数,不用放行策略

  • 交换机三层:带remote参数,放行hrp的双向流量

  • 可能造成单点故障


双机为什么不支持easy-ip?


因为无法指定vrid,可能导致业务中断


双机双活场景下,怎么保证Server-map往返路由一致?


关闭状态检测或开启快速会话备份


心跳口你为什么不加入link-group组?


1、无法同步会话。2、恢复后直接主备协商,且由于没有同步会话,造成流量中断


点赞 举报
分享

分享文章到朋友圈

分享文章到微博

游客

您需要登录后才可以回帖 登录 | 立即注册