防火墙双机热备特性FAQ
双机热备条件
双机热备条件在计算机系统中,双机热备条件是一种常见的高可用性架构,用于确保系统的持续可用性和数据冗余。
双机热备条件通过使用两个或多个相同配置的服务器来保证系统的连续运行,即当一个服务器发生故障时,另一个服务器可以自动接管其工作,从而实现无缝切换并确保系统的稳定性。
为了实现双机热备条件,以下是一些关键的条件和要求:1. 硬件配置一致性:双机热备条件要求两个或多个服务器的硬件配置完全相同,包括处理器、内存、磁盘和网络适配器等。
只有硬件配置一致,系统才能在备用服务器上正确地执行相同的操作,确保系统状态的一致性。
2. 快速故障检测:双机热备条件要求系统能够快速检测到主服务器的故障,并迅速采取措施切换到备用服务器。
通常,这需要使用专用的监控软件或硬件来实时监测主服务器的状态,如网络连接、CPU负载和磁盘空间等。
3. 高可靠性存储:为了确保数据不会丢失或损坏,双机热备条件需要使用高可靠性的存储解决方案,如磁盘阵列或网络存储。
这些存储设备通常具有冗余的磁盘、热插拔功能和硬件加速等特性,以提供极高的数据可靠性和快速的故障恢复。
4. 快速数据同步:为了保持主服务器和备用服务器之间数据的一致性,双机热备条件要求快速的数据同步机制。
通常采用的方法是使用专门的数据复制软件或硬件来实时同步主服务器的数据到备用服务器,以确保备用服务器上的数据与主服务器完全一致。
5. 自动切换和恢复:双机热备条件需要具备自动切换和恢复功能,即当主服务器发生故障时,备用服务器能够自动接管主服务器的工作,并继续提供服务。
这通常需要一个负载均衡器或集群管理软件来监控服务器的状态并进行自动切换,以确保服务的连续性和用户的无感知。
6. 故障恢复测试:为了确保双机热备条件的有效性,定期进行故障恢复测试是必要的。
通过模拟主服务器故障,测试备用服务器的切换和恢复功能,以验证系统的可靠性和稳定性。
总结起来,双机热备条件要求硬件配置一致、快速故障检测、高可靠性存储、快速数据同步、自动切换和恢复以及定期故障恢复测试。
双机热备解决方案
双机热备解决方案简介双机热备是一种常见的高可用性解决方案,通过在两台服务器之间进行数据同步和状态同步,实现在主服务器故障时快速切换到备服务器,从而确保系统的持续可用性。
在本文档中,将介绍双机热备的原理、实施步骤和常见问题解决方案。
原理双机热备的原理是将主服务器和备服务器通过网络连接起来,通过定期同步数据和状态,以便备服务器能够准确地为主服务器提供备份服务。
当主服务器出现故障时,备服务器将立即接管主服务器的工作,并提供相同的服务,以保证系统的可用性。
具体的原理如下: 1. 主服务器和备服务器通过一个交换机或路由器进行网络连接。
2. 定期将主服务器的数据和状态同步到备服务器上,可以使用文件同步工具、数据库复制等技术实现。
3. 备服务器处于待命状态,随时可以接管主服务器的服务。
4. 当主服务器出现故障时,备服务器立即接管主服务器的服务,并通知管理员进行处理。
实施步骤要实施双机热备解决方案,需要进行以下步骤:步骤一:选取适合的硬件设备为了实现双机热备,首先需要选取适合的硬件设备,例如服务器、网络交换机等。
这些硬件设备应具备高可靠性和性能。
步骤二:配置网络环境在选取合适的硬件设备后,需要配置网络环境。
主服务器和备服务器应通过可靠的网络连接起来,并保证网络延迟较低和带宽较大,以确保数据和状态的快速同步。
步骤三:选择并配置数据同步及状态同步方式选择和配置合适的数据同步和状态同步方式是双机热备的关键。
可以根据具体需求选择文件同步工具、数据库复制等技术来实现数据和状态的同步。
步骤四:验证双机热备方案在配置完数据同步和状态同步后,需要进行验证双机热备方案是否生效。
可以通过模拟主服务器故障的方式来验证备服务器是否能够成功接管主服务器的服务。
步骤五:监控和管理备服务器在双机热备方案生效后,需要对备服务器进行监控和管理。
通过实时监控备服务器的状态和性能,及时发现和解决问题,确保备服务器的可靠性和可用性。
常见问题解决方案在实施双机热备方案过程中,可能会遇到一些常见的问题。
双机热备——精选推荐
双机热备⽬录1、双机热备基础概念双机热备是⼀种概念,各种设备均可以采⽤此概念进⾏部署,⽐如三层交换机、路由器、防⽕墙、服务器等。
如果仅部署⼀台设备,难免会有单点故障的风险,所以部署两台,⼀主⼀备较为保险,⼀台坏了,另⼀台⾃动“顶上”,保证业务不中断,这就是双机热备。
最常见的双机热备就是同时带着同⼀品牌的两台⼿机,A坏了,B登录A的账号,通讯录与邮箱会同步过来,与保证业务不中断。
NOTE:1. 等保三级以上要求必须要有冗余设备,关键设备必须是⼀主⼀备的,这样才能保证业务的稳定性。
双机热备是⽹络⼯程师必须熟练掌握的技术之⼀。
2. 防⽕墙的双机热备其它设备不同,防⽕墙的双机热备需要⼀条专门的备份通道,⽤于两台防⽕墙之间的协商主备状态,以及会话等状态信息。
双机热备主要包括主备备份和负载分担两个场景。
主备备份指正常情况下仅由主⽤设备处理业务,备⽤设备空闲;当主⽤设备接⼝、链路或整机故障时,备⽤设备切换为主⽤设备,接替主⽤设备处理业务。
负载分担也可以称为“互为主备”,即两台设备同时处理业务。
当其中⼀台设备发⽣故障时,另外⼀台会⽴即承担其业务,保证业务不中断。
2、链路聚合讲双机热备之前,必须先讲链路聚合和VRRP,因为双机热备是在这两个技术的基础上进⾏实现的。
2.1 链路聚合的基本概念因为以太⽹的信息传输率主要有:10Mbit/s、100Mbit/s、1000Mbit/s(1Gibt/s)、10Gibt/s、100Gibt/s,它们之间的关系呈10倍递增。
发送/接收速率为10Mbit/s的以太⽹端⼝称为标准以太⽹端⼝。
发送/接收速率为100Mbit/s的以太⽹端⼝称为快速以太⽹端⼝,简称FE(fast ethernet)。
发送/接收速率为1000Mbit/s的以太⽹端⼝称为千兆以太⽹端⼝,1000兆达到了吉,所以也称GE(gigabit ethernet)。
发送/接收速率为10Gbit/s的以太⽹端⼝称为万兆以太⽹端⼝,⼀吉等于1000兆,⼗吉就等于⼗个1000兆,⼗个1000就是⼀万,所以这种接⼝就被称为万兆以太⽹端⼝。
防火墙双机热备技术 华为安全HCIA
备份/冗余:提高网络的可靠性,防止单点故障二层冗余机制:STP,链路聚合,浮动静态路由,VRRP虚拟路由器冗余协议,HA高可用性,热备,冷备热备:通过冗余技术/协议实现动态的主备切换/负载分担可靠性高冷备:备份设备下电状态,当主设备失效后,进行物理替换节省费用(电费)双机热备技术产生的原因:1.防火墙通过VRRP协议实现备份---主备设备会话表无法同步2.通过防火墙的流量路径来回不一致造成数据丢失(不同VRRP组主备切换不一致)防火墙双机热备:组成:VRRP虚拟路由器冗余协议:管理一个VRRP组的主备切换,实现备份VGMP VRRP组统一管理协议(华为私有):统一管理VRRP组,实现多个VRRP组主备切换一致HRR 华为私有冗余协议:实现防火墙会话表同步VGMP基本原理:当防火墙上的VGMP为Active/Standby状态时,组内所有VRRP备份组的状态统一为Active/Standby状态状态为Active的VGMP会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)状态:Active:主用防火墙,所有报文都将从该防火墙上通过,该状态下VGMP会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)Standby:备用防火墙,接收到对端发送HELLO报文,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等成员的状态动态调整,以此完成两台防火墙的主备倒换VGMP HELLO报文发送周期缺省为1秒。
当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态防火墙的VGMP优先级有一个初始优先级,当防火墙的接口或者单板等出现故障时,会在初始优先级基础上减去一定的降低值USG6000和NGFW Module的初始优先级为45000USG9500的VGMP组的初始优先级与LPU板(接口板)上的插卡个数和SPU板(业务板)上的CPU个数有关VGMP组管理:状态一致性管理:VGMP管理组控制所有的VRRP备份组统一切换(VRRP备份组加入到管理组后,状态不能自行单独切换)抢占管理:当原来出现故障的主设备故障恢复时,其优先级恢复,此时可以重新将自己的状态抢占为主HRP:HRP(Huawei Redundancy Protocol)协议:用来实现防火墙双机之间动态状态数据和关键配置命令的备份在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。
防火墙双机热备典型故障现象及定位
双机热备份典型故障现象及定位当前现网组网基本上都是双机热备份组网,而现在由于双机热备份配置或者是组网带来的问题导致现网业务中断也是多有案例出现,下面就几个典型案例来介绍防火墙双机热备份组网中的常见故障及故障定位解决办法。
1案例一:双机热备份组网部分业务中断的问题业务与软件部门在河北某局点于2007年11月用两台Eudemon 1000替换NetScreen的防火墙NS500,业务割接之后发现部分业务不通,最终定位为双机热备份配置的问题。
1.1组网图:组网图如下所示,其中图中注明的新增的两台Eudemon 1000是替换掉NS500割入的设备,防火墙使用路由模式组网,使用的版本是EU300&500&1000&SP1800-VRP3.30-0359(08)。
1.2防火墙配置:防火墙配置如下附件所示:由于此次割接是Eudemon 防火墙替换NS500的防火墙,所以防火墙的配置基本上是把NS500的配置翻译成防火墙的配置之后割接上去。
1.3故障现象:防火墙割接上去之后,发现用一个测试软件从trust到dmz域做NAT outbound出去访问一个指定的server不通,但是可以从防火墙上ping通此server服务器,查看防火墙会话,有从测试PC到server的会话。
刚开始业务与软件部门的兄弟开始检查配置,找自己的部门人员分析,反复查看配置及组网,对比防火墙和NS500的配置之后,仍然没有发现任何疑点,因为NAT地址的地址以前在NS500上使用是可以的对外发起访问的,但是在Eudemon 1000上却对外发起访问不成功,由于此次割接只是用防火墙Eudemon 1000替换NS500,其他设备没有什么改动,初步定位问题出现在防火墙上。
但是防火墙上已经建立了从内网访问server的会话,如果按照防火墙的转发原理,只要回来的报文能到达防火墙,都能命中会话转发到测试PC上。
1.4定位过程:最后现场技术支持和用服找到防火墙研发,防火墙研发登陆到防火墙上,开始进行定位。
USG防火墙双机热备业务特性与配置
前言
在当前的组网应用中,用户对网络可靠性的要求越来越高, 特别是在一些重要的业务入口或接入点上需要保证网络不间 断运行。对于这些重要的业务点如何保证网络的不间断传输, 成为必须解决的一个问题。 本胶片主要介绍防火墙的双机热备份技术原理和具体配置, 以及在USG防火墙上实施双机热备份技术所使用的三种协议: VRRP、VGMP和HRP。
VGMP数据通道
TrustUSG A来自A1Master
A3
A2
A4
A4-B4
DMZ
B1
B4
B2
B3
Backup
USG B
Untrust
防火墙状态信息的备份
VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙 出现故障时,所有流量都将切换到备防火墙。但USG防火墙 是状态防火墙,如果备防火墙上没有原来主防火墙上的连接 状态数据,则切换到备防火墙的很多流量将无法通过,造成 现有的连接中断,此时用户必须重新发起连接。 为了实现主用设备出现故障时能由备用设备平滑地接替工作, 需要在主、备用设备之间备份关键配置命令和会话表状态等 关键信息。
Trust
备份组1
Virtual IP Address 10.100.10.1
USG A Master
10.100.10.0/24 DMZ
10.100.20.0/24
备份组2 Virtual IP Address
10.100.20.1
USG B Backup
Untrust
备份组3 Virtual IP Address
混合模式是指USG的业务端口工作在透明模式下,而HRP备份通 道接口工作在路由模式下。
路由模式和混合模式都包含两种组网方式:
天融信防火墙双机热备配置说明
天融信防火墙双机热备配置说明一、防火墙的接口设置:ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程:1、配置主防火墙的双机设置,并使之处于工作状态:system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置:restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址(默认出厂只有eth6有地址)3、配置从防火墙的双机设置,并使之处于备用状态:system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令,将主防火墙的所有配置同步到从防火墙上:writep //同步命令。
网神防火墙配置HA双机热备
VRRP的演示试验fw1fw2pc1pc2 172.16.30.2172.16.30.3172.16.30.4fe2fe2fe3fe3fe4fe4192.168.1.3192.168.1.4192.168.1.21.1.1.11.1.1.2172.16.30.1192.168.1.1链路1链路2拓扑说明:PC1通过HUB连接到fw1和fw2(172.16.30.1这个地址是虚拟IP,下面将会在配置防火墙的过程中讲到),PC2也是通过HUB连接到fw1和fw2。
实验要求:PC1和PC2能够互相ping通,当链路1或者链路2断开时,照样可以互相PING,并且可以在两个防火墙上抓包分析,ICMP包是通过哪个防火墙。
实验步骤:我们设fw1为主墙,下面我们首先为主墙进行配置。
1、配置IP2、配置安全规则P1这条规则允许双向同步secgate_ha_conf服务,必须加的。
其中P2这条规则是允许VRRP组播报告,可加可不加,不会影响实验过程。
P3、P4两个包过滤想必不说也应该清楚吧。
3、HA基本配置同步网口为fe4,同步IP为1.1.1.1,主墙一定要设置为控制节点。
注意实例名称和VRID和备墙一一对应起来。
把两个接口关联起来点启启动。
下面我们再来配置下备墙。
1、配置IP2、HA基本配置需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置,这样就能实现手动同步。
注:同步完后需重启备墙才能生效,备墙不能选择为控制节点。
3、添加VRRP实例4、添加VRRP关联添加完后点击启动注意:1、两台防火墙最好是同一个版本。
2、备墙没有配置安全规则是因为它可以跟主墙同步,而且一旦两个墙的关联都启动后,备墙就不能自己添加安全规则以及其它信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙双机热备特性FAQ1:问:R6新增了支持防火墙和路由器双机热备份组网,的这种组网是如何实现的防火墙主备组网的,需要在防火墙上配置哪些命令,需要注意哪些东西?答:R6上新增支持防火墙和路由器双机热备份组网,这种组网防火墙和路由器之间器OSPF 协议,同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值,使得路由器学到的路由都指向主防火墙,保证业务都从主防火墙上过,形成双机热备份的。
为了实现防火墙和双机热备份组网,需要在主备防火墙上配置命令:hrp ospf-cost adjust-enable,这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值,主防火墙直接发布路由。
这个COST值默认是65500。
防火墙和路由器组网的时候,心跳线不能配置成transfer-only,同时需要使用VRRP的优先级作为防火墙的VGMP的优先级,VRRP需要track上和路由器相连的接口。
2:问:R6双机热备份是如何支持来回路径不一致的,会话快速备份和传统的会话实时备份有什么区别,会话快速备份涉及到哪些命令行。
答:R6是通过支持会话快速备份来支持来回路径不一致的,会话快速备份就是在会话建立的时候就立即备份到对端防火墙上,保证即使是来回路径不一致,到备防火墙上的报文也能命中会话进行转发。
会话快速备份和传统的会话实时备份的区别是:1:会话快速备份在会话一建立就备份到备防火墙上,而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的,所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上,所以仅仅有会话实时备份不能支持来回路径不一致。
2:会话快速备份能备份tcp半连接会话和ICMP会话,而会话实时备份不备份半连接会话和ICMP的会话。
会话快速备份首先需要配置心跳口,并配置high-availability参数,保证此接口是高可用性接口,同时配置hrp mirror session enable。
3:问:R6版本的IP-link应用场景如何?,配置ip-link需要注意什么?防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示:如上图所示,如果在防火墙上不使能ip-link功能,正常情况下报文会通过防火墙A进行转发,这时必须保证防火墙A的上下行设备都是正常工作。
但是一旦和防火墙A相连的路由器A 的0/1口发生故障,报文不能从该口进行转发,此时防火墙A的VRRP是检测不到路由器A的0/1口发生故障的,报文会继续从防火墙A转发到路由器A,导致业务中断。
如果在防火墙A上使能ip-link的功能,使得ip-link的目的地址是路由器A的0/1口,当路由器A的0/1口发生故障的时候,防火墙A能探测到路由器A的0/1接口的IP地址是不可达的,此时防火墙A认为从本地0/0口出去的链路不通,这个时候防火墙A会自动调整优先级,使防火墙A和防火墙B发生主备倒换,防火墙A上面的业务全部转移到防火墙B上,保证了业务的正常转发。
防火墙在使能ip-link功能时,需要判断ip-link的目的地址的设备能和防火墙进行正常的icmp交互,这样防火墙才能正确的检测该目的地址,从而在该设备发生故障的时候正确引导主备防火墙进行主备切换,所以ip-link使用的前提条件是ip-link配置的目的地址的设备能正常的和防火墙进行icmp会话。
4:问:防火墙Eudemon 1000是怎样备份会话的,备份会话需要有哪些配置。
答:防火墙Eudemon 1000通过配置Hrp interface来备份会话,在hrp使能的时候默认就使能了会话实时备份,但是如果没有会话备份的通道会话将不能备份。
配置了hrp interface的配置后,并不能保证会话就能备份到对端防火墙上,需要在配置的hrp interface接口上配置VRRP,并把此VRRP加入VGMP组中,才能备份会话,同时只要配置的hrp interface上的vrrp组所属的VGMP组为Master状态,就能向对端备份会话,所以负载分担的组网需要在防火墙上配置多个VGMP组,并形成两台防火墙上都有一个VGMP组为主。
通常我们配置多个hrp interface,在有多个hrp interface的时候,会先选择high-availability的接口作为备份会话的通道,如果此接口down,再按照槽位号和端口号的大小从小到大选择一个接口备份会话。
5:问:配置VGMP的时候需要注意哪些?答:配置VGMP的时候需要注意主备防火墙两边的配置,除了抢占延时和优先级大小不一样之外,其他的都要一样,才能形成一对VGMP组进行协商,否则无法协商主备状态。
并且如果两边都要选择使用相同的优先级方式,要么就是直接配置VGMP的优先级,要么就是使用VRRP 的优先级作为防火墙的优先级。
对于配置VGMP的优先级,建议主防火墙为105,备防火墙为默认的100。
对于VGMP的抢占延时,建议主防火墙抢占延时为20000ms以及更长或者是配置不抢占,备防火墙配置立即抢占。
VGMP使能必须要配置数据通道,VGMP添加心跳口的时候需要根据组网来判断是否需要加上transfer-only参数,通常防火墙上下行都起VRRP就把心跳口配置成transfer-only,否则心跳口不配置transfer-only。
6:问:双机热备份组网中,为什么一定要nat或者nat server上配置出接口的VRRP ID?答:双机热备份组网中,如果配置了nat address-group 或者nat server,则必须在它们的后面配置出接口VRRP备份组的ID号。
出接口就是当我们做NAT或NAT Server时,报文经过NAT或NAT Server转换后从哪个以太网口出去的接口,就为业务的出接口。
如果没有配置地址池和nat server的vrrp参数,arp请求或应答中携带的MAC地址是该网口的MAC,如果配置了vrrp参数,发送的arp就是VRRP虚拟MAC地址。
如果不配置VRRP的话,还会带来一个问题就是防火墙在收到对nat地址的ARP请求的时候无法判断是否需要回应ARP 响应(特别是在互为备份的组网中),如果主备都回应arp响应的话首先不能保证arp响应的mac地址的正确性,其次不能保证与防火墙相连的三层交换机上的arp地址转发表的正确性,所以在双机热备的组网中nat的配置一定要在后面加上vrrp id,对于nat server的配置也是如此。
如果出接口不配置VRRP,则配置nat 或者是nat server的时候,就不能代VRRP的ID,否则在请求nat 地址池或者是nat server的ARP表的时候,防火墙是不会回应的。
所以必在双机热备份组网中需要正确的配置nat 或者是nat server,如果需要代VRRP的ID而没有带,就会出现有时业务通有时业务不通的情况。
7:问:为什么双机热备份组网中不支持easy-ip的组网方式?答:在作EASY-IP的配置中,无法设置VRRP的选项。
所以在主备倒换后,两台防火墙均采用自身的出接口作为内部地址的公网地址进行转换。
当主防火墙DOWN掉后,SESSION备份过去,但是备防火墙的出接口IP地址与SESSION不能匹配。
所以包无法收回。
造成连接中断。
8:问:防火墙透明模式组网,为什么要在vlan下面绑定VGMP?答:防火墙透明模式组网,是指防火墙工作在混合模式下,上下行业务口通过配portswitch,使上下行业务口工作在透明模式下,同时使心跳口工作在路由模式下,在心跳口上配置VRRP 形成双机热备份。
上下行业务口都加入到一个vlan,并在vlan下面绑定VGMP,命令行使 set vgmp <1-16>,vlan下面的接口在up/down的时候就会影响vlan下面绑定的VGMP的优先级,保证一个vlan下面的接口发生故障的时候能发生主备倒换。
同时在防火墙透明模式组网的时候,需要在防火墙上配置允许备转发的命令,命令行是:firewall composite-hrp permit-backupforward,如果不配置允许备机转发,vlan的转发状态会根据下面绑定的VGMP状态决定此vlan是否需要转发,如果VGMP是备,vlan接口收到的所以的报文都将备丢弃,如果是主,vlan下的接口将正常转发报文。
对于防火墙透明模式和路由器组网,配置允许备机转发,保证防火墙上下行的路由器能正确的学习路由,发生故障的时候流量立即切换到备用路由上,业务中断延时比较小。
同时需要在链路正常的时候需要在上下行路由器上调整路由的COST值保证报文从主防火墙转发。
对于防火墙透明模式和交换机组网,配置允许备机转发,保证防火墙上下行交换机能正确的形成STP树,在发生故障的时候STP能立即重新计算。
同时需要保证在链路正常的时候业务是从主防火墙上经过的。
另外,在vlan下面绑定了VGMP,VGMP发生主备倒换的时候,主备防火墙的vlan下面的接口都会up/down一次,保证上下行设备重新学习mac表。
9:问:防火墙双机热备组网,在配置比较多的情况下,如何保证主备防火墙的配置的正确性?答:通常现网双机热备组网,配置非常的多,如果逐条核对,将是非常苦难的一件事情,并且现网如果出现故障,首先需要查看双机热备的配置是否正确,这个可以通过beyond compare这个软件来比较一下,对于主备组网,除了接口地址,VGMP的优先级,抢占延时不一样之外,其他的配置基本上都要一样,所以用这个软件能很容易的发现配置不一样的地方,并且这个软件曾经帮我们维护组快速的定位了多个网上问题。
10:问:双机热备组网通常什么故障是由双机热备份模块引起的?答:双机热备份组网,防火墙通过双机热备份模块来影响上下行设备的MAC转发表和ARP表,MAC表等,如果在现网上出现通过防火墙的所有的业务中断,或者是不定期的所有业务中断,就有可能是双机热备份引起的,这个时候我们可以查看上下行设备的ARP表项,MAC表项,以及防火墙自身的ARP表项和MAC表项,如果发现这些出错,就会导致所有业务,如果防火墙是透明模式,就有可能是防火墙上的MAC转发表备份错误,这个可以通过配置不允许备机转发并删掉MAC表来解决故障,并后续升级最新的版本,消除故障。
如果是路由模式,需要看日志中是否由在发生故障的时候出现了主防火墙或者是备防火墙的VGMP发生了倒换,并且通常是备防火墙VGMP发生了主备倒换,如果发现备防火墙发生了VGMP主备倒换,就会引起上下行设备的ARP表错误,这个时候可以通过在上下行设备配置静态ARP,来解决问题,并把此问题反馈到研发定位分析。
11:问:防火墙什么情况下会发生主备倒换?答:防火墙VGMP主备倒换会有三种情况,第一种是因为优先级调整,VGMP配置了抢占,发生主备倒换,第二种是接口DOWN而进行的主备倒换,第三种是设备故障发生的主备倒换,下面分别就这三种情况加以说明。