【文章內(nèi)容簡(jiǎn)介】 發(fā)生故障的時(shí)候，OSPF的收斂時(shí)間較長(zhǎng)，如果業(yè)務(wù)中斷的時(shí)候需要更快的響應(yīng)時(shí)間，防火墻上下行最好采用VRRP，這樣故障的時(shí)候相應(yīng)切換速度最快?？煽啃苑治觯哼@里只分析主備組網(wǎng)的可靠性。如圖所示，防火墻和路由器組網(wǎng)，鏈路正常的時(shí)候，業(yè)務(wù)走向?yàn)閳D中藍(lán)色的路徑。此時(shí)防火墻FW2為主防火墻，F(xiàn)W1為備防火墻，備防火墻向外發(fā)布路由的時(shí)候會(huì)自動(dòng)加上一個(gè)COST值（默認(rèn)是65500）。1：FW2和R4之間的鏈路故障當(dāng)FW2和R4之間的鏈路故障，防火墻上配置的vrrp track了此接口，所以vrrp的優(yōu)先級(jí)降低，并且是使用的vrrp的優(yōu)先級(jí)作為VGMP的優(yōu)先級(jí)，所以vgmp的優(yōu)先級(jí)降低，此時(shí)FW2的優(yōu)先級(jí)比FW1的優(yōu)先級(jí)低，防火墻發(fā)生主備倒換，F(xiàn)W1變成主防火墻，F(xiàn)W2變成備防火墻。在防火墻發(fā)生主備倒換之后，F(xiàn)W1和FW2都會(huì)更新自身的路由并對(duì)外發(fā)布路由，此時(shí)FW1為主，對(duì)外直接發(fā)布自身的路由，而FW2變成了備防火墻，對(duì)外發(fā)布路由的時(shí)候會(huì)另外加上一個(gè)cost值（默認(rèn)是65500），路由重新計(jì)算并收斂，業(yè)務(wù)都從FW1上走。此組網(wǎng)圖中任何一個(gè)和防火墻相連的路由器的鏈路down或者是路由器故障，都會(huì)引發(fā)上述過(guò)程。2：防火墻故障 如果是其中FW2防火墻發(fā)生故障down或者是重啟，此時(shí)FW1防火墻因?yàn)樾奶赿own，導(dǎo)致vrrp的狀態(tài)變成初始化狀態(tài)，VGMP的狀態(tài)也變成初始化狀態(tài)，HRP的狀態(tài)變成初始化狀態(tài)，此時(shí)防火墻更新自身路由，同時(shí)整個(gè)鏈路的路由收斂，業(yè)務(wù)從沒(méi)有故障的防火墻上走，從而保證業(yè)務(wù)的正常。如果發(fā)生故障的防火墻FW2恢復(fù)，防火墻FW1上的VRRP會(huì)up起來(lái)，VGMP會(huì)變成主狀態(tài)，HRP也會(huì)變成主狀態(tài)，而FW2上的VRRP，VGMP以及HRP都是備狀態(tài)，F(xiàn)W2和FW1都對(duì)外發(fā)布路由信息，HRP狀態(tài)為備FW2對(duì)外發(fā)布路由的時(shí)候會(huì)自動(dòng)加上一個(gè)cost值，使業(yè)務(wù)仍然從為主的FW1上走。如果VGMP配置了搶占，搶占延時(shí)設(shè)置為20s左右，保證FW1上的會(huì)話充分備份到FW2上，此時(shí)FW2變成主防火墻的時(shí)候重新發(fā)布路由，業(yè)務(wù)從主防火墻FW2上走，因?yàn)闀?huì)話已經(jīng)從FW1上備份過(guò)來(lái)了，所以也不會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響。 如果是防火墻之間的心跳線中的一根down掉，因?yàn)閮膳_(tái)防火墻上的兩個(gè)心跳線上都配置了VRRP并加入了VGMP組中，所以不會(huì)對(duì)狀態(tài)產(chǎn)生影響，但是要注意即使是防火墻的一根心跳線down，也要保證在其他設(shè)備出現(xiàn)故障的時(shí)候防火墻能正常倒換，所以需要每個(gè)接口上的VRRP都track上下行業(yè)務(wù)口。組網(wǎng)配置要點(diǎn)： 主備模式配置要點(diǎn)：1：防火墻之間采用2GE板卡，GE卡的兩個(gè)口之間相連，并配置VRRP，加入同一個(gè)VGMP組中，使心跳線形成備份，保證其中一根心跳線down掉的時(shí)候另外一根心跳線也能做備份通道。2：防火墻的VGMP的優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，每個(gè)VRRP都監(jiān)視防火墻的上下兩個(gè)業(yè)務(wù)口，并且為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值100。3：防火墻上下行接口都加入到同一個(gè)linkgroup組中，保證一個(gè)接口down的時(shí)候另外一個(gè)接口也跟著down，OSPF收斂的速度快。4：在防火墻上配置iplink，分別檢測(cè)防火墻上下行路由器的接口，保證在接口沒(méi)有down但是不轉(zhuǎn)發(fā)數(shù)據(jù)的時(shí)候防火墻也能檢測(cè)到并且能進(jìn)行主備倒換，注意使用iplink的時(shí)候需要添加包過(guò)濾規(guī)則使防火墻和路由器能進(jìn)行icmp交互。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂速度快，防火墻倒換過(guò)后OSPF能快速收斂。同時(shí)不要引入心跳口的IP地址的路由，保證心跳口不轉(zhuǎn)發(fā)數(shù)據(jù)。同時(shí)如果防火墻上做nat轉(zhuǎn)換，有私網(wǎng)路由的時(shí)候，需要保證私網(wǎng)路由不發(fā)布出去，需要在ospf中通過(guò)acl限制私網(wǎng)路由的發(fā)布。6：配置根據(jù)HRP的狀態(tài)調(diào)整OSPF的cost值的命令，形成主備模式的組網(wǎng)。7：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒(méi)有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。8：心跳口不能配置成transferonly，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無(wú)法協(xié)商形成主備，配置的transferonly上綁定的iplink也將不再起作用。9：配置會(huì)話快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)。10：配置VGMP為主的防火墻VGMP不搶占，這樣在主防火墻發(fā)生故障恢復(fù)后路由只變化一次，避免故障恢復(fù)的防火墻在發(fā)生搶占之后路由再次需要收斂。負(fù)載分擔(dān)配置要點(diǎn)：1：防火墻之間采用2GE板卡，GE卡的兩個(gè)口之間相連，并配置VRRP，加入同一個(gè)VGMP組中，使心跳線形成備份，保證其中一根心跳線down掉的時(shí)候另外一根心跳線也能做備份通道。2：在防火墻的兩個(gè)心跳線上配置兩個(gè)VRRP，把兩個(gè)VRRP加入不同的VGMP組中，防火墻的VGMP的優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值100，并使得兩邊的VGMP各有一個(gè)是主狀態(tài)。3：防火墻上下行接口都加入到同一個(gè)linkgroup組中，保證一個(gè)接口down的時(shí)候另外一個(gè)接口也跟著down，OSPF收斂的速度快。4：負(fù)載分擔(dān)的組網(wǎng)鏈路的可靠性靠OSPF路由的計(jì)算，防火墻主備倒換不會(huì)引起路由的變化，所以不用配置iplink進(jìn)行探測(cè)，所以負(fù)載分擔(dān)的組網(wǎng)防火墻收斂速度慢一些。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂速度快，防火墻倒換過(guò)后OSPF能快速收斂。同時(shí)不要引入心跳口的IP地址的路由，保證心跳口不轉(zhuǎn)發(fā)數(shù)據(jù)。同時(shí)如果防火墻上做nat轉(zhuǎn)換，有私網(wǎng)路由的時(shí)候，需要保證私網(wǎng)路由不發(fā)布出去，需要在ospf中通過(guò)acl限制私網(wǎng)路由的發(fā)布。6：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒(méi)有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。7：心跳口不能配置成transferonly，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無(wú)法協(xié)商形成主備，同時(shí)配置的transferonly上綁定的iplink也將不再起作用。8：心跳口不能配置成transferonly，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無(wú)法協(xié)商形成主備，同時(shí)如果配置的transferonly上綁定的iplink也將不再起作用。 組網(wǎng)驗(yàn)證圖及配置：驗(yàn)證組網(wǎng)配置可以參考下面嵌入的PPT中的配置。驗(yàn)證組網(wǎng)一：主備模式組網(wǎng)： 防火墻重點(diǎn)配置說(shuō)明： 驗(yàn)證組網(wǎng)二：負(fù)載分擔(dān)組網(wǎng)： 防火墻重點(diǎn)配置說(shuō)明： ：多冗余組網(wǎng)發(fā)生故障防火墻倒換調(diào)整路由后業(yè)務(wù)走向 主防火墻 備防火墻雙機(jī)熱備心跳線鏈路正常時(shí)的業(yè)務(wù)走向OSPF區(qū)域OSPF區(qū)域故障時(shí)此處鏈路down，防火墻主備倒換，調(diào)整對(duì)外發(fā)布的路由R1R2R3R4FW1FW2如上圖所示組網(wǎng)，此種組網(wǎng)是對(duì)組網(wǎng)一的一種擴(kuò)展，可以進(jìn)一步提高網(wǎng)絡(luò)的可靠性，對(duì)于此種組網(wǎng)，防火墻需要和路由器之間運(yùn)行OSPF協(xié)議，由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比組網(wǎng)一復(fù)雜，出現(xiàn)故障的時(shí)候OSPF的收斂速度比組網(wǎng)一慢，故障恢復(fù)時(shí)間比組網(wǎng)一要長(zhǎng)。如果要形成主備組網(wǎng)，可以在防火墻的上下行路由器上對(duì)特定的鏈路調(diào)整COST值，保證業(yè)務(wù)都從同一邊的路由器上轉(zhuǎn)發(fā)，或者是在防火墻上配置根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST值的命令，使備防火墻發(fā)布路由的時(shí)候增大COST，保證業(yè)務(wù)在同一邊的路由器上轉(zhuǎn)發(fā)。如果要形成負(fù)載分擔(dān)的組網(wǎng)，即主備防火墻上都有轉(zhuǎn)發(fā)業(yè)務(wù)，需要保證防火墻上下行的路由器上都能有業(yè)務(wù)到達(dá)防火墻，這個(gè)可以通過(guò)配置等價(jià)路由的方式實(shí)現(xiàn)，同時(shí)在防火墻上去掉根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST的命令。如果存在來(lái)回路徑不一致的情況，需要在防火墻上配置會(huì)話快速備份功能。組網(wǎng)優(yōu)點(diǎn)：1：此種組網(wǎng)能提供更好的冗余性能，保證此組網(wǎng)中的任意上下行路由器或者是防火墻的其中兩臺(tái)發(fā)生故障網(wǎng)絡(luò)都能正常工作。2：可以根據(jù)需要，只需要在命令行上配置，就能在主備組網(wǎng)和負(fù)載分擔(dān)組網(wǎng)上進(jìn)行切換。3：對(duì)已經(jīng)存在的都是路由器的組網(wǎng)如果需要加防火墻可以采用這種組網(wǎng)方案。組網(wǎng)缺點(diǎn)：1：此種組網(wǎng)使某些在防火墻上開始或者是終止的應(yīng)用類型如L2tp和IPSEC等這些應(yīng)用，不能使用虛地址，因?yàn)橐坏┢渲幸慌_(tái)防火墻down掉，虛地址將不能生效。所以需要采用虛地址的應(yīng)用將在這種組網(wǎng)中不能使用。2：發(fā)生故障的時(shí)候，OSPF的收斂時(shí)間比組網(wǎng)一更長(zhǎng)，如果業(yè)務(wù)中斷的時(shí)候需要更快的響應(yīng)時(shí)間，防火墻上下行最好采用VRRP，這樣故障的時(shí)候相應(yīng)切換速度最快。3：防火墻上下行業(yè)務(wù)口都需要采用2GE的板卡，2GE的板卡小包不能線速轉(zhuǎn)發(fā)，并且增加了接口并不能增加防火墻的轉(zhuǎn)發(fā)能力。4：采用2GE卡成本較高，網(wǎng)絡(luò)拓?fù)浔容^復(fù)雜，對(duì)于出現(xiàn)故障的時(shí)候的OSPF收斂速度比組網(wǎng)一要慢，并且出現(xiàn)故障時(shí)定位也比組網(wǎng)以復(fù)雜。5：此組網(wǎng)防火墻端口已經(jīng)全部都占用，網(wǎng)絡(luò)不具有可擴(kuò)展性。組網(wǎng)配置要點(diǎn)：主備模式配置要點(diǎn)：1：防火墻之間采用2GE板卡，心跳線形成備份。2：防火墻上行兩個(gè)口采用一個(gè)2GE卡的兩個(gè)接口，防火墻下行兩個(gè)口也采用一個(gè)2GE卡的兩個(gè)接口。3：在防火墻的每個(gè)心跳線上配置一個(gè)VRRP，兩個(gè)心跳線上的VRRP加入同一個(gè)VGMP組中。4：防火墻的VGMP的優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，所有的VRRP都監(jiān)視防火墻的上下業(yè)務(wù)口，并且為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值100。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂非?？焖?，防火墻倒換過(guò)后OSPF能很快收斂。同時(shí)不要引入心跳口的IP地址的路由，保證心跳口不轉(zhuǎn)發(fā)數(shù)據(jù)。6：兩臺(tái)防火墻形成主備組網(wǎng)，需要在防火墻上配置根據(jù)HRP的狀態(tài)調(diào)整OSPF的cost值的命令，根據(jù)HRP狀態(tài)調(diào)整OSPF的cost值采用默認(rèn)值65500就可以，如果由于組網(wǎng)特殊需要可以調(diào)整這個(gè)值。7：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒(méi)有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。8：心跳口不能配置成transferonly，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無(wú)法協(xié)商形成主備，同時(shí)如果配置的transferonly上綁定的iplink也將不再起作用。9：配置會(huì)話快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)。10：配置VGMP為主的防火墻VGMP不搶占，這樣在主防火墻發(fā)生故障恢復(fù)后路由只變化一次，避免故障恢復(fù)的防火墻在發(fā)生搶占之后路由再次需要收斂。負(fù)載分擔(dān)配置要點(diǎn)：1：防火墻之間采用2GE板卡，心跳線形成備份。2：防火墻上行兩個(gè)口采用一個(gè)2GE卡的兩個(gè)接口，防火墻下行兩個(gè)口也采用一個(gè)2GE卡的兩個(gè)接口。3：在防火墻的每個(gè)心跳線上配置兩個(gè)VRRP，形成負(fù)載分擔(dān)的組網(wǎng)，把兩個(gè)VRRP加入不