【正文】 得路由器形成備份關(guān)系。8：配置會(huì)話(huà)快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)，保證在來(lái)回路徑不一致的時(shí)候不會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響。6：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒(méi)有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂非?？焖伲阑饓Φ箵Q過(guò)后OSPF能很快收斂。如果是形成主備組網(wǎng)，兩個(gè)心跳線(xiàn)上的VRRP加入同一個(gè)VGMP組中。2：防火墻上行兩個(gè)口采用一個(gè)2GE卡的兩個(gè)接口，防火墻下行兩個(gè)口也采用一個(gè)2GE卡的兩個(gè)接口。10：配置VGMP為主的防火墻VGMP不搶占，這樣在主防火墻發(fā)生故障恢復(fù)后路由只變化一次，避免故障恢復(fù)的防火墻在發(fā)生搶占之后路由再次需要收斂。8：心跳口不能配置成transferonly，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無(wú)法協(xié)商形成主備，同時(shí)如果配置的transferonly上綁定的iplink也將不再起作用。6：兩臺(tái)防火墻形成主備組網(wǎng)，需要在防火墻上配置根據(jù)HRP的狀態(tài)調(diào)整OSPF的cost值的命令，根據(jù)HRP狀態(tài)調(diào)整OSPF的cost值采用默認(rèn)值65500就可以，如果由于組網(wǎng)特殊需要可以調(diào)整這個(gè)值。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂非常快速，防火墻倒換過(guò)后OSPF能很快收斂。3：在防火墻的每個(gè)心跳線(xiàn)上配置一個(gè)VRRP，兩個(gè)心跳線(xiàn)上的VRRP加入同一個(gè)VGMP組中。組網(wǎng)配置要點(diǎn)：主備模式配置要點(diǎn)：1：防火墻之間采用2GE板卡，心跳線(xiàn)形成備份。4：采用2GE卡成本較高，網(wǎng)絡(luò)拓?fù)浔容^復(fù)雜，對(duì)于出現(xiàn)故障的時(shí)候的OSPF收斂速度比組網(wǎng)一要慢，并且出現(xiàn)故障時(shí)定位也比組網(wǎng)以復(fù)雜。2：發(fā)生故障的時(shí)候，OSPF的收斂時(shí)間比組網(wǎng)一更長(zhǎng)，如果業(yè)務(wù)中斷的時(shí)候需要更快的響應(yīng)時(shí)間，防火墻上下行最好采用VRRP，這樣故障的時(shí)候相應(yīng)切換速度最快。組網(wǎng)缺點(diǎn)：1：此種組網(wǎng)使某些在防火墻上開(kāi)始或者是終止的應(yīng)用類(lèi)型如L2tp和IPSEC等這些應(yīng)用，不能使用虛地址，因?yàn)橐坏┢渲幸慌_(tái)防火墻down掉，虛地址將不能生效。2：可以根據(jù)需要，只需要在命令行上配置，就能在主備組網(wǎng)和負(fù)載分擔(dān)組網(wǎng)上進(jìn)行切換。如果存在來(lái)回路徑不一致的情況，需要在防火墻上配置會(huì)話(huà)快速備份功能。如果要形成主備組網(wǎng)，可以在防火墻的上下行路由器上對(duì)特定的鏈路調(diào)整COST值，保證業(yè)務(wù)都從同一邊的路由器上轉(zhuǎn)發(fā)，或者是在防火墻上配置根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST值的命令，使備防火墻發(fā)布路由的時(shí)候增大COST，保證業(yè)務(wù)在同一邊的路由器上轉(zhuǎn)發(fā)。 組網(wǎng)驗(yàn)證圖及配置：驗(yàn)證組網(wǎng)配置可以參考下面嵌入的PPT中的配置。7：心跳口不能配置成transferonly，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無(wú)法協(xié)商形成主備，同時(shí)配置的transferonly上綁定的iplink也將不再起作用。同時(shí)如果防火墻上做nat轉(zhuǎn)換，有私網(wǎng)路由的時(shí)候，需要保證私網(wǎng)路由不發(fā)布出去，需要在ospf中通過(guò)acl限制私網(wǎng)路由的發(fā)布。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂速度快，防火墻倒換過(guò)后OSPF能快速收斂。3：防火墻上下行接口都加入到同一個(gè)linkgroup組中，保證一個(gè)接口down的時(shí)候另外一個(gè)接口也跟著down，OSPF收斂的速度快。負(fù)載分擔(dān)配置要點(diǎn)：1：防火墻之間采用2GE板卡，GE卡的兩個(gè)口之間相連，并配置VRRP，加入同一個(gè)VGMP組中，使心跳線(xiàn)形成備份，保證其中一根心跳線(xiàn)down掉的時(shí)候另外一根心跳線(xiàn)也能做備份通道。9：配置會(huì)話(huà)快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)。7：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒(méi)有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。同時(shí)如果防火墻上做nat轉(zhuǎn)換，有私網(wǎng)路由的時(shí)候，需要保證私網(wǎng)路由不發(fā)布出去，需要在ospf中通過(guò)acl限制私網(wǎng)路由的發(fā)布。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂速度快，防火墻倒換過(guò)后OSPF能快速收斂。3：防火墻上下行接口都加入到同一個(gè)linkgroup組中，保證一個(gè)接口down的時(shí)候另外一個(gè)接口也跟著down，OSPF收斂的速度快。組網(wǎng)配置要點(diǎn)： 主備模式配置要點(diǎn)：1：防火墻之間采用2GE板卡，GE卡的兩個(gè)口之間相連，并配置VRRP，加入同一個(gè)VGMP組中，使心跳線(xiàn)形成備份，保證其中一根心跳線(xiàn)down掉的時(shí)候另外一根心跳線(xiàn)也能做備份通道。如果VGMP配置了搶占，搶占延時(shí)設(shè)置為20s左右，保證FW1上的會(huì)話(huà)充分備份到FW2上，此時(shí)FW2變成主防火墻的時(shí)候重新發(fā)布路由，業(yè)務(wù)從主防火墻FW2上走，因?yàn)闀?huì)話(huà)已經(jīng)從FW1上備份過(guò)來(lái)了，所以也不會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響。2：防火墻故障 如果是其中FW2防火墻發(fā)生故障down或者是重啟，此時(shí)FW1防火墻因?yàn)樾奶赿own，導(dǎo)致vrrp的狀態(tài)變成初始化狀態(tài)，VGMP的狀態(tài)也變成初始化狀態(tài)，HRP的狀態(tài)變成初始化狀態(tài)，此時(shí)防火墻更新自身路由，同時(shí)整個(gè)鏈路的路由收斂，業(yè)務(wù)從沒(méi)有故障的防火墻上走，從而保證業(yè)務(wù)的正常。在防火墻發(fā)生主備倒換之后，F(xiàn)W1和FW2都會(huì)更新自身的路由并對(duì)外發(fā)布路由，此時(shí)FW1為主，對(duì)外直接發(fā)布自身的路由，而FW2變成了備防火墻，對(duì)外發(fā)布路由的時(shí)候會(huì)另外加上一個(gè)cost值（默認(rèn)是65500），路由重新計(jì)算并收斂，業(yè)務(wù)都從FW1上走。此時(shí)防火墻FW2為主防火墻，F(xiàn)W1為備防火墻，備防火墻向外發(fā)布路由的時(shí)候會(huì)自動(dòng)加上一個(gè)COST值（默認(rèn)是65500）。可靠性分析：這里只分析主備組網(wǎng)的可靠性。所以需要采用虛地址的應(yīng)用將在這種組網(wǎng)中不能使用。4：對(duì)已經(jīng)存在的都是路由器的組網(wǎng)如果需要加防火墻可以采用這種組網(wǎng)方案。2：防火墻上下行業(yè)務(wù)口采用1GE的板卡，成本較低，轉(zhuǎn)發(fā)性能高，能達(dá)到防火墻最大轉(zhuǎn)發(fā)性能。在防火墻上配置會(huì)話(huà)快速備份功能，保證在存在來(lái)回路徑不一致的時(shí)候不影響業(yè)務(wù)。如果要形成主備組網(wǎng)，可以在防火墻的上下行路由器上對(duì)特定的鏈路調(diào)整COST值，保證業(yè)務(wù)都從同一邊的路由器上轉(zhuǎn)發(fā)，或者是在防火墻上配置根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST值的命令，使備防火墻發(fā)布路由的時(shí)候增大COST，保證業(yè)務(wù)只在主防火墻上轉(zhuǎn)發(fā)。 路由模式防火墻和路由器雙機(jī)熱備組網(wǎng)路由模式下的組網(wǎng)分防火墻和路由器組網(wǎng)，防火墻和交換及組網(wǎng)，以及防火墻上下行分別是交換機(jī)和路由器的組網(wǎng)，下面就防火墻和這些設(shè)備的組網(wǎng)做一個(gè)說(shuō)明。在防火墻雙機(jī)熱備組網(wǎng)的時(shí)候，我們需要根據(jù)需求決定組網(wǎng)情況以及在此組網(wǎng)下出現(xiàn)網(wǎng)絡(luò)故障的時(shí)候防火墻如何正確的倒換保證業(yè)務(wù)正常，這些都是在配置的時(shí)候需要考慮的。 HRP_M[E1000_A]dis v v Vrrp Group 16 state : Master Priority : 98 ――――此處優(yōu)先級(jí)會(huì)根據(jù)iplink檢查的結(jié)果進(jìn)行調(diào)整 Preempt : YES Delay Time : 0 Timer : 1000 GroupSend : YES Peer Status : OnLine Vrrp number : 3 : Same interface : Ethernet4/0/7, vrrp id : 254 Up interface : Ethernet4/0/0, vrrp id : 2 Up interface : Ethernet4/0/1, vrrp id : 1 Down,iplink: 32 Down2 2：防火墻雙機(jī)熱備典型組網(wǎng)防火墻雙機(jī)熱備，主要是提供冗余備份的功能，在網(wǎng)絡(luò)發(fā)生故障的時(shí)候避免業(yè)務(wù)出現(xiàn)中斷。3：vrrp綁定iplink 進(jìn)入VGMP的視圖 Vrrp group 1配置iplink[E1000_Avrrpgroup1]add int Ethernet 4/0/0 vrrp vrid 1 iplink 1 ：防火墻iplink的配置：配置防火墻iplink使能之后，防火墻將向iplink目的地址的設(shè)備發(fā)送icmp報(bào)文檢測(cè)目的設(shè)備是否正常。 ：防火墻iplink的配置：在防火墻上配置iplink功能時(shí)首先要確認(rèn)iplink配置中的目的地址的設(shè)備在正常的情況下能正確的和防火墻進(jìn)行icmp會(huì)話(huà)。但是一旦和防火墻A相連的路由器A的0/1口發(fā)生故障，報(bào)文不能從該口進(jìn)行轉(zhuǎn)發(fā)，此時(shí)防火墻A的VRRP是檢測(cè)不到路由器A的0/1口發(fā)生故障的，報(bào)文會(huì)繼續(xù)從防火墻A轉(zhuǎn)發(fā)到路由器A，導(dǎo)致業(yè)務(wù)中斷。防火墻在使能iplink功能時(shí)，需要判斷iplink的目的地址的設(shè)備能和防火墻進(jìn)行正常的icmp交互，這樣防火墻才能正確的檢測(cè)該目的地址，從而在該設(shè)備發(fā)生故障的時(shí)候正確引導(dǎo)主備防火墻進(jìn)行主備切換，所以iplink使用的前提條件是iplink配置的目的地址的設(shè)備能正常的和防火墻進(jìn)行icmp會(huì)話(huà)。如果VRRP加入VGMP組中，VRRP的搶占參數(shù)不再生效。默認(rèn)VRRP的hello報(bào)文的發(fā)送時(shí)間間隔為1s，建議使用默認(rèn)配置。默認(rèn)值是100，如果是主防火墻，建議配置為105，備防火墻建議配置為默認(rèn)值100。默認(rèn)是調(diào)整10，可以在此命令后面繼續(xù)配置下降多少?！?vrrp vrid 1 track Ethernet1/0/6：配置VRRP監(jiān)視的端口。VRRP的配置命令的功能和使用介紹如下：★ vrrp vrid 1 virtualip ：在接口視圖下配置VRRP。 VRRP配置說(shuō)明防火墻的VRRP和標(biāo)準(zhǔn)的VRRP協(xié)議一樣，下面大概說(shuō)說(shuō)VRRP的配置，詳細(xì)信息可以找相關(guān)的RFC查看。配置此命令后，VGMP發(fā)送數(shù)據(jù)報(bào)文和hello報(bào)文的時(shí)候，加入此VGMP組的每個(gè)數(shù)據(jù)通道都發(fā)送一次。建議采用默認(rèn)值，如果參數(shù)設(shè)置的太小，導(dǎo)致防火墻發(fā)送和接受的VGMP的報(bào)文的數(shù)量會(huì)很多，會(huì)占用較多的CPU資源，并且配置1s的hello報(bào)文的時(shí)間間隔也能滿(mǎn)足現(xiàn)網(wǎng)故障反應(yīng)時(shí)間間隔?！?vrrpgroup timer hello 20060000：VGMP組發(fā)送VGMP的hello報(bào)文的時(shí)間間隔，單位為毫秒（ms），默認(rèn)值為1000ms。如果在VGMP組下面配置了不搶占，即使本地優(yōu)先級(jí)比對(duì)端高，也不進(jìn)行搶占?！?vrrpgroup manualpreempt：VGMP組手動(dòng)搶占命令。采用此種方式，建議VRRP的優(yōu)先級(jí)主防火墻配置為105，備防火墻配置為默認(rèn)的100。如果采用此種方式?jīng)Q定VGMP組的優(yōu)先級(jí)，首先把VGMP組下所有的VRRP的優(yōu)先級(jí)加起來(lái)，再除以VGMP組下的VRRP的個(gè)數(shù)?！?vrrpgroup priority usingvrrppriority：使用VRRP的優(yōu)先級(jí)作為VGMP組的優(yōu)先級(jí)。如果VGMP組下的一個(gè)VRRP變成初始化狀態(tài)，則V