9.9 元
下载资源

飞塔防火墙双机-HA与会话同步.ppt

上传人:xt****7 文档编号:6080976 上传时间:2020-02-16 格式:PPT 页数:33 大小:993KB
返回 下载 相关 举报
飞塔防火墙双机-HA与会话同步.ppt_第1页
第1页 / 共33页
飞塔防火墙双机-HA与会话同步.ppt_第2页
第2页 / 共33页
飞塔防火墙双机-HA与会话同步.ppt_第3页
第3页 / 共33页
点击查看更多>>
资源描述
HA与会话同步course301 概念 FortiGate高可用性集群功能通过消除了单点故障来提高了整个系统的可用性 负载均衡通过在集群成员之间分配网络流量和安全服务以提高整体的性能 需求 硬件保持一致软件版本保持一致FG50A不可以做HAFG300A以上可以实现全拓扑 运行模式 Active Active负载均衡提高可靠性和性能同步配置 会话表 转发表Active Passive热备份提高可靠性同步配置 会话表 转发表虚拟集群虚拟域的负载均衡 Master选举 Master基于以下因素进行选举 监控端口系统运行时间设备优先级序列号具有最少监控端口失败的设备将成为master具有比现主设备优先级高的设备在加入集群中时 将成为从设备 CLI选项将跳过这个选项 意味着具有高优先级的设备将成为主设备 同步 配置 sync config 会话表 session pickup 转发信息库 FIB 内核使用FIB diagiproutelist NAT Routemode 在设备之间FIB是同步的getrouterinforoutingtable在从设备上路由表是空的 心跳 物理的以太网接口 hbdev TCP端口702心跳线接口用于HA通信Hello间隔200msHA地址10 0 0 xTCP端口23用于统计 配置和管理占用相当大的带宽交叉线连接 HA配置 集群的属性group idgroup namemodepassword心跳线接口hbdev心跳线的间隔和阈值hb intervalhb lost thresholdHello 工作状态helo holddown FGCP信息的传递和可信度EncryptionAuthenticationRouting表同步route ttlroute waitroute hold HAConfiguration GratuitousARP sarpsBounceLinksLink失败信号变化后重新协商overrideUnit优先级priority监控接口monitor 虚拟集群vcluster2虚拟域成员vdom 非中断的升级 HA集群可以进行平滑的升级而服务不中断上传Firmware关掉负载均衡从设备升级新的主设备选举前主设备升级可能进行的新主设备选举开启负载均衡 Master选举 Master基于以下因素进行选举 监控端口系统运行时间设备优先级序列号具有最少监控端口失败的设备将成为master具有比现主设备优先级高的设备在加入集群中时 将成为从设备 CLI选项将跳过这个选项 意味着具有高优先级的设备将成为主设备 负载均衡 A A Active Active Mode 缺省状态下只有病毒扫描的会话将重新定向实现负载均衡 病毒扫描会话将不进行切换会话拾起将应用于非病毒扫描的会话的同步load balance all将重新非配所有的TCP会话 A ASchedulers0 NoneHubLeast connectionRound robin default Weightedround robinRandomIPIP portCLI setschedule 负载均衡模式下AV会话过程 Syn MasterInternalVMAC 09 01 01PMAC 0b a1 c0 MasterExternalVMAC 09 01 03PMAC 0b a1 c2 SlaveInternalPMAC 0b a4 8c SlaveExternalPMAC 0b a4 8e 1 dstMAC09 01 01 srcMACX TCPSYNdport802 dstMAC0b a4 8c srcMAC0b a1 c0 TCPSYNdport803a dstMACY srcMAC0b a4 8e TCPSYNdport803b dstMACX srcMAC0b a4 8c TCPSYNACKsport80 fromHTTPproxy 1 3a 2 3b X Y 负载均衡模式下AV会话 SYN ACKACK MasterInternalVMAC 09 01 01PMAC 0b a1 c0 MasterExternalVMAC 09 01 03PMAC 0b a1 c2 SlaveInternalPMAC 0b a4 8c SlaveExternalPMAC 0b a4 8e 4 dstMAC09 01 01 srcMACX TCPACKdport805 dstMAC0b a4 8c srcMAC0b a1 c0 TCPACKdport806 dstMAC09 01 03 srcMACY TCPSYNACKsport807 dstMAC0b a4 8e srcMAC0b a1 c2 TCPSYNACKsport808 dstMACY srcMAC0b a4 8e TCPACKdport80 4 6 5 X Y 7 8 负载均衡模式下主设备的会话表 sessioninfo proto 6proto state 11expire 3599timeout 3600flags 00000000av idx 4use 5bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 0hakey 49729tunnel state redirloglocalmay dirtystatistic bytes packets err org 1253 21 0reply 1503 19 0tuples 3orgin sink orgpre post replypre postoif 3 5gwy 192 168 11 254 10 0 1 1hook postdir orgact snat10 0 1 1 2287 193 1 193 64 21 192 168 11 101 2287 hook predir replyact dnat193 1 193 64 21 192 168 11 101 2287 10 0 1 1 2287 hook postdir replyact noop193 1 193 64 21 10 0 1 1 2287 0 0 0 0 0 pos before after 233083355 0 8 0 0 0 misc 20004domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 00005ae5tos ff ffsessioninfo proto 6proto state 11expire 3595timeout 3600flags 00000000av idx 4use 6bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 1hakey 49729tunnel state redirlogmay dirtystatistic bytes packets err org 999 21 0reply 1921 19 0tuples 3orgin sink orgpre post replypre postoif 3 5gwy 192 168 11 254 10 0 1 1hook postdir orgact snat10 0 1 1 2291 193 1 193 64 21 192 168 11 101 2291 hook predir replyact dnat193 1 193 64 21 192 168 11 101 2291 10 0 1 1 2291 hook postdir replyact noop193 1 193 64 21 10 0 1 1 2291 0 0 0 0 0 pos before after 1555340173 8 16 0 0 0 misc 20004domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 00005b07tos ff ff ClusterIDofdevicehandingsession AVscanenabledforFTP 负载均衡模式主设备的会话表 load balance all sessioninfo proto 6proto state 01expire 3564timeout 3600flags 00000000av idx 0use 3bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 1hakey 3328tunnel state dirtymay dirtystatistic bytes packets err org 48 1 0reply 0 0 0tuples 2orgin sink orgpre post replypre postoif 0 3gwy 0 0 0 0 0 0 0 0hook predir orgact dnat192 168 11 254 39044 192 168 11 102 3389 10 0 1 2 3389 hook postdir replyact snat10 0 1 2 3389 192 168 11 254 39044 192 168 11 102 3389 pos before after 0 0 0 0 0 0 misc 0domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 00000240tos ff ffsessioninfo proto 6proto state 01expire 3361timeout 3600flags 00000000av idx 9use 3bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 0hakey 3327tunnel state logdirtymay dirtystatistic bytes packets err org 85725 1434 0reply 362915 1489 0tuples 2orgin sink orgpre post replypre postoif 0 3gwy 0 0 0 0 0 0 0 0hook predir orgact dnat192 168 11 254 38917 192 168 11 101 3389 10 0 1 1 3389 hook postdir replyact snat10 0 1 1 3389 192 168 11 254 38917 192 168 11 101 3389 pos before after 0 0 0 0 0 0 misc 0domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 0000071ctos 00 00 NonAVscannedTCPsessionsaredistributedbetweenclustermembers VirtualClusters 仅支持Active Passive模式不支持虚拟域内的连接每一个虚拟域以不同的虚拟MAC地址进行识别 HAFailover Keep Alive包丢失 hb lost threshold 如果主设备失败 将选举新的主设备并且这个设备将具有虚拟MAC地址非病毒扫描的会话可以进行切换 session pickup 端口监控FortiOSv3 0可以选择端口进行监控 不像FortiOSv2 8不能指定优先级如果监控的端口失去连接 集群将进行重新协商具有最少监控端口失败的设备将成为master端口监控优先于设备优先级 虚拟MACAddress 虚拟MAC被用来转发流量到主设备 NAT Route 透明模式下虚拟MAC只用于管理流量FortiOSv3 0HAVirtualMAC00 09 0f 06 ExampleFortiGate 5001withHAgroupID23port5andport6areintherootvdom memberofvirtualcluster1 port7andport8areinthetestvdom memberofvirtualcluster2 VMACaddresses port5interfacevirtualMAC 00 09 0f 06 23 05port6interfacevirtualMAC 00 09 0f 06 23 06port7interfacevirtualMAC 00 09 0f 06 23 27port8interfacevirtualMAC 00 09 0f 06 23 28diagnosehardwaredeviceinfonicwan1Current HWaddr00 09 0f 09 00 03Permanent HWaddr00 09 0f 0a 0d a2 FullMeshHA FGT800和以上型号适用全网 FULLMesh HA NormalMode正常运行模式下 所有的端口都是Active 并用于传送数据 LinkFailoverMode如果一个正常的活动端口失败 另一个非活动的端口将被激活 对网络操作是透明的 并且数据传输不会中断 HAStats 从GUI观察各集群成员 系统运行时间CPU 内存使用率活动的sessions网络占用 Kbps 病毒和入侵总数总的数据包和字节 diagsyshastatus 单机模式的会话同步 会话同步特性 2FGT工作于单机模式基于VDOM的会话同步外部流量通常使用路由器或负载均衡设备转发所有FortiGate都处理流量 没有主备关系 允许同一会话的流量在两台设备间切换 只能使用防火墙功能 不支持保护内容表 只同步TCP会话NAT的会话不能同步不支持非对称路由在有会话的情况下 FortiGatekernal仍然需要检查双向的数据包 因此不能用于非对称路由TCP三步握手可由asymroute控制 后续数据包在有会话同步的情况下由会话同步机制控制 无会话同步的情况下由asymroute控制 按标志位决定是否允许通过只能使用命令行配置MR6目前版本存在流量日志bug 触发两次流量日志 会话同步的限制 会话同步 primary secondary router router traffic traffic sync mgt sync mgt synched 配置 Primary root VDT1 configglobalconfigsysteminterfaceedit port2 setvdom root setip192 168 8 3255 255 255 0setallowaccesspingsettypephysicalnext configsystemsession syncedit1setpeerip192 168 8 4setpeervd root setsyncvd VDT1 nextend port2 Secondary root VDT1 port2 configglobalconfigsysteminterfaceedit port2 setvdom root setip192 168 8 4255 255 255 0setallowaccesspingsettypephysicalnext configsystemsession syncedit1setpeerip192 168 8 3setpeervd root setsyncvd VDT1 nextend 注意事项 建议使用FortiManager进行策略配置可以使用动态路由协议 如BGP 进行流量负载均衡MR7将继续增强 标记防火墙会话 Troubleshooting Diagsyssessionsync FG5001 5050 A 1 global diagnosesyssessionsyncsync ctx sync enabled 1 sync redir 0 sync nat 0 sync others 1 sync create 1 update 2 delete 0 query 0recv create 0 update 0 delete 0 query 0 queryall 1nCfg sess sync num 1 Diagdebugapplicationsessionsync 1 FG5001 5050 A 3 global sessionsync c session sync loop 582 numev 1sessionsync c process sync udpsock 354 datalen 200 from c0a80803 1035 308a8c0sessionsync c send msg to nl 336 rta len 120 type 16sessionsync c process sync udpsock 354 datalen 1 from c0a80803 1035 308a8c0sessionsync c session sync loop 582 numev 1sessionsync c process sync udpsock 354 datalen 80 from c0a80803 1035 308a8c0sessionsync c send msg to nl 336 rta len 72 type 17sessionsync c process sync udpsock 354 datalen 1 from c0a80803 1035 308a8c0 Troubleshooting Sniffingsessionsynchronizationtraffic 74 540099192 168 8 3 1036 192 168 8 4 708 udp600 x000000090f68059700090f6837d308004500 h h7 E 0 x0010005818ad00004011d090c0a80803c0a8 X 0 x00200804040c02c40044dac8110000003400 D 4 0 x0030000034001300c0a80101c0a803050000 4 0 x00400000e5a9005100000000065644543100 Q VDT1 0 x00500000000000000000000000ffffff0000 0 x0060000018790000 y 74 964809192 168 8 4 1037 192 168 8 3 708 udp1280 x000000090f6837d300090f68059708004500 h7 h E 0 x0010009cc7b9000040112140c0a80804c0a8 0 x00200803040d02c40088a7e7110000007800 x 0 x003000007800100004040000060406040001 x 0 x004000004000000000000000000000000000 0 x005000000000000000510000020000007631 Q v10 x00603332000000000000000000000000763332 v30 x007034310000000000000000000000002c0041 0 x00800100c0a80101c0a8030500000000e5a9 0 x0090005100000000c0a80305c0a801010000 Q 0 x00a000000051e5a900000401 Q FAQ Q 会话能否在两台FGT的不同的VDOM之间同步 A 不能 将在今后的版本中提供 Q 两台FGT对应的接口名是否应该相同 A 是的 Q 两台FGT对应的接口能否使用不同的Index A 可以 Q 两台FGT对应的VLAN接口能否使用不同的VLANID A 可以 只需要接口名称相同 Q 在 configsyssession synch 命令下的edit是否必须使用相同的数字 A 不用 FAQ Q FortiManager能否定义一个VDOM组 其中包含的VDOM属于不同的FortiGate 这样就可以直接给这一VDOM组推送策略 A 可以Q 是否支持Zone或者聚合接口 A 是Q 是否仍然进行状态检测 A 是的 所有的TCP状态变化会在peer之间同步Q 是否支持非对称路由 出站流量和入站流量分别通过不同的设备 A 不支持以下接口未经测试 inter vdomlinks FA2接口 HA集群间的会话同步 冗余接口 实验 两两一组 搭建环境 测试高可用性和集群
展开阅读全文
相关资源
相关搜索

当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!