飛塔防火墻雙機HA與會話同步PPT課件_第1頁
飛塔防火墻雙機HA與會話同步PPT課件_第2頁
飛塔防火墻雙機HA與會話同步PPT課件_第3頁
飛塔防火墻雙機HA與會話同步PPT課件_第4頁
飛塔防火墻雙機HA與會話同步PPT課件_第5頁
已閱讀5頁,還剩28頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、HA與會話同步 course 301,.,2,概念,FortiGate高可用性集群功能通過消除了單點故障來提高了整個系統(tǒng)的可用性。 負載均衡通過在集群成員之間分配網(wǎng)絡(luò)流量和安全服務(wù)以提高整體的性能。,.,3,需求,硬件保持一致 軟件版本保持一致 FG50A不可以做HA FG300A以上可以實現(xiàn)全拓撲,.,4,運行模式,Active-Active 負載均衡 提高可靠性和性能 同步配置, 會話表, 轉(zhuǎn)發(fā)表 Active-Passive 熱備份 提高可靠性 同步配置, 會話表, 轉(zhuǎn)發(fā)表 虛擬集群 虛擬域的負載均衡,.,5,Master 選舉,Master 基于以下因素進行選舉: 監(jiān)控端口 系統(tǒng)運行時

2、間 設(shè)備優(yōu)先級 序列號 具有最少監(jiān)控端口失敗的設(shè)備將成為master 具有比現(xiàn)主設(shè)備優(yōu)先級高的設(shè)備在加入集群中時,將成為從設(shè)備. CLI 選項將跳過這個選項, 意味著具有高優(yōu)先級的設(shè)備將成為主設(shè)備。,.,6,同步,配置 (sync-config) 會話表 (session-pickup) 轉(zhuǎn)發(fā)信息庫 (FIB) 內(nèi)核使用 FIB, (diag ip route list) (NAT/Route mode) 在設(shè)備之間FIB是同步的 get router info routing table 在從設(shè)備上路由表是空的,.,7,心跳,物理的以太網(wǎng)接口 (hbdev) TCP 端口 702 心跳線 接

3、口用于 HA 通信 Hello 間隔 200 ms HA 地址 10.0.0.x TCP 端口 23 用于 統(tǒng)計, 配置和管理 占用相當(dāng)大的帶寬 交叉線連接,.,8,HA配置,集群的屬性 group-id group-name mode password 心跳線接口 hbdev 心跳線的間隔和閾值 hb-interval hb-lost-threshold Hello/工作狀態(tài) helo-holddown,FGCP信息的傳遞和可信度 Encryption Authentication Routing表同步 route-ttl route-wait route-hold,.,9,HA Confi

4、guration,Gratuitous ARPs arps Bounce Links Link 失敗信號 變化后重新協(xié)商 override Unit 優(yōu)先級 priority 監(jiān)控接口 monitor,虛擬集群 vcluster2 虛擬域成員 vdom,.,10,非中斷的升級,HA 集群可以進行平滑的升級而服務(wù)不中斷 上傳 Firmware 關(guān)掉負載均衡 從設(shè)備升級 新的主設(shè)備選舉 前主設(shè)備升級 可能進行的新主設(shè)備選舉 開啟負載均衡,.,11,Master 選舉,Master 基于以下因素進行選舉: 監(jiān)控端口 系統(tǒng)運行時間 設(shè)備優(yōu)先級 序列號 具有最少監(jiān)控端口失敗的設(shè)備將成為master 具有

5、比現(xiàn)主設(shè)備優(yōu)先級高的設(shè)備在加入集群中時,將成為從設(shè)備. CLI 選項將跳過這個選項, 意味著具有高優(yōu)先級的設(shè)備將成為主設(shè)備。,.,12,負載均衡 (A-A),Active-Active (Mode) 缺省狀態(tài)下只有病毒掃描的會話將重新定向?qū)崿F(xiàn)負載均衡。 病毒掃描會話將不進行切換 會話 拾起將應(yīng)用于非病毒掃描的會話的同步 load-balance-all 將重新非配所有的TCP會話,A-A Schedulers 0. None Hub Least-connection Round-robin (default) Weighted round-robin Random IP IP + port C

6、LI: set schedule ,.,13,負載均衡模式下AV會話過程Syn,Master Internal VMAC: 09-01-01 PMAC: 0b-a1-c0,Master External VMAC: 09-01-03 PMAC: 0b-a1-c2,Slave Internal PMAC: 0b-a4-8c,Slave External PMAC: 0b-a4-8e,1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 80 2. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 80 3a. dst

7、MAC Y, srcMAC 0b-a4-8e, TCP SYN dport 80 3b. dstMAC X, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy),1,3a,2,3b,X,Y,.,14,負載均衡模式下AV會話SYN,ACK ACK,Master Internal VMAC: 09-01-01 PMAC: 0b-a1-c0,Master External VMAC: 09-01-03 PMAC: 0b-a1-c2,Slave Internal PMAC: 0b-a4-8c,Slave External PMAC: 0b-a

8、4-8e,4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 80 5. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80 6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 80 7. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 80 8. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80,4,6,5,X,Y,7,8,.,15,負載均衡模式下主設(shè)備的會話表,sess

9、ion info: proto=6 proto_state=11 expire=3599 timeout=3600 flags=00000000 av_idx=4 use=5 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=49729 tunnel=/ state=redir log local may_dirty statistic(bytes/packets/err): org=1253/21/0 reply=1503/19/0 tuples=3 or

10、gin-sink: org pre-post, reply pre-post oif=3/5 gwy=54/ hook=post dir=org act=snat :2287-4:21(01:2287) hook=pre dir=reply act=dnat 4:21-01:2287(:2287) hook=post dir=reply act=noop 4:21-:2287(:0

11、) pos/(before,after) -233083355/(0,8), 0/(0,0) misc=20004 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=00005ae5 tos=ff/ff session info: proto=6 proto_state=11 expire=3595 timeout=3600 flags=00000000 av_idx=4 use=6 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=

12、session ha_id=1 hakey=49729 tunnel=/ state=redir log may_dirty statistic(bytes/packets/err): org=999/21/0 reply=1921/19/0 tuples=3 orgin-sink: org pre-post, reply pre-post oif=3/5 gwy=54/ hook=post dir=org act=snat :2291-4:21(01:2291) hook=pre dir=r

13、eply act=dnat 4:21-01:2291(:2291) hook=post dir=reply act=noop 4:21-:2291(:0) pos/(before,after) 1555340173/(8,16), 0/(0,0) misc=20004 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=00005b07 tos=ff/ff,Cluster ID of device handing s

14、ession,AV scan enabled for FTP,.,16,負載均衡模式主設(shè)備的會話表 (load-balance-all),session info: proto=6 proto_state=01 expire=3564 timeout=3600 flags=00000000 av_idx=0 use=3 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=1 hakey=3328 tunnel=/ state=dirty may_dirty statistic

15、(bytes/packets/err): org=48/1/0 reply=0/0/0 tuples=2 orgin-sink: org pre-post, reply pre-post oif=0/3 gwy=/ hook=pre dir=org act=dnat 54:39044-02:3389(:3389) hook=post dir=reply act=snat :3389-54:39044(02:3389) pos/(before

16、,after) 0/(0,0), 0/(0,0) misc=0 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=00000240 tos=ff/ff session info: proto=6 proto_state=01 expire=3361 timeout=3600 flags=00000000 av_idx=9 use=3 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=3327

17、 tunnel=/ state=log dirty may_dirty statistic(bytes/packets/err): org=85725/1434/0 reply=362915/1489/0 tuples=2 orgin-sink: org pre-post, reply pre-post oif=0/3 gwy=/ hook=pre dir=org act=dnat 54:38917-01:3389(:3389) hook=post dir=reply act=snat

18、:3389-54:38917(01:3389) pos/(before,after) 0/(0,0), 0/(0,0) misc=0 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=0000071c tos=00/00,Non AV scanned TCP sessions are distributed between cluster members,.,17,Virtual Clusters,僅支持Active-Passive模式 不支持虛擬域內(nèi)的連接 每一個虛擬域以不同的

19、虛擬MAC地址進行識別,.,18,HA Failover,Keep-Alive 包丟失 (hb-lost-threshold) 如果主設(shè)備失敗,將選舉新的主設(shè)備 并且這個設(shè)備將具有虛擬 MAC 地址 非病毒掃描的會話可以進行切換 (session-pickup) 端口監(jiān)控 FortiOS v3.0 可以選擇端口進行監(jiān)控,不像 FortiOS v2.8 不能指定優(yōu)先級 如果監(jiān)控的端口失去連接,集群將進行重新協(xié)商 具有最少監(jiān)控端口失敗的設(shè)備將成為master 端口監(jiān)控優(yōu)先于設(shè)備優(yōu)先級,.,19,虛擬MAC Address,虛擬MAC被用來轉(zhuǎn)發(fā)流量到主設(shè)備(NAT/Route) 透明模式下虛擬MAC

20、只用于管理流量 FortiOS v3.0 HA Virtual MAC 00-09-0f-06- Example FortiGate-5001 with HA group ID 23 port5 and port 6 are in the root vdom (member of virtual cluster1) port7 and port8 are in the test vdom (member of virtual cluster 2) VMAC addresses: port5 interface virtual MAC: 00-09-0f-06-23-05 port6 inter

21、face virtual MAC: 00-09-0f-06-23-06 port7 interface virtual MAC: 00-09-0f-06-23-27 port8 interface virtual MAC: 00-09-0f-06-23-28 diagnose hardware deviceinfo nic wan1 Current_HWaddr 00:09:0f:09:00:03 Permanent_HWaddr 00:09:0f:0a:0d:a2,.,20,Full Mesh HA,FGT800 和以上型號適用全網(wǎng)(FULL Mesh)HA,Normal Mode 正常運行

22、模式下, 所有的端口都是Active, 并用于傳送數(shù)據(jù). Link Failover Mode 如果一個正常的活動端口失敗 , 另一個非活動的端口將被激活(對網(wǎng)絡(luò)操作是透明的) 并且數(shù)據(jù)傳輸不會中斷.,.,21,HA Stats,從 GUI 觀察各集群成員: 系統(tǒng)運行時間 CPU、內(nèi)存使用率 活動的 sessions 網(wǎng)絡(luò)占用 (Kbps) 病毒和入侵總數(shù) 總的數(shù)據(jù)包和字節(jié),.,22,diag sys ha status,.,23,單機模式的會話同步,.,24,會話同步特性,2 FGT工作于單機模式 基于VDOM的會話同步 外部流量通常使用路由器或負載均衡設(shè)備轉(zhuǎn)發(fā) 所有FortiGate都處理

23、流量(沒有主備關(guān)系) 允許同一會話的流量在兩臺設(shè)備間切換,.,25,只能使用防火墻功能(不支持保護內(nèi)容表) 只同步TCP會話 NAT的會話不能同步 不支持非對稱路由 在有會話的情況下,F(xiàn)ortiGate kernal仍然需要檢查雙向的數(shù)據(jù)包,因此不能用于非對稱路由 TCP三步握手可由asymroute控制,后續(xù)數(shù)據(jù)包在有會話同步的情況下由會話同步機制控制,無會話同步的情況下由asymroute控制,按標(biāo)志位決定是否允許通過 只能使用命令行配置 MR6目前版本存在流量日志bug(觸發(fā)兩次流量日志),會話同步的限制,.,26,會話同步,primary,secondary,router,router

24、,traffic,traffic,sync-mgt,sync-mgt,synched,.,27,配置,Primary,root,VDT1,config global config system interface edit port2 set vdom root set ip set allowaccess ping set type physical next ./. config system session-sync edit 1 set peerip set peervd root set syncvd VDT

25、1 next end,port2,Secondary,root,VDT1,port2,config global config system interface edit port2 set vdom root set ip set allowaccess ping set type physical next ./. config system session-sync edit 1 set peerip set peervd root set syncvd VDT1 next end,.,28,注意事項,建議使用F

26、ortiManager進行策略配置 可以使用動態(tài)路由協(xié)議(如BGP)進行流量負載均衡 MR7將繼續(xù)增強 (標(biāo)記防火墻會話),.,29,Troubleshooting,Diag sys session sync,#FG5001-5050-A-1 (global) # diagnose sys session sync sync_ctx: sync_enabled=1, sync_redir=0, sync_nat=0, sync_others=1. sync: create=1, update=2, delete=0, query=0 recv: create=0, update=0, dele

27、te=0, query=0, queryall=1 nCfg_sess_sync_num=1,Diag debug application sessionsync -1,#FG5001-5050-A-3 (global) # sessionsync.c:session_sync_loop:582,numev=1 sessionsync.c:process_sync_udpsock:354,datalen=200, from=c0a80803:1035, 308a8c0 sessionsync.c:_send_msg_to_nl:336,rta: len=120, type=16 session

28、sync.c:process_sync_udpsock:354,datalen=-1, from=c0a80803:1035, 308a8c0 sessionsync.c:session_sync_loop:582,numev=1 sessionsync.c:process_sync_udpsock:354,datalen=80, from=c0a80803:1035, 308a8c0 sessionsync.c:_send_msg_to_nl:336,rta: len=72, type=17 sessionsync.c:process_sync_udpsock:354,datalen=-1,

29、 from=c0a80803:1035, 308a8c0,.,30,Troubleshooting,Sniffing session synchronization traffic,#74.540099 .1036 - .708: udp 60 0 x0000 0009 0f68 0597 0009 0f68 37d3 0800 4500 .h.h7.E. 0 x0010 0058 18ad 0000 4011 d090 c0a8 0803 c0a8 .X. 0 x0020 0804 040c 02c4 0044 dac8 1100 0000 340

30、0 .D.4. 0 x0030 0000 3400 1300 c0a8 0101 c0a8 0305 0000 .4. 0 x0040 0000 e5a9 0051 0000 0000 0656 4454 3100 .Q.VDT1. 0 x0050 0000 0000 0000 0000 0000 00ff ffff 0000 . 0 x0060 0000 1879 0000 .y. 74.964809 .1037 - .708: udp 128 0 x0000 0009 0f68 37d3 0009 0f68 0597 0800 4500 .h7.h.E. 0 x0010

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論