飛塔防火墻雙機(jī)-HA與會話同步.ppt_第1頁
飛塔防火墻雙機(jī)-HA與會話同步.ppt_第2頁
飛塔防火墻雙機(jī)-HA與會話同步.ppt_第3頁
飛塔防火墻雙機(jī)-HA與會話同步.ppt_第4頁
飛塔防火墻雙機(jī)-HA與會話同步.ppt_第5頁
已閱讀5頁,還剩28頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、HA與會話同步course 301,概念,FortiGate高可用性集群功能通過消除了單點故障來提高了整個系統(tǒng)的可用性。 負(fù)載均衡通過在集群成員之間分配網(wǎng)絡(luò)流量和安全服務(wù)以提高整體的性能。,需求,硬件保持一致 軟件版本保持一致 FG50A不可以做HA FG300A以上可以實現(xiàn)全拓?fù)?運行模式,Active-Active 負(fù)載均衡 提高可靠性和性能 同步配置, 會話表, 轉(zhuǎn)發(fā)表 Active-Passive 熱備份 提高可靠性 同步配置, 會話表, 轉(zhuǎn)發(fā)表 虛擬集群 虛擬域的負(fù)載均衡,Master 選舉,Master 基于以下因素進(jìn)行選舉: 監(jiān)控端口 系統(tǒng)運行時間 設(shè)備優(yōu)先級 序列號 具有最少監(jiān)

2、控端口失敗的設(shè)備將成為master 具有比現(xiàn)主設(shè)備優(yōu)先級高的設(shè)備在加入集群中時,將成為從設(shè)備. CLI 選項將跳過這個選項, 意味著具有高優(yōu)先級的設(shè)備將成為主設(shè)備。,同步,配置 (sync-config) 會話表 (session-pickup) 轉(zhuǎn)發(fā)信息庫 (FIB) 內(nèi)核使用 FIB, (diag ip route list) (NAT/Route mode) 在設(shè)備之間FIB是同步的 get router info routing table 在從設(shè)備上路由表是空的,心跳,物理的以太網(wǎng)接口 (hbdev) TCP 端口 702 心跳線 接口用于 HA 通信 Hello 間隔 200 ms

3、 HA 地址 10.0.0.x TCP 端口 23 用于 統(tǒng)計, 配置和管理 占用相當(dāng)大的帶寬 交叉線連接,HA配置,集群的屬性 group-id group-name mode password 心跳線接口 hbdev 心跳線的間隔和閾值 hb-interval hb-lost-threshold Hello/工作狀態(tài) helo-holddown,FGCP信息的傳遞和可信度 Encryption Authentication Routing表同步 route-ttl route-wait route-hold,HA Configuration,Gratuitous ARPs arps Bou

4、nce Links Link 失敗信號 變化后重新協(xié)商 override Unit 優(yōu)先級 priority 監(jiān)控接口 monitor,虛擬集群 vcluster2 虛擬域成員 vdom,非中斷的升級,HA 集群可以進(jìn)行平滑的升級而服務(wù)不中斷 上傳 Firmware 關(guān)掉負(fù)載均衡 從設(shè)備升級 新的主設(shè)備選舉 前主設(shè)備升級 可能進(jìn)行的新主設(shè)備選舉 開啟負(fù)載均衡,Master 選舉,Master 基于以下因素進(jìn)行選舉: 監(jiān)控端口 系統(tǒng)運行時間 設(shè)備優(yōu)先級 序列號 具有最少監(jiān)控端口失敗的設(shè)備將成為master 具有比現(xiàn)主設(shè)備優(yōu)先級高的設(shè)備在加入集群中時,將成為從設(shè)備. CLI 選項將跳過這個選項,

5、意味著具有高優(yōu)先級的設(shè)備將成為主設(shè)備。,負(fù)載均衡 (A-A),Active-Active (Mode) 缺省狀態(tài)下只有病毒掃描的會話將重新定向?qū)崿F(xiàn)負(fù)載均衡。 病毒掃描會話將不進(jìn)行切換 會話 拾起將應(yīng)用于非病毒掃描的會話的同步 load-balance-all 將重新非配所有的TCP會話,A-A Schedulers 0. None Hub Least-connection Round-robin (default) Weighted round-robin Random IP IP + port CLI: set schedule ,負(fù)載均衡模式下AV會話過程Syn,Master Intern

6、al VMAC: 09-01-01 PMAC: 0b-a1-c0,Master External VMAC: 09-01-03 PMAC: 0b-a1-c2,Slave Internal PMAC: 0b-a4-8c,Slave External PMAC: 0b-a4-8e,1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 80 2. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 80 3a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dport 80 3b. dstMAC X

7、, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy),1,3a,2,3b,X,Y,負(fù)載均衡模式下AV會話SYN,ACK ACK,Master Internal VMAC: 09-01-01 PMAC: 0b-a1-c0,Master External VMAC: 09-01-03 PMAC: 0b-a1-c2,Slave Internal PMAC: 0b-a4-8c,Slave External PMAC: 0b-a4-8e,4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 80 5. dst

8、MAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80 6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 80 7. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 80 8. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80,4,6,5,X,Y,7,8,負(fù)載均衡模式下主設(shè)備的會話表,session info: proto=6 proto_state=11 expire=3599 timeout=3600 flags

9、=00000000 av_idx=4 use=5 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=49729 tunnel=/ state=redir log local may_dirty statistic(bytes/packets/err): org=1253/21/0 reply=1503/19/0 tuples=3 orgin-sink: org pre-post, reply pre-post oif=3/5 gwy=

10、54/ hook=post dir=org act=snat :2287-4:21(01:2287) hook=pre dir=reply act=dnat 4:21-01:2287(:2287) hook=post dir=reply act=noop 4:21-:2287(:0) pos/(before,after) -233083355/(0,8), 0/(0,0) misc=20004 domai

11、n_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=00005ae5 tos=ff/ff session info: proto=6 proto_state=11 expire=3595 timeout=3600 flags=00000000 av_idx=4 use=6 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=1 hakey=49729 tunnel=/ state=redir log may_dirty

12、statistic(bytes/packets/err): org=999/21/0 reply=1921/19/0 tuples=3 orgin-sink: org pre-post, reply pre-post oif=3/5 gwy=54/ hook=post dir=org act=snat :2291-4:21(01:2291) hook=pre dir=reply act=dnat 4:21-01:2291(:2291

13、) hook=post dir=reply act=noop 4:21-:2291(:0) pos/(before,after) 1555340173/(8,16), 0/(0,0) misc=20004 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=00005b07 tos=ff/ff,Cluster ID of device handing session,AV scan enabled for FTP,負(fù)載均衡模式主設(shè)備的會話表 (load-balance-all)

14、,session info: proto=6 proto_state=01 expire=3564 timeout=3600 flags=00000000 av_idx=0 use=3 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=1 hakey=3328 tunnel=/ state=dirty may_dirty statistic(bytes/packets/err): org=48/1/0 reply=0/0/0 tuples=2 orgin-sink: org

15、 pre-post, reply pre-post oif=0/3 gwy=/ hook=pre dir=org act=dnat 54:39044-02:3389(:3389) hook=post dir=reply act=snat :3389-54:39044(02:3389) pos/(before,after) 0/(0,0), 0/(0,0) misc=0 domain_info=0 auth_info=0 ftgd_info=

16、0 ids=0 x0 vd=0 serial=00000240 tos=ff/ff session info: proto=6 proto_state=01 expire=3361 timeout=3600 flags=00000000 av_idx=9 use=3 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=3327 tunnel=/ state=log dirty may_dirty statistic(bytes/packets/err): or

17、g=85725/1434/0 reply=362915/1489/0 tuples=2 orgin-sink: org pre-post, reply pre-post oif=0/3 gwy=/ hook=pre dir=org act=dnat 54:38917-01:3389(:3389) hook=post dir=reply act=snat :3389-54:38917(01:3389) pos/(before,after) 0

18、/(0,0), 0/(0,0) misc=0 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=0000071c tos=00/00,Non AV scanned TCP sessions are distributed between cluster members,Virtual Clusters,僅支持Active-Passive模式 不支持虛擬域內(nèi)的連接 每一個虛擬域以不同的虛擬MAC地址進(jìn)行識別,HA Failover,Keep-Alive 包丟失 (hb-lost-threshold) 如果主設(shè)備失敗,將選舉新的主

19、設(shè)備 并且這個設(shè)備將具有虛擬 MAC 地址 非病毒掃描的會話可以進(jìn)行切換 (session-pickup) 端口監(jiān)控 FortiOS v3.0 可以選擇端口進(jìn)行監(jiān)控,不像 FortiOS v2.8 不能指定優(yōu)先級 如果監(jiān)控的端口失去連接,集群將進(jìn)行重新協(xié)商 具有最少監(jiān)控端口失敗的設(shè)備將成為master 端口監(jiān)控優(yōu)先于設(shè)備優(yōu)先級,虛擬MAC Address,虛擬MAC被用來轉(zhuǎn)發(fā)流量到主設(shè)備(NAT/Route) 透明模式下虛擬MAC只用于管理流量 FortiOS v3.0 HA Virtual MAC 00-09-0f-06- Example FortiGate-5001 with HA gro

20、up ID 23 port5 and port 6 are in the root vdom (member of virtual cluster1) port7 and port8 are in the test vdom (member of virtual cluster 2) VMAC addresses: port5 interface virtual MAC: 00-09-0f-06-23-05 port6 interface virtual MAC: 00-09-0f-06-23-06 port7 interface virtual MAC: 00-09-0f-06-23-27

21、port8 interface virtual MAC: 00-09-0f-06-23-28 diagnose hardware deviceinfo nic wan1 Current_HWaddr00:09:0f:09:00:03 Permanent_HWaddr00:09:0f:0a:0d:a2,Full Mesh HA,FGT800 和以上型號適用全網(wǎng)(FULL Mesh)HA,Normal Mode 正常運行模式下, 所有的端口都是Active, 并用于傳送數(shù)據(jù). Link Failover Mode 如果一個正常的活動端口失敗 , 另一個非活動的端口將被激活(對網(wǎng)絡(luò)操作是透明的) 并

22、且數(shù)據(jù)傳輸不會中斷.,HA Stats,從 GUI 觀察各集群成員: 系統(tǒng)運行時間 CPU、內(nèi)存使用率 活動的 sessions 網(wǎng)絡(luò)占用 (Kbps) 病毒和入侵總數(shù) 總的數(shù)據(jù)包和字節(jié),diag sys ha status,單機(jī)模式的會話同步,會話同步特性,2 FGT工作于單機(jī)模式 基于VDOM的會話同步 外部流量通常使用路由器或負(fù)載均衡設(shè)備轉(zhuǎn)發(fā) 所有FortiGate都處理流量(沒有主備關(guān)系) 允許同一會話的流量在兩臺設(shè)備間切換,只能使用防火墻功能(不支持保護(hù)內(nèi)容表) 只同步TCP會話 NAT的會話不能同步 不支持非對稱路由 在有會話的情況下,F(xiàn)ortiGate kernal仍然需要檢查雙

23、向的數(shù)據(jù)包,因此不能用于非對稱路由 TCP三步握手可由asymroute控制,后續(xù)數(shù)據(jù)包在有會話同步的情況下由會話同步機(jī)制控制,無會話同步的情況下由asymroute控制,按標(biāo)志位決定是否允許通過 只能使用命令行配置 MR6目前版本存在流量日志bug(觸發(fā)兩次流量日志),會話同步的限制,會話同步,primary,secondary,router,router,traffic,traffic,sync-mgt,sync-mgt,synched,配置,Primary,root,VDT1,config global config system interface edit port2 set vdo

24、m root set ip set allowaccess ping set type physical next ./. config system session-sync edit 1 set peerip set peervd root set syncvd VDT1 next end,port2,Secondary,root,VDT1,port2,config global config system interface edit port2 set vdom root set ip

25、 set allowaccess ping set type physical next ./. config system session-sync edit 1 set peerip set peervd root set syncvd VDT1 next end,注意事項,建議使用FortiManager進(jìn)行策略配置 可以使用動態(tài)路由協(xié)議(如BGP)進(jìn)行流量負(fù)載均衡 MR7將繼續(xù)增強(qiáng) (標(biāo)記防火墻會話),Troubleshooting,Diag sys session sync,#FG5001-5050-A-1 (global) # di

26、agnose sys session sync sync_ctx: sync_enabled=1, sync_redir=0, sync_nat=0, sync_others=1. sync: create=1, update=2, delete=0, query=0 recv: create=0, update=0, delete=0, query=0, queryall=1 nCfg_sess_sync_num=1,Diag debug application sessionsync -1,#FG5001-5050-A-3 (global) # sessionsync.c:session_

27、sync_loop:582,numev=1 sessionsync.c:process_sync_udpsock:354,datalen=200, from=c0a80803:1035, 308a8c0 sessionsync.c:_send_msg_to_nl:336,rta: len=120, type=16 sessionsync.c:process_sync_udpsock:354,datalen=-1, from=c0a80803:1035, 308a8c0 sessionsync.c:session_sync_loop:582,numev=1 sessionsync.c:proce

28、ss_sync_udpsock:354,datalen=80, from=c0a80803:1035, 308a8c0 sessionsync.c:_send_msg_to_nl:336,rta: len=72, type=17 sessionsync.c:process_sync_udpsock:354,datalen=-1, from=c0a80803:1035, 308a8c0,Troubleshooting,Sniffing session synchronization traffic,#74.540099 .1036 - .708: ud

29、p 60 0 x0000 0009 0f68 0597 0009 0f68 37d3 0800 4500 .h.h7.E. 0 x0010 0058 18ad 0000 4011 d090 c0a8 0803 c0a8 .X. 0 x0020 0804 040c 02c4 0044 dac8 1100 0000 3400 .D.4. 0 x0030 0000 3400 1300 c0a8 0101 c0a8 0305 0000 .4. 0 x0040 0000 e5a9 0051 0000 0000 0656 4454 3100 .Q.VDT1. 0 x0050 0000 0000 0000 0000 0000 00ff ffff 0000 . 0 x0060 0000 1879 0000 .y. 74.964809 .1037 - .708: udp 128 0 x0000 0009 0f68 37d3 0009 0f68 0597 0800 4500 .h7.h.E. 0 x0010

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論