双机热备要求:
两台防火墙用于心跳线的接口加入相同的安全区域
两台防火墙用于心跳线的接口的设备编号必须一致,如都是G1/0/1
建议用于双机热备的两台防火墙采用相同的型号、相同的VRP版本
双机热备:
同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表以及server-map表
负载均衡:
同一时间多台防火墙同时转发数据包,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备。防火墙之间同步会话表以及server-map表
这里优先级越大越优先
单点设备会出现单点故障的问题:一旦设备故障,业务将中断
网络电话
双机热备的原理
VRRP:虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。
心跳线备份会话表和Sever-map表
负载均衡在双机热备的基础上对会话表和Server-map表进行了备份
VRRP路由器:可能是三层交换机或者防火墙
虚拟路由器:给客户提供网关地址
VRID:虚拟路由器的ID地址,用户自定义
虚拟IP/MAC:虚拟IP是自定义的,MAC是自动生成的,思科里面MAC的组号是自定义,华为是根据VRID来的,谁是主谁来用
默认抢占模式
什么时候用抢占或者非抢占呢?根据需求
热备模式下,两个一模一样的配置就用非抢占
负载均衡模式下,用抢占
HSRP思科自研的一种,通过接口跟踪(减去优先级)来解决主备切换
华为是用的VGMP来解决主备切换
VRRP中备份组需要设置成一样的才能是一个组里面
让会话备份和交换机指向防火墙的两条路联通
VRRP网关和PC交互时候用的是虚拟 MAC地址
从设备的会话备份计时器超时,自动成为master
双机热备的问题:流量回来的时候走哪条路?用备份组2也对外网到防火墙(上行链路)备份,配虚拟路由器,等效思想
VGMP:就是把上行下行等备份组合在一起管理,如果一条路出问题,就可以让多个备份组一起更新,让一个设备上的多个备份组状态始终一致
Ensp只支持单播,不支持组播
抢占模式默认为60秒
图形化界面防火墙配置
企业中一般选择静态IP接入互联网,防火墙可以不配默认网关(要配就配运营商的接口)
LAN接口(内网口)配过了就跳过
CF卡:闪存卡也可以用usb插拔
License信息:激活码授权那些的
不定义就是所有都可以
源地址,新建,支持二层到应用层
安全策略,目标地址应该是一个网段
外网访问内网开放的端口是私网端口,公网端口是内网访问外网用的
Portal认证是web认证
没有计费功能
URL过滤配置完成后,要在安全里面应用
L2TP里面的基本信息:
Base DN/Port DN:dc=二级域名 ,dc=顶级域名