11—HA与会话同步.pptVIP

HA与会话同步 概念 FortiGate高可用性集群功能通过消除了单点故障来提高了整个系统的可用性。 负载均衡通过在集群成员之间分配网络流量和安全服务以提高整体的性能。 需求 硬件保持一致 软件版本保持一致 FG50A不可以做HA FG300A以上可以实现全拓扑 运行模式 Active-Active 负载均衡 提高可靠性和性能 同步配置, 会话表, 转发表 Active-Passive 热备份 提高可靠性 同步配置, 会话表, 转发表 虚拟集群 虚拟域的负载均衡 Master 选举 Master 基于以下因素进行选举: 监控端口 系统运行时间 设备优先级 序列号 具有最少监控端口失败的设备将成为master 具有比现主设备优先级高的设备在加入集群中时，将成为从设备. CLI 选项将跳过这个选项, 意味着具有高优先级的设备将成为主设备。 同步 配置 (sync-config) 会话表 (session-pickup) 转发信息库 (FIB) 内核使用 FIB, (diag ip route list) (NAT/Route mode) 在设备之间FIB是同步的 get router info routing table 在从设备上路由表是空的 心跳 物理的以太网接口 (hbdev) TCP 端口 702 心跳线 接口用于 HA 通信 Hello 间隔 200 ms HA 地址 10.0.0.x TCP 端口 23 用于 统计, 配置和管理 占用相当大的带宽 交叉线连接 HA配置 集群的属性 group-id group-name mode password 心跳线接口 hbdev 心跳线的间隔和阈值 hb-interval hb-lost-threshold Hello/工作状态 helo-holddown FGCP信息的传递和可信度 Encryption Authentication Routing表同步 route-ttl route-wait route-hold HA Configuration Gratuitous ARP’s arps Bounce Links Link 失败信号 变化后重新协商 override Unit 优先级 priority 监控接口 monitor 虚拟集群 vcluster2 虚拟域成员 vdom 非中断的升级 HA 集群可以进行平滑的升级而服务不中断 上传 Firmware 关掉负载均衡 从设备升级 新的主设备选举 前主设备升级 可能进行的新主设备选举 开启负载均衡 Master 选举 Master 基于以下因素进行选举: 监控端口 系统运行时间 设备优先级 序列号 具有最少监控端口失败的设备将成为master 具有比现主设备优先级高的设备在加入集群中时，将成为从设备. CLI 选项将跳过这个选项, 意味着具有高优先级的设备将成为主设备。 负载均衡 (A-A) Active-Active (Mode) 缺省状态下只有病毒扫描的会话将重新定向实现负载均衡。 病毒扫描会话将不进行切换 会话 拾起将应用于非病毒扫描的会话的同步 load-balance-all 将重新非配所有的TCP会话 负载均衡模式下AV会话过程——Syn 负载均衡模式下AV会话——SYN,ACK ACK 负载均衡模式下主设备的会话表 负载均衡模式主设备的会话表 (load-balance-all) Virtual Clusters 仅支持Active-Passive模式 不支持虚拟域内的连接 每一个虚拟域以不同的虚拟MAC地址进行识别 HA Failover Keep-Alive 包丢失 (hb-lost-threshold) 如果主设备失败，将选举新的主设备 并且这个设备将具有虚拟 MAC 地址 非病毒扫描的会话可以进行切换 (session-pickup) 端口监控 FortiOS v3.0 可以选择端口进行监控，不像 FortiOS v2.8 不能指定优先级 如果监控的端口失去连接，集群将进行重新协商 具有最少监控端口失败的设备将成为master 端口监控优先于设备优先级 虚拟MAC Address 虚拟MAC被用来转发流量到主设备(NAT/Route) 透明模式下虚拟MAC只用于管理流量 FortiOS v3.0 HA Virtual MAC 00-09-0f-06-group-id-idx Example FortiGate-5001 with HA group ID 23 port5 and port 6 are in the root vdom (member of virtual cluster1) port7 and port8 are in the test vdo