05.neteyefirewall5200_高可用性.pptVIP

高可用性 网络安全产品营销中心 东软集团股份有限公司 高可用性提供了一种最小化网络中由于单点故障而带来的风险的方法。 虚拟防火墙冗余协议（VFRP）是运行在Nokia NetEye FW5200上的专用协议，使用VFRP协议可以将NetEye FW5200配置成双机热备，实现高可用性。 运行信息同步的配置 以管理员的身份登录防火墙，选择“系统” “配置” “高可用性” VFRP ，在“运行信息同步”区域进行相应配置。如下图所示： 回顾 * * * 注意： VRRP协议是一种选举协议,它可以把路由器的职责动态分配给同一个局域网上的多个VRRP路由器（运行VRRP协议的路由器）中的一个路由器，从而可以动态选举最合适的路由器提供服务。它保证当主路由器的下一跳路由失效时，可以及时的由另一台路由器来替代，保持通讯的连续性和可靠性。 * * 注意： 在正常情况下，主防火墙FW1处于Active状态，所有本地主机与互联网之间的通信流量必须经过FW1。另一台防火墙作为备份设备处于Passive状态，监控FW1的状态。当FW1发生故障（如断电）时，备份防火墙FW2转为Active状态工作，并接管FW1的所有工作，从而可以有效的防止防火墙上的单点故障。另外这个接管过程对用户是透明的，用户无需关心某一时刻哪台物理防火墙为它提供服务。 * 注意： NetEye FW5200规定防火墙冗余组的两台成员防火墙必须分别指定一个以太网接口作为专用的HA接口，并且VFRP的所有通信都是通过该接口进行的。HA接口不能路由。 选举协议和镜像协议是VFRP的两个互相独立的子协议，它们可以独立运行。 * 注意： 启用运行信息同步后，每隔0.5秒或同步缓冲区满时（同步缓冲区的大小为10K），镜像协议会进行一次同步过程。默认情况下，镜像协议对VPN隧道相关信息、NAT资源和ARP表和非HTTP 会话（TCP端口不为80）进行同步。 运行信息同步的结果是将Active防火墙上的上述信息同步到Passive防火墙上。如果是两台NetEye FW5200同时工作的情况（对于全交叉网络，此时两台NetEye FW5200都不启用选举协议，而是靠前端的交换机和后端的路由器配合来实现Active/Active的工作模式），那么此时运行信息是在两台防火墙之间互相同步的。 * 注意： VRRP只针对一个接口进行设置，但是修改后的选举协议，可以同时为多个接口进行冗余配置。 目前版本不支持抢占模式。 修改了发送VRRP数据包的方式，原来VRRP是通过工作接口，现在VFRP选举协议采用专门的HA接口。 目前版本不与VRRP兼容。 增加了当Active防火墙在监听到本防火墙“健康”状况不好的时候，主动放弃Active地位的特性。 影响防火墙健康状况的事件包括： 接口异常：当某个接口的线路不畅通，将产生事件。 风扇异常：当风扇的转速超过正常范围，将产生事件。 电压异常：电源电压超出正常范围，将产生事件。 温度异常：温度超过预定值，将产生事件。 硬盘异常：硬盘的读写出现异常，将产生事件。 * 注意： 为了保证同一个防火墙冗余组中的两台成员防火墙之间能够可靠、安全地通信，推荐将两台防火墙的HA接口直连。当两台防火墙无法直连时，可以启用NetEye FW5200选举协议的成员认证机制和镜像协议的同步加密功能。 建议保证两台成员防火墙上使用相同的物理接口作为HA ，以保证双方拓扑结构一致。 * 注意： Basic Information区域中各参数含义如下。 Interface：选取下拉框中要配置为HA接口的以太网接口。 Local IP Address：本地HA接口的IP地址。 Mask Length：子网掩码长度。 Remote IP Address：对端HA接口的IP地址。 VFID：防火墙冗余组ID，取值范围是1-63。 * 注意： VFRP用权重表示防火墙的健康状态，防火墙健康状态是相对用户设置的监控事件来说的。VFRP防火墙权重的初始值（没有设置任何事件探测和IP探测时）为160（如果没有发生硬盘事件时，权重的最小值为160；当发生硬盘异常时，此时不管权重为多少，防火墙的权重立即降低到80）。当开启事件探测或IP探测后，NetEye FW5200第一次探测返回的结果显示有N(N为用户设置的事件探测和IP探测的个数)个事件探测成功权重就加N，探测失败的事件权重值不变（如果探测失败的事件恢复正常，则权重相应增加）。如果某个事件连续2次或2次以上的探测结果相同（均为成功或失败），则权重值不变；如果该事件相临的2次探测结果不同，则权重相应加1或减1（例如：某事件第一次探测结果为成功，则权重加1。如果第2次探测结果仍为成功，则权重不变；如果第2次探测结果为失败，则权