資源描述:
《TOS 3.3版本HA的實(shí)現(xiàn)》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1�、TOS3.3版本HA的實(shí)現(xiàn)測試部馬愛卿2007年4月26日提綱HA功能簡介HA的實(shí)現(xiàn)原理HA的模式和典型應(yīng)用3.3和3.2版本HA功能的區(qū)別HA的配置FAQHA功能簡介此處的HA特指雙機(jī)單工和雙機(jī)雙工兩種雙機(jī)下的工作模式。其目的是為了避免防火墻作為網(wǎng)關(guān)設(shè)備出現(xiàn)故障時(shí)�����,成為網(wǎng)絡(luò)的單一故障點(diǎn)��。HA主要有兩種工作模式:A/A:Active-to-Active�����,即雙機(jī)雙工的備份方式��。AA不需要留出一臺(tái)設(shè)備專門做備份��,而是可以兩臺(tái)或多臺(tái)設(shè)備并行工作�,并且相互間可以互為備份,保證設(shè)備故障時(shí)別的設(shè)備能接替其工作���。A/S:Active-to-St
2����、andby����,即雙機(jī)單工的備份方式。在A/S模式下�����,作為備份的雙方�����,同一時(shí)刻只能有一臺(tái)設(shè)備在工作�,進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。HA的實(shí)現(xiàn)原理HA狀態(tài)控制軟件同步報(bào)文傳輸類型VRRP狀態(tài)機(jī)HA中VRRP的實(shí)現(xiàn)程度故障探測主備切換過程AA和AS模式的區(qū)別HA狀態(tài)控制HA狀態(tài)控制模塊HA狀態(tài)控制模塊網(wǎng)絡(luò)模塊網(wǎng)絡(luò)模塊其余受控模塊其余受控模塊冗余協(xié)議設(shè)備A設(shè)備B軟件同步軟件同步包含配置同步和RTO同步兩個(gè)方面��,是保證主備切換后設(shè)備正常工作的一個(gè)重要因素��。配置同步:配置同步保證雙機(jī)熱備時(shí)配置策略的一致性���,如Firewallpolicy�����、PFrule����、NATp
3、olicy等的配置必須相同�,不會(huì)同步HA的本地配置。需要指出的是�,在3.3的實(shí)現(xiàn)中,只有A/S模式仍然支持配置進(jìn)行同步���,AA下配置相同的部分需要手動(dòng)保證����。軟件同步RTO同步:RTO����,即Run-timeObject����,這是NetScreen的說法��,主要包含session表信息DPI信息�。這里說的DPI����,主要是指對(duì)FTP和SQLNet子連接的識(shí)別。RTO信息在單獨(dú)的UDP報(bào)文中發(fā)送��。發(fā)送方式為:如果連接較少�,則定期(1s)發(fā)送連接;如果連接較多�,則采取一次發(fā)送30多條的方式。發(fā)送連接的處理方式:發(fā)送連接表時(shí)��,并不是把連接表整個(gè)打包進(jìn)行發(fā)
4�����、送����,而只是發(fā)送連接表項(xiàng)的五元組、flags信息和DPI信息���;接收方收到報(bào)文后��,會(huì)根據(jù)這些信息重建連接��。報(bào)文傳輸類型心跳線上存在3種類型的報(bào)文:1.VRRP通告:可以看作是HA的控制報(bào)文���,是多播地址224.0.0.18的UDP報(bào)文���。兩臺(tái)設(shè)備通過VRRP通告來得到對(duì)端信息,通過這些信息來決定墻的工作狀態(tài)�����。2.連接表同步報(bào)文:TOS使用源和目的都是9000端口的UDP報(bào)文進(jìn)行連接表的同步����。當(dāng)連接較多時(shí),會(huì)采取一次(一個(gè)UDP包)發(fā)送幾十條的方式���;如果連接較少�,則會(huì)由定時(shí)器觸發(fā)定期發(fā)送���。有兩種情況下會(huì)進(jìn)行連接表的同步:從墻啟動(dòng)時(shí)會(huì)請(qǐng)求主墻
5�、做一次連接表的完全同步有新建連接時(shí)會(huì)實(shí)時(shí)同步連接同步本質(zhì)上是由新建連接觸發(fā)的��,不是定時(shí)器觸發(fā)的���;定時(shí)器就是hello-interval���,每次發(fā)送hello報(bào)文,會(huì)順便觸發(fā)連接表同步�����。3.配置同步報(bào)文:TOS使用TCP連接來傳輸配置��,由此保證兩臺(tái)設(shè)備配置同步的準(zhǔn)確性���,所用端口也是9000�。VRRP狀態(tài)機(jī)InitializeMasterBackupHA中VRRP的實(shí)現(xiàn)程度HA采用了VRRP的思想����,但和標(biāo)準(zhǔn)的交換機(jī)上VRRP實(shí)現(xiàn)還是有一些區(qū)別的。相同之處:AA擁有完整的VRRP狀態(tài)機(jī):Initiate����、Master、Backup三種狀態(tài)
6、��,狀態(tài)轉(zhuǎn)換的條件基本是一致的�;按照priority來進(jìn)行主備狀態(tài)選擇;均為主設(shè)備才進(jìn)行數(shù)據(jù)報(bào)文的轉(zhuǎn)發(fā)�����;均支持設(shè)備恢復(fù)后的搶占����;均采用多播報(bào)文作為hello報(bào)文;只有主設(shè)備才會(huì)通告自己的狀態(tài)�����;均實(shí)現(xiàn)了靜態(tài)的負(fù)載均衡���,而無法實(shí)現(xiàn)動(dòng)態(tài)負(fù)載均衡�。HA中VRRP的實(shí)現(xiàn)程度不同之處:AA只支持兩臺(tái)墻之間的備份�;AA采用主墻的真實(shí)MAC地址進(jìn)行通信,VRRP組則生成一個(gè)虛MAC地址進(jìn)行通信����;AA需要在兩臺(tái)墻上配置相同的IP地址作為備份��,VRRP采用一個(gè)可配置的虛擬且共用的IP地址進(jìn)行通信����;AA中hello報(bào)文只能在心跳線上進(jìn)行傳輸�����,VRRP中h
7��、ello報(bào)文可以在任意鏈路上進(jìn)行傳輸��;AA上需要進(jìn)行連接的實(shí)時(shí)同步�����,而VRRP協(xié)議本身沒有這個(gè)要求����;VRRP中可以進(jìn)行明文或MD5認(rèn)證�,AA目前沒有認(rèn)證手段。故障探測故障探測保證主設(shè)備異常時(shí)從墻能正確進(jìn)行狀態(tài)切換��,接替主墻工作。3.3版本的故障檢測機(jī)制包括以下幾個(gè)方面:進(jìn)行載波檢測����,如果檢測不到載波信息,證明接口已經(jīng)發(fā)生故障�����;判斷接口是否down掉�����;可以配置探測的參考地址���,通過接口探測不到某一個(gè)IP�����,則說明此鏈路不通��。當(dāng)故障探測模塊探測到故障時(shí)��,會(huì)立即通知對(duì)應(yīng)VRRP監(jiān)控進(jìn)程進(jìn)行故障切換�。主備切換過程主備切換時(shí)��,主墻和從墻分別會(huì)做
8�����、以下操作:從->主:成為主墻的設(shè)備會(huì)使其工作接口生效,響應(yīng)arp請(qǐng)求并處理到達(dá)接口的報(bào)文��;如果是路由接口�,則為該接口上的IP發(fā)送若干次免費(fèi)ARP,目的是通知相臨的交換機(jī)刷新MAC表��;通知相關(guān)模塊進(jìn)行處理���;開始發(fā)送VRRP通告報(bào)文。主->從:主墻變?yōu)?/p>
