飞塔防火墙双机-HA与会话同步.ppt

《飞塔防火墙双机-HA与会话同步.ppt》由会员分享，可在线阅读，更多相关《飞塔防火墙双机-HA与会话同步.ppt（33页珍藏版）》请在三一文库上搜索。

1、HA与会话同步course 301,概念,FortiGate高可用性集群功能通过消除了单点故障来提高了整个系统的可用性。 负载均衡通过在集群成员之间分配网络流量和安全服务以提高整体的性能。,需求,硬件保持一致 软件版本保持一致 FG50A不可以做HA FG300A以上可以实现全拓扑,运行模式,Active-Active 负载均衡 提高可靠性和性能 同步配置, 会话表, 转发表 Active-Passive 热备份 提高可靠性 同步配置, 会话表, 转发表 虚拟集群 虚拟域的负载均衡,Master 选举,Master 基于以下因素进行选举: 监控端口 系统运行时间 设备优先级 序列号 具有最少监

2、控端口失败的设备将成为master 具有比现主设备优先级高的设备在加入集群中时，将成为从设备. CLI 选项将跳过这个选项, 意味着具有高优先级的设备将成为主设备。,同步,配置 (sync-config) 会话表 (session-pickup) 转发信息库 (FIB) 内核使用 FIB, (diag ip route list) (NAT/Route mode) 在设备之间FIB是同步的 get router info routing table 在从设备上路由表是空的,心跳,物理的以太网接口 (hbdev) TCP 端口 702 心跳线 接口用于 HA 通信 Hello 间隔 200 ms

3、 HA 地址 10.0.0.x TCP 端口 23 用于 统计, 配置和管理 占用相当大的带宽 交叉线连接,HA配置,集群的属性 group-id group-name mode password 心跳线接口 hbdev 心跳线的间隔和阈值 hb-interval hb-lost-threshold Hello/工作状态 helo-holddown,FGCP信息的传递和可信度 Encryption Authentication Routing表同步 route-ttl route-wait route-hold,HA Configuration,Gratuitous ARPs arps Bou

4、nce Links Link 失败信号 变化后重新协商 override Unit 优先级 priority 监控接口 monitor,虚拟集群 vcluster2 虚拟域成员 vdom,非中断的升级,HA 集群可以进行平滑的升级而服务不中断 上传 Firmware 关掉负载均衡 从设备升级 新的主设备选举 前主设备升级 可能进行的新主设备选举 开启负载均衡,Master 选举,Master 基于以下因素进行选举: 监控端口 系统运行时间 设备优先级 序列号 具有最少监控端口失败的设备将成为master 具有比现主设备优先级高的设备在加入集群中时，将成为从设备. CLI 选项将跳过这个选项,

5、意味着具有高优先级的设备将成为主设备。,负载均衡 (A-A),Active-Active (Mode) 缺省状态下只有病毒扫描的会话将重新定向实现负载均衡。 病毒扫描会话将不进行切换 会话 拾起将应用于非病毒扫描的会话的同步 load-balance-all 将重新非配所有的TCP会话,A-A Schedulers 0. None Hub Least-connection Round-robin (default) Weighted round-robin Random IP IP + port CLI: set schedule ,负载均衡模式下AV会话过程Syn,Master Intern

6、al VMAC: 09-01-01 PMAC: 0b-a1-c0,Master External VMAC: 09-01-03 PMAC: 0b-a1-c2,Slave Internal PMAC: 0b-a4-8c,Slave External PMAC: 0b-a4-8e,1. dstMAC 09-01-01, srcMAC X, TCP SYN dport 80 2. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 80 3a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dport 80 3b. dstMAC X

7、, srcMAC 0b-a4-8c, TCP SYN ACK sport 80 (from HTTP proxy),1,3a,2,3b,X,Y,负载均衡模式下AV会话SYN,ACK ACK,Master Internal VMAC: 09-01-01 PMAC: 0b-a1-c0,Master External VMAC: 09-01-03 PMAC: 0b-a1-c2,Slave Internal PMAC: 0b-a4-8c,Slave External PMAC: 0b-a4-8e,4. dstMAC 09-01-01, srcMAC X, TCP ACK dport 80 5. dst

8、MAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP ACK dport 80 6. dstMAC 09-01-03, srcMAC Y, TCP SYN ACK sport 80 7. dstMAC 0b-a4-8e, srcMAC 0b-a1-c2, TCP SYN ACK sport 80 8. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80,4,6,5,X,Y,7,8,负载均衡模式下主设备的会话表,session info: proto=6 proto_state=11 expire=3599 timeout=3600 flags

9、=00000000 av_idx=4 use=5 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=49729 tunnel=/ state=redir log local may_dirty statistic(bytes/packets/err): org=1253/21/0 reply=1503/19/0 tuples=3 orgin-sink: org pre-post, reply pre-post oif=3/5 gwy=192.168.11.2

10、54/10.0.1.1 hook=post dir=org act=snat 10.0.1.1:2287-193.1.193.64:21(192.168.11.101:2287) hook=pre dir=reply act=dnat 193.1.193.64:21-192.168.11.101:2287(10.0.1.1:2287) hook=post dir=reply act=noop 193.1.193.64:21-10.0.1.1:2287(0.0.0.0:0) pos/(before,after) -233083355/(0,8), 0/(0,0) misc=20004 domai

11、n_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=00005ae5 tos=ff/ff session info: proto=6 proto_state=11 expire=3595 timeout=3600 flags=00000000 av_idx=4 use=6 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=1 hakey=49729 tunnel=/ state=redir log may_dirty

12、statistic(bytes/packets/err): org=999/21/0 reply=1921/19/0 tuples=3 orgin-sink: org pre-post, reply pre-post oif=3/5 gwy=192.168.11.254/10.0.1.1 hook=post dir=org act=snat 10.0.1.1:2291-193.1.193.64:21(192.168.11.101:2291) hook=pre dir=reply act=dnat 193.1.193.64:21-192.168.11.101:2291(10.0.1.1:2291

13、) hook=post dir=reply act=noop 193.1.193.64:21-10.0.1.1:2291(0.0.0.0:0) pos/(before,after) 1555340173/(8,16), 0/(0,0) misc=20004 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=00005b07 tos=ff/ff,Cluster ID of device handing session,AV scan enabled for FTP,负载均衡模式主设备的会话表 (load-balance-all)

14、,session info: proto=6 proto_state=01 expire=3564 timeout=3600 flags=00000000 av_idx=0 use=3 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=1 hakey=3328 tunnel=/ state=dirty may_dirty statistic(bytes/packets/err): org=48/1/0 reply=0/0/0 tuples=2 orgin-sink: org

15、 pre-post, reply pre-post oif=0/3 gwy=0.0.0.0/0.0.0.0 hook=pre dir=org act=dnat 192.168.11.254:39044-192.168.11.102:3389(10.0.1.2:3389) hook=post dir=reply act=snat 10.0.1.2:3389-192.168.11.254:39044(192.168.11.102:3389) pos/(before,after) 0/(0,0), 0/(0,0) misc=0 domain_info=0 auth_info=0 ftgd_info=

16、0 ids=0 x0 vd=0 serial=00000240 tos=ff/ff session info: proto=6 proto_state=01 expire=3361 timeout=3600 flags=00000000 av_idx=9 use=3 bandwidth=0/sec guaranteed_bandwidth=0/sec traffic=0/sec prio=0 logtype=session ha_id=0 hakey=3327 tunnel=/ state=log dirty may_dirty statistic(bytes/packets/err): or

17、g=85725/1434/0 reply=362915/1489/0 tuples=2 orgin-sink: org pre-post, reply pre-post oif=0/3 gwy=0.0.0.0/0.0.0.0 hook=pre dir=org act=dnat 192.168.11.254:38917-192.168.11.101:3389(10.0.1.1:3389) hook=post dir=reply act=snat 10.0.1.1:3389-192.168.11.254:38917(192.168.11.101:3389) pos/(before,after) 0

18、/(0,0), 0/(0,0) misc=0 domain_info=0 auth_info=0 ftgd_info=0 ids=0 x0 vd=0 serial=0000071c tos=00/00,Non AV scanned TCP sessions are distributed between cluster members,Virtual Clusters,仅支持Active-Passive模式 不支持虚拟域内的连接 每一个虚拟域以不同的虚拟MAC地址进行识别,HA Failover,Keep-Alive 包丢失 (hb-lost-threshold) 如果主设备失败，将选举新的主

19、设备 并且这个设备将具有虚拟 MAC 地址 非病毒扫描的会话可以进行切换 (session-pickup) 端口监控 FortiOS v3.0 可以选择端口进行监控，不像 FortiOS v2.8 不能指定优先级 如果监控的端口失去连接，集群将进行重新协商 具有最少监控端口失败的设备将成为master 端口监控优先于设备优先级,虚拟MAC Address,虚拟MAC被用来转发流量到主设备(NAT/Route) 透明模式下虚拟MAC只用于管理流量 FortiOS v3.0 HA Virtual MAC 00-09-0f-06- Example FortiGate-5001 with HA gro

20、up ID 23 port5 and port 6 are in the root vdom (member of virtual cluster1) port7 and port8 are in the test vdom (member of virtual cluster 2) VMAC addresses: port5 interface virtual MAC: 00-09-0f-06-23-05 port6 interface virtual MAC: 00-09-0f-06-23-06 port7 interface virtual MAC: 00-09-0f-06-23-27

21、port8 interface virtual MAC: 00-09-0f-06-23-28 diagnose hardware deviceinfo nic wan1 Current_HWaddr00:09:0f:09:00:03 Permanent_HWaddr00:09:0f:0a:0d:a2,Full Mesh HA,FGT800 和以上型号适用全网（FULL Mesh)HA,Normal Mode 正常运行模式下, 所有的端口都是Active， 并用于传送数据. Link Failover Mode 如果一个正常的活动端口失败 , 另一个非活动的端口将被激活(对网络操作是透明的) 并

22、且数据传输不会中断.,HA Stats,从 GUI 观察各集群成员: 系统运行时间 CPU、内存使用率 活动的 sessions 网络占用 (Kbps) 病毒和入侵总数 总的数据包和字节,diag sys ha status,单机模式的会话同步,会话同步特性,2 FGT工作于单机模式 基于VDOM的会话同步 外部流量通常使用路由器或负载均衡设备转发 所有FortiGate都处理流量(没有主备关系) 允许同一会话的流量在两台设备间切换,只能使用防火墙功能(不支持保护内容表) 只同步TCP会话 NAT的会话不能同步 不支持非对称路由 在有会话的情况下，FortiGate kernal仍然需要检查双

23、向的数据包，因此不能用于非对称路由 TCP三步握手可由asymroute控制，后续数据包在有会话同步的情况下由会话同步机制控制，无会话同步的情况下由asymroute控制，按标志位决定是否允许通过 只能使用命令行配置 MR6目前版本存在流量日志bug(触发两次流量日志),会话同步的限制,会话同步,primary,secondary,router,router,traffic,traffic,sync-mgt,sync-mgt,synched,配置,Primary,root,VDT1,config global config system interface edit port2 set vdo

24、m root set ip 192.168.8.3 255.255.255.0 set allowaccess ping set type physical next ./. config system session-sync edit 1 set peerip 192.168.8.4 set peervd root set syncvd VDT1 next end,port2,Secondary,root,VDT1,port2,config global config system interface edit port2 set vdom root set ip 192.168.8.4

25、255.255.255.0 set allowaccess ping set type physical next ./. config system session-sync edit 1 set peerip 192.168.8.3 set peervd root set syncvd VDT1 next end,注意事项,建议使用FortiManager进行策略配置 可以使用动态路由协议(如BGP)进行流量负载均衡 MR7将继续增强 (标记防火墙会话),Troubleshooting,Diag sys session sync,#FG5001-5050-A-1 (global) # di

26、agnose sys session sync sync_ctx: sync_enabled=1, sync_redir=0, sync_nat=0, sync_others=1. sync: create=1, update=2, delete=0, query=0 recv: create=0, update=0, delete=0, query=0, queryall=1 nCfg_sess_sync_num=1,Diag debug application sessionsync -1,#FG5001-5050-A-3 (global) # sessionsync.c:session_

27、sync_loop:582,numev=1 sessionsync.c:process_sync_udpsock:354,datalen=200, from=c0a80803:1035, 308a8c0 sessionsync.c:_send_msg_to_nl:336,rta: len=120, type=16 sessionsync.c:process_sync_udpsock:354,datalen=-1, from=c0a80803:1035, 308a8c0 sessionsync.c:session_sync_loop:582,numev=1 sessionsync.c:proce

28、ss_sync_udpsock:354,datalen=80, from=c0a80803:1035, 308a8c0 sessionsync.c:_send_msg_to_nl:336,rta: len=72, type=17 sessionsync.c:process_sync_udpsock:354,datalen=-1, from=c0a80803:1035, 308a8c0,Troubleshooting,Sniffing session synchronization traffic,#74.540099 192.168.8.3.1036 - 192.168.8.4.708: ud

29、p 60 0 x0000 0009 0f68 0597 0009 0f68 37d3 0800 4500 .h.h7.E. 0 x0010 0058 18ad 0000 4011 d090 c0a8 0803 c0a8 .X. 0 x0020 0804 040c 02c4 0044 dac8 1100 0000 3400 .D.4. 0 x0030 0000 3400 1300 c0a8 0101 c0a8 0305 0000 .4. 0 x0040 0000 e5a9 0051 0000 0000 0656 4454 3100 .Q.VDT1. 0 x0050 0000 0000 0000

30、0000 0000 00ff ffff 0000 . 0 x0060 0000 1879 0000 .y. 74.964809 192.168.8.4.1037 - 192.168.8.3.708: udp 128 0 x0000 0009 0f68 37d3 0009 0f68 0597 0800 4500 .h7.h.E. 0 x0010 009c c7b9 0000 4011 2140 c0a8 0804 c0a8 .!. 0 x0020 0803 040d 02c4 0088 a7e7 1100 0000 7800 .x. 0 x0030 0000 7800 1000 0404 000

31、0 0604 0604 0001 .x. 0 x0040 0000 4000 0000 0000 0000 0000 0000 0000 . 0 x0050 0000 0000 0000 0051 0000 0200 0000 7631 .Q.v1 0 x0060 3332 0000 0000 0000 0000 0000 0000 7633 32.v3 0 x0070 3431 0000 0000 0000 0000 0000 0000 2c00 41.,. 0 x0080 0100 c0a8 0101 c0a8 0305 0000 0000 e5a9 . 0 x0090 0051 0000

32、 0000 c0a8 0305 c0a8 0101 0000 .Q. 0 x00a0 0000 0051 e5a9 0000 0401 .Q.,FAQ,Q: 会话能否在两台FGT的不同的VDOM之间同步？ A: 不能，将在今后的版本中提供。 Q: 两台FGT对应的接口名是否应该相同？ A: 是的。 Q: 两台FGT对应的接口能否使用不同的Index？ A: 可以。 Q: 两台FGT对应的VLAN接口能否使用不同的VLAN ID？ A: 可以，只需要接口名称相同。 Q: 在 config sys session-synch命令下的edit 是否必须使用相同的数字？ A: 不用。,FAQ,Q: FortiManager能否定义一个VDOM组，其中包含的VDOM属于不同的FortiGate？ (这样就可以直接给这一VDOM组推送策略) A: 可以 Q: 是否支持Zone或者聚合接口？ A: 是 Q: 是否仍然进行状态检测？ A: 是的，所有的TCP状态变化会在peer之间同步 Q: 是否支持非对称路由（出站流量和入站流量分别通过不同的设备）？ A: 不支持 以下接口未经测试: inter-vdom links, FA2接口, HA集群间的会话同步, 冗余接口,实验,两两一组，搭建环境，测试高可用性和集群,