飞塔防火墙双机-HA与会话同步ppt.ppt

HA与会话同步course301 概念 FortiGate高可用性集群功能通过消除了单点故障来提高了整个系统的可用性 负载均衡通过在集群成员之间分配网络流量和安全服务以提高整体的性能 需求 硬件保持一致软件版本保持一致FG50A不可以做HAFG300A以上可以实现全拓扑 运行模式 Active Active负载均衡提高可靠性和性能同步配置 会话表 转发表Active Passive热备份提高可靠性同步配置 会话表 转发表虚拟集群虚拟域的负载均衡 Master选举 Master基于以下因素进行选举 监控端口系统运行时间设备优先级序列号具有最少监控端口失败的设备将成为master具有比现主设备优先级高的设备在加入集群中时 将成为从设备 CLI选项将跳过这个选项 意味着具有高优先级的设备将成为主设备 同步 配置 sync config 会话表 session pickup 转发信息库 FIB 内核使用FIB diagiproutelist NAT Routemode 在设备之间FIB是同步的getrouterinforoutingtable在从设备上路由表是空的 心跳 物理的以太网接口 hbdev TCP端口702心跳线接口用于HA通信Hello间隔200msHA地址10 0 0 xTCP端口23用于统计 配置和管理占用相当大的带宽交叉线连接 HA配置 集群的属性group idgroup namemodepassword心跳线接口hbdev心跳线的间隔和阈值hb intervalhb lost thresholdHello 工作状态helo holddown FGCP信息的传递和可信度EncryptionAuthenticationRouting表同步route ttlroute waitroute hold HAConfiguration GratuitousARP sarpsBounceLinksLink失败信号变化后重新协商overrideUnit优先级priority监控接口monitor 虚拟集群vcluster2虚拟域成员vdom 非中断的升级 HA集群可以进行平滑的升级而服务不中断上传Firmware关掉负载均衡从设备升级新的主设备选举前主设备升级可能进行的新主设备选举开启负载均衡 Master选举 Master基于以下因素进行选举 监控端口系统运行时间设备优先级序列号具有最少监控端口失败的设备将成为master具有比现主设备优先级高的设备在加入集群中时 将成为从设备 CLI选项将跳过这个选项 意味着具有高优先级的设备将成为主设备 负载均衡 A A Active Active Mode 缺省状态下只有病毒扫描的会话将重新定向实现负载均衡 病毒扫描会话将不进行切换会话拾起将应用于非病毒扫描的会话的同步load balance all将重新非配所有的TCP会话 A ASchedulers0 NoneHubLeast connectionRound robin default Weightedround robinRandomIPIP portCLI setschedule 负载均衡模式下AV会话过程 Syn MasterInternalVMAC 09 01 01PMAC 0b a1 c0 MasterExternalVMAC 09 01 03PMAC 0b a1 c2 SlaveInternalPMAC 0b a4 8c SlaveExternalPMAC 0b a4 8e 1 dstMAC09 01 01 srcMACX TCPSYNdport802 dstMAC0b a4 8c srcMAC0b a1 c0 TCPSYNdport803a dstMACY srcMAC0b a4 8e TCPSYNdport803b dstMACX srcMAC0b a4 8c TCPSYNACKsport80 fromHTTPproxy 1 3a 2 3b X Y 负载均衡模式下AV会话 SYN ACKACK MasterInternalVMAC 09 01 01PMAC 0b a1 c0 MasterExternalVMAC 09 01 03PMAC 0b a1 c2 SlaveInternalPMAC 0b a4 8c SlaveExternalPMAC 0b a4 8e 4 dstMAC09 01 01 srcMACX TCPACKdport805 dstMAC0b a4 8c srcMAC0b a1 c0 TCPACKdport806 dstMAC09 01 03 srcMACY TCPSYNACKsport807 dstMAC0b a4 8e srcMAC0b a1 c2 TCPSYNACKsport808 dstMACY srcMAC0b a4 8e TCPACKdport80 4 6 5 X Y 7 8 负载均衡模式下主设备的会话表 sessioninfo proto 6proto state 11expire 3599timeout 3600flags 00000000av idx 4use 5bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 0hakey 49729tunnel state redirloglocalmay dirtystatistic bytes packets err org 1253 21 0reply 1503 19 0tuples 3orgin sink orgpre post replypre postoif 3 5gwy 192 168 11 254 10 0 1 1hook postdir orgact snat10 0 1 1 2287 193 1 193 64 21 192 168 11 101 2287 hook predir replyact dnat193 1 193 64 21 192 168 11 101 2287 10 0 1 1 2287 hook postdir replyact noop193 1 193 64 21 10 0 1 1 2287 0 0 0 0 0 pos before after 233083355 0 8 0 0 0 misc 20004domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 00005ae5tos ff ffsessioninfo proto 6proto state 11expire 3595timeout 3600flags 00000000av idx 4use 6bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 1hakey 49729tunnel state redirlogmay dirtystatistic bytes packets err org 999 21 0reply 1921 19 0tuples 3orgin sink orgpre post replypre postoif 3 5gwy 192 168 11 254 10 0 1 1hook postdir orgact snat10 0 1 1 2291 193 1 193 64 21 192 168 11 101 2291 hook predir replyact dnat193 1 193 64 21 192 168 11 101 2291 10 0 1 1 2291 hook postdir replyact noop193 1 193 64 21 10 0 1 1 2291 0 0 0 0 0 pos before after 1555340173 8 16 0 0 0 misc 20004domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 00005b07tos ff ff ClusterIDofdevicehandingsession AVscanenabledforFTP 负载均衡模式主设备的会话表 load balance all sessioninfo proto 6proto state 01expire 3564timeout 3600flags 00000000av idx 0use 3bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 1hakey 3328tunnel state dirtymay dirtystatistic bytes packets err org 48 1 0reply 0 0 0tuples 2orgin sink orgpre post replypre postoif 0 3gwy 0 0 0 0 0 0 0 0hook predir orgact dnat192 168 11 254 39044 192 168 11 102 3389 10 0 1 2 3389 hook postdir replyact snat10 0 1 2 3389 192 168 11 254 39044 192 168 11 102 3389 pos before after 0 0 0 0 0 0 misc 0domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 00000240tos ff ffsessioninfo proto 6proto state 01expire 3361timeout 3600flags 00000000av idx 9use 3bandwidth 0 secguaranteed bandwidth 0 sectraffic 0 secprio 0logtype sessionha id 0hakey 3327tunnel state logdirtymay dirtystatistic bytes packets err org 85725 1434 0reply 362915 1489 0tuples 2orgin sink orgpre post replypre postoif 0 3gwy 0 0 0 0 0 0 0 0hook predir orgact dnat192 168 11 254 38917 192 168 11 101 3389 10 0 1 1 3389 hook postdir replyact snat10 0 1 1 3389 192 168 11 254 38917 192 168 11 101 3389 pos before after 0 0 0 0 0 0 misc 0domain info 0auth info 0ftgd info 0ids 0 x0vd 0serial 0000071ctos 00 00 NonAVscannedTCPsessionsaredistributedbetweenclustermembers VirtualClusters 仅支持Active Passive模式不支持虚拟域内的连接每一个虚拟域以不同的虚拟MAC地址进行识别 2020 3 17 18 可编辑 HAFailover Keep Alive包丢失 hb lost threshold 如果主设备失败 将选举新的主设备并且这个设备将具有虚拟MAC地址非病毒扫描的会话可以进行切换 session pickup 端口监控FortiOSv3 0可以选择端口进行监控 不像FortiOSv2 8不能指定优先级如果监控的端口失去连接 集群将进行重新协商具有最少监控端口失败的设备将成为master端口监控优先于设备优先级 虚拟MACAddress 虚拟MAC被用来转发流量到主设备 NAT Route 透明模式下虚拟MAC只用于管理流量FortiOSv3 0HAVirtualMAC00 09 0f 06 ExampleFortiGate 5001withHAgroupID23port5andport6areintherootvdom memberofvirtualcluster1 port7andport8areinthetestvdom memberofvirtualcluster2 VMACaddresses port5interfacevirtualMAC 00 09 0f 06 23 05port6interfacevirtualMAC 00 09 0f 06 23 06port7interfacevirtualMAC 00 09 0f 06 23 27port8interfacevirtualMAC 00 09 0f 06 23 28diagnosehardwaredeviceinfonicwan1Current HWaddr00 09 0f 09 00 03Permanent HWaddr00 09 0f 0a 0d a2 FullMeshHA FGT800和以上型号适用全网 FULLMesh HA NormalMode正常运行模式下 所有的端口都是Active 并用于传送数据 LinkFailoverMode如果一个正常的活动端口失败 另一个非活动的端口将被激活 对网络操作是透明的 并且数据传输不会中断 HAStats 从GUI观察各集群成员 系统运行时间CPU 内存使用率活动的sessions网络占用 Kbps 病毒和入侵总数总的数据包和字节 diagsyshastatus 单机模式的会话同步 会话同步特性 2FGT工作于单机模式基于VDOM的会话同步外部流量通常使用路由器或负载均衡设备转发所有FortiGate都处理流量 没有主备关系 允许同一会话的流量在两台设备间切换 只能使用防火墙功能 不支持保护内容表 只同步TCP会话NAT的会话不能同步不支持非对称路由在有会话的情况下 FortiGatekernal仍然需要检查双向的数据包 因此不能用于非对称路由TCP三步握手可由asymroute控制 后续数据包在有会话同步的情况下由会话同步机制控制 无会话同步的情况下由asymroute控制 按标志位决定是否允许通过只能使用命令行配置MR6目前版本存在流量日志bug 触发两次流量日志 会话同步的限制 会话同步 primary secondary router router traffic traffic sync mgt sync mgt synched 配置 Primary root VDT1 configglobalconfigsysteminterfaceedit port2 setvdom root setip192 168 8 3255 255 255 0setallowaccesspingsettypephysicalnext configsystemsession syncedit1setpeerip192 168 8 4setpeervd root setsyncvd VDT1 nextend port2 Secondary root VDT1 port2 configglobalconfigsysteminterfaceedit port2 setvdom root setip192 168 8 4255 255 255 0setallowaccesspingsettypephysicalnext configsystemsession syncedit1setpeerip192 168 8 3setpeervd root setsyncvd VDT1 nextend 注意事项 建议使用FortiManager进行策略配置可以使用动态路由协议 如BGP 进行流量负载均衡MR7将继续增强 标记防火墙会话 Troubleshooting Diagsyssessionsync FG5001 5050 A 1 global diagnosesyssessionsyncsync ctx sync enabled 1 sync redir 0 sync nat 0 sync others 1 sync create 1 update 2 delete 0 query 0recv create 0 update 0 delete 0 query 0 queryall 1nCfg sess sync num 1 Diagdebugapplicationsessionsync 1 FG5001 5050 A 3 global sessionsync c session sync loop 582 numev 1sessionsync c process sync udpsock 354 datalen 200 from c0a80803 1035 308a8c0sessionsync c send msg to nl 336 rta len 120 type 16sessionsync c process sync udpsock 354 datalen 1 from c0a80803 1035 308a8c0sessionsync c session sync loop 582 numev 1sessionsync c process sync udpsock 354 datalen 80 from c0a80803 1035 308a8c0sessionsync c send msg to nl 336 rta len 72 type 17sessionsync c process sync udpsock 354 datalen 1 from c0a80803 1035 308a8c0 Troubleshooting Sniffingsessionsynchronizationtraffic 74 540099192 168 8 3 1036 192 168 8 4 708 udp600 x000000090f68059700090f6837d308004500 h h7 E 0 x0010005818ad00004011d090c0a80803c0a8 X 0 x00200804040c02c40044dac8110000003400 D 4 0 x0030000034001300c0a80101c0a803050000 4 0 x00400000e5a9005100000000065644543100 Q VDT1 0 x00500000000000000000000000ffffff0000 0 x0060000018790000 y 74 964809192 168 8 4 1037 192 168 8 3 708 udp1280 x000000090f6837d3000