双机热备模式指的是一台设备处于激活状态,其他设备处于备用状态,不转发任何报文。这种模式可实现冗余备份,避免产生单点故障。防火墙工作在双机热备模式下支持透明和路由模式。
从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备到运行状态。整个失效保护过程是透明的,一旦主设备失效,从设备会自动接替其工作。如果设备接口或链路出现故障,集群内会更新链路状态数据库,重新选举新的主设备。
Active-Active(A-A)负载均衡模式
负载均衡模式指的是当网络应用的访问量不断增长,单个服务器无法满足负载需求,网络应用流量将要出现瓶颈时,使用多台服务器共同分担网络负载,缩短响应时间,优化性能,同时还能实现冗余备份,避免单点故障。防火墙工作在负载均衡模式下支持路由模式。
在负载均衡模式下,两台/多台防火墙并行工作,都处于正常的数据转发状态。通过在每台防火墙中设置多个VRRP备份组,并将不同热备组的主防火墙角色分配到负载均衡组中不同的防火墙上,使防火墙作为某VRRP备份组的主墙,作为另一个VRRP备份组的从墙,实现两台/多台防火墙中VRID相同的组之间可以相互备份。当负载均衡组内处于工作状态的防火墙宕机或网络接口故障,担任相应热备组的从防火墙角色的防火墙将转为工作状态,实现了正常状态下流量的负载均衡及异常情况下的热备切换功能。
Session-Protect(S-P)连接保护模式
在连接保护模式下,所有防火墙均处于负载分担状态并且在网络部署层面相互独立,防火墙之间通过心跳线只同步连接信息,并不同步状态信息,不区分主备。当两台/多台防火墙均正常工作时,由上下游的设备通过运行OSPF选路,当其中一台防火墙发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。防火墙工作在连接保护模式下支持透明和路由模式。
HA配置要求
进行HA 配置, 硬件和软件版本需满足如下要求:
1) 防火墙硬件型号相同;
2) 同型号硬件要求硬件版本,内存容量,CPU 型号,硬盘容量等相同;
3) 相同的软件版本;
4) 设备授权相同。
双机热备模式下的系统升级过程
在双机热备模式下系统需要升级时,先对备机进行升级,升级完成后切换主备状态,然后对主机进行升级。