集群l2tp是什么

l2tp是什么  时间:2021-05-07  阅读:()
第1页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255FortiGateHA功能说明1.
1主用-备用模式FortiGate防火墙HA的主用-备用(A-P)模式提供了一个双机热备份集群的机制来对网络连接进行可用性保护,在HA集群里面只有一台主用设备在处理所有的网络流量,其他的一台或几台则处于备用状态FortiGate不处理任何网络流量只是在实时的监控着主用FortiGate是否仍然正常工作.
备机主要的工作有:实时和主用FortiGate同步配置;监控主用FortiGate状态;如果启用了会话备份功能(sessionpick-up)的话,备用设备需要实时同步主用设备上的会话以确保在主用设备出现问题是可以透明接替主用设备,所有主用设备上已经建立的会话不需要重新建立,会话备份功能目前可以支持没有启用防火墙保护内容表的所有TCP/UDP/ICMP/多播/广播数据流;如果没有启用了会话备份功能(sessionpick-up)的话,备用设备不会实时同步主用设备上的会话,所有主用设备上已经建立的会话在发生HA切换时需要重新建立;1.
2主用-主用模式第2页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255A-P模式部署的防火墙虽然有多台在网但实际上只有一台设备在工作其他所有的设备都在实时的监控主用机发生故障才会有一台接替工作,这样带来的一个问题是设备资源利用率不足.
FortiGate防火墙HA功能同时提供了主用-主用(A-A)模式,也就是在所有HA集群中的所有设备都同时工作以同时达到负载均衡和热备份的功能,在A-A集群里面默认配置下的主设备不会负载均衡没有启用保护内容表的流量给非主工作设备,它只会负载均衡所有的启用了防火墙保护内容表的网络连接,处理时它会先接收下来所有的流量同时根据负载均衡配置把相关连接动态分配给其他的非主工作设备处理.
这样处理的原因是:通常启用了防火墙保护内容表的网络连接才是CPU和内存消耗主要来源,这样可以大大增加A-A部分是集群的高层安全处理能力.
实际上也可以开启A-A集群负载所有TCP网络流量的功能,需要进入命令行下面开启HA的load-balance-all功能就可以了.
FortiGate防火墙HA的A-A集群不支持UDP/ICMP/多播/广播流量的负载均衡功能,也不支持VoIP、IM、IPSecVPN、HTTPS和SSLVPN负载均衡功能,所有的以上流量都将只有A-A集群里面的主工作设备处理.
FortiGate防火墙HA的A-A集群会话备份功能(sessionpick-up)支持没有启用防火墙内容保护表的TCP流量,并不提供基于防火墙内容保护表的流量的会话备份功能(sessionpick-up),也不支持UDP/ICMP/多播/广播流量会话备份功能(sessionpick-up).
第3页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255下图显示了一个典型的包含了2台FGT3600的HA部署结构:2.
关于设备故障切换和链路故障切换2.
1什么是设备故障切换在FortiGate防火墙A-P模式部署中,主用设备处理所有的网络流量,当主用设备出现故障时,如断电,死机,重启等等,备用设备就会自动接替主用设备工作并成为新的主用设备.
2.
2什么是链路故障切换配置的监控口(monitorinterface)如果出现故障,HA集群就会知道哪个设备上已有网口故障,如果发生网口故障的是一个主用设备,那么HA就会发生切换,备用设备就会主动接替主用设备工作以确保网络的连通性.
监控端口(monitorinterface)是FortiGateHA配置的一部分,建议最好把需要监控的第4页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255接口全部都配置上,这样其中任意接口出现故障都可以触发HA切换;可以把一些无关紧要的接口不配置监控功能,这样这些无关紧要的接口出现故障时并不发生HA切换.
在所有的HA集群中间,拥有最少的监控的故障接口的设备将会成为主用设备,如果有些设备监控的故障接口数量一致,将按照通常的HA主用设备选举过程产品HA主用设备.
备用设备监控接口发生故障时并不发生HA切换而仅仅是把接口故障信息共享同步到所有的HA集群设备里面去,以备发生其他故障时使用.
3.
HA集群的Fireware升级HA集群Web界面里面或这CLI界面下的升级方法和单机的升级方法是一样的,在升级一个HA集群时,升级程序会把所有的集群里面的FortiGate都升级起来包括A-A或A-P模式里面的主用和备用设备,默认配置下HA集群的升级是一个完全无中断的升级过程,这种情况下,升级程序会先把HA集群里面的备用设备升级,等所有的备用设备一台一台全部升级并且重启完成后重新加入到HA集群的时候才升级主用设备,这个时候备用设备就可以接替主用设备工作从而不会导致fireware升级过程中中断网络.
如果有必要,你也可以手工的停止HA集群默认的无中断升级功能,这样,升级程序会同时升级所有的HA集群设备从而产生网络中断.
注意:使用串口用TFTP服务器烧FortiGate版本的时候不在上述升级范围内.
4.
HA配置第5页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052554.
1HA的运行模式包括单机模式,主用-备用模式(A-P)和主用-主用模式(A-A).
4.
2设备优先级这是一个可选参数,所有的HA集群里面的设备都可以配置一个不同优先级,在HA协商过程中用来确定谁是主谁是备.
4.
3HA组名用来区分不同的HA集群,最长支持7个字符.
4.
4HA同步密码选配参数,用来HA设备间进行认证使用.
4.
5HA会话备份功能(sessionpick-up)启用HA会话备份功能(sessionpick-up)之后,当主用设备出现故障时,备用设备接替工作,所有的非启用保护内容表的连接可以被备用设备接着处理,不重新开始.
4.
6HA接口监控功能用来监控FortiGate接口是否正常工作从而触发HA集群切换的功能.
4.
7HA心跳口及优先级第6页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255HA集群内的各个设备间同步配置、会话信息等等信息和设备监控功能都需要通过HA心跳口进行,在FortiGateHA集群里面可以配置多个心跳口并可以设置不同的优先级,高优先级心跳口优先使用,当高优先级心跳口故障时其他的心跳口仍然可以保证设备间心跳功能.
另外,FortiGate心跳协议也支持复用在普通的通讯口上,也就是说这个口不光有用户数据传送也同时传送HA心跳报文.
由于心跳功能对HA集群极其重要(心跳口故障将导致HA集群无法正常工作),所以建议部署HA集群时至少有一组独立的心跳口,另外加一组复用的心跳口.
5,HA集群的主用设备选举过程5.
1抢占(override)功能禁止时第7页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255HA选举过程如下图显示:对于大多数HA集群的默认配置来说,设备序列号最大的将会被选举成为HA集群的主用设备.
这里默认配置指的是启用了HA模式到A-A或A-P,并且配置了HA组名和认证密码,这样默认配置下面,之所以序列号最高的会被选举成为主用设备,是因为集群里面的所有设备优先级是一样的,工作时间通常也是相同的,而且这时候也没有启用接口监控功能.
第8页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/40060052555.
2抢占(override)功能启用的时候HA选举过程如下图显示:和抢占(override)功能禁止时功能类似,区别就是抢占功能启用的时候,在监控结构全部正常或工作数量相等的时候,设备优先级最高的将始终是主用设备.
举例说明,主备用设备配置了3个监控接口,这个时候主用电源故障关机了,备第9页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255用设备就会接替主用设备处理用户数据,主用设备返厂维修电源后重新加入到集群里面来,这个时候它将重新成为主用设备而不管备用设备是否故障.
override功能禁止时主用重新回来是不会发生HA切换的.
6.
虚拟集群如果防火墙启用了虚拟防火墙功能(VirtualDomain),那么防火墙将会开启虚拟集群功能.
虚拟集群功能是对防火墙HA功能的一个扩展,它可以在两个虚拟集群中配置集群的主用-备用功能,也就是说你相当于可以配置2个虚拟集群的负载均衡功能,即集群1中的虚拟防火墙拥有一个优先级,假设它工作在主用模式,那么可以同时配置其他的虚拟防火墙添加到虚拟集群2中,它可以是备用模式.
HA里面的另外一台设备则正好相反的配置,即虚拟集群1是备用模式,虚拟集群2是主用模式.
这样,实际上实现了基于虚拟集群的负载均衡功能了.
第10页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255上图显示了一台防火墙配置了虚拟防火墙之后的HA部分的配置实例,其中配置了虚拟集群1包括虚拟防火墙root,虚拟集群2包括虚拟防火墙test;这台设备上虚拟集群1和虚拟集群1的优先级都是128.
可以独立配置2个虚拟集群的监控接口和心跳接口.
7.
HA功能的其他注意事项7.
1HA会话备份功能(sessionpick-up)此功能用户HA集群中设备间的会话同步,只支持A-A和A-P里面的没有启用防火墙保护内容表的策略会话同步,,同样不支持IPSecVPN、SSLVPN、PPTP和L2TP等会话备份功能.
7.
2HA虚拟的MAC地址启用HA功能之后防火墙会在所有的接口上启用HA专用的虚拟MAC地址,MAC地址使用规律如下:00-09-0f---.
注意,在同一个广播域中如果有多个HA组存在,请配置多个不通的HA组号(group-id)以确保不同的集群虚拟MAC地址不会冲突.
7.
3如下部分配置不会在HA集群设备间同步·system.
interface.
secondary-ip.
ha-priority·system.
interface.
macaddr第11页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255·system.
accprofile.
menu-file·system.
fortiguard.
avquery-expiration·system.
fortiguard.
antispam-expiration·system.
fortiguard.
webfilter-license·system.
fortiguard.
webfilter-expiration·system.
ha.
override·system.
ha.
priority·system.
global.
hostname·gui.
console·gui.
topology7.
4所有的HA集群设备间会同步的配置文件有:·Allfilesunder/data/config/·CC_MAIN_FILE:/etc/cc_main·CC_SIG:/etc/cc_sig.
dat·VIR_DB:/etc/vir·VIR_EXTDB:/data/virextor/data2/virext,dependingonthereissharedpartition·FCNI:/etc/fcni.
dat·FDNI:/etc/fdnservers.
dat·FSCI:/tmp/sci.
datonFGT60B/FWF60B,/etc/sci.
datonallotherplatforms第12页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255·FSAE:/etc/fsae_adgrp.
cache·IDSDB:/etc/ids.
rules·IDS_USER_RULES:/etc/idsuser.
rules·NIDS_LIB:/data/lib/libips.
so·CERT_CONF:/etc/cert/cert.
conf·IM_AIM_USR:/data/cmdb/imp2p.
aim-user·IM_ICQ_USR:/data/cmdb/imp2p.
icq-user·IM_MSN_USR:/data/cmdb/imp2p.
msn-user·IM_YAHOO_USR:/data/cmdb/imp2p.
yahoo-user·TOPOLOGY_FILE:/etc/topology_root.
dat·TOPOLOGY_BG_FILE:/etc/topology_root.
userimg·TOPOL_PREFS:/etc/topology_prefs·JSCONN_PREFS:/etc/jsconsole_prefs·FDSM_MGMT_ID_DAT:/etc/fdsm_mgmt_id.
dat·DAEMON_CONF:/data/config/daemon.
conf.
gz·ASE_SO_LIB:/data/lib/libfase.
so·ASE_RULES_CONF:/etc/fase.
rules.
conf8.
集群功能相关的命令行配置命令8.
1基本HA命令第13页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255configsystemhasetauthentication{disable|enable}setencryption{disable|enable}setgroup-idsetgroup-namesethb-intervalsethbdevsetlink-failed-signal{disable|enable}setload-balance-all{disable|enable}setmode{a-a|a-p|standalone}setmonitorsetoverride{disable|enable}setpasswordsetprioritysetsession-pickup{disable|enable}setsync-config{disable|enable}8.
2其它几个常用的HA命令8.
2.
1getsystemhastatus可以获取当前HA集群主用、备用状态信息8.
2.
2executehadisconnect第14页共14页北京市海淀区北四环西路52号方正国际大厦12层电话:(010)62960376/4006005255把设备从HA集群里面分离出去8.
2.
3executehamanage用于从命令行下面从HA集群的一个设备登陆到另一个设备,如从主用设备上登陆到备用设备上8.
2.
4executehasynchronize手工从备用设备上面执行配置同步命令8.
2.
5diagdebugapplicationhasync-1调试输出HA同步进程8.
2.
6diagdebugapplicationhatalk-1调试输出HA通讯进程8.
2.
7diagsystemhashowcsum显示HA集群的配置文件的checksum信息,以确认HA集群设备是否已经同步配置

hostodo:美国大流量VPS,低至$3,8T流量/月-1.5G内存/1核/25gNVMe/拉斯维加斯+迈阿密

hostodo从2014年年底运作至今一直都是走低价促销侧率运作VPS,在市场上一直都是那种不温不火的品牌知名度,好在坚持了7年都还运作得好好的,站长觉得hostodo还是值得大家在买VPS的时候作为一个候选考虑项的。当前,hostodo有拉斯维加斯和迈阿密两个数据中心的VPS在促销,专门列出了2款VPS给8T流量/月,基于KVM虚拟+NVMe整列,年付送DirectAdmin授权(发ticket...

2021年全新Vultr VPS主机开通云服务器和选择机房教程(附IP不通问题)

昨天有分享到"2021年Vultr新用户福利注册账户赠送50美元"文章,居然还有网友曾经没有注册过他家的账户,薅过他们家的羊毛。通过一阵折腾居然能注册到账户,但是对于如何开通云服务器稍微有点不对劲,对于新人来说确实有点疑惑。因为Vultr采用的是预付费充值方式,会在每月的一号扣费,当然我们账户需要存留余额或者我们采用自动扣费支付模式。把笔记中以前的文章推送给网友查看,他居然告诉我界面不同,看的不对...

触碰云高性价20.8元/月,香港云服务器,美国cn2/香港cn2线路,4核4G15M仅115.2元/月起

触碰云怎么样?触碰云是一家成立于2019年的商家。触碰云主营香港/美国 VPS服务器、独立服务器以及免备案CDN。采用的是kvm虚拟构架,硬盘Raid10,Cn2线路,去程电信CN2、移动联通直连,回程三网CN2。最低1核1G带宽1M仅20.8元/月,不过这里推荐香港4核4G15M,香港cn2 gia线路云服务器,仅115.2元/月起,性价比还是不错的。点击进入:触碰云官方网站地址触碰云优惠码:优...

l2tp是什么为你推荐
副刊2016年8月30日字节跳动回应TikTok易主贾斯汀比伯的confident他在mv女主说了什么,大神回复,采纳滴滴估值500亿滴滴出行股权项目投资怎么投 100w怎么可以投资不购物车在超市、商场中为什么需要使用购物车呢?网站后台密码破解我找到了网站的后台地址,怎么才可以破解密码discuz7.2求解答Discuz!7.2 论坛怎么设置显示隐藏文件手机怎么打开隐藏文件夹joomla模板怎样把html一步一步地转换成joomla模板?drupal中文怎么导入Drupal中文语言包搜索引擎教程怎样制作搜索引擎?
cn域名注册 域名备案流程 华为云服务 唯品秀 百度云100as 国外php主机 哈喽图床 xfce cpanel空间 股票老左 phpmyadmin配置 服务器合租 linux使用教程 卡巴斯基是免费的吗 怎么建立邮箱 电信托管 shopex主机 彩虹云 申请网站 .htaccess 更多