Stärken Sie die grundlegende HA-Konfiguration und die Fehlerbehebung bei Out Of Sync

News 2023-06-21 13:55:55 views: null

Die Logik und Konfiguration der Fortigate HA-Konfiguration wurden in diesem Handbuch ausführlich erläutert. In diesem Artikel werden hauptsächlich die Konfiguration einer kürzlich erfolgten HA-Out-of-Sync und die damit verbundene Fehlerbehebung als Freigabe beschrieben

Stärken Sie wichtige HA-Konzepte

Das erste sind die Grundvoraussetzungen für die HA-Konfiguration:

  • Die Hardware der beiden Firewalls ist vom gleichen Modell
  • Die Softwareversionen der beiden Firewalls sind gleich (auch kleine Modelle)
  • Alle Schnittstellen dürfen nicht über DHCP oder PPPOE verfügen

Dann gibt es zwei Hauptmodi: HA, AA und AP. Die offizielle Beschreibung lautet wie folgt:

Aktiv-Passiv-Modus (AP)
Alle Firewalls im Cluster müssen im gleichen Modus arbeiten. Sie können den Modus des laufenden HA-Clusters ändern, dies führt jedoch zu einer gewissen Verzögerung, da der Cluster neu verhandeln und ein neues Master-Gerät auswählen muss. Der AP-Modus bietet Standby-Schutz. Ein HA-Cluster besteht aus einem Master-Gerät und mehr als einem Slave-Gerät.
Das Slave-Gerät ist wie das Master-Gerät mit dem Netzwerk verbunden, verarbeitet jedoch keine Datenpakete und das Slave-Gerät befindet sich im Standby-Zustand. Das Slave-Gerät synchronisiert automatisch die Konfiguration des Master-Geräts und überwacht das Master-Gerät jederzeit im Betriebszustand. Der gesamte Ausfallschutzprozess ist transparent: Sobald das Master-Gerät ausfällt, übernimmt das Slave-Gerät automatisch dessen Arbeit. Wenn die Schnittstelle oder Verbindung des Geräts ausfällt, wird die Verbindungsstatusdatenbank im Cluster aktualisiert, um erneut ein neues Master-Gerät auszuwählen.
Aktiv-Aktiv-Modus (AA)
Im AA-Modus werden Prozesse, die mehr Ressourcen beanspruchen, von verschiedenen Geräten gemeinsam genutzt. Sie müssen sich mit Protokollidentifizierung, Virenscan, IPS, Webfilterung, E-Mail-Filterung, Verhinderung von Datenlecks, Anwendungskontrolle, VoIP-Inhaltsscan, Protokollschutz, SCCP-Protokollkontrolle usw. befassen. Durch den Lastausgleich der oben genannten Inhalte kann der AA-Modus eine höhere UTM-Leistung bieten. Die Funktionen zur Terminalsteuerung, Flusskontrolle und Benutzerauthentifizierung in der Sicherheitsrichtlinie haben im AA-Modus keine Auswirkung. Andere Nicht-UTM-Funktionen unterliegen keinem Lastausgleich und werden vom Master-Gerät verarbeitet. Neben der UTM-Funktion kann auch die gemeinsame Nutzung von TCP-Sitzungen realisiert werden.

Aus persönlicher Erfahrung gibt es in dem Szenario, in dem die Sitzungssynchronisierung aktiviert ist, grundsätzlich keinen Unterschied in der Netzwerkunterbrechung, die durch die HA-Katastrophenwiederherstellung beim Umschalten zwischen AP und AA verursacht wird. Der Vorteil von AA liegt in der Leistungsbelastung, insbesondere bei der UTM- und anderen Verarbeitung Die Fähigkeiten eines einzelnen Geräts reichen nicht aus. AA kann die Kosten einer einzelnen Einheit senken und gleichzeitig eine hohe Verfügbarkeit gewährleisten, erhöht jedoch das Risiko und die Kosten für Betrieb und Wartung. In den meisten Szenarien wird empfohlen, AP für die Bereitstellung von HA zu verwenden

Fügen Sie hier eine Bildbeschreibung ein
Ein weiteres wichtiges Konzept ist der Wahlmechanismus von HA, der Master- und Backup-Wahl gemäß der folgenden Logik durchführt:

Fügen Sie hier eine Bildbeschreibung ein

  1. Die Anzahl der verbundenen Schnittstellen und die Anzahl der Schnittstellen werden als Hauptgerät ausgewählt. Dies ist leicht zu verstehen. In vielen HA-Szenarien ist das Netzwerk auf Uplink und Downlink beschränkt, da es unmöglich ist, eine vollständige Doppelleitung zu erreichen. Nur eine Leitung angeschlossen ist und HA nur zur Konfigurationssynchronisierung verwendet wird. In diesem Fall wird das Gerät mit natürlicher Verkabelung als Master-Gerät ausgewählt
  2. Bootzeit: Je länger die Bootzeit, desto einfacher ist es, es als Hauptgerät auszuwählen
  3. Die manuell im Gerätesystem definierte Priorität, dasjenige mit der höheren Priorität wird als Master-Gerät ausgewählt
  4. Wenn die oben genannten drei Elemente gleich sind (im Grunde unmöglich zu finden), vergleichen Sie die Seriennummern der beiden Geräte und wählen Sie die größere Seriennummer als Master-Gerät aus

Stärken Sie das HA-Design und die Konfiguration

Die Konfiguration von HA in der WebUI ist relativ einfach: Erstens sind die beiden Firewalls nicht mit der HA-Leitung verbunden und werden separat konfiguriert.
Fügen Sie hier eine Bildbeschreibung ein

  1. Systemverwaltung – Aktivieren Sie den Aktiv-Passiv-Modus mit hoher Zuverlässigkeit
  2. Gruppennamen und Gruppenpasswort festlegen (zwei Sätze sind gleich)
  3. Wählen Sie die entsprechende Überwachungsschnittstelle aus (wählen Sie im Allgemeinen den verwendeten Port aus. Die Schnittstellenauswahl mit der höchsten Priorität bei den aktiven und Standby-Auswahlen ist hier die Überwachungsschnittstelle.)
  4. Wählen Sie die Heartbeat-Schnittstelle aus (es wird empfohlen, zwei zu verwenden, einige Modelle verfügen direkt über die Schnittstellen HA1 und HA2) und konfigurieren Sie die Priorität der Heartbeat-Schnittstelle. Nach Abschluss der Konfiguration werden die beiden
    Firewalls mit der HA-Leitung verbunden und das Gerät startet automatisch auswählen. Nach dem erfolgreichen Abschluss können Sie den Status einsehen
    Fügen Sie hier eine Bildbeschreibung ein

Weitere Vorsichtsmaßnahmen für die Konfiguration von HA:

  • Denken Sie daran, Ihre Konfiguration zu sichern , bevor Sie mit der Konfiguration beginnen !
  • Sitzungssynchronisierung aktiviert
  • Es wird empfohlen, mindestens zwei Kanäle für HA anzuschließen und am besten die SFP-Schnittstelle zu verwenden
  • Es wird empfohlen, zur Befehlszeile zu gehen, um zu bestätigen, ob Override aktiviert ist. Es wird empfohlen, es zu deaktivieren. Wenn die HA-Wahlparameter geändert werden, wenn es aktiviert ist, führt dies zu einer automatischen Umschaltung von Master und Backup. Verwenden Sie mit Vorsicht!

Fehlerbehebung bei Problemen mit fehlender Synchronisierung

Natürlich ist die HA-Konfiguration in vielen Fällen möglicherweise nicht so reibungslos. In einigen Fällen zeigt der Status an, dass sie nicht synchronisiert ist. Zu diesem Zeitpunkt müssen wir zur Fehlerbehebung zur CLI gehen. Versuchen Sie zunächst, manuell neu zu
synchronisieren

Prim-FW (global) # execute ha synchronize start

Sehen Sie sich den HA-Status an. Wenn der Status nicht synchron ist, liegt ein Problem vor

Prim-FW (global) # get sys ha status
HA Health Status: OK
Model: FortiGate-VM64-KVM
Mode: HA A-P
Group: 9
Debug: 0
Cluster Uptime: 14 days 5:9:44
Cluster state change time: 2019-06-13 14:21:15
Master selected using:
<date:02> FGVMXXXXXXXXXX44 is selected as the master because it has the largest value of uptime. <--- this is the reason for last failover
<date:01> FGVMXXXXXXXXXX46 is selected as the master because it has the largest value of uptime.
<date:00> FGVMXXXXXXXXXX44 is selected as the master because it has the largest value of override priority.
ses_pickup: enable, ses_pickup_delay=disable
override: disable
Configuration Status:
FGVMXXXXXXXXXX44(updated 3 seconds ago): in-sync
FGVMXXXXXXXXXX46(updated 4 seconds ago): in-sync
System Usage stats:
FGVMXXXXXXXXXX44(updated 3 seconds ago):
sessions=42, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=64%
FGVMXXXXXXXXXX46(updated 4 seconds ago):
sessions=5, average-cpu-user/nice/system/idle=0%/0%/0%/100%, memory=54%
HBDEV stats:
FGVMXXXXXXXXXX44(updated 3 seconds ago):
port8: physical/10000full, up, rx-bytes/packets/dropped/errors=2233369747/7606667/0/0, tx=3377368072/8036284/0/0
FGVMXXXXXXXXXX46(updated 4 seconds ago):
port8: physical/10000full, up, rx-bytes/packets/dropped/errors=3377712830/8038866/0/0, tx=2233022661/7604078/0/0
MONDEV stats:
FGVMXXXXXXXXXX44(updated 3 seconds ago):
port1: physical/10000full, up, rx-bytes/packets/dropped/errors=1140991879/3582047/0/0, tx=319625288/2631960/0/0
FGVMXXXXXXXXXX46(updated 4 seconds ago):
port1: physical/10000full, up, rx-bytes/packets/dropped/errors=99183156/1638504/0/0, tx=266853/1225/0/0
Master: Prim-FW         , FGVMXXXXXXXXXX44, cluster index = 1
Slave : Bkup-Fw         , FGVMXXXXXXXXXX46, cluster index = 0
number of vcluster: 1
vcluster 1: work 169.254.0.2
Master: FGVMXXXXXXXXXX44, operating cluster index = 0
Slave : FGVMXXXXXXXXXX46, operating cluster index = 1

Vergleichen Sie die Prüfsummen aller VDOMs der beiden Firewalls, um zu bestätigen, welche VDOMs Konfigurationsinkonsistenzen aufweisen

Prim-FW(global)# diag sys ha checksum cluster  

================== FGVMXXXXXXXXXX44 ==================
is_manage_master()=1, is_root_master()=1
debugzone
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
root: d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust-A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 aa
all: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 g5

checksum
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
root: d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust-A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 aa
all: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 g5

================== FGVMXXXXXXXXXX46 ==================
is_manage_master()=0, is_root_master()=0
debugzone
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
root: d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust-A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 bc
all: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 60

checksum
global: c5 33 93 23 26 9f 4d 79 ed 5f 29 fa 7a 8c c9 10
root: d3 b5 fc 60 f3 f0 f0 d0 ea e4 a1 7f 1d 17 05 fc
Cust-A: 84 af 8f 23 b5 31 ca 32 c1 0b f2 76 d2 57 d1 bc
all: 04 ae 37 7e dc 84 aa a4 42 3d db 3c a2 09 b0 60

Rufen Sie die Prüfsummen verschiedener vdoms auf den beiden Firewalls ab

Prim-FW (global) # diag sys ha checksum show Cust-A

Sie können Tools zum Vergleich verwenden. Wenn es unterschiedliche Prüfsummenelemente gibt, können Sie diese manuell in der Konfiguration bestätigen. Ich habe gerade das folgende Beispiel geändert. In der tatsächlichen Szene ist es völlig konsistent. Stellen Sie sicher, dass die Prüfsummen aller VDOMs auf beiden sind Seiten sind konsistent und führen dann eine Prüfsumme durch
Fügen Sie hier eine Bildbeschreibung ein
. Neuberechnung

Prim-FW (global) # diagnose sys ha checksum recalculate

Dies ist die größte Gefahr, auf die ich gestoßen bin, da der Konfigurationsvergleich vollständig konsistent ist und nie geändert wurde. Ich hatte nicht damit gerechnet, dass es eine Neuberechnung geben würde, und nach einem Durchlauf war es in Ordnung.

Später habe ich es mit einem 400-Freund bestätigt. Dies wird als Fehler angesehen. Die Neuberechnung von HA wird nicht ohne Konfigurationsänderungen ausgelöst. In diesem Fall können Sie die Neuberechnung entweder manuell ausführen oder manuell eine Konfiguration in der Firewall hinzufügen oder löschen.

Guess you like

Origin blog.csdn.net/sjj222sjj/article/details/128723546
Recommended
Ranking
Java reflection getClass()
【信号处理】之信号FFT、卷积滤波、相关
Architecture and Oracle database user management
Others micro-channel chat record, record to see how viewing / other people's micro-channel chat
[STUDIE | Schriftliches Prüfungsgespräch für die Lehrbefähigung]
Several problems with git push failure
Echarts related api records and sample demos
How to write high-quality code
RestTemplate connection pool (reproduced) spring-boot RestTemplate connection pool
c language genealogy management system source code + documentation
Daily
More
2024-06-15(0)
2024-06-14(0)
2024-06-13(0)
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)

Code World

© 2018 codetd.com