华为USG防火墙双机热备: 状态信息备份

华为USG防火墙双机热备: 状态信息备份

状态信息备份

FW在处理报文时会产生相应的表项，并基于这些表项对报文进行检测和转发。为了保证故障切换后业务不中断，组成双机热备的两台FW之间需要备份业务表项。主备备份组网中，只有主用FW会处理业务，主用FW上生成业务表项，并向备用FW备份。负载分担组网中，两台FW都会处理业务，都会生成业务表项并向对端设备备份。

业务表项是否支持备份如图1所示。对于不支持备份的业务，故障切换时业务可能会出现异常。

会话快速备份

缺省情况下，FW上不同类型会话表的备份支持情况和备份时机如下：

到FW自身和从FW发出的报文产生的会话不会备份。例如，管理员登录FW时产生的会话。

对于ICMP会话：无回包时，FW正向第2个ICMP REQUEST报文命中会话后才会备份会话；有回包时，FW收到的ICMP REPLY报文命中会话后才会备份会话。

对于TCP协议会话，FW在TCP三次握手完成后才会备份会话。

对于UDP协议会话，FW在收到正向的第二个报文后才会备份。

对于SCTP协议会话，FW在SCTP四次握手完成后才会备份会话。

但是在报文来回路径不一致的场景下，上述会话备份机制可能导致业务异常。如图1所示，一条TCP连接的SYN报文是由FW_A转发，SYN-ACK报文被引导到FW_B上处理。对于TCP协议报文，默认FW只有在收到SYN报文时才会创建会话，收到SYN+ACK、ACK报文不会创建会话。因此，FW_A收到SYN报文，会创建一条TCP半连接会话。FW_B只收到了SYN-ACK报文，不会创建会话。同时，由于FW_A不会向FW_B备份TCP半连接会话，当SYN-ACK报文到达FW_B时，会因为匹配不到会话而被丢弃，TCP连接无法建立。

图1 报文来回路径不一致导致TCP连接无法建立

为了解决上述问题，需要在FW上开启会话快速备份功能。开启会话快速备份功能后，FW上不同类型会话表的备份支持情况和备份时机如下：

到FW自身和从FW发出的报文产生的会话不会备份。

ICMP会话会备份，FW收到ICMP ECHO-REQUEST报文生成会话后就立即备份会话。

对于TCP协议会话，FW收到SYN报文生成会话后就立即备份会话。

对于UDP协议会话，FW收到正向的首个报文生成会话后就立即备份会话。

对于SCTP协议会话，FW收到INIT报文生成会话后就立即备份会话。

如图2所示，开启会话快速备份后，FW_A收到SYN报文创建的TCP半连接会话会立即备份到FW_B。当SYN-ACK报文到达FW_B时，会匹配FW_A备份过来的会话转发。

图2 开启会话快速备份后TCP连接正常建立

开启会话快速备份后，由于会话备份的频率会加大，CPU使用率和心跳接口带宽使用率都会上升。