Netscreen防火墙双机非对称路由session测试

Netscreen防火墙双机非对称路由session同步案例

综述

在部署Netscreen防火墙双机时，由于客户的网络环境往往比较复杂，并且客户普遍存在一些比较独特的需求，比如：不愿改变当前网络的组网结构、不能因部署防火墙而带来其他网络设备的采购、两台防火墙要能同时进行独立工作且能够互为备份、要求防火墙支持非对称路由结构下的路径冗余。这样就对防火墙双机适应复杂的网络环境提出了及高的要求，Netscreen NSRP冗余协议在提供了高可靠性的基础上充分发挥设备的可用性。能够实现基于链路级的多重冗余能力，提供多种环境下灵活的组网方式，具体部署时可以根据具体客户网络环境选择主/备和主/主结构下的口型或Full Mesh组网方式，并且能够实现两台防火墙独立工作时的session同步。本文将对非对称网络结构下Netscreen双机的session 同步进行讨论。

非对称路由环境下路径冗余分析

众所周知，状态检测防火墙依据策略来决定会话的建立，一旦策略匹配且应用连接建立后，防火墙将根据会话的具体信息建立相应的session（会话条目），并通过session来匹配该连接的后续数据报，只有匹配某session的数据包才能够通过数据流状态的检查。通常来讲，进入某防火墙的数据流，其返回数据包也必须流经该防火墙。如果当网络出现故障或不对称路由（进出流量经过不同路径）时，Netscreen防火墙是否能保证已建的session 不中断，保证业务不间断运行呢？经过测试验证，Netscreen防火墙支持两独立防火墙间的session同步和不对称路由环境下的流量正常转发。

客户需求：

网络环境如下所示：

客户希望充分利用现有网络资源（上下行网络设备均为路由器），实现两台防火墙独立工作（两侧设备分别处理各自的网络流量），并能够在一台防火墙或链路失效时由另一台设备自动接管故障设备上的会话信息，保证业务不间断运行。

需求存在原因：

1、网络流量得到完全意义上的分担，在这样的网络环境下每一台设备均分担流量的处理任务，充分发挥了设备的可用性。

2、充分利用现有网络设备，无需因增加防火墙而额外采购三层或二层交换机。

3、使用ospf协议实现网络故障的自动收敛，避免配置繁杂的静态路由。

解决方案：

启用ospf路由协议实现网络故障动态收敛，两防火墙间通过NSRP心跳线相连，用于同步防火墙间session表同步。

方案说明：

1、通过设定metric值实现网络流量均衡，并保证从某侧进来的流量从原路返回。

2、两防火墙间通过心跳线连接（接口置于HA zone并启用NSRP），删除缺省的NSRP VSD 0 group，取消缺省的配置同步功能，启用NSRP的session同步功能，并配置nsrp

rto-mirror session non-vsi命令，实现非vsi环境下session信息在两防火墙间的同步。

3、配置两防火墙策略，使之始终保持一致。

在正常情况下两防火墙各自处理进出的网络流量，并互相同步彼此建立的session表，当网络出现故障时（路由器、防火墙或连接线缆），通过ospf动态路由协议进行收敛和路径切换，由于两防火墙间session信息始终保持一致，即使应用流量从一侧进来，因路径切换而从另一侧返回时，另一个防火墙也能正确地进行状态检查和流量转发，保证应用的session不会发生中断。

测试环境：两台ns204，5.3.0R3，二台二层交换机，两台windows终端，连接结构图如下：

测试过程：

按照上图搭建测试环境，配置两台防火墙cluster信息，在删除掉vsd0 group后，配置set nsrp rto-mirror session non-vsi命令，使两台防火墙处于（M）状态，通过telnet 连接进行测试。

1、当client和server网关均指向同一台防火墙时，telnet连接正常，session信息能够

同步到另一台防火墙上。

2、当client和server网关指向不同防火墙时，如上图所示，telnet能够正常建立连接，

session信息能够在两台防火墙间保持同步，ping不会出现丢包现象。

3、由于缺少两台路由器作为两台终端的网关，测试过程中无法进行设备关电和网线拔插测

试，但是从测试结果来看，NS能够支持这种不对称环境下的设备冗余和session切换。

测试结论：

在非对称路由环境下，通过特定的配置命令，能够使两台独立的防火墙保持session同步，即使应用连接不是由该防火墙（NS204-B）独立建立，NS204-B也能够根据同步的session做出正确的转发决定。

配置信息

NS-A：

ns204-a(M)-> get config | in nsrp

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp rto-mirror session non-vsi

unset nsrp vsd-group id 0

unset nsrp config sync

ns204-a(M)-> get int

Name IP Address Zone MAC LAN State VSD

eth1 172.27.10.111/25 Untrust 0010.db5d.55f0 - U -

eth2 192.168.100.1/24 Trust 0010.db5d.55f6 - U -

NS-B：

ns204-b(M)-> get config | in nsrp

set nsrp cluster id 1

set nsrp rto-mirror sync

set nsrp rto-mirror session non-vsi

unset nsrp vsd-group id 0

unset nsrp config sync

ns204-b(M)-> get int

Name IP Address Zone MAC AN State VSD

eth1 172.27.10.114/25 Untrust 0010.db30.1bd0 - U -

eth2 192.168.100.4/24 Trust 0010.db30.1bd5 - U -