防火墙心跳端口通信的内容主要有:
双机心跳报文、配置命令、设备状态信息(设备会话信息, 其它一些业务动态表项)。其中正常情况设备的会话信息备份能够占到整个流量的95%以上。因此这里重点介绍会话信息备份的内容及过程。
1. 一条会话在一台设备创建的时候,会将该会话的完整信息(包括NAT前后源/目的IP、端口、创建时间、所在CPU号、VPN-INSTANCE索引、出入接口等约600个字节)备份到另外一台设备;如果是TCP会话的话,3次握手过程的每次状态变化也会备份到对端去。
2. 会话关闭的时候,会将该信息同步到对端;如果是TCP会话,还会区分断开连接是双向FIN报文触发,还是通过RESET ACK报文触发,前者会同步两次会话信息到对端。
3. 另外,所有的会话表项会16秒扫描一遍,并且同步基本信息(会话的IP、端口、收发报文的变化情况,会话更新时间等约100个字节)到对端。
心跳带宽可以粗略使用下边方法预估:每秒新建总数*600*8 + 会话总数*100*8/16 bit(注意:不同版本略有差异)
建议:新开局的局点业务口和心跳口规划带宽比例要达到4:1