防火墻心跳端口通信的內(nèi)容主要有:
雙機(jī)心跳報文、配置命令、設(shè)備狀態(tài)信息(設(shè)備會話信息�����, 其它一些業(yè)務(wù)動態(tài)表項(xiàng))。其中正常情況設(shè)備的會話信息備份能夠占到整個流量的95%以上�����。因此這里重點(diǎn)介紹會話信息備份的內(nèi)容及過程��。
1. 一條會話在一臺設(shè)備創(chuàng)建的時候��,會將該會話的完整信息(包括NAT前后源/目的IP�����、端口���、創(chuàng)建時間���、所在CPU號���、VPN-INSTANCE索引���、出入接口等約600個字節(jié))備份到另外一臺設(shè)備;如果是TCP會話的話�,3次握手過程的每次狀態(tài)變化也會備份到對端去�。
2. 會話關(guān)閉的時候,會將該信息同步到對端;如果是TCP會話��,還會區(qū)分?jǐn)嚅_連接是雙向FIN報文觸發(fā)����,還是通過RESET ACK報文觸發(fā),前者會同步兩次會話信息到對端�。
3. 另外,所有的會話表項(xiàng)會16秒掃描一遍�,并且同步基本信息(會話的IP、端口���、收發(fā)報文的變化情況�,會話更新時間等約100個字節(jié))到對端�����。
心跳帶寬可以粗略使用下邊方法預(yù)估:每秒新建總數(shù)*600*8 + 會話總數(shù)*100*8/16 bit(注意:不同版本略有差異)
建議:新開局的局點(diǎn)業(yè)務(wù)口和心跳口規(guī)劃帶寬比例要達(dá)到4:1
