- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
雙機熱備技術白皮書
關鍵詞:雙機熱備、主備模式、負載分擔模式、數據同步、流量切換
摘 要:防火牆設備是所有信息流都必須通過的單一點,一旦故障所有信息流都會中斷。保障信息流不中斷至關重要,這就需要解決防火牆設備單點故障問題。雙機熱備技術可以保障即使在防火牆設備故障的情況下,信息流仍然不中斷。本文將介紹雙機熱備的概念、工作模式、實現機製及典型應用等。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
ALG | Application Level Gateway | 應用層網關 |
ASPF | Application Specific Packet Filter | 基於應用層的包過濾 |
NAT | Network Address Translator | 網絡地址轉換 |
VRRP | Virtual Router Redundancy Protocol | 虛擬路由冗餘協議 |
OSPF | Open Shortest Path First | 開放最短路徑優先 |
目 錄
5.1 雙機熱備典型組網應用(路由模式+主備模式)... 12
5.2 雙機熱備典型組網應用(路由模式+負載分擔模式)... 13
在當前的組網應用中,用戶對網絡可靠性的要求越來越高,對於一些重要的業務入口或接入點(比如企業的Internet接入點、銀行的數據庫服務器等)如何保證網絡的不間斷傳輸,成為急需解決的一個問題。如圖1 所示,防火牆作為內外網的接入點,當設備出現故障便會導致內外網之間的網絡業務的全部中斷。在這種關鍵業務點上如果隻使用一台設備的話,無論其可靠性多高,係統都必然要承受因單點故障而導致網絡中斷的風險。
於是,業界推出了傳統備份組網方案來避免此風險,該方案在接入點部署多台設備形成備份,通過VRRP或動態路由等機製進行鏈路切換,實現一台設備故障後流量自動切換到另一台正常工作的設備。
傳統備份組網方案適用於接入點是路由器等轉發設備的情況。因為經過設備的每個報文都是查找轉發表進行轉發,鏈路切換後,後續報文的轉發不受影響。但是當接入點是狀態防火牆等設備時,由於狀態防火牆是基於連接狀態的,當用戶發起會話時,狀態防火牆隻會對會話的首包進行檢查,如果首包允許通過則會建立一個會話表項(表項裏包括源IP、源端口、目的IP、目的端口等信息),隻有匹配該會話表項的後續報文(包括返回報文)才能夠通過防火牆。如果鏈路切換後,後續報文找不到正確的表項,會導致當前業務中斷。
雙機熱備解決方案能夠很好的解決這個問題。在鏈路切換前,對會話信息進行主備同步;在設備故障後能將流量切換到其他備份設備,由備份設備繼續處理業務,從而保證了當前的會話不被中斷。如圖2 所示,在接入點的位置部署兩台防火牆,當其中一台防火牆發生故障時,數據流被引導到另一台防火牆上繼續傳輸,因為在流量切換之前已經進行了數據同步,所以當前業務不會中斷,從而提高了網絡的穩定性及可靠性。
雙機熱備可以從兩個層麵去理解:一個是廣義的雙機熱備,它是一種解決方案,用來解決網絡中的單點故障問題,它通過數據同步和流量切換兩個技術來實現;一個是狹義的雙機熱備,它是設備支持的一個功能模塊(隻實現了數據同步),可以使用對應的Web頁簽來配置。本文描述的是廣義的雙機熱備。
與傳統備份組網方案相比較,
l 雙機熱備解決方案可以保證當前業務不會因為防火牆單點故障而中斷。
l 雙機熱備解決方案支持主備和負載分擔兩種工作模式,並支持防火牆工作在路由模式或透明模式,可廣泛適用於各種複雜的組網需求。
防火牆工作在路由模式是指防火牆作為三層設備在網絡中運行;工作在透明模式是指防火牆作為二層設備在網絡中運行。
雙機熱備解決方案根據組網情況有兩種工作模式:主備模式和負載分擔模式。在這兩種模式中,設備的角色根據是否承擔流量來決定:有流量經過的設備即為主設備,無流量經過的設備即為備份設備。
主備模式下的兩台防火牆,其中一台作為主設備,另一台作為備份設備。主設備處理所有業務,並將產生的會話信息傳送到備份設備進行備份;備份設備不處理業務,隻用做備份(如圖3 所示,Firewall 1處理全部業務,Firewall 2用做備份)。當主設備故障,備份設備接替主設備處理業務,從而保證新發起的會話能正常建立,當前正在進行的會話也不會中斷(如圖4 所示,當Firewall 1故障,Firewall 2接續處理全部業務)。
圖3 主備模式下,Firewall 1故障前會話示意圖
圖4 主備模式下,Firewall 1故障後會話示意圖
負載分擔模式下,兩台設備均為主設備,都處理業務流量,同時又作為另一台設備的備份設備,備份對端的會話信息(如圖5 所示,Firewall 1和Firewall 2均處理業務,互為備份)。當其中一台故障後,另一台設備負責處理全部業務,從而保證新發起的會話能正常建立,當前正在進行的會話也不會中斷(如圖4 所示,當Firewall 1故障,Firewall 2接續處理全部業務)。
圖5 負載分擔模式下,Firewall 1故障前會話示意圖
防火牆設備需要維護每條會話的狀態等相關信息,當主設備故障、流量切換到備份設備時,仍然要求備份設備上有正確的會話信息才能繼續處理會話報文,否則會話報文會被丟棄從而導致會話中斷。因此,主設備上會話建立或表項變化時需要將相關信息同步保存到備份設備,以保證主設備和備份設備會話表項的完全一致。防火牆能夠同步的信息包括會話、NAT、ALG、ASPF、黑名單、H.323、SIP、ILS、RTSP、NBT、SQLNET等。
數據同步的方式有批量備份和實時備份:
l 批量備份:防火牆設備工作了一段時間後,可能已經存在大量的會話表項,此時加入另一台防火牆設備,在兩台設備上使能雙機熱備功能後,先運行的防火牆會將已有的會話表項一次性同步到新加入的設備,這個過程稱為批量備份。
l 實時備份:防火牆在運行過程中,可能會產生新的會話表項。為了保證表項的完全一致,防火牆在產生新表項或表項變化後會及時備份到另一台設備,這個過程稱為實時備份。
雙機熱備解決方案利用VRRP或動態路由實現流量的切換,下麵將分別進行介紹。
通過VRRP將局域網中的一組設備配置成一個備份組,這組設備在功能上就相當於一台虛擬設備。局域網內的主機隻需要知道這個虛擬設備的IP地址,通過這個虛擬設備與其它網絡進行通信。備份組中,僅有一台設備處於活動狀態,能夠轉發報文,稱為主用設備(Master),其餘設備都處於備份狀態,並隨時按照優先級高低做好接替任務的準備,稱為備份設備(Backup)。當發現主用設備故障時,優先級次高的備用設備會當選為新的Master接替原Master工作,整個過程對用戶來說是完全透明的,這就很好的實現了流量切換。
雙機熱備的工作模式是主備模式還是負載分擔模式可以通過組網和VRRP的配置來實現:
l 主備模式下僅需要配置一個備份組,不同防火牆在該備份組中擁有不同優先級,優先級高的防火牆成為Master。如圖6 中所示,Firewall 1和Firewall 2上創建VRRP備份組1,並配置Firewall 1的優先級高於Firewall 2。Host A和Host B的缺省網關設為備份組1的虛擬IP地址172.17.1.200/24。以此實現Firewall 1能正常工作的情況下,Firewall 1承擔Host A和Host B的轉發任務,Firewall 2是Backup且處於就緒監聽狀態。如果Firewall 1發生故障,則Firewall 2成為新的Master,繼續為Host A和Host B提供轉發服務。
圖6 通過VRRP功能實現流量切換示意圖(主備模式)
l 負載分擔模式需要配置兩個備份組,通過配置保證一台防火牆是備份組1的Master,另一台防火牆是備份組2的Master。如圖7 所示,Firewall 1和Firewall 2上均創建VRRP備份組1和備份組2,並配置在備份組1上Firewall 1的優先級高於Firewall 2,在備份組2上Firewall 2的優先級高於Firewall 1。Host A的缺省網關設為備份組1的虛擬IP地址172.17.1.200/24,Host B的缺省網關設為備份組2的虛擬IP地址172.17.1.201/24。以此實現Firewall 1能正常工作的情況下,Host A的報文通過Firewall 1轉發,Host B的報文通過Firewall 2轉發,Firewall 1和Firewall 2分擔處理內網的報文流量,同時又互為備份,監聽對方的狀態。如果Firewall 1發生故障,則Firewall 2成為備份組1的Master,Host A和Host B的報文均通過Firewall 2轉發。
圖7 通過VRRP功能實現流量切換(負載分擔)
如果網絡中不同網段的兩台設備A到B之間有多條通路,動態路由協議會使用算法選取最優的一條路徑作為A到B的路由。當這條通路故障,路由協議會從剩餘的可用通路中選擇最優的一條作為新的路由,如果故障路由恢複,則又會重新啟用原路由,從而動態的保證A與B之間的連通。
雙機熱備的工作模式是主備模式還是負載分擔模式可以通過組網和動態路由的配置來實現(以下以OSPF為例):
l 主備模式隻有一台防火牆處於工作狀態,另一台防火牆處於備份狀態。如圖8 所示,Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能,處於同一個OSPF域,在Router A和Router B上都配置Ethernet1/1的cost值小於Ethernet1/2的。這樣,路徑Router A<—>Firewall 1<—>Router B的優先級會高於路徑Router A<—>Firewall 2<—>Router B,當Firewall 1能正常工作的情況下,內網發往外網的報文都會通過Firewall 1轉發;當Firewall 1發生故障,OSPF會啟用次優路由,內網發往外網的報文會通過Firewall 2轉發。
l 負載分擔模式下兩台防火牆處於工作狀態並互為備份。如圖8 所示,Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能,處於同一個OSPF域,在Router A和Router B上都配置至少允許兩條等價路由。因為Router A<—>Firewall 1<—>Router B這條路由與Router A<—>Firewall 2<—>Router B優先級一樣,所以,當Firewall 1、Firewall 2能正常工作的情況下,Firewall 1和Firewall 2分擔處理內網發往外網的報文;當Firewall 1發生故障,則Firewall 2會處理內網發往外網的全部報文。
圖8 通過OSPF功能實現流量切換
l 雙機熱備隻支持兩台設備進行備份。
l 雙機熱備的兩台設備要求硬件配置和軟件版本一致,並且要求接口卡的型號與所在的槽位一致,否則會出現一台設備備份過去的信息,在另一台設備上無法識別,或者找不到相關物理資源,從而導致流量切換後報文轉發出錯或者失敗。
l 雙機熱備隻支持數據同步,不支持配置同步。所以在一端進行某些配置時,比如配置接口類型、接口允許通過的VLAN等,需要手工在對端也進行相應的配置。
l 互為備份的兩台防火牆隻負責會話信息備份,保證流量切換後會話連接不中斷。而流量的切換則依靠傳統備份技術(如VRRP、動態路由)來實現,應用靈活,能適應各種組網環境。
l 使用專有的備份鏈路口進行會話信息的備份,該備份鏈路口不作數據轉發,從而保障了備份的高可靠性及高性能。
Firewall 1和Firewall 2是用戶網絡連接公有網絡的入口點,Firewall 1和Firewall 2工作在路由模式。現要求實現Firewall 1能正常工作的情況下,Host A和Host B通過Firewall 1訪問Server 1。當Firewall 1故障,Host A和Host B通過Firewall 2訪問Server 1,並且Host A、Host B和Server 1的當前會話不會被中斷。
這個需求可以通過在Firewall 1和Firewall 2上配置VRRP備份組1和備份組2(備份組1用來監控下行鏈路,備份組2用來監控上行鏈路),並使能數據同步功能來實現。
圖9 雙機熱備典型組網圖(通過VRRP功能實現流量切換)
Firewall 1和Firewall 2是用戶網絡連接公有網絡的入口點,Firewall 1和Firewall 2工作在路由模式。現要求實現Firewall 1能正常工作的情況下,Host A通過Firewall 1訪問Server 1,Host B通過Firewall 2訪問Server 1,Firewall 1和Firewall 2分擔處理內網的報文流。當Firewall 1故障時,Host A和Host B通過Firewall 2訪問Server 1,並且Host A、Host B和Server 1的當前會話不會被中斷。
這個需求可以通過在Router A、Router B、Router C、Router D、Firewall 1和Firewall 2上配置OSPF,並在Firewall 1和Firewall 2上使能數據同步功能來實現。
圖10 雙機熱備典型應用組網圖(路由模式+負載分擔模式)
Firewall 1和Firewall 2是用戶網絡連接公有網絡的入口點,Firewall 1和Firewall 2工作在透明模式(即二層模式)。現要求實現Firewall 1能正常工作的情況下,Host A通過Firewall 1訪問Server 1,Host B通過Firewall 2訪問Server 1,Firewall 1和Firewall 2分擔處理內網的報文流。當Firewall 1故障時,Host A和Host B通過Firewall 2訪問Server 1,並且Host A、Host B和Server 1的當前會話不會被中斷。
這個需求可以通過在Router A和Router B上配置VRRP備份組1和備份組2(備份組1和備份組2進行負載分擔,共同監控下行鏈路),並在Firewall 1和Firewall 2上使能數據同步功能來實現。
圖11 雙機熱備典型組網應用(透明模式+負載分擔模式)
雙機熱備典型配置舉例
Copyright ©2008 杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
