双机热备技术H3C.docx
《双机热备技术H3C.docx》由会员分享,可在线阅读,更多相关《双机热备技术H3C.docx(12页珍藏版)》请在冰豆网上搜索。
双机热备技术H3C
窗体顶端
技术白皮书
∙
∙
∙
∙
双机热备技术白皮书
双机热备技术白皮书
关键词:
双机热备、主备模式、负载分担模式、数据同步、流量切换
摘 要:
防火墙设备是所有信息流都必需通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断相当重要,这就需要解决防火墙设备单点故障问题。
双机热备技术能够保障即便在防火墙设备故障的情形下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式、实现机制及典型应用等。
缩略语:
缩略语
英文全名
中文解释
ALG
ApplicationLevelGateway
应用层网关
ASPF
ApplicationSpecificPacketFilter
基于应用层的包过滤
NAT
NetworkAddressTranslator
网络地址转换
VRRP
VirtualRouterRedundancyProtocol
虚拟路由冗余协议
OSPF
OpenShortestPathFirst
开放最短路径优先
目 录
1 概述
产生背景
在当前的组网应用中,用户对网络靠得住性的要求愈来愈高,关于一些重要的业务入口或接入点(比如企业的Internet接入点、银行的数据库效劳器等)如何保证网络的不中断传输,成为急需解决的一个问题。
如图1所示,防火墙作为内外网的接入点,当设备显现故障便会致使内外网之间的网络业务的全数中断。
在这种关键业务点上若是只利用一台设备的话,不管其靠得住性多高,系统都必然要经受因单点故障而致使网络中断的风险。
图1 单点设备组网图
于是,业界推出了传统备份组网方案来幸免此风险,该方案在接入点部署多台设备形成备份,通过VRRP或动态路由等机制进行链路切换,实现一台设备故障后流量自动切换到另一台正常工作的设备。
传统备份组网方案适用于接入点是路由器等转发设备的情形。
因为通过设备的每一个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受阻碍。
可是当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当用户发起会话时,状态防火墙只会对会话的首包进行检查,若是首包许诺通过那么会成立一个会话表项(表项里包括源IP、源端口、目的IP
、目的端口等信息),只有匹配该会话表项的后续报文(包括返回报文)才能够通过防火墙。
若是链路切换后,后续报文找不到正确的表项,会致使当前业务中断。
双机热备解决方案能够专门好的解决那个问题。
在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处置业务,从而保证了当前的会话不被中断。
如图2所示,在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,因此当前业务可不能中断,从而提高了网络的稳固性及靠得住性。
图2 双机热备组网图
双机热备能够从两个层面去明白得:
一个是广义的双机热备,它是一种解决方案,用来解决网络中的单点故障问题,它通过数据同步和流量切换两个技术来实现;一个是狭义的双机热备,它是设备支持的一个功能模块(只实现了数据同步),能够利用对应的Web页签来配置。
本文描述的是广义的双机热备。
技术优势
与传统备份组网方案相较较,
● 双机热备解决方案能够保证当前业务可不能因为防火墙单点故障而中断。
● 双机热备解决方案支持主备和负载分担两种工作模式,并支持防火墙工作在路由模式或透明模式,可普遍适用于各类复杂的组网需求。
防火墙工作在路由模式是指防火墙作为三层设备在网络中运行;工作在透明模式是指防火墙作为二层设备在网络中运行。
2 双机热备工作模式
双机热备解决方案依照组网情形有两种工作模式:
主备模式和负载分担模式。
在这两种模式中,设备的角色依照是不是承担流量来决定:
有流量通过的设备即为主设备,无流量通过的设备即为备份设备。
主备模式
主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。
主设备处置所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处置业务,只用做备份(如图3所示,Firewall1处置全数业务,Firewall2用做备份)。
当主设备故障,备份设备代替主设备处置业务,从而保证新发起的会话能正常成立,当前正在进行的会话也可不能中断(如图4所示,当Firewall1故障,Firewall2接续处置全数业务)。
图3 主备模式下,Firewall1故障前会话示用意
图4 主备模式下,Firewall1故障后会话示用意
负载分担模式
负载分担模式下,两台设备均为主设备,都处置业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如图5所示,Firewall1和Firewall2均处置业务,互为备份)。
当其中一台故障后,另一台设备负责处置全数业务,从而保证新发起的会话能正常成立,当前正在进行的会话也可不能中断(如图4所示,当Firewall1故障,Firewall2接续处置全数业务)。
图5 负载分担模式下,Firewall1故障前会话示用意
3 双机热备实现机制
数据同步
防火墙设备需要保护每条会话的状态等相关信息,当主设备故障、流量切换到备份设备时,仍然要求备份设备上有正确的会话信息才能继续处置会话报文,不然会话报文会被抛弃从而致使会话中断。
因此,主设备上会话成立或表项转变时需要将相关信息同步保留到备份设备,以保证主设备和备份设备会话表项的完全一致。
防火墙能够同步的信息包括会话、NAT、ALG、ASPF、黑名单、、SIP、ILS、RTSP、NBT、SQLNET等。
数据同步的方式有批量备份和实时备份:
● 批量备份:
防火墙设备工作了一段时刻后,可能已经存在大量的会话表项,现在加入另一台防火墙设备,在两台设备上使能双机热备功能后,先运行的防火墙会将已有的会话表项一次性同步到新加入的设备,那个进程称为批量备份。
● 实时备份:
防火墙在运行进程中,可能会产生新的会话表项。
为了保证表项的完全一致,防火墙在产生新表项或表项转变后会及时备份到另一台设备,那个进程称为实时备份。
流量切换
双机热备解决方案利用VRRP或动态路由实现流量的切换,下面将别离进行介绍。
3.2.1 通过VRRP实现流量切换
通过VRRP将局域网中的一组设备配置成一个备份组,这组设备在功能上就相当于一台虚拟设备。
局域网内的主机只需要明白那个虚拟设备的IP地址,通过那个虚拟设备与其它网络进行通信。
备份组中,仅有一台设备处于活动状态,能够转发报文,称为主用设备(Master),其余设备都处于备份状态,并随时依照优先级高低做好代替任务的预备,称为备份设备(Backup)。
当发觉主用设备故障时,优先级次高的备用设备会被选为新的Master代替原Master工作,整个进程对用户来讲是完全透明的,这就专门好的实现了流量切换。
双机热备的工作模式是主备模式仍是负载分担模式能够通过组网和VRRP的配置来实现:
● 主备模式下仅需要配置一个备份组,不同防火墙在该备份组中拥有不同优先级,优先级高的防火墙成为Master。
如图6中所示,Firewall1和Firewall2上创建VRRP备份组1,并配置Firewall1的优先级高于Firewall2。
HostA和HostB的缺省网关设为备份组1的虚拟IP地址。
以此实现Firewall1能正常工作的情形下,Firewall1承担HostA和HostB的转发任务,Firewall2是Backup且处于就绪监听状态。
若是Firewall1发生故障,那么Firewall2成为新的Master,继续为HostA和HostB提供转发效劳。
图6 通过VRRP功能实现流量切换示用意(主备模式)
● 负载分担模式需要配置两个备份组,通过配置保证一台防火墙是备份组1的Master,另一台防火墙是备份组2的Master。
如图7所示,Firewall1和Firewall2上均创建VRRP备份组1和备份组2,并配置在备份组1上Firewall1的优先级高于Firewall2,在备份组2上Firewall2的优先级高于Firewall1。
HostA的缺省网关设为备份组1的虚拟IP地址,HostB的缺省网关设为备份组2的虚拟IP地址。
以此实现Firewall1能正常工作的情形下,HostA的报文通过Firewall1转发,HostB的报文通过Firewall2转发,Firewall1和Firewall2分担处置内网的报文流量,同时又互为备份,监听对方的状态。
若是Firewall1发生故障,那么Firewall2成为备份组1的Master,HostA和HostB的报文均通过Firewall2转发。
图7 通过VRRP功能实现流量切换(负载分担)
3.2.2 通过动态路由实现流量切换
若是网络中不同网段的两台设备A到B之间有多条通路,动态路由协议会利用算法选取最优的一条途径作为A到B的路由。
当这条通路故障,路由协议会从剩余的可用通路当选择最优的一条作为新的路由,若是故障路由恢复,那么又会从头启用原路由,从而动态的保证A与B之间的连通。
双机热备的工作模式是主备模式仍是负载分担模式能够通过组网和动态路由的配置来实现(以下以OSPF为例):
● 主备模式只有一台防火墙处于工作状态,另一台防火墙处于备份状态。
如图8所示,RouterA、RouterB、Firewall1和Firewall2上均配置OSPF功能,处于同一个OSPF域,在RouterA和RouterB上都配置Ethernet1/1的cost值小于Ethernet1/2的。
如此,途径RouterA<—>Firewall1<—>RouterB的优先级会高于途径RouterA<—>Firewall2<—>RouterB,当Firewall1能正常工作的情形下,内网发往外网的报文都会通过Firewall1转发;当Firewall1发生故障,OSPF会启用次优路由,内网发往外网的报文会通过Firewall2转发。
● 负载分担模式下两台防火墙处于工作状态并互为备份。
如图8所示,RouterA、RouterB、Firewall1和Firewall2上均配置OSPF
功能,处于同一个OSPF域,在RouterA和RouterB上都配置至少许诺两条等价路由。
因为RouterA<—>Firewall1<—>RouterB这条路由与RouterA<—>Firewall2<—>RouterB优先级一样,因此,当Firewall1、Firewall2能正常工作的情形下,Firewall1和Firewall2分担处置内网发往外网的报文;当Firewall1发生故障,那么Firewall2会处置内网发往外网的全数报文。
图8 通过OSPF功能实现流量切换
应用限制
● 双机热备只支持两台设备进行备份。
● 双机热备的两台设备要求硬件配置和软件版本一致,而且要求接口卡的型号与所在的槽位一致,不然会显现一台设备备份过去的信息,在另一台设备上无法识别,或找不到相关物理资源,从而致使流量切换后报文转发犯错或失败。
● 双机热备只支持数据同步,不支持配置同步。
因此在一端进行某些配置时,比如配置接口类型、接口许诺通过的VLAN等,需要手工在对端也进行相应的配置。
4 H3C实现的技术特色
● 互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换那么依托传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各类组网环境。
● 利用专有的备份链路口进行会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高靠得住性及高性能。
5 双机热备典型组网应用
双机热备典型组网应用(路由模式+主备模式)
Firewall1和Firewall2是用户网络连接公有网络的入口点,Firewall1和Firewall2工作在路由模式。
现要求实现Firewall1能正常工作的情形下,HostA和HostB通过Firewall1访问Server1。
当Firewall1故障,HostA和HostB通过Firewall2访问Server1,而且HostA、HostB和Server1的当前会话可不能被中断。
那个需求能够通过在Firewall1和Firewall2上配置VRRP备份组1和备份组2(备份组1用来监控下行链路,备份组2用来监控上行链路),并使能数据同步功能来实现。
图9 双机热备典型组网图(通过VRRP功能实现流量切换)
双机热备典型组网应用(路由模式+负载分担模式)
Firewall1和Firewall2是用户网络连接公有网络的入口点,Firewall1和Firewall2工作在路由模式。
现要求实现Firewall1能正常工作的情形下,HostA通过Firewall1访问Server1,HostB通过Firewall2访问Server1,Firewall1和Firewall2分担处置内网的报文流。
当Firewall1故障时,HostA和HostB通过Firewall2访问Server1,而且HostA、HostB和Server1的当前会话可不能被中断。
那个需求能够通过在RouterA、RouterB、RouterC、RouterD、Firewall1和Firewall2上配置OSPF,并在Firewall1和Firewall2上使能数据同步功能来实现。
图10 双机热备典型应用组网图(路由模式+负载分担模式)
双机热备典型组网应用(透明模式+负载分担模式)
Firewall1和Firewall2是用户网络连接公有网络的入口点,Firewall1和Firewall2工作在透明模式(即二层模式)。
现要求实现Firewall1能正常工作的情形下,HostA通过Firewall1访问Server1,HostB通过Firewall2访问Server1,Firewall1和Firewall2分担处置内网的报文流。
当Firewall1故障时,HostA和HostB通过Firewall2访问Server1,而且HostA、HostB和Server1的当前会话可不能被中断。
那个需求能够通过在RouterA和RouterB上配置VRRP备份组1和备份组2(备份组1和备份组2进行负载分担,一起监控下行链路),并在Firewall1和Firewall2上使能数据同步功能来实现。
图11 双机热备典型组网应用(透明模式+负载分担模式)
6 参考文献
双机热备典型配置举例
附件下载
∙KB)
升级会员 