附件下载
SecPath防火墙双机状态热备技术白皮书V1.00.pdf(587.21 KB)
概述
在当前的组网应用中,用户对网络可靠性的要求越来越高,特别是在一些重点的业务入口或接入点上需要保证网络的不间断运行。像企业的Internet接入点,银行的数据库服务器等,对于这样一些重要的业务点如何保证网络的不间断传输,成为必须解决的一个问题。在这种业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障导致网络中断的风险。作为保证系统资源安全的防火墙来说,经常被部署在这些网络关键点上,因此在部署防火墙时避免单点故障,提高设备的可用性成了急需解决的问题。
1. 逻辑多条链路:
采用多条链路的保护机制,依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题。
2. VRRP(虚拟路由冗余协议):
采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。VRRP方案还是存在一定局限性,双机状态热备可以很好解决这些限制,参见下一节。
防火墙的双机状态热备是比传统双机热备方式更为可靠的一种设备高可用技术,双机状态热备技术不但可以使两台互为主备的防火墙设备实现传统的双机热备的基本功能,同时还能在两台设备之间实时同步连接的状态信息,保证了已有的连接信息不会因为链路切换而丢失,用户的业务不会有任何中断。
双机状态热备方案很好的解决了逻辑多链路和VRRP存在的问题,尤其与当前主要的可靠性保障方式VRRP相比具有如下优势:
1. 报文的转发机制不同:防火墙的应用都是基于状态的,所有报文通过与否和数据流的状态密切相关,只有符合当前状态的数据才能正确处理,如果后续报文找不到正确的状态,会导致业务中断。由于VRRP不支持状态备份,会出现上述备份切换导致业务中断的情况,而双机状态热备技术可以避免上述情况。
2. VRRP在防火墙应用的缺陷:每个备份组的VRRP是单独工作的,并且每个VRRP状态相对独立,因此无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用。如防火墙上下行接口同时配置了不同的VRRP组,当上行接口出现故障,导致主备接口切换,而下行VRRP组依旧没有变化,导致防火墙主备状态混乱,使得用户的业务中断。双机状态热备可以实现整机备份,避免这种情况的发生。
RDO(Redundancy Device Object):
冗余设备对象。区别于真实的物理设备,RDO是抽象出来的虚拟设备,两个相同ID的RDO对外呈现为一个具有完整业务功能的设备实体。
VIF(Virtual Interface):
虚拟接口。VIF是虚拟设备中处理数据转发的实体(具有实际的IP地址),同时它绑定的物理设备接口的状态也会直接影响到设备RDO的状态。
HA Interface:
状态协商接口。采用标准的以太网接口作为状态协商的接口,用来在互为主备的两台防火墙之间传输协商报文以及其它数据。
Active/Passive mode:
主备模式。在该模式下,只有主防火墙处于活动状态处理业务,流量都从主防火墙通过。备份防火墙不处理业务流量,只负责监控主防火墙的状态是否异常。
Active/Active mode:
对等模式。在该模式下,可以配置两台防火墙都处在活动状态,从而使两台防火墙都有处理业务流量的能力,起到负载分担的作用。
对于需要互为备份的两台物理设备,用户需要分别创建冗余设备对象,并且指定相同的冗余设备ID,这两个物理设备之间通过协商决定由哪一台作为主防火墙。RDO状态为Master的防火墙为主设备,只有主设备才能处理业务流量,完成防火墙的过滤、地址转换、转发的业务功能。上图中,FW1和FW2为物理实际存在的防火墙,通过使用双机状态热备技术,对外呈献为一台设备FW。
1、自动批量备份:当接入从设备或从设备重新启动时,主设备将所有配置命令和动态备份信息批量备份到从设备,从设备将执行需要双机状态备份的配置命令,以实现主从设备的配置同步。
2、手动批量同步:主设备上可以输入批量同步命令,将主设备上需要备份的配置命令和动态备份信息发送到从设备。
配置组网灵活:
1. 支持路由模式接入
2. 支持透明模式接入
3. 支持混合模式接入
应用场景灵活:
1. 数据中心备份
2. 政府网络核心服务器
3. 大中型企业中心网络
在主备模式下,只有主防火墙处于活动状态处理业务,流量都从主防火墙通过。备份防火墙不处理业务流量,只负责监控主防火墙的状态是否异常。这种模式的优点是配置简单,而且两台防火墙可以简单的看作一台设备,便于网络的管理。
在对等(双主)式下,使两台防火墙都处在活动状态,每台防火墙承担自己为主模式的业务,同时负责备份对方主业务的状态。在负载分担的组网中,两台防火墙的互为备份,当一台防火墙设备出现故障时,所有业务将由另一台正常的防火墙来进行承接,当出现故障的设备恢复正常后,本身的业务仍然会转到该防火墙继续运行。这种模式的优点是充分利用防火墙资源,对方呈献出两台经过整合的防火墙,实现了负载分担。
1、 双机状态热备对两台防火墙设备有如下要求:
² 硬件主机必须相同;
² 在硬件主机相同的情况下,安装的接口模块可以不同,但使用的接口需要一致;
² 软件版本必须一致。
2、和防火墙相连的交换机、路由器正确配置
² 为了不影响防火墙的状态切换,建议去使能防火墙上下行交换机的STP协议,或者把和防火墙相连的交换机端口配置为边缘端口。
该组网优点:
1. 解决单点故障问题,实现对核心业务的不间断保护,增强系统的可靠性。
2. 配置维护简单,双机对外体现为一台设备。
3. 支持防火墙透明模式、混合模式和路由模式的接入。
工作原理:
在主备组网中,两台防火墙之间通过优先级标识主备状态。当主设备出现异常,不能进行工作时,备防火墙自动切换为主防火墙,接替原有业务,从而保证了业务的不间断性。
该组网的优点:
1. 络设备全交叉连接,解决网络整体单点故障,增强系统的可靠性。
2. 两台防火墙是互为主备,提供整体网络效率。
工作原理:
在一般情况下,部分业务经过FW1一侧,其他业务经过FW2一侧,FW1和FW2互相监控对方的工作状态。当有任何一侧的设备或者链路出现故障,全部业务都会自动切换到另外一侧的防火墙上面,在故障解除之后,原有业务又会自动回到各自的防火墙上面运行。
SecPath系列防火墙提供的双机状态备份技术,具有如下明显的优势和特点:
Ø 非常强的组网适应性。SecPath的双机状态备份可以支持二层交换机、三层交换机、路由器等各种网络设备,可以适应所有的组网环境。再加上SecPath防火墙强大的路由功能,在三层冗余备份技术方面也领先一步,可以依靠SecPath防火墙组建可靠、灵活的网络。
Ø 完备的工作环境。无论防火墙工作在什么模式,均可以支持双机状态备份。特别是在透明模式下,依然可以支持双机状态备份。
Ø SecPath防火墙的双机状态备份可以支持两种运行模式:主备模式(Active/Passive mode)和对等模式(Active/Active)。
Ø SecPath防火墙的双机状态备份特性随软件一同提供,不需要单独购买任何硬件、软件模块,在现有的网络环境中扩展成双机状态备份环境很大程度上保护了用户现有的投资。
SecPath防火墙提供双机状态热备实现了真正的热备份技术,保证切换的时候业务不会发生中断。提供状态同步协议,使得各种业务可以透明的支持双机状态备份,并且在运行过程中实时的保证两台防火墙状态一致,这样当切换发生的时候,业务不会中断。用户层几乎感觉不到防火墙设备的切换,这样就给用户提供了十分可靠的运行环境。
SecPath系列防火墙双机状态热备可以对网络的稳定性提供很好的保护,从而避免由于网络的问题对用户业务带来的不可估量的影响。双机状态热备解决方案为用户安全、可靠的使用网络提供了很好的保障。
SecPath防火墙双机状态热备技术白皮书V1.00.pdf(587.21 KB)