收藏
下载资源 加入VIP免费专享

双机热备技术.docx

上传人:小飞机 文档编号:5078837 上传时间:2023-06-02 格式:DOCX 页数:14 大小:310.89KB
返回 下载 相关 举报
双机热备技术.docx_第1页
第1页 / 共14页
双机热备技术.docx_第2页
第2页 / 共14页
双机热备技术.docx_第3页
第3页 / 共14页
双机热备技术.docx_第4页
第4页 / 共14页
双机热备技术.docx_第5页
第5页 / 共14页
亲,该文档总共14页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《双机热备技术.docx》由会员分享,可在线阅读,更多相关《双机热备技术.docx(14页珍藏版)》请在三一办公上搜索。

1、技术白皮书推荐打印收藏本文附件下载双机热备技术白皮书双机热备技术白皮书关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流 都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点 故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下,信 息流仍然不中断。本文将介绍双机热备的概念、工作模式、实现机制及 典型应用等。缩略语:缩略语英文全名中文解释ALGApplication Level Gateway应用层网关ASPFApplication Specific Packet Filter基于应用层的包过滤NATN

2、etwork Address Translator网络地址转换VRRPVirtual Router Redundancy Protocol虚拟路由冗余协议OSPFOpen Shortest Path First开放最短路径优先1概述1.1产生背景1.2技术优点2双机热备工作模式2. 1主备模式2. 2负载分担模式3双机热备实现机制3.1数据同步3. 2流量切换3. 2. 1通过VRRP实现流量切换3.2.2通过动态路由实现流量切换3.3应用限制4 H3C实现的技术特色5双机热备典型组网应用5.1双机热备典型组网应用(路由模式+主备模式)5.2双机热备典型组网应用(路由模式+负载分担模式)5.3

3、双机热备典型组网应用(透明模式+负载分担模式)6参考文献1 概述1.1 产生背景在当前的组网应用中,用户对网络可靠性的要求越来越高,对于一些重要的业 务入口或接入点(比如企业的Internet接入点、银行的数据库服务器等)如何 保证网络的不间断传输,成为急需解决的一个问题。如图1所示,防火墙作为 内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中 断。在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统 都必然要承受因单点故障而导致网络中断的风险。图1 单点设备组网图于是,业界推出了传统备份组网方案来避免此风险,该方案在接入点部署多台 设备形成备份,通过VRRP或动

4、态路由等机制进行链路切换,实现一台设备故障 后流量自动切换到另一台正常工作的设备。传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的 每个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受影响。 但是当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当 用户发起会话时,状态防火墙只会对会话的首包进行检查,如果首包允许通过 则会建立一个会话表项(表项里包括源IP、源端口、目的IP、目的端口等信息),只有匹配该会话表项的后续报文(包括返回报文)才能够通过防火墙。 如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断。双机热备解决方案能够很好的解决这个问

5、题。在链路切换前,对会话信息进行 主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理 业务,从而保证了当前的会话不被中断。如图2所示,在接入点的位置部署两 台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继 续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断, 从而提高了网络的稳定性及可靠性。图2 双机热备组网图双机热备可以从两个层面去理解:一个是广义的双机热 备,它是一种解决方案,用来解决网络中的单点故障问 题,它通过数据同步和流量切换两个技术来实现;一个是 狭义的双机热备,它是设备支持的一个功能模块(只实现 了数据同步),可以使用对应的W

6、eb页签来配置。本文描 述的是广义的双机热备。L2技术优点与传统备份组网方案相比较, 双机热备解决方案可以保证当前业务不会因为防火墙单点故障而中断。 双机热备解决方案支持主备和负载分担两种工作模式,并支持防火墙工作 在路由模式或透明模式,可广泛适用于各种复杂的组网需求。因防火墙工作在路由模式是指防火墙作为三层设备在网络中 运行;工作在透明模式是指防火墙作为二层设备在网络中 运行。2 双机热备工作模式双机热备解决方案根据组网情况有两种工作模式:主备模式和负载分担模式。 在这两种模式中,设备的角色根据是否承担流量来决定:有流量经过的设备即 为主设备,无流量经过的设备即为备份设备。2.1 主备模式主

7、备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设 备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不 处理业务,只用做备份(如图3所示,Firewall 1处理全部业务,Firewall 2 用做备份)。当主设备故障,备份设备接替主设备处理业务,从而保证新发起 的会话能正常建立,当前正在进行的会话也不会中断(如图4所示,当 Firewall 1故障,Firewall 2接续处理全部业务)。Trust X 域DMZ区域会活表独Firewall 2实藤连接投文路径二拳Untrust 区域Firewall 1 | 图3主备模式下,Firewall 1故障前会话示意

8、图图4主备模式下,Firewall 1故障后会话示意图2. 2负载分担模式负载分担模式下,两台设备均为主设备,都处理业务流量,同时乂作为另一台 设备的备份设备,备份对端的会话信息(如图5所示,Firewall 1和 Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处 理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会 中断(如图4所示,当Firewall 1故障,Firewall 2接续处理全部业务)。Trust会莎我项Firewall 1Firewall 2 I会话表项Un trust!/ MDMZ区域图5负载分担模式下,Firewall 1故障

9、前会话示意图3 双机热备实现机制3.1 数据同步防火墙设备需要维护每条会话的状态等相关信息,当主设备故障、流量切换到 备份设备时,仍然要求备份设备上有正确的会话信息才能继续处理会话报文, 否则会话报文会被丢弃从而导致会话中断。因此,主设备上会话建立或表项变 化时需要将相关信息同步保存到备份设备,以保证主设备和备份设备会话表项 的完全一致。防火墙能够同步的信息包括会话、NAT、ALG、ASPF、黑名单、 H. 323、SIP、ILS、RTSP、NBT、SQLNET 等。数据同步的方式有批量备份和实时备份: 批量备份:防火墙设备工作了一段时间后,可能己经存在大量的会话表 项,此时加入另一台防火墙设

10、备,在两台设备上使能双机热备功能后,先运行 的防火墙会将己有的会话表项一次性同步到新加入的设备,这个过程称为批量 备份。 实时备份:防火墙在运行过程中,可能会产生新的会话表项。为了保证表 项的完全一致,防火墙在产生新表项或表项变化后会及时备份到另一台设备, 这个过程称为实时备份。3. 2流量切换双机热备解决方案利用VRRP或动态路由实现流量的切换,下面将分别进行介 绍。3. 2.1 通过VRRP实现流量切换通过VRRP将局域网中的一组设备配置成一个备份组,这组设备在功能上就相当 于一台虚拟设备。局域网内的主机只需要知道这个虚拟设备的IP地址,通过这 个虚拟设备与其它网络进行通信。备份组中,仅有

11、一台设备处于活动状态,能 够转发报文,称为主用设备(Master),其余设备都处于备份状态,并随时按 照优先级高低做好接替任务的准备,称为备份设备(Backup)。当发现主用设 备故障时,优先级次高的备用设备会当选为新的Master接替原Master工作, 整个过程对用户来说是完全透明的,这就很好的实现了流量切换。双机热备的工作模式是主备模式还是负载分担模式可以通过组网和VRRP的配置 来实现:主备模式下仅需要配置一个备份组,不同防火墙在该备份组中拥有不同优先级,优先级高的防火墙成为Master。如图6中所示,Firewall 1和 Firewall 2上创建VRRP备份组1,并配置Firew

12、all 1的优先级高于Firewall 2。Host A和Host B的缺省网关设为备份组1的虚拟IP地址 172.17.1.200/24。以此实现Firewall 1能正常工作的情况下,Firewall 1承 担Host A和Host B的转发任务,Firewall 2是Backup且处于就绪监听状 态。如果Firewall 1发生故障,则Firewall 2成为新的Master,继续为Host A和Host B提供转发服务。Public networkHose AIP: 172.17.1.1CV24Gatw-ay: 172.17.1.200Host BIPZ 172.17.1.129J24

13、Gaisway: 172.17.1-200图6 通过VRRP功能实现流量切换示意图(主备模式) 负载分担模式需要配置两个备份组,通过配置保证一台防火墙是备份组1 的Master,另一台防火墙是备份组2的Mastero如图7所示,Firewall 1和Firewall 2上均创建VRRP备份组1和备份组2,并配置在备份组1上 Firewall 1的优先级高于Firewall 2,在备份组2 Firewall 2的优先级高 于Firewall 1。Host A的缺省网关设为备份组1的虚拟IP地址 172. 17. 1. 200/24, Host B的缺省网关设为备份组2的虚拟IP地址 172.17

14、.1.201/24。以此实现Firewall 1能正常工作的情况下,Host A的报文 通过Firewall 1转发,Host B的报文通过Firewall 2转发,Firewall 1和 Firewall 2分担处理内网的报文流量,同时乂互为备份,监听对方的状态。如 果Firewall 1发生故障,则Firewall 2成为备份组1的Master, Host A和 Host B的报文均通过Firewall 2转发。Public networkH国AIP: 172.17J.1W24gtsway: 172.1T.1.200West BIP: ”2.17.1.12如24Gaiaway: 172.1

15、7.1J200图7 通过VRRP功能实现流量切换(负载分担)3. 2.2通过动态路由实现流量切抄如果网络中不同网段的两台设备A到B之间有多条通路,动态路由协议会使用 算法选取最优的一条路径作为A到B的路由。当这条通路故障,路由协议会从 剩余的可用通路中选择最优的一条作为新的路由,如果故障路由恢复,则乂会 重新启用原路由,从而动态的保证A与B之间的连通。双机热备的工作模式是主备模式还是负载分担模式可以通过组网和动态路由的 配置来实现(以下以0SPF为例):主备模式只有一台防火墙处于工作状态,另一台防火墙处于备份状态。如图 8 所示,Router A、Router B、Firewall 1 和 F

16、irewall 2 上均配置 OSPF 功 能,处于同一个OSPF域,在Router A和Router B上都配置Ethernet 1/1的 cost 值小于 Ethernetl/2 的。这样,路径 Router AFirewall 1Router B 的优先级会高于路径 Router AFirewall 2Router B,当 Firewall 1 能正常工作的情况下,内网发往外网的报文都会通过Firewall 1转发;当 Firewall 1发生故障,OSPF会启用次优路由,内网发往外网的报文会通过 Firewall 2 转发。负载分担模式下两台防火墙处于工作状态并互为备份。如图8所示,R

17、outer A、Router Firewall 1 和 Firewall 2 上均配置 OSPF 功能,处于同 一个OSPF域,在Router A和Router B上都配置至少允许两条等价路由。因为 Router AFirewall 1Router B 这条路由与 Router AFirewall 2Router B优先级一样,所以,当Firewall 1、Firewall 2能正常工作的情 况下,Firewall 1和Firewall 2分担处理内网发往外网的报文;当Firewall 1发生故障,则Firewall 2会处理内网发往外网的全部报文。图8 通过OSPF功能实现流量切换3. 3

18、应用限制 双机热备只支持两台设备进行备份。 双机热备的两台设备要求硬件配置和软件版本一致,并且要求接口卡的型 号与所在的槽位一致,否则会出现一台设备备份过去的信息,在另一台设备上 无法识别,或者找不到相关物理资源,从而导致流量切换后报文转发出错或者 失败。双机热备只支持数据同步,不支持配置同步。所以在一端进行某些配置时,比如配置接口类型、接口允许通过的VLAN等,需要手工在对端也进行相应 的配置。4 H3C实现的技术特色 互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不 中断。而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用 灵活,能适应各种组网环境。 使用专

19、有的备份链路口进行会话信息的备份,该备份链路口不作数据转 发,从而保障了备份的高可靠性及高性能。5 双机热备典型组网应用5. 1式)双机热备典型组网应用(路由模式+主备模Firewall 1和Firewall 2是用户网络连接公有网络的入口点,Firewall 1和 Firewall 2工作在路由模式。现要求实现Firewall 1能正常工作的情况下, Host A 和 Host B 通过 Firewall 1 访问 Server 1。当 Firewall 1 故障,Host A 和 Host B 通过 Firewall 2 访问 Server 1,并且 Host A、Host B 和 Ser

20、ver 1的当前会话不会被中断。这个需求可以通过在Firewall 1和Firewall 2上配置VRRP备份组1和备份组 2 (备份组1用来监控下行链路,备份组2用来监控上行链路),并使能数据同 步功能来实现。腿辨寸1IP: 100.0.0.1004Gateway: 100.0.0.200/24Host AIP: 172.17.1.1CW24Gateway: 172.17.1.200Host BIP: 172.17.1.129/24Gateway: 172.17.1-200图9 双机热备典型组网图(通过VRRP功能实现流量切换)5. 2 双机热备典型组网应用(路由模式+负载分担模式)Fire

21、wall 1和Firewall 2是用户网络连接公有网络的入口点,Firewall 1和 Firewall 2工作在路由模式。现要求实现Firewall 1能正常工作的情况下, Host A 通过 Firewall 1 访问 Server 1, Host B 通过 Firewall 2 访问 Server 1, Firewall 1和Firewall 2分担处理内网的报文流。当Firewall 1故障 时,Host A 和 Host B 通过 Firewall 2 访问 Server 1,并且 Host A、Host B 和Server 1的当前会话不会被中断。这个需求可以通过在 Router

22、 A、Router B、Router C、Router D、Firewall 1 和Firewall 2上配置OSPF,并在Firewall 1和Firewall 2上使能数据同步 功能来实现。Server 1172.17.1. VI6172.17.2.2H6GEU1172.17.2.102/16GE1/1172.17.1.101/16戏机见备专浅Firewalil 1Firewall 2Router ARouter BiDitmGE伉172.16.2_2rZ4GE1O 172.16.2.102/24GE1烙仃2.1$.1.1。1 也GE”172 16 1.1/24GE1/1192.168.1

23、.124GE 1/1 192.16&.2.2/24192.168.1.100/24192.168.2.101/24Host AHostB图10 双机热备典型应用组网图(路由模式+负载分担模式)5-3 双机热备典型组网应用(透明模式+负载分担模式)Firewall 1和Firewall 2是用户网络连接公有网络的入口点,Firewall 1和 Firewall 2工作在透明模式(即二层模式)。现要求实现Firewall 1能正常 工作的情况下,Host A通过Firewall 1访问Server 1, Host B通过Firewall 2访问Server 1, Firewall 1和Firewa

24、ll 2分担处理内网的报文流。当 Firewall 1 故障时,Host A 和 Host B 通过 Firewall 2 访问 Server 1,并且 Host A、Host B和Server 1的当前会话不会被中断。这个需求可以通过在Router A和Router B上配置VRRP备份组1和备份组2 (备份组1和备份组2进行负载分担,共同监控下行链路),并在Firewall 1和Firewall 2上使能数据同步功能来实现。Server 1IP: 100.0.0,1J24Gateway: 172.17.1.200Gateway: 172.17.1.201图11双机热备典型组网应用(透明模式+负载分担模式)6 参考文献双机热备典型配置举例附件下载勇双机热备技术白皮书.pdf (337. 27 KB)

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号