word窗体顶端技术白皮书· 推荐· 打印· 收藏· 本文附件下载双机热备技术白皮书双机热备技术白皮书关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘 要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断本文将介绍双机热备的概念、工作模式、实现机制与典型应用等缩略语:缩略语英文全名中文解释ALGApplication Level Gateway应用层网关ASPFApplication Specific Packet Filter基于应用层的包过滤NATNetwork Address Translator网络地址转换VRRPVirtual Router Redundancy Protocol虚拟路由冗余协议OSPFOpen Shortest Path First开放最短路径优先 目 录1 概述... 31.1 产生背景... 31.2 技术优点... 52 双机热备工作模式... 52.1 主备模式... 52.2 负载分担模式... 63 双机热备实现机制... 73.1 数据同步... 73.2 流量切换... 83.2.1 通过VRRP实现流量切换... 83.2.2 通过动态路由实现流量切换... 103.3 应用限制... 114 H3C实现的技术特色... 125 双机热备典型组网应用... 125.1 双机热备典型组网应用〔路由模式+主备模式〕... 125.2 双机热备典型组网应用〔路由模式+负载分担模式〕... 135.3 双机热备典型组网应用〔透明模式+负载分担模式〕... 146 参考文献... 151 概述 产生背景在当前的组网应用中,用户对网络可靠性的要求越来越高,对于一些重要的业务入口或接入点〔比如企业的Internet接入点、银行的数据库服务器等〕如何保证网络的不连续传输,成为急需解决的一个问题。
如图1 所示,防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险 图1 单点设备组网图于是,业界推出了传统备份组网方案来防止此风险,该方案在接入点部署多台设备形成备份,通过VRRP或动态路由等机制进展链路切换,实现一台设备故障后流量自动切换到另一台正常工作的设备传统备份组网方案适用于接入点是路由器等转发设备的情况因为经过设备的每个报文都是查找转发表进展转发,链路切换后,后续报文的转发不受影响但是当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当用户发起会话时,状态防火墙只会对会话的首包进展检查,如果首包允许通过如此会建立一个会话表项〔表项里包括源IP、源端口、目的IP、目的端口等信息〕,只有匹配该会话表项的后续报文〔包括返回报文〕才能够通过防火墙如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断双机热备解决方案能够很好的解决这个问题在链路切换前,对会话信息进展主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
如图2 所示,在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进展了数据同步,所以当前业务不会中断,从而提高了网络的稳定性与可靠性图2 双机热备组网图双机热备可以从两个层面去理解:一个是广义的双机热备,它是一种解决方案,用来解决网络中的单点故障问题,它通过数据同步和流量切换两个技术来实现;一个是狭义的双机热备,它是设备支持的一个功能模块〔只实现了数据同步〕,可以使用对应的Web页签来配置本文描述的是广义的双机热备 技术优点与传统备份组网方案相比拟,l 双机热备解决方案可以保证当前业务不会因为防火墙单点故障而中断l 双机热备解决方案支持主备和负载分担两种工作模式,并支持防火墙工作在路由模式或透明模式,可广泛适用于各种复杂的组网需求防火墙工作在路由模式是指防火墙作为三层设备在网络中运行;工作在透明模式是指防火墙作为二层设备在网络中运行 2 双机热备工作模式双机热备解决方案根据组网情况有两种工作模式:主备模式和负载分担模式在这两种模式中,设备的角色根据是否承当流量来决定:有流量经过的设备即为主设备,无流量经过的设备即为备份设备。
主备模式主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备主设备处理所有业务,并将产生的会话信息传送到备份设备进展备份;备份设备不处理业务,只用做备份〔如图3 所示,Firewall 1处理全部业务,Firewall 2用做备份〕当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进展的会话也不会中断〔如图4 所示,当Firewall 1故障,Firewall 2接续处理全部业务〕图3 主备模式下,Firewall 1故障前会话示意图图4 主备模式下,Firewall 1故障后会话示意图 负载分担模式负载分担模式下,两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息〔如图5 所示,Firewall 1和Firewall 2均处理业务,互为备份〕当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进展的会话也不会中断〔如图4 所示,当Firewall 1故障,Firewall 2接续处理全部业务〕图5 负载分担模式下,Firewall 1故障前会话示意图3 双机热备实现机制 数据同步防火墙设备需要维护每条会话的状态等相关信息,当主设备故障、流量切换到备份设备时,仍然要求备份设备上有正确的会话信息才能继续处理会话报文,否如此会话报文会被丢弃从而导致会话中断。
因此,主设备上会话建立或表项变化时需要将相关信息同步保存到备份设备,以保证主设备和备份设备会话表项的完全一致防火墙能够同步的信息包括会话、NAT、ALG、ASPF、黑、H.323、SIP、ILS、RTSP、NBT、SQLNET等数据同步的方式有批量备份和实时备份:l 批量备份:防火墙设备工作了一段时间后,可能已经存在大量的会话表项,此时参加另一台防火墙设备,在两台设备上使能双机热备功能后,先运行的防火墙会将已有的会话表项一次性同步到新参加的设备,这个过程称为批量备份l 实时备份:防火墙在运行过程中,可能会产生新的会话表项为了保证表项的完全一致,防火墙在产生新表项或表项变化后会与时备份到另一台设备,这个过程称为实时备份 流量切换双机热备解决方案利用VRRP或动态路由实现流量的切换,下面将分别进展介绍 通过VRRP实现流量切换通过VRRP将局域网中的一组设备配置成一个备份组,这组设备在功能上就相当于一台虚拟设备局域网内的主机只需要知道这个虚拟设备的IP地址,通过这个虚拟设备与其它网络进展通信备份组中,仅有一台设备处于活动状态,能够转发报文,称为主用设备〔Master〕,其余设备都处于备份状态,并随时按照优先级上下做好接替任务的准备,称为备份设备〔Backup〕。
当发现主用设备故障时,优先级次高的备用设备会当选为新的Master接替原Master工作,整个过程对用户来说是完全透明的,这就很好的实现了流量切换双机热备的工作模式是主备模式还是负载分担模式可以通过组网和VRRP的配置来实现:l 主备模式下仅需要配置一个备份组,不同防火墙在该备份组中拥有不同优先级,优先级高的防火墙成为Master如图6 中所示,Firewall 1和Firewall 2上创建VRRP备份组1,并配置Firewall 1的优先级高于Firewall 2Host A和Host B的缺省网关设为备份组1的虚拟IP地址172.17.1.200/24以此实现Firewall 1能正常工作的情况下,Firewall 1承当Host A和Host B的转发任务,Firewall 2是Backup且处于就绪监听状态如果Firewall 1发生故障,如此Firewall 2成为新的Master,继续为Host A和Host B提供转发服务图6 通过VRRP功能实现流量切换示意图〔主备模式〕l 负载分担模式需要配置两个备份组,通过配置保证一台防火墙是备份组1的Master,另一台防火墙是备份组2的Master。
如图7 所示,Firewall 1和Firewall 2上均创建VRRP备份组1和备份组2,并配置在备份组1上Firewall 1的优先级高于Firewall 2,在备份组2上Firewall 2的优先级高于Firewall 1Host A的缺省网关设为备份组1的虚拟IP地址172.17.1.200/24,Host B的缺省网关设为备份组2的虚拟IP地址172.17.1.201/24以此实现Firewall 1能正常工作的情况下,Host A的报文通过Firewall 1转发,Host B的报文通过Firewall 2转发,Firewall 1和Firewall 2分担处理内网的报文流量,同时又互为备份,监听对方的状态如果Firewall 1发生故障,如此Firewall 2成为备份组1的Master,Host A和Host B的报文均通过Firewall 2转发图7 通过VRRP功能实现流量切换〔负载分担〕 通过动态路由实现流量切换如果网络中不同网段的两台设备A到B之间有多条通路,动态路由协议会使用算法选取最优的一条路径作为A到B的路由当这条通路故障,路由协议会从剩余的可用通路中选择最优的一条作为新的路由,如果故障路由恢复,如此又会重新启用原路由,从而动态的保证A与B之间的连通。
双机热备的工作模式是主备模式还是负载分担模式可以通过组网和动态路由的配置来实现〔以下以OSPF为例〕:l 主备模式只有一台防火墙处于工作状态,另一台防火墙处于备份状态如图8 所示,Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能,处于同一个OSPF域,在Router A和Router B上都配置Ethernet1/1的cost值小于Ethernet1/2的这样,路径Router A<—>Firewall 1<—>Router B的优先级会高于路径Router A<—>Firewall 2<—>Router B,当Firewall 1能正常工作的情况下,内网发往外网的报文都会通过Firewall 1转发;当Firewall 1发生故障,OSPF会启用次优路由,内网发往外网的报文会通过Firewall 2转发l 负载分担模式下两台防火墙处于工作状态并互为备份如图8 所示,Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能,处于同一个OSPF域,在Router A和Router B上都配置至少允许两条等价路由。
因为Router A<—>Firewall 1<—>Router B这条路由与Router A<—>Firewal。