双机热备技术 下载本文

技术白皮书

推荐 打印 收藏

本文附件下载

双机热备技术白皮书

双机热备技术白皮书

关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换

摘 要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流

都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。本文将介绍双机热备的概念、工作模式、实现机制及典型应用等。 缩略语: 缩略语 ALG ASPF NAT VRRP OSPF

英文全名 Application Level Gateway Application Specific Packet Filter Network Address Translator Virtual Router Redundancy Protocol Open Shortest Path First 中文解释 应用层网关 基于应用层的包过滤 网络地址转换 虚拟路由冗余协议 开放最短路径优先 目 录 1 概述 产生背景 技术优点

2 双机热备工作模式 主备模式 负载分担模式 3 双机热备实现机制 数据同步 流量切换

通过VRRP实现流量切换 通过动态路由实现流量切换 应用限制

4 H3C实现的技术特色 5 双机热备典型组网应用

双机热备典型组网应用(路由模式+主备模式) 双机热备典型组网应用(路由模式+负载分担模式) 双机热备典型组网应用(透明模式+负载分担模式) 6 参考文献

1 概述

产生背景

在当前的组网应用中,用户对网络可靠性的要求越来越高,对于一些重要的业务入口或接入点(比如企业的Internet接入点、银行的数据库服务器等)如何保证网络的不间断传输,成为急需解决的一个问题。如图1 所示,防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。

图1 单点设备组网图

于是,业界推出了传统备份组网方案来避免此风险,该方案在接入点部署多台设备形成备份,通过VRRP或动态路由等机制进行链路切换,实现一台设备故障后流量自动切换到另一台正常工作的设备。

传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受影响。但是当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当用户发起会话时,状态防火墙只会对会话的首包进行检查,如果首包允许通过则会建立一个会话表项(表项里包括源IP、源端口、目的IP、目的端口等信

息),只有匹配该会话表项的后续报文(包括返回报文)才能够通过防火墙。如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断。 双机热备解决方案能够很好的解决这个问题。在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。如图2 所示,在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断,从而提高了网络的稳定性及可靠性。

图2 双机热备组网图

双机热备可以从两个层面去理解:一个是广义的双机热备,它是一种解决方案,用来解决网络中的单点故障问题,它通过数据同步和流量切换两个技术来实现;一个是狭义的双机热备,它是设备支持的一个功能模块(只实现了数据同步),可以使用对应的Web页签来配置。本文描述的是广义的双机热备。

技术优点

与传统备份组网方案相比较,