双机热备技术 下载本文

Firewall 1和Firewall 2上均创建VRRP备份组1和备份组2,并配置在备份组1上Firewall 1的优先级高于Firewall 2,在备份组2上Firewall 2的优先级高于Firewall 1。Host A的缺省网关设为备份组1的虚拟IP地址,Host B的缺省网关设为备份组2的虚拟IP地址。以此实现Firewall 1能正常工作的情况下,Host A的报文通过Firewall 1转发,Host B的报文通过Firewall 2转发,Firewall 1和Firewall 2分担处理内网的报文流量,同时又互为备份,监听对方的状态。如果Firewall 1发生故障,则Firewall 2成为备份组1的Master,Host A和Host B的报文均通过Firewall 2转发。

图7 通过VRRP功能实现流量切换(负载分担)

3.2.2 通过动态路由实现流量切换

如果网络中不同网段的两台设备A到B之间有多条通路,动态路由协议会使用算法选取最优的一条路径作为A到B的路由。当这条通路故障,路由协议会从剩余的可用通路中选择最优的一条作为新的路由,如果故障路由恢复,则又会重新启用原路由,从而动态的保证A与B之间的连通。

双机热备的工作模式是主备模式还是负载分担模式可以通过组网和动态路由的配置来实现(以下以OSPF为例):

主备模式只有一台防火墙处于工作状态,另一台防火墙处于

备份状态。如图8 所示,Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能,处于同一个OSPF域,在Router A和Router B上都配置

Ethernet1/1的cost值小于Ethernet1/2的。这样,路径Router A<—

>Firewall 1<—>Router B的优先级会高于路径Router A<—>Firewall 2<—>Router B,当Firewall 1能正常工作的情况下,内网发往外网的报文都会通过Firewall 1转发;当Firewall 1发生故障,OSPF会启用次优路由,内网发往外网的报文会通过Firewall 2转发。

负载分担模式下两台防火墙处于工作状态并互为备份。如图

8 所示,Router A、Router B、Firewall 1和Firewall 2上均配置OSPF功能,处于同一个OSPF域,在Router A和Router B上都配置至少允许两条等价路由。因为Router A<—>Firewall 1<—>Router B这条路由与Router A<—>Firewall 2<—>Router B优先级一样,所以,当Firewall 1、Firewall 2能正常工作的情况下,Firewall 1和Firewall 2分担处理内网发往外网的报文;当Firewall 1发生故障,则Firewall 2会处理内网发往外网的全部报文。

图8 通过OSPF功能实现流量切换

应用限制

双机热备只支持两台设备进行备份。

双机热备的两台设备要求硬件配置和软件版本一致,并且要

求接口卡的型号与所在的槽位一致,否则会出现一台设备备份过去的信息,在另一台设备上无法识别,或者找不到相关物理资源,从而导致流量切换后报文转发出错或者失败。

双机热备只支持数据同步,不支持配置同步。所以在一端进

行某些配置时,比如配置接口类型、接口允许通过的VLAN等,需要手工在对端也进行相应的配置。

4 H3C实现的技术特色

互为备份的两台防火墙只负责会话信息备份,保证流量切换

后会话连接不中断。而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。

使用专有的备份链路口进行会话信息的备份,该备份链路口

不作数据转发,从而保障了备份的高可靠性及高性能。

5 双机热备典型组网应用

双机热备典型组网应用(路由模式+主备模式)

Firewall 1和Firewall 2是用户网络连接公有网络的入口点,Firewall 1和Firewall 2工作在路由模式。现要求实现Firewall 1能正常工作的情况下,Host A和Host B通过Firewall 1访问Server 1。当Firewall 1故障,Host A和Host B通过Firewall 2访问Server 1,并且Host A、Host B和Server 1的当前会话不会被中断。

这个需求可以通过在Firewall 1和Firewall 2上配置VRRP备份组1和备份组2(备份组1用来监控下行链路,备份组2用来监控上行链路),并使能数据同步功能来实现。

图9 双机热备典型组网图(通过VRRP功能实现流量切换)

双机热备典型组网应用(路由模式+负载分担模式)

Firewall 1和Firewall 2是用户网络连接公有网络的入口点,Firewall 1和Firewall 2工作在路由模式。现要求实现Firewall 1能正常工作的情况下,Host A通过Firewall 1访问Server 1,Host B通过Firewall 2访问Server 1,Firewall 1和Firewall 2分担处理内网的报文流。当Firewall 1故障时,Host A和Host B通过Firewall 2访问Server 1,并且Host A、Host B和Server 1的当前会话不会被中断。

这个需求可以通过在Router A、Router B、Router C、Router D、Firewall 1和Firewall 2上配置OSPF,并在Firewall 1和Firewall 2上使能数据同步功能来实现。