双机热备技术

双机热备解决方案可以保证当前业务不会因为防火墙单点故

障而中断。

双机热备解决方案支持主备和负载分担两种工作模式,并支

持防火墙工作在路由模式或透明模式,可广泛适用于各种复杂的组网需求。

防火墙工作在路由模式是指防火墙作为三层设备在网络中运行;工作在透明模式是指防火墙作为二层设备在网络中运行。

2 双机热备工作模式

双机热备解决方案根据组网情况有两种工作模式:主备模式和负载分担模式。在这两种模式中,设备的角色根据是否承担流量来决定:有流量经过的设备即为主设备,无流量经过的设备即为备份设备。

主备模式

主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份(如图3 所示,Firewall 1处理全部业务,Firewall 2用做备份)。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断(如图4 所示,当Firewall 1故障,Firewall 2接续处理全部业务)。

图3 主备模式下,Firewall 1故障前会话示意图

图4 主备模式下,Firewall 1故障后会话示意图

负载分担模式

负载分担模式下,两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如图5 所示,Firewall 1和

Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断(如图4 所示,当Firewall 1故障,Firewall 2接续处理全部业务)。

图5 负载分担模式下,Firewall 1故障前会话示意图

3 双机热备实现机制

数据同步

防火墙设备需要维护每条会话的状态等相关信息,当主设备故障、流量切换到备份设备时,仍然要求备份设备上有正确的会话信息才能继续处理会话报文,否则会话报文会被丢弃从而导致会话中断。因此,主设备上会话建立或表项变化时需要将相关信息同步保存到备份设备,以保证主设备和备份设备会话表项的完全一致。防火墙能够同步的信息包括会话、NAT、ALG、ASPF、黑名单、、SIP、ILS、RTSP、NBT、SQLNET等。 数据同步的方式有批量备份和实时备份:

批量备份:防火墙设备工作了一段时间后,可能已经存在大

量的会话表项,此时加入另一台防火墙设备,在两台设备上使能双机热备功能后,先运行的防火墙会将已有的会话表项一次性同步到新加入的设备,这个过程称为批量备份。

实时备份:防火墙在运行过程中,可能会产生新的会话表

项。为了保证表项的完全一致,防火墙在产生新表项或表项变化后会及时备份到另一台设备,这个过程称为实时备份。

流量切换

双机热备解决方案利用VRRP或动态路由实现流量的切换,下面将分别进行介绍。

3.2.1 通过VRRP实现流量切换

通过VRRP将局域网中的一组设备配置成一个备份组,这组设备在功能上就相当于一台虚拟设备。局域网内的主机只需要知道这个虚拟设备的IP地址,通过这个虚拟设备与其它网络进行通信。备份组中,仅有一台设备处于活动状态,能够转发报文,称为主用设备(Master),其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。当发现主用设备故障时,优先级次高的备用设备会当选为新的Master接替原Master工作,整个过程对用户来说是完全透明的,这就很好的实现了流量切换。

双机热备的工作模式是主备模式还是负载分担模式可以通过组网和VRRP的配置来实现:

主备模式下仅需要配置一个备份组,不同防火墙在该备份组

中拥有不同优先级,优先级高的防火墙成为Master。如图6 中所示,Firewall 1和Firewall 2上创建VRRP备份组1,并配置Firewall 1的优先级高于

Firewall 2。Host A和Host B的缺省网关设为备份组1的虚拟IP地址。以此实现Firewall 1能正常工作的情况下,Firewall 1承担Host A和Host B的转发任务,Firewall 2是Backup且处于就绪监听状态。如果Firewall 1发生故障,则Firewall 2成为新的Master,继续为Host A和Host B提供转发服务。

图6 通过VRRP功能实现流量切换示意图(主备模式)

负载分担模式需要配置两个备份组,通过配置保证一台防火

墙是备份组1的Master,另一台防火墙是备份组2的Master。如图7 所示,

联系客服:779662525#qq.com(#替换为@)