双机热备技术

1、技术日皮书推荐打印收藏本文附件下载双机热备技术白皮书双机热备技术白皮书关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流 都会中断.保证信息流不中断至关重要,这就需要解决防火墙设备单点 故障问题.双机热备技术可以保证即使在防火墙设备故障的情况下,信 息流仍然不中断.本文将介绍双机热备的概念、工作模式、实现机制及 典型应用等.缩略语:缩略语英文全名+义解释ALGApplication Level Gateway应用层网关ASPFApplication Specific Packet Filter基丁应用层的包过滤NATN

2、etwork Address Translator网络地址转换VRRPVirtual Router Redundancy Protocol虚拟路由冗余协议OSPFOpen Shortest Path First开放最短路径优先1概述产生背景技术优点2双机热备工作模式主备模式负载分担模式3双机热备实现机制数据同步流量切换通过VRR以现流量切换通过动态路由实现流量切换应用限制4 H3C实现的技术特色5双机热备典型组网应用双机热备典型组网应用路由模式+主备模式双机热备典型组网应用路由模式+负载分担模式双机热备典型组网应用透明模式+负载分担模式6参考文献1 概述产生背景在当前的组网应用中,用户对网络可

3、靠性的要求越来越高,对丁一些重要的业务入口或接入点比方企业的Internet接入点、银行的数据库效劳器等如何 保证网络的不问断传输,成为急需解决的一个问题.如图 1所示,防火墙作为 内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中 断.在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统 都必然要承受因单点故障而导致网络中断的风险.图1 单点设备组网图丁是,业界推出了传统备份组网方案来防止此风险,该方案在接入点部署多台 设备形成备份,通过VRRPE动态路由等机制进行链路切换,实现一台设备故障 后流量自动切换到另一台正常工作的设备.传统备份组网方案适用丁接入点是路由

4、器等转发设备的情况.由于经过设备的 每个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受影响. 但是当接入点是状态防火墙等设备时,由丁状态防火墙是基丁连接状态的,当 用户发起会话时,状态防火墙只会对会话的首包进行检查,如果首包允许通过 那么会建立一个会话表项表项里包括源 IP、源端口、目的IP、目的端口等信 息,只有匹配该会话表项的后续报文包括返回报文才能够通过防火墙. 如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断.双机热备解决方案能够很好的解决这个问题.在链路切换前,对会话信息进行 主备同步；在设备故障后能将流量切换到其他备份设备,由备份设备继续处理 业务,从而保证

5、了当前的会话不被中断.如图 2所示,在接入点的位置部署两 台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继 续传输,由于在流量切换之前已经进行了数据同步,所以当前业务不会中断, 从而提升了网络的稳定性及可靠性.图2双机热备组网图双机热备可以从两个层面去理解：一个是广义的双机热 备,它是一种解决方案,用来解决网络中的单点故障I可 题,它通过数据同步和流量切换两个技术来实现；一个是 狭义的双机热备,它是设备支持的一个功能模块只实现 了数据同步,可以使用对应的 Web贞签来配置.本文描 述的是广义的双机热备.技术优点与传统备份组网方案相比拟,双机热备解决方案可以保证当前业务不会由

6、于防火墙单点故 障而中断.双机热备解决方案支持主备和负载分担两种工作模式,并支 持防火墙工作在路由模式或透明模式,可广泛适用丁各种复杂的组网需求.-1 (*«h防火墙工作在路由模式是指防火墙作为三层设备在网络中 运行；工作在透明模式是指防火墙作为二层设备在网络中 运行.2 双机热备工作模式双机热备解决方案根据组网情况有两种工作模式：主备模式和负载分担模式. 在这两种模式中,设备的角色根据是否承当流量来决定：有流量经过的设备即 为主设备,无流量经过的设备即为备份设备.主备模式主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备.主设 备处理所有业务,并将产生的会话信息传送到备

7、份设备进行备份；备份设备不 处理业务,只用做备份如图 3所示,Firewall 1 处理全部业务,Firewall 2 用做备份.当主设备故障,备份设备接替主设备处理业务,从而保证新发起 的会话能正常建立,当前正在进行的会话也不会中断如图4所示,当Firewall 1 故障,Firewall 2 接续处理全部业务.图3主备模式下,Firewall 1故障前会话示意图负载分担模式负载分担模式下,两台设备均为主设备,都处理业务流量,同时乂作为另一台 设备的备份设备,备份对端的会话信息如图 5所小,Firewall 1 和 Firewall 2 均处理业务,互为备份.当其中一台故障后,另一台设备负责

8、处 理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会 中断如图4所示,当Firewall 1 故障,Firewall 2 接续处理全部业务会送荏j!.«/安驴企接图5负载分担模式下,Firewall 1故障前会话示意图3 双机热备实现机制数据同步防火墙设备需要维护每条会话的状态等相关信息,当主设备故障、流量切换到 备份设备时,仍然要求备份设备上有正确的会话信息才能继续处理会话报文, 否那么会话报文会被丢弃从而导致会话中断.因此,主设备上会话建立或表项变 化时需要将相关信息同步保存到备份设备,以保证主设备和备份设备会话表项 的完全一致.防火墙能够同步的信息包括会话、

9、NAT ALG ASPF黑名单、SIP、ILS、RTSR NBT SQLNE善.数据同步的方式有批量备份和实时备份：批量备份：防火墙设备工作了一段时间后,可能已经存在大 量的会话表项,此时参加另一台防火墙设备,在两台设备上使能双机热备功能 后,先运行的防火墙会将已有的会话表项一次性同步到新参加的设备,这个过 程称为批量备份.实时备份：防火墙在运行过程中,可能会产生新的会话表 项.为了保证表项的完全一致,防火墙在产生新表项或表项变化后会及时备份 到另一台设备,这个过程称为实时备份.流量切换双机热备解决方案利用 VRRPE动态路由实现流量的切换,下面将分别进行介 绍.3.2.1通过VRRP?现流景

10、切换通过VRRP务局域网中的一组设备配置成一个备份组,这组设备在功能上就相当 丁一台虚拟设备.局域网内的主机只需要知道这个虚拟设备的IP地址,通过这个虚拟设备与其它网络进行通信.备份组中,仅有一台设备处丁活动状态,能 够转发报文,称为主用设备Master,其余设备都处丁备份状态,并随时按 照优先级上下做好接替任务的准备,称为备份设备Backup o当发现主用设 备故障时,优先级次高的备用设备会中选为新的Master接替原Master工作,整个过程对用户来说是完全透明的,这就很好的实现了流量切换.双机热备的工作模式是主备模式还是负载分担模式可以通过组网和VRRP勺配置来实现：主备模式下仅需要配置

11、一个备份组,不同防火墙在该备份组 中拥有不同优先级,优先级高的防火墙成为Mastero如图6中所示,Firewall1和Firewall 2 上创立VRR尚份组1,并配置Firewall 1的优先级高丁Firewall 2 .Host A和Host B的缺省网关设为备份组1的虚拟IP地址.以此 实现Firewall 1能正常工作的情况下,Firewall 1 承当Host A和Host B的转发任务,Firewall 2 是Backup且处丁就绪监听状态.如果 Firewall 1 发生 故障,贝U Firewall 2 成为新的Master,继续为Host A和Host B提供转发服IF:

12、V721M.10A4 Ui.ir.i.NO172.17J_2A0图6 通过VRR曲能实现流量切换示意图主备模式负载分担模式需要配置两个备份组,通过配置保证一台防火 墙是备份组1的Master,另一台防火墙是备份组2的Master.如图7所示,Firewall 1 和Firewall 2 上均创立VRR尚份组1和备份组2,并配置在备份 组1上Firewall 1的优先级高丁 Firewall 2 ,在备份组2上Firewall 2 的优先级高丁 Firewall 1 .Host A的缺省网关设为备份组1的虚拟IP地址,Host B的缺省网关设为备份组2的虚拟IP地址.以此实现Firewall 1

13、能正常工作的情况下,Host A的报文通过Firewall 1 转发,Host B的报文通过Firewall 2转发,Firewall 1 和Firewall 2分担处理内网的报文流量,同时乂互为备份,监听对方的状态.如果 Firewall 1发生故障,贝U Firewall 2成为备份组1的Master, Host A和Host B的报文均通过 Firewall 2 转发.Public networkHost 0 忡:miH岫 GatewBy: 172J7.1 200图7 通过VRR助能实现流量切换负载分担3.2.2通过动态路由实现流景切换如果网络中不同网段的两台设备 A到B之间有多条通路,

14、动态路由协议会使用 算法选取最优的一条路径作为 A到B的路由.当这条通路故障,路由协议会从 剩余的可用通路中选择最优的一条作为新的路由,如果故障路由恢复,那么乂会 重新启用原路由,从而动态的保证 A与B之间的连通.双机热备的工作模式是主备模式还是负载分担模式可以通过组网和动态路由的配置来实现以下以OSPF%J例：主备模式只有一台防火墙处丁工作状态,另一台防火墙处丁备份状态.如图 8 所示,Router A、Router B、Firewall 1 和 Firewall 2 上 均配置OSP助能,处丁同一个OSP做,在Router A和Router B上都配置Ethernet1/1 的 cost

15、值小丁 Ethernet1/2 的.这样,路径 Router A< >Firewall 1< >Router B 的优先级会高丁路径 Router A< >Firewall 2< >Router B,当Firewall 1能正常工作的情况下,内网发往外网的报文都会通过Firewall 1 转发；当Firewall 1 发生故障,OSPF启用次优路由,内网发 往外网的报文会通过Firewall 2 转发.负载分担模式下两台防火墙处丁工作状态并互为备份.如图8 所示,Router A、Router B、Firewall 1 和 Firewall 2上

16、均配置 OSPFft能,处丁同一个OSP蒯,在Router A和Router B上都配置至少允许两条等价 路由.由于 Router A< >Firewall 1< >Router B 这条路由与 Router A< >Firewall 2< >Router B 优先级一样,所以,当 Firewall 1 、Firewall 2 能 正常工作的情况下,Firewall 1 和Firewall 2 分担处理内网发往外网的报 文；当Firewall 1 发生故障,贝U Firewall 2会处理内网发往外网的全部报图8 通过OSPFJ能实现流量切换应用

17、限制双机热备只支持两台设备进行备份.双机热备的两台设备要求硬件配置和软件版本一致,并且要 求接口卡的型号与所在的槽位一致,否那么会出现一台设备备份过去的信息,在 另一台设备上无法识别,或者找不到相关物理资源,从而导致流量切换后报文 转发出错或者失败.双机热备只支持数据同步,不支持配置同步.所以在一端进 行某些配置时,比方配置接口类型、接口允许通过的VLA",需要手工在对端也进行相应的配置.4 H3C现的技术特色互为备份的两台防火墙只负责会话信息备份,保证流量切换 后会话连接不中断.而流量的切换那么依靠传统备份技术如 VRRP动态路由 来实现,应用灵活,能适应各种组网环境.使用专有的备

18、份链路口进行会话信息的备份,该备份链路口 不作数据转发,从而保证了备份的高可靠性及高性能.5 双机热备典型组网应用双机热备典型组网应用路由模式+主备模式Firewall 1 和Firewall 2 是用户网络连接公有网络的入口点,Firewall 1 和Firewall 2 工作在路由模式.现要求实现 Firewall 1 能正常工作的情况下, Host A 和 Host B 通过 Firewall 1 访问 Server 1.当 Firewall 1 故障,Host A和 Host B 通过 Firewall 2 访问 Server 1,并且 Host A、Host B 和 Server 1

19、的当前会话不会被中断.这个需求可以通过在Firewall 1 和Firewall 2 上配置VRR帝份组1和备份组 2 备份组1用来监控下行链路,备份组2用来监控上行链路,并使能数据同 步功能来实现.ip 1 r- r n 1 nr 24 ,-,d W.L nzr CVuIujI IF1 *北目汪;172.17-1l-lfflt A IP: ITZ.IF.t 10/24G«t«W4y; 172 17 1.200MM；t 0IP： 172.17.1.12»<Gattwiy:图9 双机热备典型组网图通过VRRF%能实现流量切换双机热备典型组网应用路由模式+负载分

20、担模Firewall 1 和Firewall 2 是用户网络连接公有网络的入口点,Firewall 1 和Firewall 2工作在路由模式.现要求实现 Firewall 1能正常工作的情况下,Host A 通过 Firewall 1 访问 Server 1 , Host B 通过 Firewall 2 访问 Server 1, Firewall 1 和Firewall 2分担处理内网的报文流.当 Firewall 1 故障时,Host A 和 Host B 通过 Firewall 2 访问 Server 1,并且 Host A、Host B 和Server 1的当前会话不会被中断.这个需求可以通过在 Router A、Router B、Router C、Router D、Firewall 1 和Firewall 2 上配置OSPF并在Firewall 1 和Firewall 2 上使能数据同步 功能来实现.Serw&r 1I""】*Vi1?2,1?.2_1CC716GE1/1 nzi? 1 1Q1/16.枝HL也畚G连Firewall 1Firewall 2Raul er ARouler BGE