双机热备工作模式
FW支持主备备份和负载分担模式两种运行模式。
-
主备备份模式:两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断。
-
负载分担模式:两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。
说明
镜像模式是实现主备备份双机热备的一种特殊技术手段,主要用于DCN和云管理场景中。
在选择双机热备的运行模式时,请考虑以下因素。
| 项目 |
说明 |
| 主备备份模式 |
流量由单台设备处理,相较于负载分担模式,路由规划和故障定位相对简单。 |
| 负载分担模式 |
相较于主备备份模式,组网方案和配置相对复杂。 负载分担组网中使用入侵防御、反病毒等内容安全检测功能时,可能会因为流量来回路径不一致导致内容安全功能失效。 负载分担组网中配置NAT时,需要额外的配置来防止两台设备NAT资源分配冲突。 负载分担模式组网中流量由两台设备共同处理,可以比主备备份模式或镜像模式组网承担更大的峰值流量。 负载分担模式组网中设备发生故障时,只有一半的业务需要切换,故障切换的速度更快。 |
典型组网分析
双机热备直路部署,连接二层设备
FW的上、下行业务接口工作在三层,分别与二层交换机直连的组网,既可以用于主备备份方式,又可以用于负载分担方式的双机热备。
主备备份
如下图所示,在FW_A的业务接口上配置VRRP备份组,并将其状态设置为Active。在FW_B的业务接口上配置VRRP备份组,并将其状态设置为Standby。将内网PC的网关设置为VRRP备份组的虚拟IP地址。
正常情况下,网络运行情况分析如下:
-
PC将用于请求网关地址(VRRP备份组1虚拟IP地址)对应MAC地址的ARP报文发送给交换机。交换机在网络中广播此ARP报文。
-
只有VRRP备份组状态为Active的设备FW_A才会应答此ARP报文,反馈VRRP备份组1的虚拟MAC地址。
-
交换机会记录VRRP备份组1的虚拟MAC地址与端口Eth0/0/1的关系,然后将此虚拟MAC地址发送给PC。
-
PC将业务报文发送给交换机,业务报文的目的MAC地址为VRRP备份组1的虚拟MAC地址。
-
交换机根据记录的MAC地址与端口的关系,将报文从端口Eth0/0/1转发,发送给FW_A。
这样在正常情况下,内网PC发出的流量就都通过主用设备FW_A转发了。如下图所示,当FW_A发生故障后,网络运行情况分析如下:
-
当FW_A的业务接口故障时,FW_A切换成备用设备,FW_B成为主用设备。
-
新主用设备FW_B会对外发送免费ARP报文后,报文中包含VRRP备份组的虚拟IP地址和虚拟MAC地址。
-
交换机收到免费ARP报文后会更新MAC地址与端口的对应关系(将VRRP备份组1的虚拟MAC地址与端口Eth0/0/2对应)。
-
当PC将业务报文发送给交换机时,报文将从交换机的端口Eth0/0/2转发,发送给FW_B。
这样在FW_A故障时,内网PC发出的流量就都通过新主用设备FW_B转发了。
负载分担
如下图所示,FW_A的VRRP备份组1和3状态被配置成active,VRRP备份组2和4状态被配置成standby。FW_B的VRRP备份组2和4状态被配置成active,VRRP备份组1和3状态被配置成standby。
将内网一部分PC的网关设置为VRRP备份组1的虚拟IP地址,另一部分PC的网关设置为VRRP备份组2的虚拟IP地址。在Router上配置两条静态路由,下一跳分别为VRRP备份组3的虚拟IP地址和VRRP备份组4的虚拟IP地址。
这样正常情况下,FW_A的接口GE1/0/1转发下一跳为VRRP备份组1的虚拟IP地址的报文,FW_B的接口GE1/0/1转发下一跳为VRRP备份组2的虚拟IP地址的报文。一部分PC的流量通过FW_A转发,另一部分PC的流量通过FW_B转发,形成负载分担。
当有设备故障,如FW_A发生故障后,FW_A的切换成备用设备,FW_B会成为主用设备,并对外发送免费ARP报文,引导所有流量都通过FW_B转发。
最低0.47元/天 解锁文章
2685
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
