为提高网络可靠性,常见应用场景包括路由器/交换机/防火墙等设备部署冗余,主要方式有冷备份、热备份、堆叠等方式。
(1)冷备份
冷备主要特征是出现故障后需要人工干预才能让备用设备生效。冷备份方式下备用设备在主用设备正常工作期间是不上电的,但所有运行环境和本机配置都要完备。一旦主用设备发生异常,手动上电备用设备承载业务。所以,冷备份适用于可用性需求不高的网络,能在一段时间内恢复网络正常运行即可,冷备份至少有主用设备和备用设备,分别进行配置并保持一致可用。
(2)热备份
热备主要特征是将备用设备与实际设备保持状态同步,实现系统状态的自动切换,从而保证系统可用性不间断。热备份进一步可分为主备备份和负载分担场景,下面以路由器VRRP主备备份和VRRP负载分担模式为例说明。
VRRP主备组网可以在不改变组网的情况下,采用将多台路由设备组成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现默认网关的备份。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络通信的可靠性。可以看到,主/备设备正常情况下都是上电的并保持相互监听,业务流量只由主用设备承载,主/备设备需单独配置并设置VRRP相关参数。
VRRP负载分担模式需要多台设备同时承担业务,因此需要两个或者两个以上的虚拟路由器,每个虚拟路由器都包括一个Master路由器和若干个Backup路由器,各虚拟路由器的Master路由器可以各不相同。也就是说负载分担方式需要建立多个VRRP备份组,而同一台VRRP设备可以加入多个备份组,在不同的备份组中具有不同的优先级。此时相关设备都单独配置并设置VRRP相关参数。
(3)堆叠(stack)
堆叠是指将多台支持堆叠特性的交换机通过堆叠线缆连接在一起,从逻辑上变成一台交换设备,作为一个整体参与数据转发。可以通过组建堆叠,扩展网络能力、提高设备可靠性。所以,堆叠在逻辑上被作为一台设备管理,除硬件资源(例如:风扇、电源等)由各单机本地管理外,其他业务控制与处理均由主设备完成。也就是说,堆叠建立后,主设备的配置文件生效,主设备上原有配置的IP地址即成为堆叠系统的IP地址。可以通过任意一台成员设备登录堆叠系统,对整个堆叠进行管理和维护。无论使用什么方式,通过哪台成员设备登录到堆叠系统,实际登录的都是主设备。
主要有3种方式实现设备堆叠:a)通过堆叠卡组建堆叠、b)通过业务口普通线缆组建堆叠和c)通过业务口专用线缆组建堆叠。以通过堆叠卡组建堆叠为例:堆叠卡堆叠的连接拓扑包括链形连接和环形连接,一般由3台设备(主/备/从设备)组成。当所有成员交换机的模式状态灯都被切换到了Stack模式时,说明堆叠组建成功。此时只需要通过IP地址登录到堆叠系统。只要保证到堆叠系统的路由可达,就可以使用Telnet、Stelnet、WEB以及SNMP等方式进行登录。通过IP地址只能登录到堆叠主交换机,不能登录到备和从交换机。登录到堆叠系统后,主交换机负责将用户的配置下发给其他成员交换机,统一管理堆叠系统中所有成员交换机的资源。此时堆叠实现了3台设备的统一管理,对外只呈现为一套设备配置。
综上分析并参照GBT28449-2018网络安全等级保护测评过程指南中附录D测评对象确定准则和样例,对网络设备、安全设备的测评对象选择建议如下。
部署模式 | 主用设备 | 备用设备 |
冷备份 | ✓ | ✓ |
热备份 | ✓ | ✓ |
堆叠 | ✓ | NA |