防火墙双机热备
1 简介
介绍了双机热备的定义和由来。
随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。
如图1中的左图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,都存在因设备单点故障而导致网络中断的风险。
于是,在做网络架构设计时,通常会在网络的关键位置部署两台网络设备,以提升网络的可靠性。如图1中的右图所示,当一台防火墙出现故障时,流量会通过另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。
图1 双机部署提升网络可靠性
如果是传统的网络设备(如路由器、三层交换机),只需要在两台设备上做好路由的备份就可以保证业务的可靠性,即当一台设备出现故障时,另一台设备能够接替故障设备处理业务,保证业务不中断。
而防火墙是状态检测设备,他会对一条流量的首包(第一个报文)进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。所以当防火墙双机部署时还需要考虑两台防火墙之间的会话等状态信息的备份。
FW的双机热备功能可以完美的解决以上问题。
如图2所示,FW的双机热备功能会提供一条专门的备份通道,用于两台FW之间协商主备状态,以及会话等状态信息和配置命令的备份。
双机热备主要包括主备备份和负载分担两种方式。
如图2所示,主备备份是指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。
图2 双机热备保证业务不中断
如图3所示,负载分担也可以称为“互为主备”,即两台设备同时处理业务。当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证原来需要通过这台设备转发的业务不中断。
图3 负载分担方式的双机热备
2 应用场景
介绍了双机热备的主要三种应用场景。
介绍了两台处于双机热备状态的FW直路部署在网络中的场景。
介绍了两台处于双机热备状态的FW二层透明部署在网络中的场景。
介绍了两台处于双机热备状态的FW旁挂部署在网络中核心设备上的场景。
2.1 双机热备直路部署
介绍了两台处于双机热备状态的FW直路部署在网络中的场景。
双机热备直路部署是指两台FW的业务接口工作在三层,并且串联部署在上下行设备之间。FW需要与上下行设备之间运行路由协议,上下行设备之间的业务流量都会经过FW。
· 双机直路部署,上下行连接二层设备
如图1所示,FW的上、下行业务接口工作在三层,与二层交换机直连。FW与交换机后的路由器或者PC之间运行静态路由。
此组网是FW推荐的典型双机热备组网,是已经应用得很成熟的组网方式,广泛适用于中小型网络或FW作网关的网络。
图1 业务接口工作在三层,上下行连接二层设备的组网
在图1的基础上,将FW_A的上行接口与Switch4相连,下行接口与Switch2相连;将FW_B的上行接口与Swith3相连,下行接口与Swith1相连。
这样就组成了双机热备的全冗余组网,如图2所示。
双机热备的全冗余组网能够进一步提升网络可靠性,避免多条链路故障时业务中断。例如,当FW_A的GE1/0/1、GE1/0/2和FW_B的GE1/0/1这三个接口都故障时,业务流量依然能够通过FW_B的GE1/0/2接口转发。
图2 双机热备全冗余组网
· 双机直路部署,上下行连接三层设备
如图3所示,FW的上、下行业务接口工作在三层,与路由器直连。FW与上、下行路由器之间运行OSPF协议。
此组网也是FW推荐的典型双机热备组网,是已经应用得很成熟的组网方式,广泛适用于大中型网络。
此组网可以与业务接口工作在三层,上下行连接二层设备的组网结合使用,即组成上行连二(三)层设备,下行连三(二)层设备的组网。
图3 业务接口工作在三层,上下行连接路由器的组网
2.2 双机热备透明接入部署
介绍了两台处于双机热备状态的FW二层透明部署在网络中的场景。
双机热备透明接入部署是指两台FW的业务接口工作在二层,并且透明部署在现有的上下行设备之间。FW不参与上下行设备之间的路由计算,因此FW在接入到现有网络中时,上下行设备都不需要修改配置。
· 双机透明接入,上下行连接二层设备
如图1所示,FW的上、下行业务接口工作在二层,与二层交换机直连。每台FW的上下行业务接口加入到同一个VLAN。
在此组网中,FW透明接入到原有交换机网络,不改变网络拓扑。
由于FW的业务接口工作在二层,因此不能运行与IP地址相关的业务,例如VPN。
图1 业务接口工作在二层,上下行连接二层设备的组网
· 双机透明接入,上下行连接三层设备
如图2所示,FW的上、下行业务接口工作在二层,与路由器直连。上、下行路由器之间运行OSPF动态路由协议。每台FW的上下行业务接口加入到同一个VLAN。
在此组网中,两台FW共同处理业务,而且FW透明接入到原有路由器网络,不改变网络拓扑。
由于FW的业务接口工作在二层,因此不能运行与IP地址相关的业务,例如VPN。
图2 业务接口工作在二层,上下行连接三层设备的组网
2.3 双机热备旁挂部署
介绍了两台处于双机热备状态的FW旁挂部署在网络中核心设备上的场景。
双机热备旁挂部署是指两台FW的业务接口工作在三层,并且旁挂在二层或三层设备上。
FW的双机热备旁挂部署主要有两个优点:
· 可以在不改变现有网络物理拓扑的情况下,将FW部署到网络中。
· 可以有选择的将通过被旁挂设备的流量引导到FW上,即对需要进行安全检测的流量引导到FW上进行处理,对不需要进行安全检测的流量直接通过被旁挂设备转发。
· 双机旁挂在三层设备
如图1所示,两台FW旁挂在三层交换机侧。通过三层交换机的流量可以被引导到旁挂的FW上进行安全检测
图1 防火墙双机旁挂在三层设备的组网
· 双机旁挂在二层设备
如图2所示,两台FW旁挂在二层交换机侧。如果内部网络的主机将默认网关设置在FW上,则内部网络去往外部网络的流量将通过FW进行安全检测。
图2 防火墙双机旁挂在二层设备的组网
如图2所示,双机旁挂在二层设备上的组网完全可以看成双机直路部署,上下行连接二层设备的组网。
父主题: 应用场景
华为专有和保密信息版权所有 © 华为技术有限公司
华为专有和保密信息
版权所有 © 华为技术有限公司
3 原理描述
介绍了双机热备的实现原理。
介绍了VRRP协议的基本概念和存在的问题。
介绍了VGMP协议如何解决VRRP协议的问题,以及VGMP协议的实现原理。
介绍了HRP的实现原理和细节。
3.1VRRP
介绍了VRRP协议的基本概念和存在的问题。
VRRP基本概念
VRRP是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。
如图1所示,将局域网内的一组路由器(实际上是路由器的下行接口)划分在一起,形成一个VRRP备份组。VRRP备份组相当于一台虚拟路由器,这个虚拟路由器有自己的虚拟IP地址和虚拟MAC地址(格式:00-00-5E-00-01-{VRID},VRID是VRRP备份组的ID)。
局域网内的主机可以将默认网关设置为VRRP备份组的虚拟IP地址。在局域网内的主机看来,他们就是与虚拟路由器进行通信的,然后通过虚拟路由器与外部网络进行通信。
VRRP备份组中的多个路由器会根据管理员指定的VRRP备份组优先级确定各自的VRRP备份组状态。优先级最高的VRRP备份组状态为Master,其余VRRP备份组状态为Backup。
VRRP备份组的状态决定了路由器的主备状态。VRRP备份组状态为Master的路由器称为Master路由器,VRRP备份组状态为Backup的路由器称为Backup路由器。
当Master路由器正常工作时,局域网内的主机通过Master路由器与外界通信。当Master路由器出现故障时,一台Backup路由器(VRRP优先级次高的)将成为新的Master路由器,接替转发报文的工作,保证网络不中断。
图1 VRRP基本概念
VRRP的问题
上面讲到通过在网关的下行接口运行VRRP,可以保证网关的可靠性。如果在网关的上行和下
最低0.47元/天 解锁文章
扫一扫
1105
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
