【防火墙技术连载37】强叔侃墙 双机热备篇 双机热备来了

digest [复制链接]
发表于 : 2014-11-27 14:41:11 最新回复:2018-11-27 10:24:43
22925 46
强叔侃墙
强叔侃墙 官方号

    论坛的小伙伴们大家好,强叔又与大家见面了。在经历了漫长的学习过程后,强叔终于带大家领略完了防火墙的各种基本功能,想必各位小伙们一定是大有收获的。之前强叔讲到的都是在一台防火墙上配置各种功能,而为了提升网络的可靠性,我们经常需要在两台防火墙上配置相同的功能并使他们相互备份。那么这是如何做到的呢?

    这就需要用到强叔本次为大家带来的防火墙一大特色功能――双机热备。双机热备来了,光怪陆离的双机热备真的来了~

1 双机部署提升网络可靠性

随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。

如左下图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,我们都必然要承受因设备单点故障而导致网络中断的风险。于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机)或多台设备,以提升网络的可靠性。如右下图所示,当一台防火墙出现故障时,流量会通过另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。



2 路由器的双机部署只需考虑路由备份

如果是传统的网络转发设备(如路由器、三层交换机),只需要在两台设备上做好路由的备份就可以保证业务的可靠性。因为普通的路由器、交换机不会记录报文的交互状态和应用层信息,只是根据路由表进行报文转发,下面举个例子来说明。

如下图所示,两台路由器R1R2与上下行设备R3R4之间运行OSPF协议。正常情况下,由于以太网接口的缺省OSPF Cost值为1,所以在R3上看R1所在链路(R3>R1>R4>FTP服务器)的Cost值为3。而由于我们在R2链路(R3>R2>R4>FTP服务器)的各接口上将OSPF Cost值设置为10,所以在R3上看R2所在链路的Cost值为21。由于流量只会通过Cost值小的链路转发,所以FTP客户端与服务器间的业务就都只会通过R1转发。


 

如下图所示,当R1出现故障时,R1所在链路Cost值变成无穷大,而在R3上看R2所在链路Cost值仍为21。这时网络的路由会重新收敛,流量会根据新的路由被转发到R2,所以R2会接替R1处理业务。业务从R1切换到R2的时间就是网络的路由收敛时间。如果路由收敛时间较短,则正在传输的业务不会中断。

 


3 防火墙的双机部署还需考虑会话备份

如果将传统网络转发设备换成状态检测防火墙,情况就大不一样了。回忆一下强叔在“状态检测和会话机制”中讲到的内容:状态检测防火墙是基于连接状态的,他会对一条流量的首包(第一个报文)进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃

下面举个例子来说明,两台防火墙FW1FW2部署在网络中,与上下行设备R1R2之间运行OSPF协议。如左下图所示,正常情况下,由于FW1所在链路的OSPF Cost值较小,所以业务报文都会根据路由通过FW1转发(原理同前面的路由器的例子)。这时FW1上会建立会话,业务的后续报文都能够匹配会话并转发。

如右下图所示,当FW1出现故障时,业务会被上下行设备上的路由信息引导到FW2上(原理同前面的路由器的例子)。但由于FW2上没有会话,业务报文因为找不到会话而被FW2丢弃,从而导致业务中断。这时用户需要重新发起访问请求(例如重新进行FTP下载),触发FW2重新建立会话,这样用户的业务才能继续进行。

 

 

4 双机热备出手不凡,解决防火墙会话备份问题

那么如何解决两台防火墙会话备份的问题,使两台防火墙主备状态切换时,保证已经建立的业务不中断呢?这时防火墙双机热备功能就该出手相助了!

如左下图所示,防火墙双机热备功能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map表等重要的状态信息和配置信息。双机热备功能启动后,正常情况下,两台防火墙会根据管理员的配置分别成为主用设备和备用设备。成为主用设备的防火墙FW1会处理业务,并将设备上的会话、Server-map表等重要状态信息以及配置信息通过备份通道实时同步给备用设备FW2。成为备用设备的防火墙FW2不会处理业务,只是通过备份通道接收来自主用设备FW1的状态信息以及配置信息。

如右下图所示,当主用设备FW1发生故障时,两台防火墙会利用备份通道交互报文,重新协商主备状态。这时FW2会协商成为新的主用设备,处理业务;而FW1会协商成为备用设备,不处理业务。与此同时,业务流量也会被上下行设备的路由信息引导到新的主用设备FW2上。由于FW2在作为备用设备时已经备份了主用设备上的会话和配置等信息,因此业务报文就能够顺利的匹配到会话从而被正常转发。

以上两点就保证了备用设备FW2能够成功接替原主用设备FW1处理业务流量,成为新的主用设备,避免了网络业务中断。

 

 

上面介绍的是主备备份方式的双机热备。在主备备份场景中,正常情况下备用设备不处理业务流量,处于闲置状态。如果小伙伴们不希望买来的设备闲置,或者只一台设备处理流量时压力较大,可以选择负载分担方式的双机热备。

如左下图所示,在负载分担场景下,两台防火墙均为主用设备,都建立会话,都处理业务流量。同时两台防火墙又都相互作为对方的备用设备,接受对方备份的会话和配置信息。如右下图所示,当其中一台防火墙故障后,另一台防火墙会负责处理全部业务流量。由于这两台防火墙的会话信息是相互备份的,因此全部业务流量的后续报文都能够在其中一台防火墙上匹配到会话从而正常转发,这就避免了网络业务的中断。


 

5 总结

最后,强叔再来简单总结下本回所讲的内容。

为了提升网络可靠性,避免单点故障的风险,我们需要在网络关键节点处部署两台网络

设备。如果是路由器和交换机,我们只需要做好路由的备份即可。如果是防火墙,我们还必须在两台防火墙之间备份会话表等状态信息。

防火墙的双机热备功能提供一条专门的备份通道,用于两台防火墙之间协商主备状态,以及会话等状态信息的备份。双机热备主要包括主备备份和负载分担场景。主备备份是指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。负载分担也可以称为“互为主备”,即两台设备同时处理业务。当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证原来需要通过这台设备转发的业务不中断。

    在本节了解了双机热备功能的由来和概念的基础上,后面强叔将为大家一步步讲解双机热备的实现原理。各位小伙伴敬请期待!

 

 

上一篇 VPN篇 Web代理、文件共享、端口转发三分天下,网络扩展惊鸿出世一统乾坤(下)

下一篇 双机热备篇 VRRP与VGMP的故事(上)

汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
sflovestar007
sflovestar007   发表于 2014-12-3 18:50:58 已赞(0) 赞(0)

继续支持哈,很不错哦!
  • x
  • 常规:

点评 回复

zr_ruirui
zr_ruirui   发表于 2014-12-3 20:04:41 已赞(0) 赞(0)

一如既往的支持哈,O(∩_∩)O~
  • x
  • 常规:

点评 回复

DoubleDong
DoubleDong   发表于 2014-12-4 11:57:55 已赞(0) 赞(0)

先顶后看,培养良好习惯!
  • x
  • 常规:

点评 回复

周中斌
周中斌   发表于 2015-1-27 11:56:18 已赞(0) 赞(0)

年底忙工程,有段时间没来了,赶紧跟上。

  • x
  • 常规:

点评 回复

Colorful
Colorful  新锐 发表于 2015-1-31 09:41:00 已赞(0) 赞(0)

感谢分享!
  • x
  • 常规:

点评 回复

hanxukai
hanxukai   发表于 2014-12-31 11:12:36 已赞(0) 赞(0)

第一次看强叔的帖子,赞一个。
  • x
  • 常规:

点评 回复

HUAWEI_Rjzr
HUAWEI_Rjzr   发表于 2014-12-15 11:42:22 已赞(0) 赞(0)

支持,持续关注!
  • x
  • 常规:

点评 回复

sec_fw
sec_fw   发表于 2014-11-27 14:51:20 已赞(0) 赞(0)

双机来袭,先顶再看!

  • x
  • 常规:

点评 回复

Y_GH
Y_GH   发表于 2014-11-27 14:51:56 已赞(0) 赞(0)

沙发~

先顶后看,谢谢强叔!

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录