高可靠组网决方案技术白皮书.pdf

Hillstone 防火墙高可靠组网解决方案技术白皮书 关键词关键词：防火墙，单点故障，状态检测，HA 组，AP，AA，Hillstone 集群管理协议（HCMP） ， 冗余，负载均衡，非 HA 组，非对称流量，企业网络出口，数据中心网络出口，宽带运营商 网络出口，状态机。 摘要摘要：本文介绍了防火墙高可靠组网的需求背景、Hillstone 防火墙高可靠组网的工作模式、 典型应用场景，以及 Hillstone 集群管理协议的基本原理。 缩略语缩略语： 缩略语 英文全称 中文解释 HA High Availability 高可靠性 AP Active-Passive 主备 AA Active-Active 双主 HCMP Hillstone Cluster Management Protocol Hillstone 集群管理协议 NAT Network Address Translation 网络地址转换 OSPF Open Shortest Path First 开放式最短路径优先 CE Customer Edge (Router) 客户边缘路由器 PE Provider Edge (Router) 运营商边缘路由器 VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议 RDO Runtime Dynamic Object 运行时动态对象 IPSec Internet Protocol Security 互联网协议安全 SSL Secure Sockets Layer 安全套接层 L2TP Layer 2 Tunneling Protocol 第二层隧道协议 VPN Virtual Private Network 虚拟专用网络 DNS Domain Name System 域名系统 ARP Address Resolution Protocol 地址解析协议 PKI Public Key Infrastructure 公钥基础设施 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 MAC Media Access Control 媒体接入控制 1. 防火墙高可靠组网需求背景 1.1 单机部署存在单点故障风险 单台设备部署时， 无论其可靠性多高， 系统都必然要承受因单点故障而导致网络业 务中断的风险。 而且防火墙部署在互联网出口一般主要使用网络地址转换 （NAT） 功能， 因此无法使用 Bypass 来解决单点故障问题。 图 1 单机部署存在单点故障风险 1.2 双活单机部署依然存在问题 单点故障问题可通过双活架构组网来规避，但防火墙（不同于路由器）是状态检测 设备，如果仍是单机模式，会出现单台设备故障时，靠路由冗余切换过来的 TCP 流无法 通过状态检测而中断。即使防火墙关闭状态检测，对于需要网络地址转换的流，由于没 有 NAT 会话同步，也会导致中断。而且流的后续报文可能缺少应用特征关键字，导致 流量应用类型识别不准。 图 2 双活单机部署依然存在问题 2. Hillstone 防火墙高可靠组网工作模式 Hillstone 防火墙高可靠组网工作模式目前有三种： “HA 组”AP 模式、 “HA 组”AA 模式、 “非 HA 组”AA 模式。 “HA 组”是指两台防火墙通过 Hillstone 集群管理协议建立互相备份 关系（Hillstone 集群管理协议的基本原理请参考附文） ，而“非 HA 组”则是两台防火墙依赖 组网中的路由冗余建立互相备份关系。 2.1 “HA 组”AP 模式 两台设备 （工作在透明模式或者路由模式） 配置成一个 “HA 组” ， 一台作为主设备， 另一台作为备份设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息 以及当前会话信息传递给备份设备。 当主设备出现设备或链路故障时， 备份设备接替主 设备工作，转发报文。这种主备模式具有较强冗余性，而且其网络结构简单，便于维护 管理。 图 3 Hillstone 防火墙“HA 组”AP 模式部署 2.2 “HA 组”AA 模式 两台设备（工作在透明模式或者路由模式）配置成两个“HA 组” ，一台在 HA 组 0 中作为主设备，在 HA 组 1 中作为备份设备；另一台在 HA 组 0 中作为备份设备，在 HA 组 1 中作为主设备。两台设备同时运行各自的工作，且相互监测对方的情况。当其中一 台设备发生设备或链路故障时， 另外一台设备运行其自身的工作并且接管故障设备的工 作，以保证工作不间断。这种双主模式具有高性能以及负载均衡的优点。 图 4 Hillstone 防火墙“HA 组”AA 模式部署 2.3 “非 HA 组”AA 模式 “非 HA 组”AA 模式是 Hillstone 为如下特殊组网场景考虑的解决方案。当要求两 台防火墙 （工作在透明模式或者路由模式） 部署在双活并且起了动态路由协议 （如 OSPF） 的 CE 与 PE 之间、不做 NAT、主要做访问控制和攻击防护时，由于路由的冗余，会有非 对称路由的问题出现：如图 7 所示，用户侧访问网络侧的流量走一台防火墙，而网络侧 回用户侧的流量走了另一台防火墙。防火墙作为状态检测设备，无论是采用单机还是 “HA 组”的模式部署，都会出现非对称流量由于匹配不到会话，而无法通过状态检测 而中断的问题，同时影响应用流量管理、入侵防御等多个功能。 图 5 非对称流量组网场景 为此 Hillstone 给出的如下解决方案。两台防火墙单机部署，不使用 Hillstone 集群 管理协议，但增加互相会话备份和流量转发通道。一台设备先收到一条流的报文，则建 立主会话， 同时向另一台防火墙同步备份会话， 当另一台防火墙收到这条流的后续报文 时，匹配到备份会话，则将流量转发到建有主会话的防火墙上处理。这样能够保证同一 条流的所有流量都由同一台防火墙来处理， 延续会话的一致性， 同时使得应用流量管理、 入侵防御等功能能够正常使用。 图 6 Hillstone 防火墙“非 HA 组”AA 模式部署 内网主机Hillstone防火墙AHillstone防火墙B互联网 IP流量 通知建立备份会话 建立主会话 IP流量 建立主会话 通知建立备份会话 IP流量 IP流量 匹配到备份会话，转发流量IP流量 匹配到主会话，直接处理 图 7 Hillstone 防火墙非“HA 组”AA 模式部署数据流程 3. Hillstone 防火墙高可靠组网典型应用场景 3.1 企业网络出口 防火墙通常作为网关部署在企业的网络出口， 网络地址转换 （NAT） 是必须的功能。 一般来说企业网络内网用户和服务数量不多， 为便于维护， 内网用户和服务都希望配置 相同的网关地址，因此建议选择两台防火墙“HA 组”AP 模式部署。 图 8 Hillstone 企业网络出口 HA 解决方案（ “HA 组”AP） 内网主机Hillstone防火墙AHillstone防火墙B互联网 配置主配置备 配置网关地址在 Hillstone防火墙 IP流量IP流量 Hillstone防火墙A 设备或链路故障 切换为主 IP流量IP流量 网络地址转换 网络地址转换 图 9 Hillstone 企业网络出口 HA 解决方案数据流程（ “HA 组”AP） 3.2 数据中心网络出口 防火墙通常不作为网关部署在数据中心的网络出口，但网络地址转换（NAT）是必 须的功能。由于数据中心具有数据流量大、可靠性要求高的特点，一般网关交换机都选 择负载分担模式，同时也选择两台防火墙“HA 组”AA 模式部署。内网服务是否需要划 分多部分，分别配置不同的网关地址，由交换机网关的负载分担机制来决定。 图 10 Hillstone 数据中心网络出口 HA 解决方案（ “HA 组”AA） 网关A网关BHillstone防火墙AHillstone防火墙B路由器A 配置Group0主， Group1备 配置Group1主， Group0备 配置静态路由下 一跳在Group0 配置静态路由下 一跳在Group1 以网关A的流量为例 IP流量IP流量 Hillstone防火墙A 设备或链路故障 切换后Group1主，Group0主 IP流量IP流量 路由器B Group0向外网静态 路由指向路由器A Group1向外网静态 路由指向路由器B 动态路由 网络地址转换 网络地址转换 图 11 Hillstone 数据中心网络出口 HA 解决方案数据流程（ “HA 组”AA） 3.3 宽带运营商网络出口 防火墙通常不作为网关部署在宽带运营商的网络出口，但网络地址转换（NAT）是 必须的功能。由于宽带运营商网络出口具有数据流量大、可靠性要求高的特点，也需要 选择两台防火墙“HA 组”AA 模式部署，数据流程跟上文数据中心网络出口应用中的类 似。 图 12 Hillstone 宽带运营商网络出口 HA 解决方案（ “HA 组”AA） 附：Hillstone 集群管理协议（HCMP）简介 Hillstone 集群管理协议是类似于 VRRP 的 Hillstone 私有协议。在同一“HA 组”内的两台 设备通过 Hillstone 集群管理协议来协商状态，最终确认互相之间的主备关系。Hillstone 集群 管理协议状态机如图所示。 图 13 Hillstone 集群管理协议状态机 各状态迁移条件说明如下： 发现自己被配置在“HA 组”内。 收到“HA 组”内协商消息，根据双方配置，本机协商为“备”后，定时发送“备 心跳消息” 。 收到“HA 组”内协商消息，根据双方配置，本机协商为“主”后，定时发送“主 心跳消息” 。 收到“备心跳消息” ，或本机配置更改。 收到“主心跳消息” ，或本机配置更改。 收到对端“故障消息” ，或“主心跳消息”超时。 发现设备或链路故障。 发现设备或链路故障。 从设备或链路故障中恢复。 为保证备份设备能够在主设备失效时代替主设备工作， 主设备需要与备用设备进行同步。 同步的信息类型有三种：配置信息、文件以及 RDO（Runtime Dyna