双机热备技术-H3C

.表单顶部技术白皮书受到推荐打印收藏下载此文档的附件双系统热备盘技术白皮书双系统热备盘技术白皮书关键字：双系统热备盘、基本就绪模式、负载共享模式、数据同步、流量切换可选：防火墙设备是所有信息流都必须通过的单点，一旦发生故障，所有信息流都将停止。保护信息流不中断是非常重要的，这需要解决防火墙设备的单点故障问题。双系统热备盘技术可确保即使防火墙设备出现故障，信息流也不会中断。本文介绍了双机热备的概念、操作模式、实现机制和典型应用。缩略语：缩略语英文声明中文解释阿尔格Application Level Gateway应用层网关ASPFapplication specific packet filter基于应用层的包过滤NATNetwork Address Translator网络地址转换VRRPvirtual router redundancy protocol虚拟路由冗馀协议OSPFOpen Shortest Path First开放最短路径优先列表1概述.31.1生成背景.31.2技术优势.52双系统热备盘操作模式.52.1主备份模式.52.2负载共享模式.63冗馀系统热备盘实现机制.73.1数据同步.73.2流量转换.83.2.1通过VRRP转换流量.83.2.2通过动态路由切换流量.103.3应用限制.114 H3C技术功能.125双系统热备盘常见网络应用程序.125.1双系统热备盘典型网络应用程序(路由模式基本备份模式).125.2双系统热备盘典型网络应用程序(路由模式负载共享模式).135.3双系统热备盘典型网络应用程序(透明模式负载共享模式).146参考资料.151概述1.1生成背景当前网络应用中用户对网络可靠性的要求越来越高，如何保证对一些重要业务门户或接入点(如企业的互联网接入点、银行的数据库服务器等)的网络不间断传输成为亟待解决的问题。如图1所示，防火墙是内部和外部网络的接入点，当设备发生故障时，它会完全中断内部和外部网络之间的网络业务。在这些关键业务点，如果仅使用一个设备，那么不管其可靠性有多高，系统都必须承担单点故障导致网络中断的风险。图1单点设备网络图因此，为了避免此风险，业界引入了传统备份网络方案，该方案将多个设备放置在接入点上以创建备份，并通过VRRP或动态路由等机制执行链路切换，从而在一个设备发生故障后自动将流量切换到其他运行的设备。传统备份网络方案适用于接入点是路由器等转发设备的情况。通过设备的每条消息都是在查找传播表进行传播，因此切换链接后的后续消息传播不受影响。但是，如果接入点是状态防火墙之类的设备，则状态防火墙基于连接状态，因此，当用户启动会话时，状态防火墙仅检查会话中的第一个包，如果允许第一个包通过，则会话表条目(表条目包含源IP、源端口、目标IP、目标端口等信息)只能通过与相应会话表条目匹配的后续消息(包括返回消息)通过防火墙。切换链接后，如果后续消息找不到正确的表条目，则会导致当前业务中断。双系统热备盘解决方案可以很好地解决此问题。切换链接之前，将对会话信息执行主备份同步。设备出现故障后，可以将通信量切换到其他备份设备，备份设备可以继续处理业务，因此不会中断当前会话。如图2所示，在接入点的位置部署两个防火墙，如果其中一个防火墙发生故障，数据流将引导到另一个防火墙并继续传输。因为在流量转换之前已经进行了数据同步，所以现在的业务不会中断，从而提高了网络的可靠性和可靠性。图2双系统热备盘网络图双系统热备盘可以从两个方面理解。一个是广泛的双系统热备盘，这是解决网络单点故障问题的解决方案，通过两种技术实现：数据同步和流量转换。一个是窄冗馀系统热备盘，它是设备支持的功能模块(仅数据同步)，可以使用相应的web选项卡进行配置。本文介绍了广义双机热备。1.2技术优势与传统备份网络方案相比l双系统热备盘解决方案可确保防火墙的单点故障不会中断当前业务。l双系统热备盘解决方案支持基本准备和负载共享两种操作模式，并支持防火墙在路由模式或透明模式下运行，因此可以广泛应用于复杂的网络要求。防火墙在路由模式下运行意味着防火墙在网络中作为三层设备运行。操作透明模式意味着防火墙作为两层设备在网络中运行。2双系统热备盘操作模式双系统热备盘解决方案有两种操作模式-基本备份模式和负载共享模式，具体取决于网络情况。在这两种模式下，设备的作用取决于是否执行流量。也就是说，具有通信量的设备是主设备，没有通信量的设备是备份设备。2.1主备份模式主备份模式中的两个防火墙，一个是主设备，另一个是备份设备。主设备处理所有业务，并将生成的会话信息转发到备份设备进行备份。备份设备不处理业务，只进行备份(如图3所示，Firewall 1处理整个业务，Firewall 2用作备份)。如果主设备发生故障，新启动的会话将正常建立，当前正在进行的会话不会中断，因为备份设备将代表主设备处理业务(如果出现Firewall 1故障，Firewall 2将继续处理所有业务，如图4所示)。图3默认准备模式下的Firewall 1故障前会话图图4默认准备模式下的Firewall 1故障后会话图2.2负载共享模式在负载共享模式下，两个设备都作为主设备处理业务通信，同时将端对端会话信息备份到另一个设备的备份设备(Firewall 1和Firewall 2都处理业务并相互备份，如图5所示)。发生一个故障时，另一个设备将处理所有业务，以确保新启动的会话正常建立，当前正在进行的会话不会中断(发生Firewall 1故障时，Firewall 2将继续处理所有业务，如图4所示)。图5负载共享模式下的Firewall 1故障前会话图3冗馀系统热备盘实现机制3.1数据同步防火墙设备必须维护与每个会话的状态等相关的信息，备份设备必须具有正确的会话信息，以便在主设备故障、流量切换到备份设备时继续处理会话消息。否则，会话消息将被丢弃，会话将中断。因此，在主设备上建立会话或更改表条目时，必须将相关信息同时存储在备份设备上，以确保主设备和备份设备会话表条目的一致性。防火墙可以同步的信息包括会话、NAT、ALG、ASPF、黑名单、H.323、SIP、ILS、RTSP、NBT和SQLNET。使用批量备份和实时备份同步数据：l批量备份：如果防火墙设备运行了一段时间，可能已有大量会话表条目。此时，订阅另一个防火墙设备，使两个设备中的双系统成为热备盘，然后从正在运行的防火墙将现有会话表项一次性同步到新添加的设备的过程称为批量备份。l实时备份：防火墙运行时，可能会创建新的会话表条目。为确保表条目的完全一致性，在新表条目或表条目更改后，防火墙及时备份到其他设备的过程称为实时备份。3.2流量转换使用VRRP或动态路由切换流量的双系统热备盘解决方案将在下面单独讨论。3.2.1通过VRRP转换流量通过VRRP将LAN中的设备集配置为单个备份组。此设备集在功能上相当于一个虚拟设备。Lan中的主机只需要知道此虚拟设备的IP地址。通过此虚拟设备与其他网络通信。备份组中只有一个设备处于活动状态，可以转发消息。称为主设备(Master)，其馀设备处于备份状态，并准备根据称为备份设备(Backup)的优先级级别随时接管操作。如果发现主设备故障，高优先级备用设备将被选为新的主设备，取代原始主操作，整个过程对用户完全透明，因此流量转换很好。双系统热备盘的操作模式是基本模式还是负载共享模式，可以通过网络和VRRP配置实现。l在主备份模式下，仅需要配置一个备份组，其他防火墙在该备份组中具有不同的优先级，优先级较高的防火墙将成为主防火墙。如图6中所示，在Firewall 1和Firewall 2中创建了VRRP备份组1，并将Firewall 1配置为高于Firewall 2的优先级。主机a和主机b的默认网关设置为备份组1的虚拟IP地址172.17.1.200/24。要使Firewall 1正常工作，Firewall 1必须执行主机a和主机b的转发操作，Firewall 2必须处于备份和就绪接收状态。如果Firewall 1出现故障，Firewall 2将成为新的主节点，继续向主机a和主机b提供转发服务。图6通过VRRP功能转换流量的示意图(主冗馀模式)l负载共享模式需要配置两个备份组。配置可确保一个防火墙是备份组1的主节点，另一个防火墙是备份组2的主节点。如图7所示，在Firewall 1和Firewall 2中创建了VRRP备份组1和备份组2，在备份组1中，Firewall 1的优先级高于Firewall 2，在备份组2中，Firewall 2的优先级高于Firewall 1。主机a的默认网关设置为备份组1的虚拟IP地址172.17.1.200/24，主机b的默认网关设置为备份组2的虚拟IP地址172.17.1.201/24。这样，在Firewall 1运行时，主机a上的消息通过Firewall 1传递，主机b上的消息通过Firewall 2传递，Firewall 1和Firewall 2共享处理intranet的消息流量，同时通过相互备份监视彼此的状态。如果Firewall 1出现故障，Firewall 2将成为备份组1的主节点，Host A和Host B的消息都将通过Firewall 2发送。图7通过VRRP功能切换流量(负载共享)3.2.2通过动态路由切换流量如果网络不同网段上的两个设备a到b之间存在多条路径，动态路由协议将使用算法选择最佳路径作为从a到b的路径。如果该路径失败，路由协议将选择其馀可用路径中最合适的路径作为新路径，在故障路径恢复后，重新激活原始路径以动态确保a和b之间的连接。双系统热备盘的操作模式是基本模式还是负载共享模式可以通过网络和动态路由配置实现(OSPF示例：l master备用模式仅运行一个防火墙，其他防火墙处于备份状态。如图8所示，OSPF功能配置在Router A、Router B、Firewall 1和Firewall 2中，位于同一OSPF域中，Router A和Router B的Ethernet1/1的cost值小于Ethernet1/2。这样，如果路由器a-Firewall 1-router b路径的优先级高于路由器a-firewall 2-router b，并且Firewall 1起作用，则intranet向外部网络发送的消息将通过Firewall 1发送。如果Firewall 1失败，OSPF将激活次优路由，从intranet发送到外部网络的消息将通过Firewall 2发送。l在负载共享模式下，两个防火墙正在运行，并且相互备份。如图8所示，OSPF功能配置为在Router A、Router B、Firewall 1和Firewall 2中配置，位于同一OSPF域中，并且Router A和Router B至少允许两个对等路径。Router a-Firewall 1-router b的优先级与router a-Firewall 2-router b相同，因此当Firewall 1和Firewall 2工作时，Firewall 1和Firewall 2将处理从intranet发送到外部网络的消息。如果Firewall 1出现故障，Firewall 2将处理从intranet发送到外部网络的所有消息。图8通过OSPF功能切换流量3.3应用限制l双系统热备盘仅支持两个设备进行备份。l双系统热备盘上的两个设备的硬件配置和软件版本必须匹配，并且必须与接口卡上型号所在的插槽位匹配。否则，一个设备备份过去的信息，另一个设备无法识别此信息，或找不到相关的物理资源，从而导致通信转换后消息传递出错或失败。l双系统热备盘仅支持数据同步，不支持配置同步。因此，在一端进行特定配置(例如接口类型配置、接口可以通过的VLAN等)时，必须直接在两侧进行适当的配置。4 H3C技术功能l用于交叉备份的两个防火墙仅负责备份会话信息，防止在流量切换后断开会话连接。流量转换是通过现有备份技术(如VRRP和动态路由)实现的，可以灵活地适应各种网络环境。l使用专用备份链接端口备份会话信息。此备份链路端口不转发数据，从而确保了备份的可靠性和性能。5双系统热备盘常见网络应用程序5.1双系统热备盘常规网络应用程序(路由模式基本备份模式)Firewall 1和Firewall 2是用户网络连接到公共网络的入口点。Firewall 1和Firewall 2在路由模式下工作。现在，在Firewall 1需要正常工作的情况下，Host A和Host B通过Firewall 1访问Server 1。如果发生Firewall 1故障，Host A和Host B将通过Firewall 2访问Server 1，Host A、Host B和Server 1的当前会话不会中断。此要求可以通过在Firewall 1和Firewall 2中