乐趣区

关于java:防火墙双机热备

防火墙一大特色性能――双机热备。

1、双机部署晋升网络可靠性

随着挪动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保障网络的不间断传输成为网络倒退过程中急需解决的一个问题。

如左下图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙呈现故障,便会导致内外网之间的业务全副中断。由此可见,在这种网络要害地位上如果只应用一台设施的话,无论其可靠性多高,咱们都必然要接受因设施单点故障而导致网络中断的危险。于是,咱们在网络架构设计时,通常会在网络的要害地位部署两台(双机)或多台设施,以晋升网络的可靠性。如右下图所示,当一台防火墙呈现故障时,流量会通过另外一台防火墙所在的链路转发,保障内外网之间业务失常运行。

2、双机部署只需思考路由备份

如果是传统的网络转发设施(如路由器、三层交换机),只须要在两台设施上做好路由的备份就能够保障业务的可靠性。因为一般的路由器、交换机不会记录报文的交互状态和应用层信息,只是依据路由表进行报文转发,上面举个例子来阐明。

如下图所示,两台路由器 R1 和 R2 与上下行设施 R3 和 R4 之间运行 OSPF 协定。失常状况下,因为以太网接口的缺省 OSPF Cost 值为 1,所以在 R3 上看 R1 所在链路(R3―>R1―>R4―>FTP 服务器)的 Cost 值为 3。而因为咱们在 R2 链路(R3―>R2―>R4―>FTP 服务器)的各接口上将 OSPF Cost 值设置为 10,所以在 R3 上看 R2 所在链路的 Cost 值为 21。因为流量只会通过 Cost 值小的链路转发,所以 FTP 客户端与服务器间的业务就都只会通过 R1 转发。

如下图所示,当 R1 呈现故障时,R1 所在链路 Cost 值变成无穷大,而在 R3 上看 R2 所在链路 Cost 值仍为 21。这时网络的路由会从新收敛,流量会依据新的路由被转发到 R2,所以 R2 会接替 R1 解决业务。业务从 R1 切换到 R2 的工夫就是网络的路由收敛工夫。如果路由收敛工夫较短,则正在传输的业务不会中断。

3、双机部署还需思考会话备份

如果将传统网络转发设施换成状态检测防火墙,状况就大不一样了。回顾一下强叔在“状态检测和会话机制”中讲到的内容:状态检测防火墙是基于连贯状态的,他会对一条流量的首包(第一个报文)进行残缺的检测,并建设会话来记录报文的状态信息(包含报文的源 IP、源端口、目标 IP、目标端口、协定等)。而这条流量的后续报文只有匹配会话才可能通过防火墙并且实现报文转发,如果后续报文不能匹配会话则会被防火墙抛弃。

上面举个例子来阐明,两台防火墙 FW1 和 FW2 部署在网络中,与上下行设施 R1 和 R2 之间运行 OSPF 协定。如左下图所示,失常状况下,因为 FW1 所在链路的 OSPF Cost 值较小,所以业务报文都会依据路由通过 FW1 转发(原理同后面的路由器的例子)。这时 FW1 上会建设会话,业务的后续报文都可能匹配会话并转发。

如右下图所示,当 FW1 呈现故障时,业务会被上下行设施上的路由信息疏导到 FW2 上(原理同后面的路由器的例子)。但因为 FW2 上没有会话,业务报文因为找不到会话而被 FW2 抛弃,从而导致业务中断。这时用户须要从新发动拜访申请(例如从新进行 FTP 下载),触发 FW2 从新建设会话,这样用户的业务能力持续进行。

4、双机热备出手不凡,解决防火墙会话备份问题

那么如何解决两台防火墙会话备份的问题,使两台防火墙主备状态切换时,保障曾经建设的业务不中断呢?这时防火墙双机热备性能就该出手相助了!

如左下图所示,防火墙双机热备性能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map 表等重要的状态信息和配置信息。双机热备性能启动后,失常状况下,两台防火墙会依据管理员的配置别离成为主用设施和备用设施。成为主用设施的防火墙 FW1 会解决业务,并将设施上的会话、Server-map 表等重要状态信息以及配置信息通过备份通道实时同步给备用设施 FW2。成为备用设施的防火墙 FW2 不会解决业务,只是通过备份通道接管来自主用设施 FW1 的状态信息以及配置信息。

如右下图所示,当主用设施 FW1 产生故障时,两台防火墙会利用备份通道交互报文,从新协商主备状态。这时 FW2 会协商成为新的主用设施,解决业务;而 FW1 会协商成为备用设施,不解决业务。与此同时,业务流量也会被上下行设施的路由信息疏导到新的主用设施 FW2 上。因为 FW2 在作为备用设施时曾经备份了主用设施上的会话和配置等信息,因而业务报文就可能顺利的匹配到会话从而被失常转发。

以上两点就保障了备用设施 FW2 可能胜利接替原主用设施 FW1 解决业务流量,成为新的主用设施,防止了网络业务中断。

下面介绍的是主备备份形式的双机热备。在主备备份场景中,失常状况下备用设施不解决业务流量,处于闲置状态。如果小伙伴们不心愿买来的设施闲置,或者只一台设施解决流量时压力较大,能够抉择负载分担形式的双机热备。

如左下图所示,在负载分担场景下,两台防火墙均为主用设施,都建设会话,都解决业务流量。同时两台防火墙又都互相作为对方的备用设施,承受对方备份的会话和配置信息。如右下图所示,当其中一台防火墙故障后,另一台防火墙会负责解决全副业务流量。因为这两台防火墙的会话信息是互相备份的,因而全副业务流量的后续报文都可能在其中一台防火墙上匹配到会话从而失常转发,这就防止了网络业务的中断。

5、总结

简略总结下本回所讲的内容。

为了晋升网络可靠性,防止单点故障的危险,咱们须要在网络要害节点处部署两台网络设备。如果是路由器和交换机,咱们只须要做好路由的备份即可。如果是防火墙,咱们还必须在两台防火墙之间备份会话表等状态信息。

防火墙的双机热备性能提供一条专门的备份通道,用于两台防火墙之间协商主备状态,以及会话等状态信息的备份。双机热备次要包含主备备份和负载分担场景。主备备份是指失常状况下仅由主用设施解决业务,备用设施闲暇;当主用设施接口、链路或整机故障时,备用设施切换为主用设施,接替主用设施解决业务。负载分担也能够称为“互为主备”,即两台设施同时解决业务。当其中一台设施产生故障时,另外一台设施会立刻承当其业务,保障原来须要通过这台设施转发的业务不中断。

关注公众号:网络技术平台 ,回复“ 材料”获取视频、培训教程、试验手册、电子书。

退出移动版