双机热备技术VIP专享VIP免费

技术白皮书推荐打印收藏本文附件下载双机热备技术白皮书双机热备技术白皮书关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。本文将介绍双机热备的概念、工作模式、实现机制及典型应用等。缩略语：缩略语英文全名中文解释ALGApplicationLevelGateway应用层网关ASPFApplicationSpecificPacketFilter基于应用层的包过滤NATNetworkAddressTranslator网络地址转换VRRPVirtualRouterRedundancyProtocol虚拟路由冗余协议OSPFOpenShortestPathFirst开放最短路径优先目录1概述产生背景技术优点2双机热备工作模式主备模式负载分担模式3双机热备实现机制数据同步流量切换通过VRRP实现流量切换通过动态路由实现流量切换应用限制4H3C实现的技术特色5双机热备典型组网应用双机热备典型组网应用（路由模式＋主备模式）双机热备典型组网应用（路由模式＋负载分担模式）双机热备典型组网应用（透明模式＋负载分担模式）6参考文献1概述产生背景在当前的组网应用中，用户对网络可靠性的要求越来越高，对于一些重要的业务入口或接入点（比如企业的Internet接入点、银行的数据库服务器等）如何保证网络的不间断传输，成为急需解决的一个问题。如图1所示，防火墙作为内外网的接入点，当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话，无论其可靠性多高，系统都必然要承受因单点故障而导致网络中断的风险。图1单点设备组网图于是，业界推出了传统备份组网方案来避免此风险，该方案在接入点部署多台设备形成备份，通过VRRP或动态路由等机制进行链路切换，实现一台设备故障后流量自动切换到另一台正常工作的设备。传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查找转发表进行转发，链路切换后，后续报文的转发不受影响。但是当接入点是状态防火墙等设备时，由于状态防火墙是基于连接状态的，当用户发起会话时，状态防火墙只会对会话的首包进行检查，如果首包允许通过则会建立一个会话表项（表项里包括源IP、源端口、目的IP、目的端口等信息），只有匹配该会话表项的后续报文（包括返回报文）才能够通过防火墙。如果链路切换后，后续报文找不到正确的表项，会导致当前业务中断。双机热备解决方案能够很好的解决这个问题。在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。如图2所示，在接入点的位置部署两台防火墙，当其中一台防火墙发生故障时，数据流被引导到另一台防火墙上继续传输，因为在流量切换之前已经进行了数据同步，所以当前业务不会中断，从而提高了网络的稳定性及可靠性。图2双机热备组网图双机热备可以从两个层面去理解：一个是广义的双机热备，它是一种解决方案，用来解决网络中的单点故障问题，它通过数据同步和流量切换两个技术来实现；一个是狭义的双机热备，它是设备支持的一个功能模块（只实现了数据同步），可以使用对应的Web页签来配置。本文描述的是广义的双机热备。技术优点与传统备份组网方案相比较，双机热备解决方案可以保证当前业务不会因为防火墙单点故障而中断。双机热备解决方案支持主备和负载分担两种工作模式，并支持防火墙工作在路由模式或透明模式，可广泛适用于各种复杂的组网需求。防火墙工作在路由模式是指防火墙作为三层设备在网络中运行；工作在透明模式是指防火墙作为二层设备在网络中运行。2双机热备工作模式双机热备解决方案根据组网情况有两种工作模式：主备模式和负载分担模式。在这两种模式中，设备的角色根据是否承担流量来决定：有流量经过的设备即为主设备，无流量经过的设备即为备份设备。主备模式主备模式下的两台防火墙，其中一台作为主设备，另一台作为备份设备。主设备处理所有业务，并将产生的会话信息传送到备份设备进行备份；备...