高可靠组网技术解决方案-山石网科
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙高可靠组网需求背景
1.1单机部署存在单点故障风险
单台设备部署时,无论其可靠性多高,系统都必然要承受因单点故障而导致网络业务中断的风险。而且若将防火墙部署在互联网出口,一般主要使用网络地址转换(NAT )功能,因此无法使用Bypass 来解决单点故障问题。
图1单机部署存在单点故障风险
2.1AP 模式
两台设备(工作在透明模式或者路由模式)组成一个“HA 组”,一台作为主设备,另一台作为备份设备。主设备处于活动状态,转发报文,同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现设备或链路故障时,备份设备接替主设备工作,转发报文。这种主备模式具有较强冗余性,而且其网络结构简单,便于维护管理。
Hillstone 防火墙支持三种高可靠组网工作模式:AP 模式、AA 模式、对等模式。AP 和AA 模式均为两台防火墙通过Hillstone 集群管理协议建立互相备份关系(Hillstone 集群管理协议的基本原理请参考附文),而对等模式则是两台防火墙依赖组网中的路由冗余建立互相备份关系。
1.2双活单机部署依然存在问题
单点故障问题可通过双活架构组网来规避,但防火墙(不同于路由器)是状态检测设备,如果仍是单机模式,在出现单台设备故障时,靠路由冗余切换过来的TCP 流将无法通过状态检测而中断。即使防火墙关闭状态检测,对于需要网络地址转换的流,由于没有NAT 会话同步,也会导致中断。而且流的后续报文可能会因为缺少应用特征关
键字,而导致流量应用类型识别不准。
图2双活单机部署依然存在问题
图3Hillstone 防火墙AP
模式部署
2.2AA 模式
两台设备(工作在透明模式或者路由模式)组成两个“HA 组”,一台在HA 组0中充当主设备,在HA 组1中充当备份设备;另一台在HA 组0中充当备份设备,在HA 组1中充当主设备。两台设备同时运行各自的工作,且相互监测对方的情况。当其中一台设备发生设备或链路故障时,另外一台设备运行其自身的工作并且接管故障设备的工作,以保证工作不间断。这种双主模式具有高性能以及负载均衡的优点。
2.3对等模式
对等模式是Hillstone 山石网科为特殊组网场景提供的解决方案,组网见下图。要求两台防火墙(工作在透明模式或者路由模式)部署在双活并且配置了动态路由协议(如OSPF )的CE 与PE 之间,不做网络地址转换,主要做访问控制和攻击防护。由于路由的冗余,会有非对称路由的问题出现:如图6所示,用户侧访问网络侧的流量走一台防火墙,而网络侧回用户侧的流量走了另一台防火墙。防火墙作为状态检测设备,无论是采用单机还是AP/AA 模式部署,都会出现由于匹配不到会话,非对称流量无法通过状态检测而中断的问题,同时影响应用流量管理、入侵防御等多个功能的使用。
图5 Hillstone 防火墙AA 模式部署
图4Hillstone
防火墙AP 模式部署数据流程
图7 Hillstone 防火墙对等模式部署
图6 非对称流量组网场景
为此,Hillstone 山石网科给出如下解决方案:
两台防火墙单机部署,不使用Hillstone 集群管理协议,但增加互相会话备份和流量转发通道。一台设备先收到一条流的报文,则建立主会话,同时向另一台防火墙同步备份会话,当另一台防火墙收到这条流的后续报文时,匹配到备份会话,则将流量转发到建有主会话的防火墙上处理。这样能够保证同一条流的所有流量都由同一台防火墙来处理,延续会话的一致性,同时使得应用流量管理、入侵防御等功能能够正常使用。
3.2企业数据中心网络出口
防火墙通常不作为网关部署在企业数据中心的网络出口,但网络地址转换(
NAT )是必须配置的功能。由于企业数据中心具有业务多、数据流量大的特点,一般网关交换机都选择负载分担模式,同时也选择两台防火墙AA 模式部署。内网服务是否需要划分多部分并分别配置不同的网关地址,由交换机网关的负载分担机制来决定。
图9 Hillstone 企业互联网出口HA 解决方案(AP )
图10 Hillstone 企业数据中心网络出口HA 解决方案(AA )
3.3运营商运营网络出口
防火墙通常不作为网关部署在运营商的运营网络出口,但网络地址转换(NAT )是必须配置的功能。由于运营商的运营网络出口具有数据流量大、可靠性要求高的特点,也需要将两台防火墙部署为AA 模式。
3.4运营商IDC 网络出口
防火墙通常不作为网关部署在运营商IDC 的网络出口,也不需要做网络地址转换。由于运营商IDC 具有业务多、数据流量大的特点,一般网关交换机都选择负载分担模式,同时也将两台防火墙部署为AA 模式。内网服务是否需要划分多部分并分别配置不同的网关地址,由交换机网关的负载分担机制来决定。跟企业数据中心不同的是,运营商IDC 组网中还需考虑内部业务间互访控制的问题,因此Hillstone 山石网科给出解决方案,将两台防火墙旁挂在IDC 核心交换机上,参考下图:
图11 Hillstone 运营商运营网络出口HA 解决方案(AA )
图12 Hillstone 运营商IDC 网络出口HA 解决方案(AA
)
各状态迁移条件说明如下:
① 发现自己被配置在“HA 组”内。
② 收到“HA 组”内协商消息,根据双方配置,本机协商为“备”后,定时发送“备心跳消息”。③ 收到“HA 组”内协商消息,根据双方配置,本机协商为“主”后,定时发送“主心跳消息”。④ 收到“备心跳消息”,或本机配置更改。⑤ 收到“主心跳消息”,或本机配置更改。⑥ 收到对端“故障消息”,或“主心跳消息”超时。⑦ 发现设备或链路故障。⑧ 发现设备或链路故障。⑨
从设备或链路故障中恢复。
图13 Hillstone 集群管理协议状态机