双机热备技术介绍


双机热备

双机热备概述

随着用户对网络可靠性的要求越来越高,如何保证网络的不间断传输,已成为一个必须解决的问题。特别是在一些重要业务的入口或接入点上,需要保证网络的不间断运行,如企业的Internet接入点、银行的数据库服务器等。在这些业务点上如果只使用一台防火墙设备,无论其可靠性多高,系统都必然要承受因单点故障而导致网络业务中断的风险,如1所示。

图1 非双机热备组网

为解决上述问题,引入了双机热备,如2所示。所谓双机热备,其实是双机会话备份。两台防火墙设备在网络中平等运行,没有主备之分。可以分别指定两台防火墙设备上的任意一个支持备份接口功能的以太网接口为备份接口,两个备份接口通过备份链路相连。每台设备都会通过备份链路定时向另一台设备发送状态协商报文,协商进入同步状态后开始备份对端设备上的会话,即进入同步状态后某段时间中两台设备上的会话状态是一致的。当其中一台防火墙设备发生故障时,由于另一台设备已经备份了故障设备上的会话,数据流便可以从另一台设备上通过,及时接替故障设备上的业务运行,从而在很大程度上避免了网络业务的中断。

图2 双机热备组网

热备状态简介

设备的热备状态有静默、独立运行和同步三种。

l              静默:表示设备刚启动正在等待系统稳定,或者热备状态正在从同步向独立运行转换的中间状态。

l              独立运行:表示静默定时器超时,但是设备没有与任何其它设备建立备份连接。

l              同步:表示设备与对端设备状态协商成功,可以进行数据备份。

三种状态之间的转换关系如3所示。

图3 热备状态转换关系图

双机热备实现机制

数据同步

设备需要维护每条会话的状态,当主设备故障、流量切换到备份设备时,仍然要求备份设备上有正确的状态信息能继续会话处理,否则业务流将会中断。因此,主设备上会话建立或表项变化时需要将相关信息同步保存到备份设备,以保证主设备和备份设备会话表项的完全一致,这个过程就称为数据同步。

流量切换

使用双机热备时,需要组网来保证业务数据流经过哪台设备。通常采用VRRP或动态路由协议技术来保障在某台防火墙设备故障后,将数据流引导到另一台设备处理,该过程叫流量切换。无故障的防火墙收到切换过来的业务数据流时,能正确处理,保证业务不中断。

 

附件下载

联系我们