论文部分内容阅读
当前我国电力设施的组网应用中,
用户对网络可靠性的要求越来越高,如何保证网络的不间断传输,成为急需解决的一个问题。为保证电力网络的不间断传输,需要特别加强对一些重要的业务入口或接入点的防护。
传统设备存在业务中断风险
于是,业界推出了传统备份组网方案来避免此风险。该方案在接入点部署多台设备形成备份,通过VRRP或动态路由等机制进行链路切换,实现一台设备故障后流量自动切换到另一台正常工作的设备上。传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受影响。但是,当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当用户发起会话时,状态防火墙只会对会话的首包进行检查,如果首包允许通过则会建立一个会话表项(表项里包括源IP、源端口、目的IP、目的端口等信息),只有匹配该会话表项的后续报文(包括返回报文)才能够通过防火墙。如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断。
双机热备解决方案能够很好地解决上述问题。在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。通常做法是:在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断,从而提高了网络的稳定性及可靠性。
双机热备保证网络畅通
当前,双机热备主要包括主备模式、负载分担模式、流量切换和应用限制四种。
主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
负载分担模式下,两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
流量切换主要通过两个途径实现,一是通过VRRP实现流量切换,另一种是通过动态路由实现流量切换。通过VRRP将局域网中的一组设备配置成一个备份组,这组设备在功能上就相当于一台虚拟设备。局域网内的主机只需要知道这个虚拟设备的IP地址,便可以通过这个虚拟设备与其他网络进行通信。备份组中,仅有一台设备处于活动状态,能够转发报文,称为主用设备(Master),其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。当发现主用设备故障时,优先级次高的备用设备会当选为新的Master接替原Master工作,整个过程对用户来说是完全透明的,这就很好地实现了流量切换。如果网络中不同网段的两台设备A到B之间有多条通路,动态路由协议会使用算法选取最优的一条路径作为A到B的路由。当这条通路故障,路由协议会从剩余的可用通路中选择最优的一条作为新的路由,如果故障路由恢复,则又会重新启用原路由,从而动态地保证A与B之间的连通。双机热备的工作模式是主备模式还是负载分担模式可以通过组网和VRRP的配置来实现,也可以通过组网和动态路由的配置来实现。
双机热备只支持两台设备进行备份。这两台设备要求硬件配置和软件版本一致,并且要求接口卡的型号与所在的槽位一致,否则会出现一台设备备份过去的信息,在另一台设备上无法识别,或者找不到相关物理资源,从而导致流量切换后报文转发出错或者失败。双机热备只支持数据同步,不支持配置同步。所以,在一端进行某些配置时,比如配置接口类型、接口允许通过的 VLAN 等,需要手工在对端也进行相应的配置。
综上所述,互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术(如 VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。使用专有的备份链路口进行会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高可靠性及高性能。
(作者单位:国网浙江省电力公司杭州供电公司)
用户对网络可靠性的要求越来越高,如何保证网络的不间断传输,成为急需解决的一个问题。为保证电力网络的不间断传输,需要特别加强对一些重要的业务入口或接入点的防护。
传统设备存在业务中断风险
于是,业界推出了传统备份组网方案来避免此风险。该方案在接入点部署多台设备形成备份,通过VRRP或动态路由等机制进行链路切换,实现一台设备故障后流量自动切换到另一台正常工作的设备上。传统备份组网方案适用于接入点是路由器等转发设备的情况。因为经过设备的每个报文都是查找转发表进行转发,链路切换后,后续报文的转发不受影响。但是,当接入点是状态防火墙等设备时,由于状态防火墙是基于连接状态的,当用户发起会话时,状态防火墙只会对会话的首包进行检查,如果首包允许通过则会建立一个会话表项(表项里包括源IP、源端口、目的IP、目的端口等信息),只有匹配该会话表项的后续报文(包括返回报文)才能够通过防火墙。如果链路切换后,后续报文找不到正确的表项,会导致当前业务中断。
双机热备解决方案能够很好地解决上述问题。在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。通常做法是:在接入点的位置部署两台防火墙,当其中一台防火墙发生故障时,数据流被引导到另一台防火墙上继续传输,因为在流量切换之前已经进行了数据同步,所以当前业务不会中断,从而提高了网络的稳定性及可靠性。
双机热备保证网络畅通
当前,双机热备主要包括主备模式、负载分担模式、流量切换和应用限制四种。
主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
负载分担模式下,两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
流量切换主要通过两个途径实现,一是通过VRRP实现流量切换,另一种是通过动态路由实现流量切换。通过VRRP将局域网中的一组设备配置成一个备份组,这组设备在功能上就相当于一台虚拟设备。局域网内的主机只需要知道这个虚拟设备的IP地址,便可以通过这个虚拟设备与其他网络进行通信。备份组中,仅有一台设备处于活动状态,能够转发报文,称为主用设备(Master),其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。当发现主用设备故障时,优先级次高的备用设备会当选为新的Master接替原Master工作,整个过程对用户来说是完全透明的,这就很好地实现了流量切换。如果网络中不同网段的两台设备A到B之间有多条通路,动态路由协议会使用算法选取最优的一条路径作为A到B的路由。当这条通路故障,路由协议会从剩余的可用通路中选择最优的一条作为新的路由,如果故障路由恢复,则又会重新启用原路由,从而动态地保证A与B之间的连通。双机热备的工作模式是主备模式还是负载分担模式可以通过组网和VRRP的配置来实现,也可以通过组网和动态路由的配置来实现。
双机热备只支持两台设备进行备份。这两台设备要求硬件配置和软件版本一致,并且要求接口卡的型号与所在的槽位一致,否则会出现一台设备备份过去的信息,在另一台设备上无法识别,或者找不到相关物理资源,从而导致流量切换后报文转发出错或者失败。双机热备只支持数据同步,不支持配置同步。所以,在一端进行某些配置时,比如配置接口类型、接口允许通过的 VLAN 等,需要手工在对端也进行相应的配置。
综上所述,互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术(如 VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。使用专有的备份链路口进行会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高可靠性及高性能。
(作者单位:国网浙江省电力公司杭州供电公司)