4 双机热备出手不凡,解决防火墙会话备份问题
那么如何解决两台防火墙会话备份的问题,使两台防火墙主备状态切换时,保证已经建立的业务不中断呢?这时防火墙双机热备功能就该出手相助了!
如左下图所示,防火墙双机热备功能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map表等重要的状态信息和配置信息。双机热备功能启动后,正常情况下,两台防火墙会根据管理员的配置分别成为主用设备和备用设备。成为主用设备的防火墙FW1会处理业务,并将设备上的会话、Server-map表等重要状态信息以及配置信息通过备份通道实时同步给备用设备FW2。成为备用设备的防火墙FW2不会处理业务,只是通过备份通道接收来自主用设备FW1的状态信息以及配置信息。
如右下图所示,当主用设备FW1发生故障时,两台防火墙会利用备份通道交互报文,重新协商主备状态。这时FW2会协商成为新的主用设备,处理业务;而FW1会协商成为备用设备,不处理业务。与此同时,业务流量也会被上下行设备的路由信息引导到新的主用设备FW2上。由于FW2在作为备用设备时已经备份了主用设备上的会话和配置等信息,因此业务报文就能够顺利的匹配到会话从而被正常转发。
以上两点就保证了备用设备FW2能够成功接替原主用设备FW1处理业务流量,成为新的主用设备,避免了网络业务中断。
上面介绍的是主备备份方式的双机热备。在主备备份场景中,正常情况下备用设备不处理业务流量,处于闲置状态。如果小伙伴们不希望买来的设备闲置,或者只一台设备处理流量时压力较大,可以选择负载分担方式的双机热备。
如左下图所示,在负载分担场景下,两台防火墙均为主用设备,都建立会话,都处理业务流量。同时两台防火墙又都相互作为对方的备用设备,接受对方备份的会话和配置信息。如右下图所示,当其中一台防火墙故障后,另一台防火墙会负责处理全部业务流量。由于这两台防火墙的会话信息是相互备份的,因此全部业务流量的后续报文都能够在其中一台防火墙上匹配到会话从而正常转发,这就避免了网络业务的中断。
5 总结
最后,再来简单总结下本回所讲的内容。
为了提升网络可靠性,避免单点故障的风险,我们需要在网络关键节点处部署两台网络设备。如果是路由器和交换机,我们只需要做好路由的备份即可。如果是防火墙,我们还必须在两台防火墙之间备份会话表等状态信息。
防火墙的双机热备功能提供一条专门的备份通道,用于两台防火墙之间协商主备状态,以及会话等状态信息的备份。双机热备主要包括主备备份和负载分担场景。主备备份是指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。负载分担也可以称为“互为主备”,即两台设备同时处理业务。当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证原来需要通过这台设备转发的业务不中断。
在本节了解了双机热备功能的由来和概念的基础上,后面将为大家一步步讲解双机热备的实现原理。各位小伙伴敬请期待!
