更多相关内容
基于IP Fabric 的园区网与传统园区的对接(一):双机防火墙
双机防火墙的概念和分类
双机热备技术可以将一组防火墙虚拟成一台防火墙。其中,仅有一台防火墙可以处于活动,称为主设备(Active),其余称为备设备(Backup)。防火墙可通过此技术实现将配置和会话表(协议的连接状态表)信息的同步,若主防火墙发生故障,备防火墙可以平滑的接替,保障网络的稳定运行。
主备双机部署
主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份(如下图所示,Firewall 1处理全部业务,Firewall 2用做备份)。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
主主双机部署
负载分担模式下两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如下图所示,Firewall 1和Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断
相关技术:VRRP
由于防火墙多部署于企业网络的出口,内外网之间的业务都要通过防火墙进行转发。若防火墙出现宕机将造成业务中断,因此,防火墙的可靠性就显得格外重要。为了更好地应对单机设备运行的风险,防火墙通过使用双机热备技术实现冗余功能,类似于虚拟路由冗余协议(VRRP,Virtual Router Redundancy Protocol),当局域网内承担路由转发功能的设备失效后,另一台将自动接管,从而实现IP路由的热备份与容错。
对接场景:基于全三层IP路由的云化园区网络
星融元的云化园区网络架构是一个开放化的网络,虽然在多方面进行了创新设计,但仍可以比较方便地和传统园区网络无缝对接。
- Spine/Leaf的精简架构,天然无环路,无需堆叠。
- 全三层组网,消除二层广播风暴的同时,还有效地隔绝了内网病毒的广播。
- 一套配置模版,全网自动化部署,设备上线即插即用。
- 支持云原生操作系统环境和开放的RESTful API接口,让网络随需而动。
更多介绍:全三层组网消除二层广播风暴-云化园区解决方案-星融元
场景1:对接一对主备防火墙
-图1.png)
配置思路:
- 每台Spine的两个上行口保持在同一VLAN,并配置一个三层SVI口
- 每台防火墙分别运行两对VRRP组,主墙的VRRP角色均为Master,备墙的VRRP角色均为Backup,每台Spine的SVI口和两台防火墙的VRRP虚接口通过BGP路由协议对接,即上下两个网段IP互联
流量转发路径:
- 上行:Leaf1—>Spine1和Spine2—> FW1
- 下行: FW1—>Spine1和Spine2—>Leaf1和Leaf2
典型故障分析:
- 无故障:两个VRRP组的虚接口均落在主墙
- ①或②故障: HA协议会控制两个VRRP组同时进行主备切换,确保业务流量统一切换到备墙,①+②故障同理
- ③故障:和CASE1③故障相同
场景2:对接一对主主防火墙
在HA+VRRP配置模式下,防火墙主主是通过两对VRRP组互为主备实现的(例如VRRP-1的Master是防火墙A,Backup是防火墙B,VRRP-2的Master是防火墙B,Backup是防火墙A)
对接思路:-图2.png)
配置思路:
- 每台Spine的两个上行口保持在同一VLAN,并配置一个三层SVI口
- 每台防火墙分别运行四对VRRP组,每两对VRRP组互为主备,每台Spine的SVI口和两台防火墙的两个VRRP虚接口通过BGP路由协议对接,上下仍是两个网段IP互联,但每台Spine有两个下一跳分别指向两台防火墙,实现ECMP负载分担
流量转发路径:
- 上行:Leaf1—>Spine1和Spine2—>FW1和FW2
- 下行:FW1—>Spine1和Spine2—>Leaf1和Leaf2
典型故障分析:
- 无故障;VRRP1的虚接口落在FW1,VRRP2的虚接口落在FW2
- ①故障:VRRP1主备切换,此时Spine1的上行流量切到FW2
- ①+②故障:相当于Spine1设备故障,Spine2接替上下行流量
- ③故障:和CASE1③故障相同
