Hillstone之高可靠組網技術解析
責編:admin |2015-01-21 10:41:07為了解決單臺設備部署時的單點故障,Hillstone推出了系列高可靠性組網解決方案,主要包括AP模式和AA模式。 設備AP模式工作時,一臺設備工作在主,一臺設備工作在備,其可以適應任何網絡拓撲。 設備AA模式部署時,兩臺設備均處于Active狀態。一般來說,AA方案對客戶周邊網絡的依賴性比較高。
1. 單機部署存在單點故障風險
單臺設備部署時,無論其可靠性多高,系統都必然要承受因單點故障而導致網絡業務中斷的風險。而且防火墻部署在互聯網出口一般主要使用網絡地址轉換(NAT)功能,因此無法使用Bypass來解決單點故障問題。
圖1 單機部署存在單點故障風險
2. 高可靠組網工作模式
2.1 AP模式
兩臺設備(工作在透明模式或者路由模式)配置成一個"HA組",一臺作為主設備,另一臺作為備份設備。主設備處于活動狀態,轉發報文,同時將其所有網絡和配置信息以及當前會話信息傳遞給備份設備。當主設備出現設備或鏈路故障時,備份設備接替主設備工作,轉發報文。這種主備模式具有較強冗余性,而且其網絡結構簡單,便于維護管理。
圖2 Hillstone下一代防火墻AP模式部署
2.2 AA模式
兩臺設備(工作在透明模式或者路由模式)配置成兩個"HA組",一臺在HA組0中作為主設備,在HA組1中作為備份設備;另一臺在HA組0中作為備份設備,在HA組1中作為主設備。兩臺設備同時運行各自的工作,且相互監測對方的情況。當其中一臺設備發生設備或鏈路故障時,另外一臺設備運行其自身的工作并且接管故障設備的工作,以保證工作不間斷。這種雙主模式具有高性能以及負載均衡的優點。
圖3 Hillstone下一代防火墻AA模式部署
3. 典型應用場景
3.1 企業互聯網出口
防火墻通常作為網關部署在企業的互聯網出口,網絡地址轉換(NAT)是必須的功能。一般來說企業網絡內網用戶和服務數量不多,為便于維護,內網用戶和服務都希望配置相同的網關地址,因此建議選擇兩臺防火墻AP模式部署。
圖4 Hillstone企業互聯網出口HA解決方案(AP)
3.2 運營商IDC網絡出口
防火墻通常不作為網關部署在運營商IDC的網絡出口,也不需要做網絡地址轉換。由于運營商IDC具有業務多、數據流量大的特點,一般網關交換機都選擇負載分擔模式,同時也選擇兩臺防火墻AA模式部署。內網服務是否需要劃分多部分,分別配置不同的網關地址,由交換機網關的負載分擔機制來決定。跟企業數據中心不同的是,運營商IDC組網中還需考慮內部業務間互訪控制的問題,因此Hillstone給出如下兩臺防火墻旁掛在IDC核心交換機上的解決方案。
圖5 Hillstone運營商IDC網絡出口HA解決方案(AA)