Hillstone之高可靠組網技術解析
責編:admin |2015-01-21 10:41:07為了解決單臺設備部署時的單點故障,Hillstone推出了系列高可靠性組網解決方案,主要包括AP模式和AA模式。 設備AP模式工作時,一臺設備工作在主,一臺設備工作在備,其可以適應任何網絡拓撲。 設備AA模式部署時,兩臺設備均處于Active狀態(tài)。一般來說,AA方案對客戶周邊網絡的依賴性比較高。
1. 單機部署存在單點故障風險
單臺設備部署時,無論其可靠性多高,系統(tǒng)都必然要承受因單點故障而導致網絡業(yè)務中斷的風險。而且防火墻部署在互聯(lián)網出口一般主要使用網絡地址轉換(NAT)功能,因此無法使用Bypass來解決單點故障問題。
圖1 單機部署存在單點故障風險
2. 高可靠組網工作模式
2.1 AP模式
兩臺設備(工作在透明模式或者路由模式)配置成一個"HA組",一臺作為主設備,另一臺作為備份設備。主設備處于活動狀態(tài),轉發(fā)報文,同時將其所有網絡和配置信息以及當前會話信息傳遞給備份設備。當主設備出現(xiàn)設備或鏈路故障時,備份設備接替主設備工作,轉發(fā)報文。這種主備模式具有較強冗余性,而且其網絡結構簡單,便于維護管理。
圖2 Hillstone下一代防火墻AP模式部署
2.2 AA模式
兩臺設備(工作在透明模式或者路由模式)配置成兩個"HA組",一臺在HA組0中作為主設備,在HA組1中作為備份設備;另一臺在HA組0中作為備份設備,在HA組1中作為主設備。兩臺設備同時運行各自的工作,且相互監(jiān)測對方的情況。當其中一臺設備發(fā)生設備或鏈路故障時,另外一臺設備運行其自身的工作并且接管故障設備的工作,以保證工作不間斷。這種雙主模式具有高性能以及負載均衡的優(yōu)點。
圖3 Hillstone下一代防火墻AA模式部署
3. 典型應用場景
3.1 企業(yè)互聯(lián)網出口
防火墻通常作為網關部署在企業(yè)的互聯(lián)網出口,網絡地址轉換(NAT)是必須的功能。一般來說企業(yè)網絡內網用戶和服務數量不多,為便于維護,內網用戶和服務都希望配置相同的網關地址,因此建議選擇兩臺防火墻AP模式部署。
圖4 Hillstone企業(yè)互聯(lián)網出口HA解決方案(AP)
3.2 運營商IDC網絡出口
防火墻通常不作為網關部署在運營商IDC的網絡出口,也不需要做網絡地址轉換。由于運營商IDC具有業(yè)務多、數據流量大的特點,一般網關交換機都選擇負載分擔模式,同時也選擇兩臺防火墻AA模式部署。內網服務是否需要劃分多部分,分別配置不同的網關地址,由交換機網關的負載分擔機制來決定。跟企業(yè)數據中心不同的是,運營商IDC組網中還需考慮內部業(yè)務間互訪控制的問題,因此Hillstone給出如下兩臺防火墻旁掛在IDC核心交換機上的解決方案。
圖5 Hillstone運營商IDC網絡出口HA解決方案(AA)