雙機(jī)熱備技術(shù)研究

甘肅 段曉東

隨著移動辦公、網(wǎng)上購物、即時(shí)通信、網(wǎng)絡(luò)金融、網(wǎng)絡(luò)教育等業(yè)務(wù)的蓬勃發(fā)展，網(wǎng)絡(luò)承載的業(yè)務(wù)越來越多，越來越重要。所以如何保證網(wǎng)絡(luò)的不間斷傳輸成為網(wǎng)絡(luò)發(fā)展過程中亟待解決的一個(gè)重要問題。

一般小型的企事業(yè)單位由于經(jīng)費(fèi)有限，一部防火墻通常部署在網(wǎng)絡(luò)出口處，內(nèi)外網(wǎng)之間的所有數(shù)據(jù)都會通過防火墻轉(zhuǎn)發(fā)。如果這部防火墻出現(xiàn)故障，會導(dǎo)致內(nèi)外網(wǎng)之間的所有業(yè)務(wù)全部中斷，所以在網(wǎng)絡(luò)關(guān)鍵位置上如果只使用一臺關(guān)鍵設(shè)備的話，無論其可靠性有多高，單位都必然要承受單點(diǎn)故障而導(dǎo)致網(wǎng)絡(luò)中斷的巨大風(fēng)險(xiǎn)。

所以在設(shè)計(jì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)時(shí)，充分利用在網(wǎng)絡(luò)關(guān)鍵位置部署兩臺（雙機(jī)）或多臺設(shè)備，可以切實(shí)提高網(wǎng)絡(luò)的可靠性與安全性。這樣當(dāng)一臺防火墻出現(xiàn)技術(shù)故障時(shí)，流量會無縫通過另外一臺備份防火墻所在的鏈路轉(zhuǎn)發(fā)，保障了內(nèi)外網(wǎng)之間的業(yè)務(wù)順暢運(yùn)行。應(yīng)當(dāng)如何解決兩臺防火墻互為備份的問題，保證已經(jīng)建立的業(yè)務(wù)不會中斷呢？

防火墻雙機(jī)熱備原理

防火墻雙機(jī)熱備的最大特點(diǎn)在于提供一條專門的備份通道（俗稱心跳線），用于協(xié)商兩臺設(shè)備之間的主從關(guān)系，即誰是主設(shè)備，誰是備份設(shè)備，以及備份會話，Server-map 等重要的狀態(tài)信息和配置信息。

雙機(jī)熱備功能啟動后，兩臺防火墻會根據(jù)管理員的配置分別稱為主用設(shè)備和備用設(shè)備。成為主用設(shè)備的防火墻會處理業(yè)務(wù)，并將設(shè)備的會話、Server-map 表等主要狀態(tài)信息以及配置信息通過備份通道實(shí)時(shí)同步到備用防火墻。而備用防火墻不會處理業(yè)務(wù)，只是通過備份通道接收來自主用設(shè)備的狀態(tài)信息和配置信息。

而當(dāng)主用設(shè)備發(fā)生故障時(shí)，兩臺防火墻利用心跳通道交換報(bào)文，重新協(xié)商主備狀態(tài)。備用設(shè)備成為新的主用設(shè)備，處理業(yè)務(wù)，而先前的主用設(shè)備協(xié)商成為備用設(shè)備，不再處理業(yè)務(wù)。這時(shí)業(yè)務(wù)數(shù)據(jù)仍然能夠順利匹配到會話而被正常轉(zhuǎn)發(fā)，避免了網(wǎng)絡(luò)業(yè)務(wù)的中斷。

如果不采用這種主備備份方式的雙機(jī)熱備。也可以采用負(fù)載分擔(dān)的方式來進(jìn)行雙機(jī)熱備，在這種情形下，兩臺設(shè)備均為主用設(shè)備，都處理業(yè)務(wù)，同時(shí)雙方又都相互作為對方的備用設(shè)備，接受對方備份的會話配置信息。當(dāng)其中一臺防火墻出現(xiàn)故障后，另外一臺防火墻則會處理全部業(yè)務(wù)，后續(xù)報(bào)文能夠在其中一臺防火墻上匹配到會話從而正常轉(zhuǎn)發(fā)，避免了網(wǎng)絡(luò)業(yè)務(wù)的中斷。

防火墻雙機(jī)配置過程

防火墻業(yè)務(wù)工作在三層，連接交換機(jī)；防火墻業(yè)務(wù)工作在三層，連接路由器；防火墻業(yè)務(wù)工作在第二層，連接交換機(jī)；防火墻業(yè)務(wù)工作在第二層，連接路由器。此時(shí)，只要按照所接設(shè)備，比如工作在第三層，上行按照交換機(jī)進(jìn)行部署，下行按照路由器組網(wǎng)部署即可。

其次，根據(jù)網(wǎng)絡(luò)流量的大小，確定采用主備備份還是雙機(jī)熱備。如果防火墻業(yè)務(wù)工作在三層，并且連接交換機(jī)，則主備備份和負(fù)載分擔(dān)都支持；如果工作在三層，連接路由器，兩種方式同樣也支持；而如果工作在二層，連接交換機(jī)，則只支持主備備份。同樣，工作于二層，連接路由器，僅對負(fù)載分擔(dān)備份支持。

圖1 雙機(jī)熱備的連接方式

在確定了配置方式后，要確定兩臺防火墻的產(chǎn)品型號和硬件配置必須一致，包括：業(yè)務(wù)板、主控板、接口板的位置、類型和數(shù)目；同時(shí)兩臺防火墻的軟件版本和Bootroom版本必須一致；兩臺防火墻配置文件最好均為初始的配置文件。

如果防火墻的業(yè)務(wù)工作在三層，需要為各個(gè)業(yè)務(wù)接口配置IP 地址，IP 地址必須固定，而不能采用自動獲取的方式。如果防火墻業(yè)務(wù)工作在二層，則需要將業(yè)務(wù)接口轉(zhuǎn)換成二層接口后，加入同一個(gè)VLAN。

另外，主備設(shè)備和備用設(shè)備必須采用相同的業(yè)務(wù)接口和心跳口，比如主用設(shè)備選擇GigabitEthernet1/0/1作為業(yè)務(wù)接口，選擇GigabitEthernet1/0/5 作為心跳口，那么備用設(shè)備也必須采用同樣的選擇。

對安全區(qū)域而言，無論是業(yè)務(wù)接口還是心跳接口，對應(yīng)接口必須加入到相同的安全區(qū)域。

路由的配置，如果業(yè)務(wù)接口工作在三層連接交換機(jī)，只需配置防火墻的靜態(tài)路由；如果防火墻的業(yè)務(wù)接口工作在三層連接路由器，還需配置OSPF；如果防火墻的業(yè)務(wù)接口工作在二層，就不需要在防火墻上配置路由。對到達(dá)防火墻的OSPF 報(bào)文，在上/下行業(yè)務(wù)接口所在的安全區(qū)域與Local 區(qū)域配置安全策略，允許協(xié)議類型為OSPF 的報(bào)文通過。

配置VGMP 監(jiān)控接口。當(dāng)防火墻工作于三層交換機(jī)時(shí)，需要在接口配置VRRP 備份組。在主備備份方式下，需要在主用設(shè)備的業(yè)務(wù)接口配置一個(gè)VRRP 備份組，然后將這個(gè)VRRP 備份組加入Active 組；在備用設(shè)備上的業(yè)務(wù)接口配置同一個(gè)VRRP備份組，然后將其加入到Standby 組。在負(fù)載分擔(dān)方式下，每臺設(shè)備的業(yè)務(wù)接口配置兩個(gè)VRRP 備份組，并分別加入Active 組合Standby組。兩臺設(shè)備上的同一個(gè)VRRP 備份組需要加入不同的VGMP 組，即一個(gè)加入Active，一個(gè)加入Standby組。

當(dāng)防火墻工作在三層連接路由器時(shí)，需要在接口上配置VGMP 直接監(jiān)控接口。在主備方式下，主用設(shè)備的業(yè)務(wù)接口加入Active 組，備用設(shè)備的業(yè)務(wù)接口加入Standby。另外還需要配置VGMP 狀態(tài)自動調(diào)整OSPFCost值。在負(fù)載分擔(dān)方式下，兩臺設(shè)備的業(yè)務(wù)接口同時(shí)加入Active 組合Standby 組。

當(dāng)防火墻業(yè)務(wù)工作于二層的主備備份方式下，需要將主用設(shè)備的業(yè)務(wù)接口都加入到同一個(gè)VLAN，然后將這個(gè)VLAN 加入Avtive 組；而備用設(shè)備也執(zhí)行對等的操作。

當(dāng)防火墻業(yè)務(wù)工作在二層的負(fù)載分擔(dān)方式下時(shí)，需要將每臺備用設(shè)備的業(yè)務(wù)接口都加入到同一個(gè)VLAN，然后將這個(gè)VLAN 同時(shí)加入到Active 和Standby 組。

當(dāng)防火墻需要監(jiān)控遠(yuǎn)端接口時(shí)，需要配置VGMP 監(jiān)控遠(yuǎn)端接口，此時(shí)只需選擇IPLink 或者BFD 監(jiān)控的一種即可。

配置心跳接口。一般情況下，兩臺防火墻的心跳接口直接相連就可以了，無需配置remote 參數(shù)。但如果心跳接口通過三層設(shè)備相連或者使用業(yè)務(wù)接口作為心跳口，這時(shí)就要配置remote 參數(shù)了，指定對端接口的地址（hrp track GiabitEthernet1/0/5 remote 10.1.1.2）。

啟用雙機(jī)熱備。以上配置完成后，只要執(zhí)行“hrp enable”命令，就啟用了雙機(jī)熱備功能。配置正確的情況下，雙機(jī)熱備狀態(tài)就能夠成功建立，并且分別在兩臺防火墻上出現(xiàn)HRP_A 和HRP_S。此時(shí)，自動備份功能默認(rèn)處于開啟狀態(tài)。如果主備設(shè)備之間配置不同步，需要手工批量備份。如果是負(fù)載分擔(dān)組網(wǎng)，還需開啟快速會話備份功能。

配置的最后驗(yàn)證。如果防火墻的命令提示符是HRP_A 標(biāo)識，標(biāo)識次防火墻是主用設(shè)備。如果命令行上有HRP_S 標(biāo)識，標(biāo)識此防火墻是備用設(shè)備。下一步檢驗(yàn)關(guān)鍵配置，主要有：

兩臺防火墻的軟件型號和軟件版本是否一致（display version），板卡類型和安裝位置是否一致（display device），兩臺防火墻是否使用相同的心跳口（display hrp interface）。

最后業(yè)務(wù)工作在第三層，重點(diǎn)檢查兩臺防火墻是否都加入到了正確的VGMP組（display hrp state），是否正確運(yùn)行了OSPF 協(xié)議（檢查方法：display ospf）。如果防火墻連接了路由器，則還需檢查OSPF Cost 值得功能(檢查方法：display currentconfiguration|include hrp ospf-cost)。

驗(yàn)證是否能夠正常切換。在主用設(shè)備接口視圖下，執(zhí)行命令shutdown，如果主用設(shè)備此業(yè)務(wù)接口的狀態(tài)變?yōu)镈own，備用設(shè)備的標(biāo)記由HRP_S 變?yōu)镠RP_A，且業(yè)務(wù)正常轉(zhuǎn)發(fā)，說明主備機(jī)切換成功。

在主用設(shè)備接口上執(zhí)行命令“undo shutdown”，主用設(shè)備經(jīng)過很低的延遲后，主用設(shè)備的標(biāo)記由HRP_S 變?yōu)榱薍RP_A，并且業(yè)務(wù)正常轉(zhuǎn)發(fā)，說明故障恢復(fù)搶占成功。

在主用設(shè)備上執(zhí)行命令reboot，如果備用設(shè)備由HRP_S 變?yōu)镠RP_A，并且業(yè)務(wù)正常轉(zhuǎn)發(fā)，說明主備機(jī)切換成功。主用設(shè)備重啟完成后，重新正常工作。主用設(shè)備的標(biāo)記由HRPS_變?yōu)镠RP_A，備用設(shè)備的標(biāo)記由HRP_A 變?yōu)镠RP_S，并且業(yè)務(wù)正常轉(zhuǎn)發(fā)，說明故障恢復(fù)時(shí)搶占成功。為了更好的理解雙備份的工作模式，提供如圖1（來源于華為技術(shù)支持網(wǎng)站）。而在我們的方案中只用到了前面兩種連接方式，并沒有使用到旁掛部署。

總結(jié)

雙機(jī)備份系統(tǒng)通過對系統(tǒng)中的關(guān)鍵部件進(jìn)行冗余，提供網(wǎng)絡(luò)的安全性和穩(wěn)定性。具有切換時(shí)間靈活、自動探測硬件錯(cuò)誤、自動切換、自動修復(fù)的性能，在一些企事業(yè)單位是完全可以推廣使用的。