Hillstone防火墙高可靠组网技术解决方案白皮书.PDFVIP

Hillstone防火墙高可靠组网技术解决方案白皮书 防火墙高可靠组网需求背景 销售/服务热线：400-828-6655 关键词：防火墙，单点故障，状态检测，AP模式，AA模式，Hillstone集群管理协议（HCMP），冗余，负载均衡，对等模式， 非对称流量，企业互联网出口，企业数据中心网络出口，运营商运营网络出口，运营商IDC网络出口，状态机。 范围： 市场类技术文档，面向售前工程师发布，作为售前工程师向客户传递产品功能原理及使用场景的素材文档，并可向 有需要的客户直接提供。 缩略语： 摘要： 本文介绍了防火墙高可靠组网的需求背景、Hillstone防火墙高可靠组网的工作模式、典型应用场景，以及Hillstone 集群管理协议的基本原理。 缩略语 英文全称 中文 HA High Availability 高可靠性 AP Active-Passive 主备 AA Active-Active 双主 HCMP Hillstone Cluster Management Protocol Hillstone集群管理协议 NAT Network Address Translation 网络地址转换 OSPF Open Shortest Path First 开放式最短路径优先 CE Customer Edge (Router) 客户边缘路由器 PE VRRP RDO IPSec SSL L2TP VPN DNS ARP PKI DHCP MAC Provider Edge (Router) Virtual Router Redundancy Protocol Runtime Dynamic Object Internet Protocol Security Secure Sockets Layer Layer 2 Tunneling Protocol Virtual Private Network Domain Name System Address Resolution Protocol Public Key Infrastructure Dynamic Host Configuration Protocol Media Access Control 运营商边缘路由器 虚拟路由器冗余协议 运行时动态对象 互联网协议安全 安全套接层 第二层隧道协议 虚拟专用网络 域名系统 地址解析协议 公钥基础设施 动态主机配置协议 媒体接入控制 1.1单机部署存在单点故障风险 单台设备部署时，无论其可靠性多高，系统都必然要承受因单点故障而导致网络业务中断的风险。而且若将防 火墙部署在互联网出口，一般主要使用网络地址转换（NAT）功能，因此无法使用Bypass来解决单点故障问题。 图1单机部署存在单点故障风险 销售/服务热线：400-828-6655 Hillstone防火墙高可靠组网工作模式 2.1AP模式 两台设备（工作在透明模式或者路由模式）组成一个“HA组”，一台作为主设备，另一台作为备份设备。主设 备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现设备 或链路故障时，备份设备接替主设备工作，转发报文。这种主备模式具有较强冗余性，而且其网络结构简单，便于 维护管理。 Hillstone防火墙支持三种高可靠组网工作模式：AP模式、AA模式、对等模式。AP和AA模式均为两台防火墙 通过Hillstone集群管理协议建立互相备份关系（Hillstone集群管理协议的基本原理请参考附文），而对等模式则是 两台防火墙依赖组网中的路由冗余建立互相备份关系。 1.2双活单机部署依然存在问题 单点故障问题可通过双活架构组网来规避，但防火墙（不同于路由器）是状态检测设备，如果仍是单机模式， 在出现单台设备故障时，靠路由冗余切换过来的TCP流将无法通过状态检测而中断。即使防火墙关闭状态检测，对 于需要网络地址转换的流，由于没有NAT会话同步，也会导致中断。而且流的后续报文可能会因为缺少应用特征关 键字，而导致流量应用类型识别不准。 图2双活单机部署依然存在问题 图3Hillstone防火墙AP模式部署 销售/服务热线：400-828-6655 2.2AA模式 两台设备（工作在透明模式或者路由模式）组成两个“HA组”，一台在HA组0中充当主设备，在HA组1中充当备 份设备；另一台在HA组0中充当备份设备，在HA组1中充当主设备。两台设备同时运行各自的工作，且相互监测对 方的情况。当其中一台设备发生设备或链路故障时，另外一台设备运行其自身的工作并且接管故障设备的工作，以 保证工作不间断。这种双主模式具有高性能以及负载均衡的优点。 2.3对等模式