1. 研究目的与意义
随着通信技术和互联网技术的高速发展,产生了许多问题,其中首要问题就是对网络的可靠性和安全性需要了更高的要求。
其中防火墙作为一种网络安全设备非常关键的。
为了提高网络的可靠性和稳定性,双机热备技术是一个很好的选择。
2. 课题关键问题和重难点
1、需要了解双机热备的基本概念,防火墙(fw)部署在网络出口位置时,如果发生故障会影响到整网业务。
为了提升网络的可靠性,部署两台fw组成双机热备(只能是两台,不可多不可少)这两台fw的设备硬件型号、单板类型、数量都要相同2、为了避免路由器传统组网所引起的单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换。
但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题,因此推出了另一种保护机制vrrp(虚拟路由冗余协议)来进行3、要求并需要能够熟练的掌握hcl模拟器的用法4、对于2台防火墙有一下要求:(1)两台防火墙用于心跳线的接口加入相同的安全区域;(2)两台防火墙用于心跳线的接口的设备编号必须一致,比如都是g1/0/0;(3)建议用于双机热备的两条防火墙采用相同的型号、相同的vrp版本;
3. 国内外研究现状(文献综述)
网络设备的一个重要的关键点在于是否能够达到长期、可靠、稳定的运行。[1]在这一要求下,对于连接内部网络和外部网络的防火墙来说,防火墙就更加显得至关重要起来。其中,双机热备系统则是专门针对防火墙的一个系统,它是能够保证防火墙稳定运行的有效手段之一。[2]跟交换机与路由器不相同的是,双机热备系统是侧重于安全防护的防火墙是会在设备上保存每个连接的会话表信息,并同时记录了连接所进行的相关业务。[3]如果采用的是一般的路由器双机热备系统的话,只备份配置和路由表等数据,如果防火墙发生主备倒换之后可能会造成连接中断等特殊的情况。[4]网络中也有许多重要的各种服务,这些服务要求不允许产生中断,这就要求在实际操作环境下,我们通常都会使用两个系统来进行互相备份[5]。这两个系统不仅可以通过硬件来实现,同时也可以通过软件来实现目标,这两个系统共同提供相关的服务。在这样的情况之下,当其中某一个系统出现故障等问题时,就可以通过另一个系统来暂时承担服务器的任务,这样就可以实现自动保证系统能够持续提供服务的功能,从而实现了避免人工干预可能会带来的实时性差的缺点。[6]与此同时,由双机热备技术的出现也衍生出了许多的新应用,就比如说,在实际的环境下,通常会出现存在多个服务需要热备的情况,在这个时候就会通过服务器群或集群软件,在这里,双机热备主要是从狭义上指基于activelstandby方式的双机热备。[7]在同一时间其中一个系统承担服务,则称其为主系统,如果主系统发生故障之后,不能够及时提供服务时,就会在很短的时间之内,备份系统就能够通过心跳线(连接工作机与备份机的网线)从而检测到主系统是否出现状况,从而成功激活备份系统来使其能够正常地进行工作,来以保障网络能够正常地运行以及工作。[8]在本次的某企业网基于防火墙双机热备技术的仿真部署与应用的课题之中,我打算设计了一种专门针对防火墙的双机热备系统,用于针对防火墙的具体业务会进行备份不同的数据。[9]本次课题报告研究了双机热备系统的发展历史以及华三安全产品的业务流程等内容,针对现有的防火墙设备设计了防火墙双机热备系统。[10]本次报告的主要研究的内容主要分为了四大模块,分别是热备系统控制模块、热备系统数据同步模块、热备系统板间通信模块以及相关业务处理模块。热备系统控制模块是通过备份组实现了主备倒换以及链路控制的功能。热备系统数据同步模块则是通过调用会话业务对会话表的数据进行了封装和发送功能,从而实现了两种备份方式。[11]热备系统板间通信模块设计了一种队列模式,此种队列可以有效的减少丢包率以及时延等问题。热备系统相关业务处理模块提供其他业务模块使用,使其他业务模块能够维护对端设备上的业务数据。测试部分则是模拟了实际的防火墙的工作环境,然后再通过对防火墙双机热备系统的功能测试以及非功能测试进行测试。测试结果最后表明能够通过本系统确实能够满足对防火墙进行双机热备的需求。即使在发生主备倒换的情况时,也不会出现连接中断的情况。[12]
【参考文献】
4. 研究方案
首先部署两台防火墙组成的双机热备,这两台防火墙的设备硬件型号、单板类型、数量都要相同。分为两种部署方案。第一种是主备备份模式——路由规划简单:两台设备一主一备,正常情况下业务流量由主设备处理,当主设备故障时,业务流量平滑切换到备用设备进行处理,业务不中断;第二种是负载分担模式——路由规划复杂;两台设备互为主备,正常情况下两台设备共同分担整网的业务流量,当其中一台出现故障时,由另一台承担全部业务流量。同时熟悉了解心跳线的5种状态,running--正常运行,能够发送报文;ready--正常运行,此接口为备用备份通道,当前未使用;down--心跳接口的物理状态与协议状态都为down;invalid--未指定心跳接口的ip地址,心跳口工作在二层;negotiation failed--本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为down、hrp源或目的端口号被修改、或者底层链路不通等原因导致。mgmt接口(g0/0/0)口不能作为心跳接口两台fw心跳接口必须加入相同的安全区域。配置了vrrp cirtual-mac enable命令的接口不能作为心跳接口vgmp。两台fw的心跳接口类型、接口编号、链路协议类型必须相同,如使用eth-trunk接口为心跳线,那eth-trunk的成员接口也要相同,如果使用vlan接口作为心跳口,实际收发报文的二层物理接口也必须相同,接口mtu值小于1500的接口不能作为心跳接口。配置和表项备份报文的最大长度为1500字节,且报文不支持分片。如果心跳接口mtu值小于1500,会导致报文发送失败。如果fw上配置了虚拟系统,心跳接口不能是虚拟系统的接口,必须是根系统的接口。虚拟系统的配置命令和表项也能通过规划在根系统的心跳接口备份到对端设备。心跳接口可以为二层(一般防火墙工作在二层是会有此情况),也可以为三层(一般防火墙工作在三层)。每台fw都有一个vgmp组,用户不能删除这个vgmp组,也不能创建其他vgmp组。vgmp拥有四种状态:initialize--初始状态;load-balance--自身vgmp组优先级等于对端时,设备vgmp组状态为此;active--自身vgmp组优先级高于对端时,设备vgmp组状态为此,设备没有收到对端的vgmp报文时,设备也为此状态;standby--自身vgmp组优先级低于对端时,设备vgmp组状态为此;fw通过心跳线接收对端设备的vgmp报文,了解对端设备的vgmp组优先级,并通过比较本端和对端vgmp组优先级大小来确定是否要进行故障切换。当fw的单板、接口或链路发生故障时,vgmp组优先级会降低,如果本端的vgmp组优先级低于对端,本端的vgmp组状态会切换为standby。同时,fw会向对端设备发送一个vgmp报文,通知对端进行故障切换。此时主vgmp组变为备,备变为主。vgmp组默认抢占延迟为60s。
内网也指局域网(local area network,lan)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。内网是封闭型的,它可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。列如银行、学校、企业工厂、政府机关、网吧、单位办公网等都属于此类。内网为封闭型网络,在一定程度上能够防止信息泄露和外部网络病毒攻击,具有较高的安全性。
小型或者中型公司,防火墙策略隔离,路由混杂在一起的,某个接入端设备如果中毒会引起整个网络瘫痪。办公访问和生产的区域是隔离的,但他们都有需求访问到公共区。公共区:nas、认证、设备管理、代理服务器首先使用动态路由协议进行打通生产网络、办公网络。公共区域之间的透传使用静态路由;
5. 工作计划
2022-2023-1学期:
第15-16周:完成选题,查阅相关中英文资料,进行相关技术的学习。
第17周:与导师沟通进行课题总体规划。
