1 双机部署提升网络可靠性
随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展,网络承载的业务越来越多,越来越重要。所以如何保证网络的不间断传输成为网络发展过程中急需解决的一个问题。
如左下图所示,防火墙部署在企业网络出口处,内外网之间的业务都会通过防火墙转发。如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,我们都必然要承受因设备单点故障而导致网络中断的风险。于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机)或多台设备,以提升网络的可靠性。如右下图所示,当一台防火墙出现故障时,流量会通过另外一台防火墙所在的链路转发,保证内外网之间业务正常运行。
2 路由器的双机部署只需考虑路由备份
如果是传统的网络转发设备(如路由器、三层交换机),只需要在两台设备上做好路由的备份就可以保证业务的可靠性。因为普通的路由器、交换机不会记录报文的交互状态和应用层信息,只是根据路由表进行报文转发,下面举个例子来说明。
如下图所示,两台路由器R1和R2与上下行设备R3和R4之间运行OSPF协议。正常情况下,由于以太网接口的缺省OSPF Cost值为1,所以在R3上看R1所在链路(R3―>R1―>R4―>FTP服务器)的Cost值为3。而由于我们在R2链路(R3―>R2―>R4―>FTP服务器)的各接口上将OSPF Cost值设置为10,所以在R3上看R2所在链路的Cost值为21。由于流量只会通过Cost值小的链路转发,所以FTP客户端与服务器间的业务就都只会通过R1转发。
如下图所示,当R1出现故障时,R1所在链路Cost值变成无穷大,而在R3上看R2所在链路Cost值仍为21。这时网络的路由会重新收敛,流量会根据新的路由被转发到R2,所以R2会接替R1处理业务。业务从R1切换到R2的时间就是网络的路由收敛时间。如果路由收敛时间较短,则正在传输的业务不会中断。
3 防火墙的双机部署还需考虑会话备份
如果将传统网络转发设备换成状态检测防火墙,情况就大不一样了。回忆一下强叔在“状态检测和会话机制”中讲到的内容:状态检测防火墙是基于连接状态的,他会对一条流量的首包(第一个报文)进行完整的检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才能够通过防火墙并且完成报文转发,如果后续报文不能匹配会话则会被防火墙丢弃。
下面举个例子来说明,两台防火墙FW1和FW2部署在网络中,与上下行设备R1和R2之间运行OSPF协议。如左下图所示,正常情况下,由于FW1所在链路的OSPF Cost值较小,所以业务报文都会根据路由通过FW1转发(原理同前面的路由器的例子)。这时FW1上会建立会话,业务的后续报文都能够匹配会话并转发。
如右下图所示,当FW1出现故障时,业务会被上下行设备上的路由信息引导到FW2上(原理同前面的路由器的例子)。但由于FW2上没有会话,业务报文因为找不到会话而被FW2丢弃,从而导致业务中断。这时用户需要重新发起访问请求(例如重新进行FTP下载),触发FW2重新建立会话,这样用户的业务才能继续进行。