实施例二
图5A所示为本发明另一实施例提供的采用作为二层设备的两台防火墙设备511与512实现双机备份的网络架构示意图,这两台防火墙设备通过备份链路相连。本实施例中,防火墙设备511连接备份链路的备份接口的MAC地址为MAC511(图5未示),防火墙设备512连接备份链路的备份接口的MAC地址为MAC512(图5未示)。
在图5A中,在防火墙设备511与512使能双机热备之前,在两台防火墙设备上配置关键属性项,用于实现防火墙双机备份。这些属性项至少包括,设备优先级、最大会话数目、最大内存占用率、通告报文占用率、通告报文重发次数,设备状态等等。
本实施例通过表1对这些属性项的意义进行简要说明:
本领域技术人员可对本实施例中,防火墙设备上的“设备状态”属性项的内容根据设备上的不同参数值进行变化,在防火墙设备上使用其他参数值表示与表1各属性项参数值相同的意义。
当两台防火墙设备511与512使能双机热备后,这两台防火墙设备均通过备份接口及其连接的备份链路向对端设备发送双机倒换协议的通告报文。该双机倒换协议通告报文至少包含以下属性项,设备优先级、设备状态、备份接口MAC地址以及通告报文序列号。
本实施例通过表2,简要说明该双机倒换协议通告报文携带的上述部分属性项的意义:
假设在本实施例中,防火墙设备511首次发送双机倒换协议通告报文。该通告报文携带的设备优先级的参数值为5、设备状态的参数值为0,备份接口MAC地址MAC511、通告报文序列号为0。防火墙设备512首次发送双机倒换协议通告报文,其中,通告报文携带的设备优先级的参数值为1、设备状态的参数值为0,备份接口MAC地址MAC512、通告报文序列号为0。
防火墙设备511与512分别收到来自对端的双机倒换协议通告报文。防火墙设备511确定本设备与对端防火墙设备512均处于设备初始状态,且本设备的“设备优先级”高于对端防火墙设备512的“设备优先级”,则防火墙设备511将本设备上所有接口设置为up状态,并根据协商结果生成的动态参数“0”,表示本设备在双机备份***的角色为主设备。
防火墙设备512确定本设备与对端防火墙设备511均处于设备初始状态“MASTER”,且本设备的“设备优先级”低于对端防火墙设备511的“设备优先级”,则防火墙设备511将本设备上备份接口、管理接口以外的用于转发业务流量转发的业务接口均切换到down状态,并根据协商结果生成动态参数“1”,表示本设备在双机备份***的角色为主设备。
如图5A所示,防火墙设备512的上行接口(接入Internet的链路所连接口)和下行接口(接入内网的链路所连接口)均为业务接口,因而被设置为down状态,从而在不运行STP协议的前提下,亦能避免环路的产生。
在上述防火墙设备511与512首次发送通告报文进行协商的过程中,如果两台防火墙设备首次发送的双机倒换协议通告报文中“设备优先级”的参数值相同,则防火墙设备511与防火墙设备512可以进一步比较两台设备的备份接口MAC地址,以进行协商。假设,防火墙设备511确定MAC511大于MAC512,则将本设备上所有接口设置为正常(up)状态,并根据协商结果生成设备状态的参数值“0”,表示本设备是双机备份***的主设备。防火墙设备512确定MAC512小于MAC511,则将本设备上备份接口、管理接口以外的用于转发业务流量转发的业务接口均切换到关闭(down)状态并根据协商结果生成设备状态的参数值“1”,表示本设备是双机备份***的从设备。
本领域技术人员可对上述实施例进行变化,譬如,两台防火墙设备判断两台设备优先级参数相同,在比较备份接口地址时,可以依据备份接口地址小于对端防火墙设备,将所有接口设置为正常(up)状态。
在图5A所示实例中,防火墙设备511与防火墙设备512按照“发送通告报文周期”,定期发送双机倒换协议通告报文。
本实施例还提供了多种双机倒换机制,防火墙双机热备组网可以根据设备的内存或会话等预警值进行主动切换,而避免等待设备出现异常后被动切换,影响业务流量转发。
作为主设备的防火墙设备511检测到该设备的当前的会话连接数目达到本设备预设的最大会话数目,防火墙设备511通过备份链路发送双机倒换协议通告报文,该通告报文包含设备优先级、设备状态、备份接口MAC地址、通告报文序列号等属性项,其中,设备优先级参数值为“0”,主动通知对端防火墙设备512进行双机倒换;并生成设备状态的参数值“1”,表示本设备是双机备份***的从设备。防火墙设备511会同时将备份接口、管理接口以外的参与业务流量转发切换到关闭(down)状态,如图5B所示。
防火墙设备512收到来自防火墙设备511的双机倒换协议通告报文后,根据该报文的通告报文序列号确定是对端防火墙设备511最新发送的通告报文,则根据该通告报文生成设备状态参数值“0”,表示本设备是双机备份***的主设备。防火墙设备512上备份接口、管理接口一直处于正常(UP)状态,防火墙设备512只需将本设备上参与业务流量转发的业务接口切换至UP状态。进一步地,防火墙设备512确定本设备上业务接口包括shutdown状态的业务接口和/或连接故障链路的业务接口,则不将这类业务接口切换至UP状态。或者,作为主设备的防火墙设备511检测到该设备的当前内存占用率达到预设设备最大内存占有率,防火墙设备511发送双机倒换协议通告报文,以通知对端防火墙设备512进行双机倒换。防火墙设备511会同时将备份接口、管理接口以外的参与业务流量转发切换到关闭(down)状态。防火墙设备512收到来自防火墙设备511的双机倒换协议通告报文后,防火墙设备511与512执行双机倒换的过程与上述倒换方式基本相同,本实施例不再重复叙述。
进一步地,当双机备份***中的主设备上参与转发的业务接口的状态为down,该主设备主动发送双机倒换协议通告给对端防火墙设备,执行双机倒换,该双机倒换处理过程与上述方式基本相同,本实施例不再重复叙述。
进一步地,当作为主设备的防火墙设备511而异常无法发送双机倒换协议通告报文通知防火墙设备512的状态下,防火墙设备512可自行发起倒换操作。
为了防止偶然因素(如备份链路闪断导致的通告报文丢包等因素)导致误判,本实施例中防火墙设备512在未收到对端发送的双机倒换通告报文前,防火墙设备512继续按照通告报文发送周期向对端防火墙设备511发送双机倒换协议通告报文,直到本设备发送通告报文的次数已达到预设的通告报文重发次数,则防火墙设备512主动发起双机倒换操作。防火墙设备512可通过计时的方式触发双机倒换,即防火墙设备512对未收到对端通告报文的时间进行计时,当计时时间等于通告报文重发次数”与“通告报文发送周期的乘积,则判定满足触发条件,执行双机倒换。
防火墙设备512生成设备状态的参数值“0”,表示本设备是双机备份***的主设备。由于,防火墙设备512上备份接口、管理接口一直处于正常(UP)状态,防火墙设备512只需将本设备上参与业务流量转发的业务接口切换至UP状态。进一步地,防火墙设备512确定本设备上业务接口包括shutdown状态的业务接口和连接故障链路的业务接口,则不将这类业务接口切换至UP状态。
防火墙设备512将本设备倒换为主设备后,继续周期性发送双机倒换协议通告报文,其中设备状态的参数值是重设的表示主设备状态的“0”。
防火墙设备511因异常重启后,收到对端防火墙设备512的通告报文后,不再与对端协商,直到本实施例揭示的上述双机倒换的触发条件满足后,两台设备执行双机倒换处理;或者防火墙设备511因异常重启后,与对端防火墙设备512重新协商,该协商方式与两设备首次协商的方式相同,不再重复描述。
图6所示为本发明实施例提供的能够作为二层设备实现双机备份的防火墙设备的结构示意图,该防火墙设备设置有实现防火墙设备双机备份的装置,该装置包括:
发送单元601,用于按照预设的通告周期,通过双机倒换协议通告报文发送至少将本设备的设备状态以及设备优先级等级至对端防火墙设备;
接收单元602,用于接收对端防火墙设备按照预设的通告周期,通过双机倒换协议通告报文发送的设备状态以及设备优先级等级;
控制单元603,用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态;控制单元603,还用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级低于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成从设备状态且将本设备的业务接口状态设置成down状态。
控制单元603确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级与对端防火墙设备的设备优先级等级相同,则控制单元603将本设备的备份接口地址与对端防火墙设备的备份接口地址进行比较,若大于对端防火墙设备的备份接口地址,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态;若小于对端防火墙设备的备份接口地址,则将本设备的设备状态设置成从设备状态且将本设备的业务接口设置成down状态。
如图6所示,该装置单元还进一步包括检测单元604,用于检测本设备的当前的会话连接数以及本设备当前的内存占用率。
控制单元603,确定本设备的当前的会话连接数达到预设的会话数目最大值或者确定本设备当前的内存占用率达到预设的内存占用率最大值,则将本设备的设备状态设置成从设备状态;同时,发送单元604通过双机倒换协议通告报文来通知对端防火墙设备切换到主设备状态。
控制单元603确定本设备的设备状态为从设备状态且预设时间内未收到对端防火墙设备周期性发送的包含设备状态以及设备优先级等级的双机倒换协议通告报文,则将本设备的设备状态重设成主设备状态;发送单元601继续按照通告周期,通过双机倒换协议通告报文将本设备的以及设备优先级等级发送至对端防火墙设备,但是通告的设备状态为重设的主设备状态。
以上所述仅为本发明示意性的具体实施方式,并非用以限定本发明的范围。任何本领域的技术人员,在不脱离本发明的构思和原则的前提下所作出的等同变化与修改,均应属于本发明保护的范围。