HA主備路由模式的原理
HA是High Availability縮寫,即高可用性 ,可防止網絡中由于單個防火牆的裝置故障或網絡故障導緻網絡中斷,保證網絡服務的連續性和安全強度。目前,ha功能已經是防火牆内一個重要組成部分。
主備模式(Active-standby):在一個備援組中,有兩台防火牆,一台處于主狀态。在這個狀态下,防火牆響應ARP請求,并且轉發網絡流量;另一台處于備份狀态,該防火牆不響應ARP請求,也不轉發網絡流量。主備之間同步狀态資訊,當主牆down機或網線故障時,進行主備切換。
主主模式(Active-active): 在一個備援組中,有兩台防火牆,兩台都處于主狀态。兩台防火牆都響應ARP請求,并且轉發網絡流量;主主之間同步狀态資訊,當一主牆down機或網線故障時,進行切換,由另一主牆轉發網絡流量。提高了資料包處理的吞吐量,平衡了網絡負載,優化了網絡性能。
NGFW的HA功能隻支援兩台裝置。在nat/路由模式和橋接模式下支援主主和主備兩種工作模式。HA功能要求兩台裝置的型号相同、組網方式相同、軟體版本一緻。在以上條件不一緻的情況下,HA功能有可能失效。
兩台HA裝置之間同步資訊和通訊資訊采用專用的以太網口,稱為HA接口。HA接口連接配接方式為直連。為了維護HA狀态的正确性和封包同步,必須妥善維護接口的連接配接。HA接口的任何中斷都可能導緻不可預測的後果:比如兩台裝置可能同時工作狀态(處于主備工作狀态時),若重新連接配接之後,兩台裝置重新開始HA啟動過程。
HA和負載均衡的差別
一般所講的HA基本都是采用主備模式工作,其中一台工作,另外一台是備用裝置,隻有主裝置出現故障或人為切換,另外一台備用裝置才會工作,當然HA也有雙主的部署方式。
負載均衡可以說是把兩台或多台裝置做到同時對外提供服務,在所有裝置都工作的時候,且是互為備份的狀态,達到裝置使用率最優的狀态。
相關: