本发明专利技术公开一种工控防火墙透明模式接入双机热备的实现方法及系统,涉及工控安全技术领域。所述方法包括:主备防火墙的上下行接口加入到同一个VLAN;主防火墙主动学习上下行接口mac表,同步到备防火墙,定时向备机发送心跳报文,宣称当前主状态,要求备防火墙禁止VLAN转发;备防火墙主动禁掉自己的VLAN;若备防火墙接收心跳报文超时,则认为主防火墙故障,备防火墙遍历主防火墙之前备份的上下行接口mac地址,以该mac地址作为源mac发送二层广播报文,刷新上下行交换机的mac表,更新为主状态,主备防火墙角色互换。本发明专利技术优化了主备切换时的引流方式,无论主设备故障类型是否为接口down类型都能将流量引导到备设备。down类型都能将流量引导到备设备。down类型都能将流量引导到备设备。
【技术实现步骤摘要】
一种工控防火墙透明模式接入双机热备的实现方法及系统
[0001]本专利技术涉及工控安全
,尤其涉及一种工控防火墙透明模式接入双机热备的实现方法及系统。
技术介绍
[0002]工控防火墙部署在工业环境的关键位置,工控流量都会通过防火墙转发,如果防火墙出现故障,便会导致内外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的话,无论其可靠性多高,我们都必然要承受因设备单点故障而导致网络中断的风险。于是,我们在网络架构设计时,通常会在网络的关键位置部署两台(双机)或多台设备,以提升网络的可靠性,满足国标增强级的要求。双机热备有透明接入、路由接入等多种组网方式。常见的透明模式双机热备主备切换时的引流方式是“主设备VLAN中的接口会down然后up一次,触发上下行二层设备更新MAC转发表”,但这种实现方法是有缺陷的,它寄希望于主设备接口down故障实现引流,对于主机的其他故障是无法实现流量引到备设备的。因此本专利技术提出一种透明模式接入、上下行连接二层设备的双机热备实现方法。
技术实现思路
[0003]本专利技术提供了一种工控防火墙透明模式接入双机热备的实现方法,包括:
[0004]主备防火墙的上下行接口加入到同一个VLAN;
[0005]主防火墙主动学习上下行接口的mac表,并实时同步备份到备防火墙;
[0006]主防火墙定时向备机发送心跳报文,宣称自己当前为主状态,要求备防火墙禁止VLAN转发;
[0007]当备防火墙接收到心跳报文后,主动禁掉自己的VLAN,不转发流量,并保持备状态;
[0008]若备防火墙接收心跳报文超时,则认为主防火墙故障,备防火墙遍历备份的上下行接口的mac表,并以该mac地址作为源mac发送二层广播报文,以刷新上下行交换机的mac表,更新当前状态为主状态,备防火墙转为新的主防火墙,原主防火墙转为新的备防火墙。
[0009]如上所述的一种工控防火墙透明模式接入双机热备的实现方法,其中,心跳报文的源mac填充主防火墙光纤以太网接口卡的mac地址,目的地址填充备防火墙光纤以太网接口卡的地址。
[0010]如上所述的一种工控防火墙透明模式接入双机热备的实现方法,其中,心跳报文采用二层报文,具体为二层单播心跳报文。
[0011]如上所述的一种工控防火墙透明模式接入双机热备的实现方法,其中,备防火墙在接收到心跳报文后,检测其防火墙状态是否为备状态,如不是则置本防火墙设备状态为备状态。
[0012]如上所述的一种工控防火墙透明模式接入双机热备的实现方法,其中,刷新上下行交换机的mac表,具体为更新mac表出接口为备链路上的出接口。
[0013]本专利技术还提供一种工控防火墙透明模式接入双机热备的实现系统,包括:两个防火墙,两个防火墙互为主备防火墙,主备防火墙的上下行接口加入到同一个VLAN;
[0014]主防火墙主动学习上下行接口的mac表,并实时同步备份到备防火墙;主防火墙定时向备机发送心跳报文,宣称自己当前为主状态,要求备防火墙禁止VLAN转发;
[0015]备防火墙接收主防火墙的心跳报文,主动禁掉自己的VLAN,不转发流量,并保持备状态;若备防火墙接收心跳报文超时,则认为主防火墙故障,备防火墙遍历备份的上下行接口的mac表,并以该mac地址作为源mac发送二层广播报文,以刷新上下行交换机的mac表,更新当前状态为主状态,备防火墙转为新的主防火墙,原主防火墙转为新的备防火墙。
[0016]本专利技术还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被处理器执行上述任一项所述的一种工控防火墙透明模式接入双机热备的实现方法。
[0017]本专利技术实现的有益效果如下:本专利技术优化了主备切换时的引流方式,无论主设备故障类型是否为接口down类型都能实现将流量引导到备设备。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0019]图1是本专利技术实施例提供的一种工控防火墙透明模式接入双机热备的实现方法流程图;
[0020]图2是透明模式双机热备组网简图。
具体实施方式
[0021]下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0022]实施例一
[0023]参见图1,本专利技术实施例一提供一种工控防火墙透明模式接入双机热备的实现方法,包括:
[0024]步骤110、主备防火墙的上下行接口加入到同一个VLAN;
[0025]图2为透明模式双机组网示例图。图中防火墙FW1为主防火墙,防火墙FW2为备防火墙,防火墙FW1包括GE1/0/1端口、GE1/0/2端口、GE1/0/3端口,防火墙FW2包括GE1/0/1端口、GE1/0/2端口、GE1/0/3端口,FW1的GE1/0/1和FW2的GE1/0/1均连接交换机SW2,与PC1连接,PC1的MAC地址为00
‑
11
‑
22
‑
33
‑
44
‑
55;FW1的GE1/0/2连接FW2的GE1/0/2;FW1的GE1/0/3和FW2的GE1/0/3均连接交换机SW1,与PC2连接,PC2的MAC地址为00
‑
11
‑
22
‑
33
‑
44
‑
66。将FW1的GE1/0/3、GE1/0/1与FW2的GE1/0/3、GE1/0/1均加入同一个VLAN(vlan1)。
[0026]步骤120、主防火墙主动学习上下行接口的mac表,并实时同步备份到备防火墙;
[0027]例如,图2中主防火墙FW1主动学习上下行设备的mac,并实时同步备份到FW2。以上行链路为例,心跳报文的源mac填充FW1
‑
GE1/0/3的mac地址,目的地址填充FW2
‑
GE1/0/3的地址。此时,主防火墙FW1学习到的mac地址为(00
‑
11
‑
22
‑
33
‑
44
‑
55、GE1/0/1)、(00
‑
11
‑
22
‑
33
‑
44
‑
66、GE1/0/3),并将学习到的mac地址备份到备防火墙中。
[0028]步骤130、主防火墙定时向备机发送心跳报文本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种工控防火墙透明模式接入双机热备的实现方法,其特征在于,包括:主备防火墙的上下行接口加入到同一个VLAN;主防火墙主动学习上下行接口的mac表,并实时同步备份到备防火墙;主防火墙定时向备机发送心跳报文,宣称自己当前为主状态,要求备防火墙禁止VLAN转发;当备防火墙接收到心跳报文后,主动禁掉自己的VLAN,不转发流量,并保持备状态;若备防火墙接收心跳报文超时,则认为主防火墙故障,备防火墙遍历备份的上下行接口的mac表,并以该mac地址作为源mac发送二层广播报文,以刷新上下行交换机的mac表,更新当前状态为主状态,备防火墙转为新的主防火墙,原主防火墙转为新的备防火墙。2.如权利要求1所述的一种工控防火墙透明模式接入双机热备的实现方法,其特征在于,心跳报文的源mac填充主防火墙光纤以太网接口卡的mac地址,目的地址填充备防火墙光纤以太网接口卡的地址。3.如权利要求1所述的一种工控防火墙透明模式接入双机热备的实现方法,其特征在于,心跳报文采用二层报文,具体为二层单播心跳报文。4.如权利要求1所述的一种工控防火墙透明模式接入双机热备的实现方法,其特征在于,备防火墙在接收到心跳报文后,检测其防火墙状态是否为备状态,如不是则置本...
【专利技术属性】
技术研发人员:刘锋,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。