一种实现防火墙设备双机备份的方法以及装置,其中,该方法及装置应用于防火墙备份系统的任一防火墙设备,该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成;其中该方法包括:按照预设的通告周期,发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。
【技术实现步骤摘要】
一种防火墙双机备份的方法及装置
本专利技术涉及通信
,具体的讲是一种防火墙备份方法及系统。
技术介绍
随着用户对网络可靠性需求的增加,保证网络的不间断传输已成为一个必须解决的问题。特别是,作为网络重要业务的入口或接入点的设备(如连接内网与英特网Internet的防火墙设备、银行数据服务器等设备),更需要确保其不间断运行。但是,无论这些设备的可靠性多高,一旦仅使用一台设备作为入口或接入点,在该设备故障的状态下都可能将业务的危险引入网络。如图1所示为,当作为将内网接入Internet的防火墙设备发生故障,内网中的主机A与主机B将无法访问Internet,同样来自Internet的其他主机也无法访问内网。为解决图1所示网络架构中单防火墙可能导致的业务中断,如图2所示的已有网络架构中引入了双机热备机制,即在使能了双机热备功能的防火墙设备A与防火墙设备B分别建立备份链路,这两台防火墙设备为三层设备。当一防火墙设备故障后,该故障防火墙设备处理的业务流量切换到另一防火墙设备。在图3所示的网络架构中,如果使能了双机热备功能的防火墙设备A与防火墙设备B为二层设备,则可能存在图3中虚线所示的二层环路,即Internet由大量设备组成,是一个网络泛称。通常,防火墙设备部署在内网(企业网)出口位置,直接与Internet相连(即运营商侧接入设备相连,通常运营商侧接入设备是路由器)。内网同样是一个网络,一般通过交换机或路由器连接防火墙设备。在防火墙设备为二层设备时,内网连接防火墙的交换机或路由器与运营商侧的路由器直接形成环路。因而,图3所示网络中的两台防火墙设备需要运行生成树协议(STP,SpanningTreeProtocol),以切断两个链路中的一个链路。但是,STP协议的收敛时间比较长,图3中防火墙设备A与防火墙设备B执行主备倒换后,有可能产生临时环路。
技术实现思路
本专利技术的目的在于提供一种防火墙设备的备份方法和系统,使两台作为二层设备的防火墙设备在不支持STP协议的状态下,亦可以备份。为实现上述目的,本专利技术提供了一种实现防火墙设备双机备份的方法,应用于防火墙备份系统的任一防火墙设备,且该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,该方法包括:按照预设的通告周期发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。为实现上述目的,本专利技术还提供了一种实现防火墙设备双机备份的装置,应用于防火墙备份系统的任一防火墙设备,该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,该装置包括:发送单元,用于按照预设的通告周期,发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收单元,用于接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;控制单元,用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。本专利技术有益效果在于,通过新机制,确保了防火墙前后的设备即使不支持STP协议(如路由器等)依然可以部署防火墙透明模式双机热备组网。附图说明图1所示为已有网络架构中采用防火墙设备的示意图;图2所示为已有网络架构中采用作为三层设备的两台防火墙设备实现双机热备的网络架构示意图;图3所示为已有网络架构中采用作为二层设备的两台防火墙设备实现双机热备的网络架构示意图;图4所示为本专利技术一实施例提供的实现两台防火墙设备实现双机备份的方法的流程图;图5A和图5B所示为本专利技术另一实施例提供的采用作为二层设备的两台防火墙设备实现双机备份的网络架构示意图;图6所示为本专利技术实施例提供的能够作为二层设备实现双机备份的防火墙设备的结构示意图。具体实施方式为使本专利技术的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本专利技术进一步详细说明。实施例一图4所示为本专利技术实施例提供的一种实现防火墙设备的备份方法的流程图,该方法应用于防火墙备份系统的任一防火墙设备,该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成。如图4所示,该方法包括以下步骤:步骤401,防火墙设备按照预设的通告周期,将本设备的设备状态以及设备优先级等级发送至对端防火墙设备;步骤402,防火墙设备接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;步骤403,防火墙设备确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。本实施例的有益效果在于,通过新机制,确保了防火墙前后的设备即使不支持STP协议(如路由器等)依然可以部署防火墙透明模式双机热备组网(即,利用作为二层设备的两台防火墙设备构成的双机备份系统)。实施例二图5A所示为本专利技术另一实施例提供的采用作为二层设备的两台防火墙设备511与512实现双机备份的网络架构示意图,这两台防火墙设备通过备份链路相连。本实施例中,防火墙设备511连接备份链路的备份接口的MAC地址为MAC511(图5未示),防火墙设备512连接备份链路的备份接口的MAC地址为MAC512(图5未示)。在图5A中,在防火墙设备511与512使能双机热备之前,在两台防火墙设备上配置关键属性项,用于实现防火墙双机备份。这些属性项至少包括,设备优先级、最大会话数目、最大内存占用率、通告报文占用率、通告报文重发次数,设备状态等等。本实施例通过表1对这些属性项的意义进行简要说明:本领域技术人员可对本实施例中,防火墙设备上的“设备状态”属性项的内容根据设备上的不同参数值进行变化,在防火墙设备上使用其他参数值表示与表1各属性项参数值相同的意义。当两台防火墙设备511与512使能双机热备后,这两台防火墙设备均通过备份接口及其连接的备份链路向对端设备发送双机倒换协议的通告报文。该双机倒换协议通告报文至少包含以下属性项,设备优先级、设备状态、备份接口MAC地址以及通告报文序列号。本实施例通过表2,简要说明该双机倒换协议通告报文携带的上述部分属性项的意义:假设在本实施例中,防火墙设备511首次发送双机倒换协议通告报文。该通告报文携带的设备优先级的参数值为5、设备状态的参数值为0,备份接口MAC地址MAC511、通告报文序列号为0。防火墙设备512首次发送双机倒换协议通告报文,其中,通告报文携带的设备优先级的参数值为1、设备状态的参数值为0,备份接口MAC地址MAC512、通告报文序列号为0。防火墙设备511与512分别收到来自对端的双机倒换协议通告报文。防火墙设备511确定本设备与对端防火墙设备512均处于设备初始状态,且本设备的“设备优先级”高于对端防火墙设备512的“设备优先级”,则防火墙设备511将本设备上所有接口设置为up状态,并根据协商结果生成的动态参数“0”,表本文档来自技高网...
【技术保护点】
一种实现防火墙设备双机备份的方法,应用于防火墙备份系统的任一防火墙设备,且该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,所述方法包括:按照预设的通告周期发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。
【技术特征摘要】
1.一种实现防火墙设备双机备份的方法,应用于防火墙备份系统的任一防火墙设备,且该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,所述方法包括:按照预设的通告周期发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态;确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级低于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成从设备状态且将本设备的业务接口状态设置成down状态。2.根据权利要求1所述的方法,其特征在于,所述方法还进一步包括:确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级与对端防火墙设备的设备优先级等级相同,则将本设备的备份接口地址与对端防火墙设备的备份接口地址进行比较;确定本设备的备份接口地址大于对端防火墙设备的备份接口地址,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态;确定本设备的备份接口地址小于对端防火墙设备的备份接口地址,则将本设备的设备状态设置成从设备状态且将本设备的业务接口设置成down状态。3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:检测本设备的当前的会话连接数;确定本设备的当前的会话连接数达到预设的会话数目最大值,则将本设备的设备状态设置成从设备状态且通知对端防火墙设备切换到主设备状态。4.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:检测本设备当前的内存占用率;确定本设备当前的内存占用率达到预设的内存占用率最大值,则将本设备的设备状态设置成从设备状态且通知对端防火墙设备切换到主设备状态。5.根据权利要求1或2所述的方法,其特征在于,所述方法进一步包括:确定预设时间内未收到对端防火墙设备发送的设备状态以及设备优先级等级,则将本设备的设备状态重设成主设备状态且按照所述通告周期将重设的设备状态以及设备优先级等级发送至对端防火墙设备。6.一种实现防火墙设备双机备份的装置,应用于防火墙备份系统的任一防火墙设备,该防火墙备...
【专利技术属性】
技术研发人员:胡国华,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。