双防火墙的网络拓扑.pdfVIP

双防火墙的 网络拓扑 高可用性防火墙组网方案比较 要实现网络的高可用性， 首先就要排除网络中的单点故障点， 使网络在任何一台网络设备失 效时仍能提供网络服务。 因此这种方案通常要在接入层配置最少两台的路由器， 在核心层配 置最少两台的交换机，同样在防火墙层配置最少两台的防火墙。 为了实现以上的功能要求， 防火墙必须应用到专门的双机容错技术， 一般防火墙都有该功能， 被称为 Failover 或者“ HA”。这种功能要求防火墙的两端设备必须具有交换功能，因为对 于两个互相做 Failover 的设备，互为备份的链路需要有相同的配置。例如要求有相同的外 部接口网关地址 （或者到外部网络的静态路由的下一跳地址） ，如果对端只是一个三层设备 （如路由器） ，是无法在两个接口配置同样的地址， 需要一个二层设备汇接两个防火墙的链 路，而这个二层设备的默认网关就是防火墙需要的网关地址。虽然也有一种非常规的做法， 可以把路由器的接口通过 IRB 配置成桥接接口， 可以在一台路由器上实现交换机接口的部分 功能，不过这种做法降低了路由器的效率， 而且如果接入层是两台路由器就需要更为复杂的 配置，况且这只是一种理论上可行的方式在现实工程中极少采用。 另外，为了实现高可用性， 排除网络中的单点故障， 所以一般采用两台二层交换机， 同时通过在路由器上启用， 实现虚 拟路由器的功能，即使一台路由器失效仍能保持接入层的功能实现与防火墙的通信。 常用的组网方案根据两台防火墙的工作状态可以分为 Active-standby 、Active －Active 方 案；按照链路数量可以分为单链路、 双链路方案； 根据与两层网络间的连接方式可以分为跨 接、旁路方案；。 这三种分类可以相互组合形成防火墙的组网方案。 下面将对这些方案进行 分析。 2.1 方案一： Active －Active 单链路跨接方案 本方案采用防火墙跨接在路由器和交换机之间的组网方式，任何时候有两台防火墙在工作， 两台防火墙互为备用防火墙。 两台防火墙通过一条心跳线连接实现状态的同步， 主用链路和 备用链路的要求配置完全一致， 互相进行链路备份， 一旦出现主用防火墙链路失效或者防火 墙本身失效，立即切换到另一台防火墙，此时链路带宽下降为原有的 50 ％，一条链路上完 成两条链路的工作。 优点： 两台防火墙的性能同时得到发挥， 系统集成较简单，防火墙可以工作在透明模式。在 三层网络中， 出现单台失效时网络仍然可以工作。 接入层与核心层之间的通信必须经过防火 墙，没有直接的链路，保证网络的高安全性。节省网络设备 GE端口数量，比交叉连接方案 节省 8 个 GE接口，减少工程实施工作量。 缺点：当一台防火墙的链路失效时整体性能下降 50％，需求静态对内部服务器分组，以保 证 TCP持续性。 需要在三层交换机上启用路由策略， 增加系统集成的难度。 接入层或者核心 层设备失效或者链路失效，都会导致防火墙的切换，导致性能下降 50％。 2.2 、方案二： Active －Standby 单链路跨接方案 本方案与方案一基本相同只是采取单链路组网， 任何时候只有一台防火墙在工作， 所以由防 火墙的性能和带宽只有方案一的 50 ％。如果主用防火墙的链路失效或者防火墙失效，都会 切换到备用防火墙