专利名称:一种防火墙双机备份的方法及装置的制作方法
技术领域:
本发明涉及通信技术领域,具体的讲是一种防火墙备份方法及系统。
背景技术:
随着用户对网络可靠性需求的增加,保证网络的不间断传输已成为一个必须解决的问题。特别是,作为网络重要业务的入口或接入点的设备(如连接内网与英特网Internet的防火墙设备、银行数据服务器等设备),更需要确保其不间断运行。但是,无论这些设备的可靠性多高,一旦仅使用一台设备作为入口或接入点,在该设备故障的状态下都可能将业务的危险引入网络。如图1所示为,当作为将内网接入Internet的防火墙设备发生故障,内网中的主机A与主机B将无法访问Internet,同样来自Internet的其他主机也无法访问内网。为解决图1所示网络架构中单防火墙可能导致的业务中断,如图2所示的已有网络架构中引入了双机热备机制,即在使能了双机热备功能的防火墙设备A与防火墙设备B分别建立备份链路,这两台防火墙设备为三层设备。当一防火墙设备故障后,该故障防火墙设备处理的业务流量切换到另一防火墙设备。在图3所示的网络架构中,如果使能了双机热备功能的防火墙设备A与防火墙设备B为二层设备,则可能存在图3中虚线所示的二层环路,即Internet由大量设备组成,是一个网络泛称。通常,防火墙设备部署在内网(企业网)出口位置,直接与Internet相连(即运营商侧接入设备相连,通常运营商侧接入设备是路由器)。内网同样是一个网络,一般通过交换机或路由 器连接防火墙设备。在防火墙设备为二层设备时,内网连接防火墙的交换机或路由器与运营商侧的路由器直接形成环路。因而,图3所示网络中的两台防火墙设备需要运行生成树协议(STP, Spanning Tree Protocol),以切断两个链路中的一个链路。但是,STP协议的收敛时间比较长,图3中防火墙设备A与防火墙设备B执行主备倒换后,有可能产生临时环路。
发明内容
本发明的目的在于提供一种防火墙设备的备份方法和系统,使两台作为二层设备的防火墙设备在不支持STP协议的状态下,亦可以备份。为实现上述目的,本发明提供了一种实现防火墙设备双机备份的方法,应用于防火墙备份系统的任一防火墙设备,且该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,该方法包括:按照预设的通告周期发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。为实现上述目的,本发明还提供了一种实现防火墙设备双机备份的装置,应用于防火墙备份系统的任一防火墙设备,该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,该装置包括:发送单元,用于按照预设的通告周期,发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收单元,用于接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;控制单元,用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。本发明有益效果在于,通过新机制,确保了防火墙前后的设备即使不支持STP协议(如路由器等)依然可以部署防火墙透明模式双机热备组网。
图1所示为已有网络架构中采用防火墙设备的示意图;图2所示为已有网络架构中采用作为三层设备的两台防火墙设备实现双机热备的网络架构不意图;图3所示为已有网络架构中采用作为二层设备的两台防火墙设备实现双机热备的网络架构不意图;图4所示为本发明一实施例提供的实现两台防火墙设备实现双机备份的方法的流程图;图5A和图5B所示为本发明另一实施例提供的采用作为二层设备的两台防火墙设备实现双机备份的网络架构示意图;图6所示为本发明实施例提供的能够作为二层设备实现双机备份的防火墙设备的结构示意图。
具体实施例方式为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。实施例一图4所示为本发明实施例提供的一种实现防火墙设备的备份方法的流程图,该方法应用于防火墙备份系统的任一防火墙设备,该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成。如图4所示,该方法包括以下步骤:步骤401,防火墙设备按照预设的通告周期,将本设备的设备状态以及设备优先级等级发送至对端防火墙设备;步骤402,防火墙设备接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;步骤403,防火墙设备确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。本实施例的有益效果在于,通过新机制,确保了防火墙前后的设备即使不支持STP协议(如路由器等)依然可以部署防火墙透明模式双机热备组网(即,利用作为二层设备的两台防火墙设备构成的双机备份系统)。实施例二图5A所示为本发明另一实施例提供的采用作为二层设备的两台防火墙设备511与512实现双机备份的网络架构示意图,这两台防火墙设备通过备份链路相连。本实施例中,防火墙设备511连接备份链路的备份接口的MAC地址为MAC511 (图5未示),防火墙设备512连接备份链路的备份接口的MAC地址为MAC512 (图5未示)。在图5A中,在防火墙设备511与512使能双机热备之前,在两台防火墙设备上配置关键属性项,用于实现防火墙双机备份。这些属性项至少包括,设备优先级、最大会话数目、最大内存占用率、通告报文占用率、通告报文重发次数,设备状态等等。本实施例通过表I对这些属性项的意义进行简要说明:
属性项Wm
数值取值范围为O 10,但是配置范围为I 10, 默认值为I。
设备优先级的数值越大,表示设备的优先级等级 设备优先级一 越尚。
若两台设备的设备优先级相同,则根据两台设备 各自的备份接口的MAC地址,确定所设备份接口
权利要求
1.一种实现防火墙设备双机备份的方法,应用于防火墙备份系统的任一防火墙设备,且该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,所述方法包括: 按照预设的通告周期发送本设备的设备状态以及设备优先级等级至对端防火墙设备; 接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级; 确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。
2.根据权利要求1所述的方法,其特征在于,所述方法还进一步包括: 确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级与对端防火墙设备的设备优先级等级相同,则将本设备的备份接口地址与对端防火墙设备的备份接口地址进行比较; 确定本设备的备份接口地址大于/小于对端防火墙设备的备份接口地址,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。
3.根据权利要求1所述的方法,其特征在于,所述方法进一步包括: 检测本设备的当前的会话连接数; 确定本设备的当前的会话连接数达到预设的会话数目最大值,则将本设备的设备状态设置成从设备状态且通知对端防火墙设备切换到主设备状态。
4.根据权利要求1所述的方法,其特征在于,所述方法进一步包括: 检测本设备当前的内存占用率; 确定本设备当前的内存占用率达到预设的内存占用率最大值,则将本设备的设备状态设置成从设备状态且通知对端防火墙设备切换到主设备状态。
5.根据权利要求1所述的方法,其特征在于,所述方法进一步包括: 确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级低于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成从设备状态且将本设备的业务接口状态设置成down状态。
6.根据权利要求1所述的方法,其特征在于,所述方法进一步包括: 确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级等于对端防火墙设备的设备优先级等级,则将本设备的备份接口地址与对端防火墙设备的备份接口地址进行比较; 确定本设备的备份接口地址小于对端防火墙设备的备份接口地址,则将本设备的业务接口状态设置成down状态。
7.根据权利要求5或6所述的方法,其特征在于,所述方法进一步包括: 确定预设时间内未收到对端防火墙设备发送的设备状态以及设备优先级等级,则将本设备的设备状态重设成主设备状态且按照所述通告周期将重设的设备状态以及设备优先级等级发送至对端防火墙设备。
8.一种实现防火墙设备双机备份的装置,应用于防火墙备份系统的任一防火墙设备,该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成,其特征在于,所述装置包括: 发送单元,用于按照预设的通告周期,发送本设备的设备状态以及设备优先级等级至对端防火墙设备; 接收单元,用于接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级; 控制单元,用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。
9.根据权利要求8所述的装置,其特征在于, 所述控制单元,还用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级与对端防火墙设备的设备优先级等级相同,则将本设备的备份接口地址与对端防火墙设备的备份接口地址进行比较,若本设备的备份接口地址大于/小于对端防火墙设备的备份接口地址,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。
10.根据权利要求8所述的装置,其特征在于,所述装置单元还进一步包括检测单元,用于检测本设备的当前 的会话连接数; 所述控制单元,还用于确定本设备的当前的会话连接数达到预设的会话数目最大值,则将本设备的设备状态设置成从设备状态; 所述发送单元,还用于通知对端防火墙设备切换到主设备状态。
11.根据权利要求8所述的装置,其特征在于, 所述检测单元,还用于检测本设备当前的内存占用率; 所述控制单元,还用于确定本设备当前的内存占用率达到预设的内存占用率最大值,则将本设备的设备状态设置成从设备状态; 所述发送单元,还用于通知对端防火墙设备切换到主设备状态。
12.根据权利要求8所述的方法,其特征在于, 所述控制单元,还用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级低于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成从设备状态且将本设备的业务接口状态设置成down状态。
13.根据权利要求8所述的装置,其特征在于, 所述控制单元,还用于确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级与对端防火墙设备的设备优先级等级相同,则将本设备的备份接口地址与对端防火墙设备的备份接口地址进行比较,若本设备的备份接口地址小于/大于对端防火墙设备的备份接口地址,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成down状态。
14.根据权利要求12或13所述的装置,其特征在于, 所述控制单元,还用于确定预设时间内未收到对端防火墙设备发送的设备状态以及设备优先级等级,则将本设备的设备状态重设成主设备状态; 所述发送单元,还用于按照所述通告周期将重设的设备状态以及设备优先级等级发送至对端防火墙设备。
全文摘要
一种实现防火墙设备双机备份的方法以及装置,其中,该方法及装置应用于防火墙备份系统的任一防火墙设备,该防火墙备份系统由两台作为二层设备的防火墙设备通过备份链路连接构成;其中该方法包括按照预设的通告周期,发送本设备的设备状态以及设备优先级等级至对端防火墙设备;接收对端防火墙设备按照预设的通告周期发送的设备状态以及设备优先级等级;确定本设备与对端防火墙设备的设备状态均为初始状态且本设备的设备优先级等级高于对端防火墙设备的设备优先级等级,则将本设备的设备状态设置成主设备状态且将本设备的业务接口设置成UP状态。
文档编号H04L29/06GK103227725SQ20121009131
公开日2013年7月31日 申请日期2012年3月30日 优先权日2012年3月30日
发明者胡国华 申请人:杭州华三通信技术有限公司