数据中心系统的制作方法
【专利摘要】本发明公开了一种数据中心系统。该系统包括:通过二层网络互联的至少两个数据中心子系统,每个数据中心子系统包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上。本发明解决了相关技术中双活数据中心不能协同工作的技术问题。
【专利说明】
数据中心系统
技术领域
[0001]本发明涉及互联网领域,具体而言,涉及一种数据中心系统。
【背景技术】
[0002]在一些行业中,例如金融行业,数据中心承载了重要的数据信息及生产办公业务。数据中心的可靠性直接关系到业务是否能够持续可靠运行,考虑到停电,地震等因素,一般要建设两地三中心,即在两个相隔比较远的城市建设三个数据中心,一般在一个城市建设两个数据中心,异地再建设一个数据中心,构成两地三中心。同城市的两个数据中心构成双活数据中心,即两个数据中心同时运行,对外提供服务,并互为备份。
[0003]如图1所示,在现有的数据中心内,防火墙102’可以实现南北向(互联网与主机103 ’之间,需要经过路由1 I’、防火墙102’、交换机103’和主机104’)流量的安全防护和东西向流量(主机之间的跨局域网的三层流量,如局域网105’中的IP为192.168.10.2的主机访问局域网106’中的IP为192.168.20.2的主机的流量,需要经过防火墙处理)的安全防护。
[0004]为了便于业务在两个数据中心之间的迀移,两个数据中心互联一般采用二层扩展方式(也叫数据中心的大二层)将两个数据中心进行二层互联,即两个数据中心在二层上是互通的,一个虚拟机从一个数据中心迀移到另一个数据中心后不用更改IP地址和路由即可继续不中断地运行和提供相应的业务。
[0005]如图2所示,为每个数据中心中增加一个二层扩展设备205’,还包括路由器201’、防火墙202’、交换机203’、主机204’、局域网206’和局域网207’,目前数据中心二层扩展有多种方案,例如,0TV(0verlay Transport Virtualizat1n)方案,EVN(Ethernet VirtualNetwork)方案。其原理是让两个数据中心的二层互通,以使同一个局域网的两个主机相互访问时不用感知主机的具体位置,主机在跨数据中心的迀移时不用更改IP地址。
[0006]同一个局域网在每个数据中心有相同的网关地址,(如,左边数据中心局域网206’的网关是192.168.10.1,右边数据中心的局域网206’的网关也是192.168.10.1),这相当于在同一个局域网中有两个相同的IP地址,如果不做处理的话,会发生IP地址冲突,而二层扩展设备支持对包括指定的IP地址的ARP包进行过滤,实际部署时,可以在二层扩展设备上配置以过滤掉包括网关IP地址的ARP包,这样,网关的ARP包就不会跨数据中心转发。
[0007]每个数据中心的防火墙部署与单数据中心是一致的,但两个数据中心进行二层扩展互联后,如果两个数据中心的防火墙之间独立而不协同工作的话,是不能正常工作的。这是因为在两个数据中心二层互联情况下,主机之间跨局域网且跨数据中心的访问存在非对称路由,即对于同一个会话,一个防火墙只能接收到一个方向的流量。由于防火墙需要做基于状态的检测,如果不能接收到同一个会话的两个方向流量则不能对数据包进行正确的处理。
[0008]如,以左边数据中心中局域网206,的IP为192.168.10.2的主机(简称主机A)访问右边数据中心中局域网207,的IP为192.168.20.4的主机(简称主机B)为例,主机A向主机B发送一个TCP SYN包,需要依次经过左边数据中心的交换机、防火墙,再由防火墙返回至交换机,经过交换机、二层扩展设备、路由器之后,到达右侧数据中心,再经过右侧数据中心的路由器、二层扩展设备和交换机后到达主机B,主机B收到TCP SYN包后会回送一个TCP SYNACK包,需要依次经过右侧数据中心的交换机和防火墙,再由防火墙返回至交换机,经过交换机、二层扩展设备、路由器之后,到达左侧数据中心,再经过左侧数据中心的路由器、二层扩展设备和交换机后到达主机A,左侧数据中心的防火墙只处理了TCP SYN包的发送,右侧数据中心的防火墙也只处理了TCP SYN ACK包的发送,其相当于两侧的防火墙只接收到了单方向的数据包,这种情况下,防火墙的安全处理功能是不能正常工作的,主机A和主机B再次发送的数据包则会被防火墙丢弃。
[0009]针对相关技术中双活数据中心不能协同工作的技术问题,目前尚未提出有效的解决方案。
【发明内容】
[0010]本发明实施例提供了一种数据中心系统,以至少解决相关技术中双活数据中心不能协同工作的技术问题。
[0011]根据本发明的实施例,提供了一种数据中心系统,该系统包括:通过二层网络互联的至少两个数据中心子系统,每个数据中心子系统包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,其中,第一虚拟局域网和第二虚拟局域网设置在二层网络上。
[0012]进一步地,在至少两个数据中心子系统的任一数据中心子系统中,防火墙组包括一个或多个防火墙,每个防火墙的业务接口配置有第一 MAC地址、第二 MAC地址以及第三MAC地址,其中,第一 MAC地址用于与任一数据中心子系统内的设备通讯时使用,第二 MAC地址用于与其他数据中心子系统内的设备通讯时使用,第三MAC地址用于转发非对称路由的数据包时使用,防火墙的业务接口与业务通道连接。
[0013]进一步地,每个防火墙的业务接口配置有第一 IP地址和第二 IP地址,第一 IP地址用于与任一数据中心子系统内的设备通讯时使用,第二 IP地址用于与其他数据中心子系统内的设备通讯时使用。
[0014]进一步地,在二层扩展设备的配置文件中,配置有用于过滤以第一MAC地址为源MAC地址和/或以第一 IP地址为源IP地址的数据包的信息。
[0015]进一步地,防火墙每隔预设时长,以第一MAC地址为源地址发送免费ARP包。
[0016]进一步地,同步信息包括心跳包,至少两个数据中心子系统的防火墙组通过同步通道交换心跳包,其中,在预设时间段内,若从防火墙组未接收到主防火墙组中所有防火墙发送的心跳包,则将从防火墙组中的之一切换为主防火墙组。
[0017]进一步地,同步信息还包括全局配置信息,在主防火墙组与从防火墙组交换心跳包后,在从防火墙组与主防火墙组的全局配置不相同的情况下,将主防火墙组的全局配置信息传输至从防火墙组,以使从防火墙组的全局配置与主防火墙组的全局配置相同。
[0018]进一步地,同步信息还包括会话信息和会话状态,在至少两个数据中心子系统中的任意两个数据中心子系统的防火墙建立会话连接后,通过同步通道传输会话信息和会话状态,其中,任意两个数据中心子系统中建立会话连接的数据中心子系统的防火墙的会话状态为第一状态,另一个数据中心子系统的防火墙的会话状态为第二状态。
[0019]进一步地,在至少两个数据中心子系统中的任一数据中心子系统的防火墙接收到会话数据包且会话状态为第二状态时,根据会话数据包确定发起会话的防火墙,并将会话数据包的源MAC地址替换为接收到会话数据包的防火墙的业务接口的第三MAC地址,将会话数据包的目的MAC地址替换为发起会话的防火墙的业务接口的第三MAC地址,并通过二层扩展设备转发会话数据包。
[0020]进一步地,发起会话的防火墙在接收到会话数据包之后,按照会话数据包中的IP地址信息发送会话数据包。
[0021]在本发明实施例中,本申请的数据中心系统包括通过二层网络互联的至少两个数据中心子系统,每个数据中心子系统包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上,数据中心子系统之间通过同步通道进行同步通讯,并通过业务通道传输业务信息,以使跨数据中心的数据能够被正确传送,从而解决了相关技术中双活数据中心不能协同工作的技术问题,实现了数据中心之间协同工作的技术效果。
【附图说明】
[0022]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0023]图1是相关技术中一种可选的数据中心的示意图;
[0024]图2是相关技术中另一种可选的数据中心的示意图;
[0025]图3是根据本发明实施例的数据中心系统的示意图;以及
[0026]图4是根据本发明实施例的一种可选的数据中心系统的示意图。
【具体实施方式】
[0027]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0028]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0029]首先,在对本发明实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
[0030]MAC:Media Access Control或者Medium Access Control,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC地址,因此,一个主机会有一个MAC地址,而每个网络位置会有一个专属于它的IP地址。
[0031 ] ARP: Address Resolut1n Protocol,地址解析协议,是根据IP地址获取物理地址的一个TCP/IP协议。
[0032]单播包:主机之间“一对一”的通讯模式,网络中的交换机和路由器对数据只进行转发不进行复制,如果10个客户机需要相同的数据,则服务器需要逐一传送,重复10次相同的工作。
[0033]TCP transmiss1n Control Protocol,传输控制协议,是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在建立TCP连接时,需要发送一个TCP SYN包,该包是TCP/IP建立连接时使用的握手信号,并接受对方服务器发送的TCPSYN ACK数据包,即应答消息,以表示数据可以进行传递。
[0034]根据本发明实施例,提供了一种数据中心系统的实施例,图3是根据本发明实施例的数据中心系统的示意图,如图3所示,该系统包括:通过二层网络互联的至少两个数据中心子系统。
[0035]每个数据中心子系统包括多个主机31、与多个主机连接的二层交换机32、与二层交换机连接的防火墙组33、与二层交换机连接的二层扩展设备34、分别与防火墙组和二层扩展设备连接的路由设备35,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道36传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道37传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上。
[0036]需要说明的是,数据中心的路由设备之间通过互联网互联。
[0037]通过上述实施例,本申请的数据中心系统包括通过二层网络互联的至少两个数据中心子系统,每个数据中心子系统包括多个主机、与多个主机连接的二层交换机、与二层交换机连接的防火墙组、与二层交换机连接的二层扩展设备、分别与防火墙组和二层扩展设备连接的路由设备,至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,第一虚拟局域网和第二虚拟局域网设置在二层网络上,数据中心子系统之间通过同步通道进行同步通讯,并通过业务通道传输业务信息,以使跨数据中心的数据能够被正确传送,从而解决了相关技术中双活数据中心不能协同工作的技术问题,实现了数据中心之间协同工作的技术效果。
[0038]上述的二层扩展设备可以为具有二层互联功能的路由器。
[0039]在上述实施例中,本申请的数据中心系统可以包括两个数据中心子系统,也可以包括多个数据中心子系统,下面以两个为例进行说明,在双活数据中心(即包括两个数据中心子系统)场景下,虚拟主机可以在两个数据中心之间迀移,采用本申请的上述方式配置双活数据中心,数据中心之间可以通过同步通道进行同步,并通过业务通道传输信息,而不用更改数据中心的配置,即保证了两个数据中心的安全策略配置的一致性,而不用在两套系统上分别进行配置,从而减少了维护的工作量。
[0040]在上述实施例中,为了提高防火墙的可用性,在本申请中,每个数据中心子系统中配置有一套防火墙,每套防火墙组包括一个或多个防火墙,一般部署两个防火墙,以构成一个高可用系统,这两个防火墙之间进行配置和会话同步,实现业务数据的实时同步和备份。
[0041]需要说明的是,两个防火墙的备份模式可以为主备模式,即一个防火墙处理业务数据包,另一个防火墙处于备份状态,也可以为主主模式,即两个防火墙处理业务数据包,不论工作在哪个模式下,当其中一个发生故障后,另一个接手处理所有业务,以实现防火墙的尚可用性。
[0042]另外,每个防火墙的业务接口配置有第一MAC地址、第二 MAC地址以及第三MAC地址,其中,第一MAC地址用于与任一数据中心子系统内的设备通讯时使用,第二MAC地址用于与其他数据中心子系统内的设备通讯时使用,第三MAC地址用于转发非对称路由的数据包时使用,防火墙的业务接口与业务通道连接。
[0043]上述的业务接口也即服务器的网关接口,网关设置在防火墙上。为每一个业务接口配置多个MAC地址,每个MAC地址在不同的场景下使用,即可以解决由于数据包的路由不对称造成的丢数据包的问题。
[0044]如,对于第一MAC地址而言,在同一数据中心中,其他设备看到的业务接口的MAC地址即第一MAC地址。主机向防火墙发送数据包时,目的MAC地址即第一MAC地址,防火墙发送ARP响应包和免费ARP包时也用第一 MAC地址作为源地址,为了满足数据中心主机在两个数据中心迀移而业务不中断的需求,满足全局配置相同的要求,不同数据中心中对应的业务接口的第一MAC地址相同。
[0045]由于两套防火墙的对应的业务接口第一MAC地址相同,其相当于在同一个网络中出现了相同的MAC地址,在通讯时就会引起通讯混乱,为了解决该问题,在二层扩展设备的配置文件中,配置有用于过滤以第一MAC地址为源MAC地址和/或以第一IP地址为源IP地址的数据包的信息。即二层扩展设备需要过滤掉网关IP地址(即使用业务接口的第一MAC地址)发送的ARP包,从而使得网关发送的ARP包不会跨数据中心传输,为了解决跨数据中心的数据传输问题,就为业务接口配置了第二MAC地址,即在防火墙进行跨数据中心的数据传输时使用第二 MAC地址,如给其他数据中心的主机发送IP数据包、ARP请求包等,任意两个数据中心的第二MAC地址是不相同的。另外,还需要代理为业务接口配置转发MAC地址(即第三MAC地址),任意两套防火墙的对应接口的代理转发MAC地址是不同的,代理转发MAC地址用于转发非对称路由的数据包。
[0046]可选地,在配置完业务接口的MAC地址之后,还需要对其IP地址做调整,具体如下:每个防火墙的业务接口配置有第一 IP地址和第二 IP地址,第一 IP地址用于与任一数据中心子系统内的设备通讯时使用,服务器上设置的网关IP地址是这个地址,其配置属性为全局,配置时会同步到对端,也即不同数据中心的业务接口的第一 IP地址相同,第二 IP地址用于与其他数据中心子系统内的设备通讯时使用,在二层扩展设备上设置了针对网关IP地址(即第一IP地址)和网关MAC地址(第一MAC地址)进行过滤的配置,包含网关IP地址和网关MAC地址的ARP包会被过滤,但是一个数据中心的防火墙需要与另一个数据中心的服务器进行通信时,需要让防火墙知道对端数据中心的服务器的ARP信息,因此,防火墙发送ARP请求包时不用业务第一 MAC地址和第一 IP地址,而用第二 IP地址和第二 MAC地址。
[0047]需要说明的是,由于两个数据中心的防火墙通讯时,使用的是二层网络上的通道,即直接通过MAC地址进行通讯,所以防火墙在转发数据包时不需要知道对端防火墙的IP地址,而直接使用MAC地址即可,故而无需为业务接口配置转发用的IP地址。
[0048]在一个可选的实施例中,防火墙每隔预设时长,以第一MAC地址为源地址发送免费ARP 包。
[0049]具体的,由于业务接口发送ARP响应包和免费ARP包时,源MAC地址用业务第一MAC地址,发送ARP请求包和IP包时源MAC地址使用业务第二 MAC地址,如果长时间没有发送ARP响应包和免费ARP包,可能导致数据中心交换机学到的业务MACl (即上述的第一 MAC地址)表项超时,从而会引起未知单播包增多的问题,因此,在每个业务接口启用一个定时器(定时时间应小于交换机的MAC表项的老化时间,如60秒),以使业务接口定时向外发送第一MAC地址的免费ARP包,以便交换机的MAC表项能够得到刷新。
[0050]上述的同步信息包括心跳包,至少两个数据中心子系统的防火墙组通过同步通道交换心跳包,其中,在预设时间段内,若从防火墙组未接收到主防火墙组中所有防火墙发送的心跳包,则将从防火墙组中的之一切换为主防火墙组。
[0051 ]如图3所示,左边数据中心的一套防火墙和右边数据中心的一套防火墙相互发送心跳包,以便实现业务处理和管理的同步,在业务处理上,两套防火墙是平等的,没有主备角色,在管理平面上,设置一个主备角色(为了描述简单,将主角色称为管理主,将备角色称为管理备)。处于管理主的防火墙组可以接收配置管理命令,并将全局配置同步到处于管理备的防火墙组上,从而实现配置的统一管理,管理主和管理备是通过协商出来的,如在防火墙上可配置协商优先级,在协商时,优先级高的为管理主,优先级低的为管理备,如果优先级相同,则可以看运行时间,运行时间长的为管理主,低的为管理备。
[0052]两套防火墙互发心跳包,通过心跳消息,两套防火墙相互监测状态,以确定防火墙的状态为正常运行态还是故障态,由于一套防火墙一般由两个防火墙组成,主防火墙负责处理业务,当其发生故障后,另一个防火墙会接手处理,因此,只有当一套防火墙的所有防火墙都丢失心跳后,才能确定这套防火墙的状态为故障态,从而将从处于管理备的防火墙组切换为管理主的防火墙组,具体由管理主的防火墙组中的主防火墙负责管理主的功能。
[0053]可选地,同步信息还包括全局配置信息,在主防火墙组与从防火墙组交换心跳包后,在从防火墙组与主防火墙组的全局配置不相同的情况下,将主防火墙组的全局配置信息传输至从防火墙组,以使从防火墙组的全局配置与主防火墙组的全局配置相同。
[0054]防火墙组在协商出管理主和管理备之后,就需要对配置信息进行检测,以便于两套防火墙之间的配合运行,配置信息分为全局配置信息和本地配置信息,全局配置信息是两套防火墙可以一致的配置,如,在两套防火墙刚建立握手时,会判断两套防火墙的全局配置是否一致,不一致时,管理主防火墙将配置差异部分同步到管理备防火墙,再如,处于管理主的防火墙可以接收管理员的配置命令,如果这个配置属于全局配置,则将这个配置发送给管理备防火墙,以保证全局配置的一致;本地配置是两套防火墙不一致的配置,例如,同步接口的IP地址就属于本地配置。
[0055]通过上述实施例,能够实现两个数据中心的防火墙的配置同步,大大提高了可管理和可维护性。
[0056]可选地,同步信息还包括会话信息和会话状态,在至少两个数据中心子系统中的任意两个数据中心子系统的防火墙建立会话连接后,通过同步通道传输会话信息和会话状态,其中,任意两个数据中心子系统中建立会话连接的数据中心子系统的防火墙的会话状态为第一状态,另一个数据中心子系统的防火墙的会话状态为第二状态。
[0057]当一个数据中心的一套防火墙由两台防火墙构成高可靠性主备系统时,主防火墙(即主防火墙)负责处理业务,会话是防火墙的一个基本数据结构,业务数据包的一个TCP连接对应防火墙的一个会话,两套防火墙组之间进行会话同步时,非对称路由数据包转发是在两套防火墙的主防火墙之间进行的。会话的状态分为两个,一个是活跃态(即第一状态),另一个是非活跃态(即第二状态),在两套防火墙中,同一个会话同时只在一套防火墙中处于活跃态,而在另一套防火墙就处于非活跃态。
[0058]当一套防火墙建立一个会话后,本地会话状态设置为活跃态,并同时通过同步接口将会话同步到另一套防火墙中,在另一套防火墙中,将此会话状态设置为非活跃态,在会话删除时,同时通知对端服务器删除会话。
[0059]在至少两个数据中心子系统中的任一数据中心子系统的防火墙接收到会话数据包且会话状态为第二状态时,根据会话数据包确定发起会话的防火墙(如根据数据包中的IP地址或者MAC地址确定,或者根据会话信息中记录的防火墙信息确定),并将会话数据包的源MAC地址替换为接收到会话数据包的防火墙的业务接口的第三MAC地址,将会话数据包的目的MAC地址替换为发起会话的防火墙的业务接口的第三MAC地址,并通过二层扩展设备转发会话数据包。
[0060]具体的,防火墙收到一个数据包后,首先会在会话列表中查找到该会话,当该会话处于活跃态时,则正常转发,如果该会话处于非活跃态时,则说明这是一个非对称路由的数据包,这个时候,就需要进一步判断对端数据中心的防火墙的状态,如果对端防火墙处于故障态,则将该会话改为活跃态,并按照会话进一步处理,其相当于对端的数据中心故障,其所有业务由本端数据中心处理,所以可以直接更改会话状态,以进一步处理;如果对端防火墙处于正常运行态,则将该数据包的源MAC地址替换为本地入接口的代理转发MAC地址(SP本地防火墙的业务接口的第三MAC地址),目的MAC地址替换为对端防火墙的对应接口的代理转发MAC地址(即对端防火墙的业务接口的第三MAC地址),修改数据包后,将该数据包发送出去,也即该数据包从哪个接口进来,就把修改后的数据包从哪个接口发送出去,以克服防火墙在不能接收到同一个会话的两个方向流量时,不能对数据包进行正确的处理的问题,这样,在会话的过程中就不会存在防火墙丢包的问题。
[0061]可选地,发起会话的防火墙在接收到会话数据包之后,按照会话数据包中的IP地址信息发送会话数据包。
[0062]由于这个数据包的目的MAC是另一个数据中心防火墙的业务接口的代理转发MAC地址,因此,该数据包将到达另一个数据中心的防火墙,该防火墙就能根据数据包中的信息(如IP地址信息)对数据包进行处理。通过这个代理转发的机制,对端防火墙就可以处理两个方向的数据包了,从而能使得两套防火墙可以协同运行。
[0063]如图4所示,为了简单和直观,图中每个数据中心只示出了一台防火墙331,实线箭头是从VLANl O中IP地址为192.168.10.2的主机3 I (简称主机C)向VLAN20中IP为192.168.20.4的主机(简称主机D)发送TCP SYN包时数据包的转发路径。虚线箭头是主机D回应的TCP SYN ACK数据包的转发路径。左边数据中心的防火墙331在从VLANlO接口收到TCP SYN包后建立会话,同时置为活跃态,之后,将该会话同步到右边的防火墙,右边的防火墙收到会话同步消息后,设置本地会话的状态为非活跃态,TCP SYN包通过两个数据中心的二层扩展设备34进行转发,到达右边数据中心的主机D,当右边数据中心的防火墙在VLAN20接口收到从主机D发送的相应包(S卩TCP SYN ACK数据包)后会查找到这个会话,若该会话为非活跃态,则将该数据包的源MAC地址修改为本端防火墙的VLAN20接口的代理转发MAC地址,目的MAC改为对端防火墙的VLAN20接口的代理转发MAC地址,然后将该数据包从VLAN20接口发送出去,左侧数据中心的二层扩展设备接收到之后将其通过二层交换机32发送至防火墙,这样,左边数据中心的防火墙就会收到从主机D返回的TCP SYN ACK包。从这个过程可以看到左边数据中心的防火墙能够处理双向的流量,从而可以完成正确的安全处理。
[0064]由于灾备的需要,一些金融单位正在规划建设双活数据中心,但当把两个数据中心用二层扩展的形式互联后,出现了非对称路由问题,使基于状态的防火墙设备不能正常工作,应用本发明的方案后,通过二层扩展互联的两个数据中心的防火墙可以继续原来的部署方式,并且能够正常工作,从而解决了非对称路由造成的问题。另外,本申请提供了统一的配置管理,使管理员管理两个数据中心的多台防火墙更加容易和便捷;在会话的过程中,通过查询到会话状态获知该数据包需要进行代理转发;对于需要进行代理转发的数据包,修改该数据包的源目的MAC地址后将数据包从入接口发出,不修改数据包的IP层内容,也不对该数据包增加新的头部或者尾部。
[0065]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0066]在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0067]在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
[0068]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0069]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(R0M,Read-0nly Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0070]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种数据中心系统,其特征在于,包括:通过二层网络互联的至少两个数据中心子系统,每个所述数据中心子系统包括多个主机、与所述多个主机连接的二层交换机、与所述二层交换机连接的防火墙组、与所述二层交换机连接的二层扩展设备、分别与所述防火墙组和所述二层扩展设备连接的路由设备,所述至少两个数据中心子系统的防火墙组通过第一虚拟局域网中的同步通道传输同步信息,所述至少两个数据中心子系统的二层扩展设备通过第二虚拟局域网中的业务通道传输业务信息,其中,所述第一虚拟局域网和所述第二虚拟局域网设置在所述二层网络上。2.根据权利要求1所述的系统,其特征在于,在所述至少两个数据中心子系统的任一数据中心子系统中,所述防火墙组包括一个或多个防火墙,每个所述防火墙的业务接口配置有第一MAC地址、第二MAC地址以及第三MAC地址,其中,所述第一MAC地址用于与所述任一数据中心子系统内的设备通讯时使用,所述第二MAC地址用于与其他数据中心子系统内的设备通讯时使用,所述第三MAC地址用于转发非对称路由的数据包时使用。3.根据权利要求2所述的系统,其特征在于,每个所述防火墙的业务接口配置有第一IP地址和第二IP地址,所述第一IP地址用于与所述任一数据中心子系统内的设备通讯时使用,所述第二 IP地址用于与其他数据中心子系统内的设备通讯时使用。4.根据权利要求3所述的系统,其特征在于,在所述二层扩展设备的配置文件中,配置有用于过滤以所述第一 MAC地址为源MAC地址和/或以所述第一 IP地址为源IP地址的数据包的信息。5.根据权利要求4所述的系统,其特征在于,所述防火墙每隔预设时长,以所述第一MAC地址为源地址发送免费ARP包。6.根据权利要求1所述的系统,其特征在于,所述同步信息包括心跳包,所述至少两个数据中心子系统的防火墙组通过所述同步通道交换心跳包,其中,在预设时间段内,若从防火墙组未接收到主防火墙组中所有防火墙发送的心跳包,则将从防火墙组中的之一切换为主防火墙组。7.根据权利要求6所述的系统,其特征在于,所述同步信息还包括全局配置信息,在主防火墙组与从防火墙组交换心跳包后,在从防火墙组与主防火墙组的全局配置不相同的情况下,将主防火墙组的所述全局配置信息传输至从防火墙组,以使从防火墙组的全局配置与主防火墙组的全局配置相同。8.根据权利要求7所述的系统,其特征在于,所述同步信息还包括会话信息和会话状态,在所述至少两个数据中心子系统中的任意两个数据中心子系统的防火墙建立会话连接后,通过所述同步通道传输所述会话信息和所述会话状态,其中,所述任意两个数据中心子系统中建立会话连接的所述数据中心子系统的防火墙的会话状态为第一状态,另一个所述数据中心子系统的防火墙的会话状态为第二状态。9.根据权利要求8所述的系统,其特征在于,在所述至少两个数据中心子系统中的任一数据中心子系统的防火墙接收到会话数据包且会话状态为第二状态时,根据所述会话数据包确定发起会话的防火墙,并将所述会话数据包的源MAC地址替换为接收到所述会话数据包的防火墙的业务接口的第三MAC地址,将所述会话数据包的目的MAC地址替换为所述发起会话的防火墙的业务接口的第三MAC地址,并通过所述二层扩展设备转发所述会话数据包。10.根据权利要求9所述的系统,其特征在于,所述发起会话的防火墙在接收到所述会 话数据包之后,按照所述会话数据包中的IP地址信息发送所述会话数据包。
【文档编号】H04L29/08GK105827623SQ201610265084
【公开日】2016年8月3日
【申请日】2016年4月26日
【发明人】蒋东毅, 杨启军, 尚进, 束林扬
【申请人】山石网科通信技术有限公司