CTI論壇(ctiforum)5月21日消息(記者 郭佳):防火墻集群,簡(jiǎn)單說(shuō)就是將多臺防火墻捆綁使用,可以按照需要新增或減少防火墻以調整防火墻集群整體性能。
在網(wǎng)絡(luò )建設初期,防火墻設備選型是個(gè)非常頭痛的問(wèn)題。我們必須明確現有網(wǎng)絡(luò )中的業(yè)務(wù)流量模型以及未來(lái)可能出現的數據流增長(cháng),這樣才能夠準確定位需要購買(mǎi)防火墻的性能指標。
對于當前業(yè)務(wù)流量,我們可以通過(guò)網(wǎng)管及流量分析軟件來(lái)獲取相關(guān)信息,但是對于未來(lái)業(yè)務(wù)增長(cháng)帶來(lái)的流量變化,往往很難預測。誰(shuí)都不愿意買(mǎi)臺防火墻,結果發(fā)現半年由于業(yè)務(wù)增長(cháng)而無(wú)法使用了。那么如何解決呢?傳統的解決辦法通常是預估性能時(shí)就高不就低,提前購買(mǎi)較為高端的設備。這樣必然會(huì )導致長(cháng)時(shí)間設備資源的浪費,增大了初期投資。“思科下一代防火墻集群”技術(shù)正好能夠非常好的解決這個(gè)問(wèn)題。用戶(hù)無(wú)需購買(mǎi)昂貴的高端設備,只需照顧到現有業(yè)務(wù)及短期增長(cháng)來(lái)選擇購買(mǎi),初期投入非常低。如果業(yè)務(wù)流量后期沒(méi)有太大的變化,那么完全沒(méi)有浪費。如果業(yè)務(wù)增長(cháng)了,并達到設備性能瓶頸。那么只需再購買(mǎi)設備加入集群,提高集群的處理能力即可。實(shí)現了非常好的投資保護。
防火墻集群在業(yè)界很早就有這種說(shuō)法,那為什么叫思科“下一代”防火墻集群?
我們來(lái)看一下傳統防火墻的集群,通常有以下幾種方式。
1. 通過(guò)負載均衡器來(lái)對多臺防火墻進(jìn)行負載均擔。
在前些年,這種集群方式還比較普遍。通常是由負載均衡器對多臺防火墻進(jìn)行負載均衡,通過(guò)這種方式來(lái)解決單臺防火墻瓶頸。這種方式的好處是,能夠通過(guò)多臺防火墻同時(shí)工作來(lái)提高性能。缺點(diǎn)是加入了負載均衡器,導致額外的設備管理及故障點(diǎn),同時(shí)增加了投資。另外多臺防火墻沒(méi)有統一管理界面,需要獨立管理,獨立監控統計,獨立的排障。
近些年,隨著(zhù)防火墻性能的提升,防火墻的性能已經(jīng)達到甚至超過(guò)了負載均衡器。如果仍然采用這個(gè)方案,可能負載均衡器就成為了性能瓶頸,根本無(wú)法起到性能擴展的作用。
2. 無(wú)需負載均衡器防火墻直接集群。
之前有些廠(chǎng)家提供了無(wú)需負載均衡器,僅僅通過(guò)防火墻來(lái)組成的集群方案。但這些方案里,往往在流量負載均衡上存在著(zhù)缺陷。通常是集群里選擇一臺防火墻作為負載均衡器使用(這點(diǎn)借用了防火墻負載均衡的思路)或者是通過(guò)組播方式將流量復制到集群內所有防火墻上,然后由各自防火墻進(jìn)行選擇性處理。這類(lèi)集群方式,雖然有一定的性能擴展能力,但是不可避免的存在負載均衡性能瓶頸點(diǎn)或者擴展能力很低的問(wèn)題。
為了解決傳統防火墻集群方式出現的問(wèn)題,思科推出了下一代防火墻集群。思科的下一代防火墻集群有以下特點(diǎn):
更經(jīng)濟的線(xiàn)性彈性性能擴展
思科的下一代防火墻集群通過(guò)“無(wú)狀態(tài)負載均衡”的方式來(lái)實(shí)現集群內防火墻的流量負載均擔。
什么是無(wú)狀態(tài)負載均衡?傳統的負載均衡器是要記錄會(huì )話(huà)表的,所以是狀態(tài)負載均衡。而路由器及路由交換機的等價(jià)路由或者策略路由、鏈路捆綁都可以實(shí)現多鏈路的流量負載均衡,我們稱(chēng)這種鏈路負載均衡的方式為無(wú)狀態(tài)的。很明顯,這種流量分擔的方式的優(yōu)點(diǎn)是轉發(fā)速度快,在單鏈路出現故障時(shí)流量切換快。
如下圖,防火墻集群部署在兩臺路由設備中間。流量通過(guò)等價(jià)路由,策略路由或者鏈路捆綁方式分擔到防火墻。當需要性能擴展時(shí),并聯(lián)新的防火墻在網(wǎng)絡(luò )中即可。性能擴展非常方便。
在此方案中數據流的均衡,依靠對端交換機或路由器的鏈路捆綁算法或者等價(jià)路由、策略路由算法來(lái)完成。當出現鏈路故障出現流量異步時(shí),思科下一代集群利用自有的防火墻尋回算法,自動(dòng)將流量送回有對應會(huì )話(huà)的火墻進(jìn)行處理。同時(shí),如果對端路由設備鏈路負載均擔算法不夠均勻(當然通常可以通過(guò)調整無(wú)狀態(tài)負載均擔的算法避免這個(gè)問(wèn)題的出現)。群內防火墻也可以按照設定,自動(dòng)負載均衡到其他防火墻,解決了負載均衡不均的問(wèn)題,使方案近乎完美。
整個(gè)方案使用無(wú)狀態(tài)負載均衡的方式,分擔流量到集群內每臺防火墻,沒(méi)有負載均衡性能瓶頸。集群處理性能隨著(zhù)加入防火墻的數量實(shí)現了線(xiàn)性增長(cháng)。
更靈活的防火墻多活冗余
為了避免在防火墻出現故障時(shí)造成的業(yè)務(wù)影響,通常我們都會(huì )選擇冗余部署。傳統的防火墻冗余方式使用兩臺防火墻主備冗余或者雙活方式。思科的“下一代防火墻集群”可以很容易將原來(lái)的兩臺防火墻的雙活模式擴展為三活、四活到最大8臺設備同時(shí)工作在主用狀態(tài)。
我們以8臺舉例,群內每臺防火墻都是主用狀態(tài),防火墻之間使用8備8方式。任何1臺防火墻的會(huì )話(huà),均勻的備份到其他防火墻上。如果這臺防火墻出現故障,7臺防火墻同時(shí)幫忙處理這臺防火墻的業(yè)務(wù)流量,能夠實(shí)現無(wú)縫切換,不會(huì )有業(yè)務(wù)影響。
在添加火墻到集群或者從集群剔除過(guò)程中,同樣業(yè)務(wù)沒(méi)有影響。并且可以實(shí)現無(wú)縫防火墻軟件升級。
借鑒思科成熟的VPC技術(shù),“思科下一代防火墻集群”技術(shù)實(shí)現了集群內多個(gè)防火墻的多鏈路捆綁,我們稱(chēng)之為“跨機箱鏈路捆綁”技術(shù)(scEC: span-clustering EC)。它能夠把集群內多個(gè)防火墻的鏈路捆綁在一個(gè)Ethernet Channel,通過(guò)這種方式防火墻集群可以與對端路由交換機的VPC或者VSS對接,實(shí)現數據流全路的“設備及鏈路多虛一”,從而避免了生成樹(shù)影響。
下圖是下一代防火墻集群與思科數據中心交換機Nexus的VPC互聯(lián)的方案:
更完備的單點(diǎn)管理方式
當多臺防火墻部署集群時(shí),為了方便管理,通常維護人員都希望能夠通過(guò)一個(gè)管理界面統一管理群內所有防火墻。“思科下一代防火墻集群”非常好的實(shí)現了統一管理。這其中包括了單點(diǎn)配置、單點(diǎn)查看各種統計信息、日志。另外,能夠實(shí)現基于群的故障查詢(xún),例如,群內抓取數據包,查看群內數據包處理流程,會(huì )話(huà)查詢(xún)等等。完全像管理一個(gè)防火墻一樣方便。
“思科下一代防火墻集群”能夠對防火墻的吞吐、新建會(huì )話(huà)、并發(fā)連接、NAT連接進(jìn)行性能擴展。能夠提供更高的多活冗余方式,實(shí)現單臺設備故障的無(wú)縫切換。同時(shí)能夠提供非常完美的統一管理。
集群適用于大部分防火墻部署場(chǎng)景,包括當前的熱點(diǎn)“雙活數據中心”的安全部署,能夠通過(guò)集群對多個(gè)數據中心統一提供安全保護。
利用“思科下一代防火墻集群技術(shù)”,我們在初期采購時(shí),可以按照現有業(yè)務(wù)需求,采購兩臺防火墻,將兩臺組成集群。在享受到集群給部署帶來(lái)的統一管理,快速無(wú)縫切換的好處的同時(shí)。還能夠在后期業(yè)務(wù)增長(cháng),現有防火墻性能不夠時(shí),通過(guò)購買(mǎi)新的防火墻動(dòng)態(tài)加入集群,提高防火墻集群的擴展能力。降低了TCO的同時(shí)也極大提高了ROI,是非常好的防火墻部署方式的選擇。
