文档介绍:Hillstone防火墙高可靠组网技术解决方案白皮书
范围: 市场类技术文档,面向售前工程师发布,作为售前工程师向客户传递产品功能原理及使用场景的素材文档,并可向
有需要的客户直接提供。
关键词:防火墙,单点故障,状态检测,AP模式,AA模式,Hillstone集群管理协议(HCMP),冗余,负载均衡,对等模式,
非对称流量,企业互联网出口,企业数据中心网络出口,运营商运营网络出口,运营商IDC网络出口,状态机。
摘要: 本文介绍了防火墙高可靠组网的需求背景、Hillstone防火墙高可靠组网的工作模式、典型应用场景,以及Hillstone
集群管理协议的基本原理。
缩略语: 缩略语英文全称中文
HA High Availability 高可靠性
AP Active-Passive 主备
AA Active-Active 双主
HCMP Hillstone Cluster Management Protocol Hillstone集群管理协议
work Address Translation 网络地址转换
OSPF Open Shortest Path First 开放式最短路径优先
CE Customer Edge (Router) 客户边缘路由器
PE Provider Edge (Router) 运营商边缘路由器
VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议
RDO Runtime Dynamic Object 运行时动态对象
IPSec Protocol Security 互联网协议安全
SSL Secure Sockets Layer 安全套接层
L2TP Layer 2 Tunneling Protocol 第二层隧道协议
VPN Virtual work 虚拟专用网络
DNS Domain Name System 域名系统
ARP Address Resolution Protocol 地址解析协议
PKI Public Key Infrastructure 公钥基础设施
DHCP Dynamic Host Configuration Protocol 动态主机配置协议
MAC Media Access Control 媒体接入控制
防火墙高可靠组网需求背景
单台设备部署时,无论其可靠性多高,系统都必然要承受因单点故障而导致网络业务中断的风险。而且若将防
火墙部署在互联网出口,一般主要使用网络地址转换(NAT)功能,因此无法使用Bypass来解决单点故障问题。
图1单机部署存在单点故障风险
销售/服务热线:400-828-6655
单点故障问题可通过双活架构组网来规避,但防火墙(不同于路由器)是状态检测设备,如果仍是单机模式,
在出现单台设备故障时,靠路由冗余切换过来的TCP流将无法通过状态检测而中断。即使防火墙关闭状态检测,对
于需要网络地址转换的流,由于没有NAT会话同步,也会导致中断。而且流的后续报文可能会因为缺少应用特征关
键字,而导致流量应用类型识别不准。