防火墻集群,簡單說就是將多臺防火墻捆綁使用����,可以按照需要新增或減少防火墻以調(diào)整防火墻集群整體性能。
在網(wǎng)絡(luò)建設(shè)初期�,防火墻設(shè)備選型是個非常頭痛的問題。我們必須明確現(xiàn)有網(wǎng)絡(luò)中的業(yè)務(wù)流量模型以及未來可能出現(xiàn)的數(shù)據(jù)流增長����,這樣才能夠準確定位需要購買防火墻的性能指標。
對于當(dāng)前業(yè)務(wù)流量�,我們可以通過網(wǎng)管及流量分析軟件來獲取相關(guān)信息,但是對于未來業(yè)務(wù)增長帶來的流量變化��,往往很難預(yù)測���。誰都不愿意買臺防火墻�,結(jié)果發(fā)現(xiàn)半年由于業(yè)務(wù)增長而無法使用了。那么如何解決呢?傳統(tǒng)的解決辦法通常是預(yù)估性能時就高不就低���,提前購買較為高端的設(shè)備�����。這樣必然會導(dǎo)致長時間設(shè)備資源的浪費����,增大了初期投資�。“思科下一代防火墻集群”技術(shù)正好能夠非常好的解決這個問題。用戶無需購買昂貴的高端設(shè)備��,只需照顧到現(xiàn)有業(yè)務(wù)及短期增長來選擇購買���,初期投入非常低����。如果業(yè)務(wù)流量后期沒有太大的變化�,那么完全沒有浪費。如果業(yè)務(wù)增長了��,并達到設(shè)備性能瓶頸���。那么只需再購買設(shè)備加入集群���,提高集群的處理能力即可。實現(xiàn)了非常好的投資保護�。
防火墻集群在業(yè)界很早就有這種說法,那為什么叫思科“下一代”防火墻集群?
我們來看一下傳統(tǒng)防火墻的集群�,通常有以下幾種方式。
1. 通過負載均衡器來對多臺防火墻進行負載均擔(dān)����。
在前些年,這種集群方式還比較普遍�。通常是由負載均衡器對多臺防火墻進行負載均衡,通過這種方式來解決單臺防火墻瓶頸��。這種方式的好處是�����,能夠通過多臺防火墻同時工作來提高性能�。缺點是加入了負載均衡器,導(dǎo)致額外的設(shè)備管理及故障點��,同時增加了投資�。另外多臺防火墻沒有統(tǒng)一管理界面�,需要獨立管理��,獨立監(jiān)控統(tǒng)計��,獨立的排障���。
近些年��,隨著防火墻性能的提升��,防火墻的性能已經(jīng)達到甚至超過了負載均衡器����。如果仍然采用這個方案���,可能負載均衡器就成為了性能瓶頸����,根本無法起到性能擴展的作用��。
2. 無需負載均衡器防火墻直接集群�。
之前有些廠家提供了無需負載均衡器,僅僅通過防火墻來組成的集群方案����。但這些方案里��,往往在流量負載均衡上存在著缺陷��。通常是集群里選擇一臺防火墻作為負載均衡器使用(這點借用了防火墻負載均衡的思路)或者是通過組播方式將流量復(fù)制到集群內(nèi)所有防火墻上,然后由各自防火墻進行選擇性處理�����。這類集群方式���,雖然有一定的性能擴展能力�,但是不可避免的存在負載均衡性能瓶頸點或者擴展能力很低的問題����。
為了解決傳統(tǒng)防火墻集群方式出現(xiàn)的問題,思科推出了下一代防火墻集群��。思科的下一代防火墻集群有以下特點:
更經(jīng)濟的線性彈性性能擴展
思科的下一代防火墻集群通過“無狀態(tài)負載均衡”的方式來實現(xiàn)集群內(nèi)防火墻的流量負載均擔(dān)�。
什么是無狀態(tài)負載均衡?傳統(tǒng)的負載均衡器是要記錄會話表的,所以是狀態(tài)負載均衡����。而路由器及路由交換機的等價路由或者策略路由�、鏈路捆綁都可以實現(xiàn)多鏈路的流量負載均衡�,我們稱這種鏈路負載均衡的方式為無狀態(tài)的。很明顯���,這種流量分擔(dān)的方式的優(yōu)點是轉(zhuǎn)發(fā)速度快���,在單鏈路出現(xiàn)故障時流量切換快。
如下圖���,防火墻集群部署在兩臺路由設(shè)備中間��。流量通過等價路由����,策略路由或者鏈路捆綁方式分擔(dān)到防火墻����。當(dāng)需要性能擴展時,并聯(lián)新的防火墻在網(wǎng)絡(luò)中即可����。性能擴展非常方便。
在此方案中數(shù)據(jù)流的均衡,依靠對端交換機或路由器的鏈路捆綁算法或者等價路由��、策略路由算法來完成���。當(dāng)出現(xiàn)鏈路故障出現(xiàn)流量異步時�,思科下一代集群利用自有的防火墻尋回算法���,自動將流量送回有對應(yīng)會話的火墻進行處理��。同時,如果對端路由設(shè)備鏈路負載均擔(dān)算法不夠均勻(當(dāng)然通��?梢酝ㄟ^調(diào)整無狀態(tài)負載均擔(dān)的算法避免這個問題的出現(xiàn))�����。群內(nèi)防火墻也可以按照設(shè)定��,自動負載均衡到其他防火墻�����,解決了負載均衡不均的問題�,使方案近乎完美。
整個方案使用無狀態(tài)負載均衡的方式����,分擔(dān)流量到集群內(nèi)每臺防火墻���,沒有負載均衡性能瓶頸。集群處理性能隨著加入防火墻的數(shù)量實現(xiàn)了線性增長���。
更靈活的防火墻多活冗余
為了避免在防火墻出現(xiàn)故障時造成的業(yè)務(wù)影響��,通常我們都會選擇冗余部署�。傳統(tǒng)的防火墻冗余方式使用兩臺防火墻主備冗余或者雙活方式���。思科的“下一代防火墻集群”可以很容易將原來的兩臺防火墻的雙活模式擴展為三活���、四活到最大8臺設(shè)備同時工作在主用狀態(tài)。
我們以8臺舉例�,群內(nèi)每臺防火墻都是主用狀態(tài),防火墻之間使用8備8方式��。任何1臺防火墻的會話�����,均勻的備份到其他防火墻上。如果這臺防火墻出現(xiàn)故障�����,7臺防火墻同時幫忙處理這臺防火墻的業(yè)務(wù)流量�,能夠?qū)崿F(xiàn)無縫切換,不會有業(yè)務(wù)影響����。
在添加火墻到集群或者從集群剔除過程中,同樣業(yè)務(wù)沒有影響���。并且可以實現(xiàn)無縫防火墻軟件升級�。
借鑒思科成熟的VPC技術(shù)����,“思科下一代防火墻集群”技術(shù)實現(xiàn)了集群內(nèi)多個防火墻的多鏈路捆綁�����,我們稱之為“跨機箱鏈路捆綁”技術(shù)(scEC: span-clustering EC)��。它能夠把集群內(nèi)多個防火墻的鏈路捆綁在一個Ethernet Channel���,通過這種方式防火墻集群可以與對端路由交換機的VPC或者VSS對接����,實現(xiàn)數(shù)據(jù)流全路的“設(shè)備及鏈路多虛一”,從而避免了生成樹影響�。
下圖是下一代防火墻集群與思科數(shù)據(jù)中心交換機Nexus的VPC互聯(lián)的方案:
更完備的單點管理方式
當(dāng)多臺防火墻部署集群時,為了方便管理�,通常維護人員都希望能夠通過一個管理界面統(tǒng)一管理群內(nèi)所有防火墻。“思科下一代防火墻集群”非常好的實現(xiàn)了統(tǒng)一管理���。這其中包括了單點配置���、單點查看各種統(tǒng)計信息、日志����。另外,能夠?qū)崿F(xiàn)基于群的故障查詢�,例如,群內(nèi)抓取數(shù)據(jù)包�,查看群內(nèi)數(shù)據(jù)包處理流程,會話查詢等等���。完全像管理一個防火墻一樣方便��。
“思科下一代防火墻集群”能夠?qū)Ψ阑饓Φ耐掏���、新建會話�����、并發(fā)連接����、NAT連接進行性能擴展���。能夠提供更高的多活冗余方式����,實現(xiàn)單臺設(shè)備故障的無縫切換��。同時能夠提供非常完美的統(tǒng)一管理��。
集群適用于大部分防火墻部署場景�,包括當(dāng)前的熱點“雙活數(shù)據(jù)中心”的安全部署��,能夠通過集群對多個數(shù)據(jù)中心統(tǒng)一提供安全保護�����。
利用“思科下一代防火墻集群技術(shù)”,我們在初期采購時�,可以按照現(xiàn)有業(yè)務(wù)需求,采購兩臺防火墻�����,將兩臺組成集群����。在享受到集群給部署帶來的統(tǒng)一管理,快速無縫切換的好處的同時���。還能夠在后期業(yè)務(wù)增長���,現(xiàn)有防火墻性能不夠時,通過購買新的防火墻動態(tài)加入集群���,提高防火墻集群的擴展能力��。降低了TCO的同時也極大提高了ROI���,是非常好的防火墻部署方式的選擇����。
