IT領導廠商思科下一代防火牆集群技術

2024-11-18 12:56:10 1

    泡泡網企業頻道頻道5月21日 防火牆集群，簡單說就是將多臺防火牆捆綁使用，可以按照需要新增或減少防火牆以調整防火牆集群整體性能。

    在網絡建設初期，防火牆設備選型是個非常頭痛的問題。我們必須明確現有網絡中的業務流量模型以及未來可能出現的數據流增長，這樣才能夠準確定位需要購買防火牆的性能指標。

    對於當前業務流量，我們可以通過網管及流量分析軟體來獲取相關信息，但是對於未來業務增長帶來的流量變化，往往很難預測。誰都不願意買臺防火牆，結果發現半年由於業務增長而無法使用了。那麼如何解決呢？傳統的解決辦法通常是預估性能時就高不就低，提前購買較為高端的設備。這樣必然會導致長時間設備資源的浪費，增大了初期投資。「思科下一代防火牆集群」技術正好能夠非常好的解決這個問題。用戶無需購買昂貴的高端設備，只需照顧到現有業務及短期增長來選擇購買，初期投入非常低。如果業務流量後期沒有太大的變化，那麼完全沒有浪費。如果業務增長了，並達到設備性能瓶頸。那麼只需再購買設備加入集群，提高集群的處理能力即可。實現了非常好的投資保護。

    防火牆集群在業界很早就有這種說法，那為什麼叫思科「下一代」防火牆集群?

    我們來看一下傳統防火牆的集群，通常有以下幾種方式。

    1.通過負載均衡器來對多臺防火牆進行負載均擔。

    在前些年，這種集群方式還比較普遍。通常是由負載均衡器對多臺防火牆進行負載均衡，通過這種方式來解決單臺防火牆瓶頸。這種方式的好處是，能夠通過多臺防火牆同時工作來提高性能。缺點是加入了負載均衡器，導致額外的設備管理及故障點，同時增加了投資。另外多臺防火牆沒有統一管理界面，需要獨立管理，獨立監控統計，獨立的排障。

    近些年，隨著防火牆性能的提升，防火牆的性能已經達到甚至超過了負載均衡器。如果仍然採用這個方案，可能負載均衡器就成為了性能瓶頸，根本無法起到性能擴展的作用。

    2.無需負載均衡器防火牆直接集群。

    之前有些廠家提供了無需負載均衡器，僅僅通過防火牆來組成的集群方案。但這些方案裡，往往在流量負載均衡上存在著缺陷。通常是集群裡選擇一臺防火牆作為負載均衡器使用（這點借用了防火牆負載均衡的思路）或者是通過組播方式將流量複製到集群內所有防火牆上，然後由各自防火牆進行選擇性處理。這類集群方式，雖然有一定的性能擴展能力，但是不可避免的存在負載均衡性能瓶頸點或者擴展能力很低的問題。

    為了解決傳統防火牆集群方式出現的問題，思科推出了下一代防火牆集群。思科的下一代防火牆集群有以下特點：

    更經濟的線性彈性性能擴展

    思科的下一代防火牆集群通過「無狀態負載均衡」的方式來實現集群內防火牆的流量負載均擔。

    什麼是無狀態負載均衡？傳統的負載均衡器是要記錄會話表的，所以是狀態負載均衡。而路由器及路由交換機的等價路由或者策略路由、鏈路捆綁都可以實現多鏈路的流量負載均衡，我們稱這種鏈路負載均衡的方式為無狀態的。很明顯，這種流量分擔的方式的優點是轉發速度快，在單鏈路出現故障時流量切換快。

    如下圖，防火牆集群部署在兩臺路由設備中間。流量通過等價路由，策略路由或者鏈路捆綁方式分擔到防火牆。當需要性能擴展時，並聯新的防火牆在網絡中即可。性能擴展非常方便。

    在此方案中數據流的均衡，依靠對端交換機或路由器的鏈路捆綁算法或者等價路由、策略路由算法來完成。當出現鏈路故障出現流量異步時，思科下一代集群利用自有的防火牆尋回算法，自動將流量送回有對應會話的火牆進行處理。同時，如果對端路由設備鏈路負載均擔算法不夠均勻（當然通常可以通過調整無狀態負載均擔的算法避免這個問題的出現）。群內防火牆也可以按照設定，自動負載均衡到其他防火牆，解決了負載均衡不均的問題，使方案近乎完美。

    整個方案使用無狀態負載均衡的方式，分擔流量到集群內每臺防火牆，沒有負載均衡性能瓶頸。集群處理性能隨著加入防火牆的數量實現了線性增長。

    更靈活的防火牆多活冗餘

    為了避免在防火牆出現故障時造成的業務影響，通常我們都會選擇冗餘部署。傳統的防火牆冗餘方式使用兩臺防火牆主備冗餘或者雙活方式。思科的「下一代防火牆集群」可以很容易將原來的兩臺防火牆的雙活模式擴展為三活、四活到最大8臺設備同時工作在主用狀態。

    我們以8臺舉例，群內每臺防火牆都是主用狀態，防火牆之間使用8備8方式。任何1臺防火牆的會話，均勻的備份到其他防火牆上。如果這臺防火牆出現故障，7臺防火牆同時幫忙處理這臺防火牆的業務流量，能夠實現無縫切換，不會有業務影響。

    在添加火牆到集群或者從集群剔除過程中，同樣業務沒有影響。並且可以實現無縫防火牆軟體升級。

    借鑑思科成熟的VPC技術，「思科下一代防火牆集群」技術實現了集群內多個防火牆的多鏈路捆綁，我們稱之為「跨機箱鏈路捆綁」技術(scEC: span-clustering EC)。它能夠把集群內多個防火牆的鏈路捆綁在一個Ethernet Channel，通過這種方式防火牆集群可以與對端路由交換機的VPC或者VSS對接，實現數據流全路的「設備及鏈路多虛一」，從而避免了生成樹影響。

    下圖是下一代防火牆集群與思科數據中心交換機Nexus的VPC互聯的方案:

    更完備的單點管理方式

    當多臺防火牆部署集群時，為了方便管理，通常維護人員都希望能夠通過一個管理界面統一管理群內所有防火牆。「思科下一代防火牆集群」非常好的實現了統一管理。這其中包括了單點配置、單點查看各種統計信息、日誌。另外，能夠實現基於群的故障查詢，例如，群內抓取數據包，查看群內數據包處理流程，會話查詢等等。完全像管理一個防火牆一樣方便。

    「思科下一代防火牆集群」能夠對防火牆的吞吐、新建會話、並發連接、NAT連接進行性能擴展。能夠提供更高的多活冗餘方式，實現單臺設備故障的無縫切換。同時能夠提供非常完美的統一管理。

    集群適用於大部分防火牆部署場景，包括當前的熱點「雙活數據中心」的安全部署，能夠通過集群對多個數據中心統一提供安全保護。

    利用「思科下一代防火牆集群技術」，我們在初期採購時，可以按照現有業務需求，採購兩臺防火牆，將兩臺組成集群。在享受到集群給部署帶來的統一管理，快速無縫切換的好處的同時。還能夠在後期業務增長，現有防火牆性能不夠時，通過購買新的防火牆動態加入集群，提高防火牆集群的擴展能力。降低了TCO的同時也較高提升了ROI，是非常好的防火牆部署方式的選擇。■