二、部署模式介绍
有双机主备与双机主主模式以及 双机主主模式下的双机聚合,以下针对网络环境来对三个模式进行一个分析
双机主备 优缺点
缺点.:
1:上下联核心交换机链路 万兆*2 会减小到万兆*1,客户不满意
2:可能会出现性能不足
优点: 部署简单方便,没有后顾之忧
双机主主:
优点: 可解决双机主备模式下的缺点,并且配置接口联动,能做到主备模式下的冗余的效果
缺点: 该网路环境中会出现非对称数据转发的情况,导致丢包
双机聚合:
优点:可解决非对称数据转发存在的丢包问题
非对称数据转发:由于请求和回应的数据流在不同的AF,导致来回数据包在AF上的连接跟踪不一致而被AF丢包
举个例子,在拓扑图中可以看到,假设从视频专网交换机在A链路发包,然后总平台核心交换机从B链路回包,这个情况下就是非对称数据转发,会出现丢包,重传,甚至环路,这些情况
解决办法:使用双机聚合
为了避免出现这个情况,双机聚合就是在双机主主的情况下,又增加了一条数据同步线,防火墙在检测到该数据包是从防火墙A流入的,回包的时候如果在防火墙B,防火墙B会把这个数据包从数据同步口传向A,然后回去的线路保持一致,这样就解决了非对称数据转发的问题。
双机聚合的缺点:
1.需开启配置同步,但不能开启双机热备功能-----该环境下满足该条件
2.双机聚合的使用仅支持AF透明部署和虚拟网线部署,不支持三层部署-----满足
3:双机聚合当前仅支持链路聚合场景下使用--------满足
4.需将实际业务口接口联动,防止链路故障导致业务中断 (达到冗余效果)-----满足
5.数据同步口当前仅支持单条链路,存在单点故障风险-------风险点
6.数据同步口的接口带宽要大于等于业务口,否则非对称数据转发方案存在风险-----满足
7.不支持存在父子连接以及ip不一致的情况,例如认证系统功能、SIP、H323等------待定
双机聚合缺点中的第七条,该模式不支持在父子连接的情况下使用
父子连接:一条连接建立通道后,另外起一条源目端口不一样的连接建立会话
这个父子连接就是开始协商时使用固定的一对端口,协商完传数据使用别的随机端口。
举个例子:FTP的 PORT 主动连接:
客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器:“我打开了XXXX端口,你过来连接我”。于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条数据链路来传送数据。
为什么双机聚合不支持父子连接的场景:
类似视频会议和FTP这种流量,父连接+子连接,这种流量AF设备有优化机制,设备会放通子连接,单机跑是正常的。双机聚合的时候我们会同步会话和来回路径不一致的数据包。比如父子连接开始是在A主机跑流量,这时切换到了B主机,A的父会话会同步到B,B会把流量通过数据同步口发到A主机以匹配会话从A走。但是只会转发父连接的会话,子连接的会话不转发,导致子连接被丢弃。
判断业务中是否有父子连接的办法:防火墙双机聚合上架后,排除其他所有故障,业务还是会出现异常。
三、项目结论
以上,就是该项目的三钟部署模式的分析,其实到这里已经清晰了,也就是为了满足客户的链路需求(万兆*2),给客户提供的双机聚合的方案,但该方案取决于客户的业务,所以跟客户商量后,先暂时把防火墙下架,待业务上线之后,防火墙再上线,如果出现父子连接的情况,再换成主备模式。
发表于 2024-3-20 12:10
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员1级 
