八块插卡防火墙负载分担和冗余部署

一、防火墙的双机热备

这里首先说一下两台防火墙的负载分担：两台防火墙一般分为主备模式和负载分担模式。主备模式为一台处理全部业务，另一台作为备份，当主设备出现故障，业务切到备用设备。负载分担模式中两台都为主，都处理业务，互为备份。主备模式使用1个VRRP备份组，而负载分担使用多个VRRP备份组。

在不考虑性能时，我们可以采用主备模式也可以采用负载分担模式。如果想提高防火墙的利用率，那我们可以采用负载分担方式。不管是主备模式还是负载分担模式，当一台设备出现故障后，业务都可以很快的切换到另一台设备，因为两台设备会通过HA进行会话同步。

防火墙支持的会话数是有限的，如果业务对于会话数的要求超过了一台防火墙支持的数量，那即使使用两台防火墙进行负载分担,还是满足不了要求。此时我们可以把两台防火墙单独使用，不进行会话同步，如果这样我们必须要保证数据流量来回的一致性。与此同时在一台设备出现故障需要切换到另一台设备时会因为没有会话而出现短暂的丢包。

二、8块插卡防火墙负载分担和冗余部署

下面用一个例子来简要说明8块插卡防火墙是如何进行负载分担和冗余部署的。

1、使用设备

2台S7608X，8块防火墙插卡，每台S7608X插4块防火墙板卡，2台S7608X使用IRF2进行堆叠。

2、业务类型

作为多用户平台的集中LNS，承载着全省的电力系统移动终端拨入业务。

3、负载需求

由于用户对于防火墙利用率要求大于防火墙出现故障短暂丢包的需求，在进行8块插卡防火墙部署时采用8块防火墙独立运行，且两两互备。

拓扑图如下所示：

4、负载方式：NQA+静态+loopback

正常时每块防火墙都有业务，当发生故障时，故障设备的业务流量切换到备份设备上。防火墙两两互备，第一块与第五块互备，第二块与第六块互备，第三块与第七块互备，第四块与第八块互备

每台防火墙设置2个loopback地址，互备的两个loopback地址相同，比如第一个防火墙的loopback地址为10.10.10.10和10.10.10.11，第五个防火墙的loopback地址也为10.10.10.10和10.10.10.11。

在S7608X上通过静态路由指向每台防火墙的2个loopback地址，通过静态路由优先级使每台的两条静态路由同时只有一个生效。比如指向第一个防火墙的10.10.10.10生效，指向第五个防火墙的10.10.10.11生效。通过NQA检测每台防火墙，当第一个防火墙出现故障时，通过track使优先级高的路由失效，让路由指向第五台防火墙，完成备份功能。当然这里还是存在负载可能过大的风险，因此仍需尽快恢复故障的防火墙。

5、多用户方式

使用VPN实例进行多用户的隔离。

6、来回路径不一致问题

每块防火墙都使用不同的地址池，根据地址池的不同，写不同的回程路由指向各防火墙，保证流程来回路径一致。

2017年08月