在此方案中數(shù)據(jù)流的均衡�����,依靠對端交換機或路由器的鏈路捆綁算法或者等價路由、策略路由算法來完成��。當出現(xiàn)鏈路故障出現(xiàn)流量異步時�����,思科下一代集群利用自有的防火墻尋回算法�,自動將流量送回有對應會話的火墻進行處理。同時���,如果對端路由設備鏈路負載均擔算法不夠均勻(當然通??梢酝ㄟ^調整無狀態(tài)負載均擔的算法避免這個問題的出現(xiàn))。群內(nèi)防火墻也可以按照設定���,自動負載均衡到其他防火墻���,解決了負載均衡不均的問題,使方案近乎完美���。
整個方案使用無狀態(tài)負載均衡的方式�����,分擔流量到集群內(nèi)每臺防火墻�����,沒有負載均衡性能瓶頸�。集群處理性能隨著加入防火墻的數(shù)量實現(xiàn)了線性增長����。
更靈活的防火墻多活冗余
為了避免在防火墻出現(xiàn)故障時造成的業(yè)務影響,通常我們都會選擇冗余部署�。傳統(tǒng)的防火墻冗余方式使用兩臺防火墻主備冗余或者雙活方式。思科的“下一代防火墻集群”可以很容易將原來的兩臺防火墻的雙活模式擴展為三活���、四活到最大8臺設備同時工作在主用狀態(tài)�����。
我們以8臺舉例�����,群內(nèi)每臺防火墻都是主用狀態(tài)�����,防火墻之間使用8備8方式���。任何1臺防火墻的會話,均勻的備份到其他防火墻上����。如果這臺防火墻出現(xiàn)故障,7臺防火墻同時幫忙處理這臺防火墻的業(yè)務流量�,能夠實現(xiàn)無縫切換,不會有業(yè)務影響�。
在添加火墻到集群或者從集群剔除過程中,同樣業(yè)務沒有影響�����。并且可以實現(xiàn)無縫防火墻軟件升級。
借鑒思科成熟的VPC技術���,“思科下一代防火墻集群”技術實現(xiàn)了集群內(nèi)多個防火墻的多鏈路捆綁���,我們稱之為“跨機箱鏈路捆綁”技術(scEC: span-clustering EC)。它能夠把集群內(nèi)多個防火墻的鏈路捆綁在一個Ethernet Channel���,通過這種方式防火墻集群可以與對端路由交換機的VPC或者VSS對接�,實現(xiàn)數(shù)據(jù)流全路的“設備及鏈路多虛一”���,從而避免了生成樹影響���。
下圖是下一代防火墻集群與思科數(shù)據(jù)中心交換機Nexus的VPC互聯(lián)的方案:
更完備的單點管理方式
當多臺防火墻部署集群時,為了方便管理�����,通常維護人員都希望能夠通過一個管理界面統(tǒng)一管理群內(nèi)所有防火墻�����。“思科下一代防火墻集群”非常好的實現(xiàn)了統(tǒng)一管理。這其中包括了單點配置����、單點查看各種統(tǒng)計信息、日志�。另外�,能夠實現(xiàn)基于群的故障查詢,例如����,群內(nèi)抓取數(shù)據(jù)包,查看群內(nèi)數(shù)據(jù)包處理流程�,會話查詢等等。完全像管理一個防火墻一樣方便����。
“思科下一代防火墻集群”能夠對防火墻的吞吐、新建會話����、并發(fā)連接、NAT連接進行性能擴展�����。能夠提供更高的多活冗余方式,實現(xiàn)單臺設備故障的無縫切換����。同時能夠提供非常完美的統(tǒng)一管理。
集群適用于大部分防火墻部署場景����,包括當前的熱點“雙活數(shù)據(jù)中心”的安全部署,能夠通過集群對多個數(shù)據(jù)中心統(tǒng)一提供安全保護���。
利用“思科下一代防火墻集群技術”����,我們在初期采購時����,可以按照現(xiàn)有業(yè)務需求,采購兩臺防火墻��,將兩臺組成集群��。在享受到集群給部署帶來的統(tǒng)一管理���,快速無縫切換的好處的同時���。還能夠在后期業(yè)務增長�����,現(xiàn)有防火墻性能不夠時����,通過購買新的防火墻動態(tài)加入集群�,提高防火墻集群的擴展能力��。降低了TCO的同時也極大提高了ROI���,是非常好的防火墻部署方式的選擇����。
