技術領域

本發明涉及通信技術領域，具體的講是一種防火墻備份方法及系統。

背景技術

隨著用戶對網絡可靠性需求的增加，保證網絡的不間斷傳輸已成為一個必須解決的問題。特別是，作為網絡重要業務的入口或接入點的設備(如連接內網與英特網Internet的防火墻設備、銀行數據服務器等設備)，更需要確保其不間斷運行。但是，無論這些設備的可靠性多高，一旦僅使用一臺設備作為入口或接入點，在該設備故障的狀態下都可能將業務的危險引入網絡。

如圖1所示為，當作為將內網接入Internet的防火墻設備發生故障，內網中的主機A與主機B將無法訪問Internet，同樣來自Internet的其他主機也無法訪問內網。

為解決圖1所示網絡架構中單防火墻可能導致的業務中斷，如圖2所示的已有網絡架構中引入了雙機熱備機制，即在使能了雙機熱備功能的防火墻設備A與防火墻設備B分別建立備份鏈路，這兩臺防火墻設備為三層設備。當一防火墻設備故障后，該故障防火墻設備處理的業務流量切換到另一防火墻設備。

在圖3所示的網絡架構中，如果使能了雙機熱備功能的防火墻設備A與防火墻設備B為二層設備，則可能存在圖3中虛線所示的二層環路，即Internet由大量設備組成，是一個網絡泛稱。通常，防火墻設備部署在內網(企業網)出口位置，直接與Internet相連(即運營商側接入設備相連，通常運營商側接入設備是路由器)。內網同樣是一個網絡，一般通過交換機或路由器連接防火墻設備。在防火墻設備為二層設備時，內網連接防火墻的交換機或路由器與運營商側的路由器直接形成環路。因而，圖3所示網絡中的兩臺防火墻設備需要運行生成樹協議(STP，Spanning Tree Protocol)，以切斷兩個鏈路中的一個鏈路。但是，STP協議的收斂時間比較長，圖3中防火墻設備A與防火墻設備B執行主備倒換后，有可能產生臨時環路。

發明內容

本發明的目的在于提供一種防火墻設備的備份方法和系統，使兩臺作為二層設備的防火墻設備在不支持STP協議的狀態下，亦可以備份。

為實現上述目的，本發明提供了一種實現防火墻設備雙機備份的方法，應用于防火墻備份系統的任一防火墻設備，且該防火墻備份系統由兩臺作為二層設備的防火墻設備通過備份鏈路連接構成，其特征在于，該方法包括：按照預設的通告周期發送本設備的設備狀態以及設備優先級等級至對端防火墻設備；接收對端防火墻設備按照預設的通告周期發送的設備狀態以及設備優先級等級；確定本設備與對端防火墻設備的設備狀態均為初始狀態且本設備的設備優先級等級高于對端防火墻設備的設備優先級等級，則將本設備的設備狀態設置成主設備狀態且將本設備的業務接口設置成UP狀態。

為實現上述目的，本發明還提供了一種實現防火墻設備雙機備份的裝置，應用于防火墻備份系統的任一防火墻設備，該防火墻備份系統由兩臺作為二層設備的防火墻設備通過備份鏈路連接構成，其特征在于，該裝置包括：發送單元，用于按照預設的通告周期，發送本設備的設備狀態以及設備優先級等級至對端防火墻設備；接收單元，用于接收對端防火墻設備按照預設的通告周期發送的設備狀態以及設備優先級等級；控制單元，用于確定本設備與對端防火墻設備的設備狀態均為初始狀態且本設備的設備優先級等級高于對端防火墻設備的設備優先級等級，則將本設備的設備狀態設置成主設備狀態且將本設備的業務接口設置成UP狀態。

本發明有益效果在于，通過新機制，確保了防火墻前后的設備即使不支持STP協議(如路由器等)依然可以部署防火墻透明模式雙機熱備組網。

附圖說明

圖1所示為已有網絡架構中采用防火墻設備的示意圖；

圖2所示為已有網絡架構中采用作為三層設備的兩臺防火墻設備實現雙機熱備的網絡架構示意圖；

圖3所示為已有網絡架構中采用作為二層設備的兩臺防火墻設備實現雙機熱備的網絡架構示意圖；

圖4所示為本發明一實施例提供的實現兩臺防火墻設備實現雙機備份的方法的流程圖；

圖5A和圖5B所示為本發明另一實施例提供的采用作為二層設備的兩臺防火墻設備實現雙機備份的網絡架構示意圖；

圖6所示為本發明實施例提供的能夠作為二層設備實現雙機備份的防火墻設備的結構示意圖。

具體實施方式

為使本發明的目的、技術方案、及優點更加清楚明白，以下參照附圖并舉實施例，對本發明進一步詳細說明。

實施例一