技術領域

本發明涉及雙機備份領域，尤其涉及一種基于心跳的雙機熱備方法及系統。

背景技術

防火墻是位于網絡邊界防范網絡攻擊的屏障，防火墻系統的可靠性直接關系著整個受保護網絡的可用性，所以必須利用相關技術為它提供數據通道的冗余?，F有技術中通常通過心跳線連接兩個防火墻，通過心跳線同步兩個防火墻間的數據，當一臺防火墻出現故障而不能正常運行時，自動切換到另一臺防火墻，從而保證網絡環境正常有效地運行。但是這種方法需要人為地設置和區分主備防火墻，無法根據路由路徑的狀態自動設置和切換防火墻的主備狀態。

發明內容

本發明鑒于上述情況而作出，其目的是提供一種基于心跳的雙機熱備方法及系統，能夠根據路由路徑的狀態自動設置和切換防火墻的主備狀態。

根據本發明的一個方面，提供一種基于心跳的雙機熱備方法，包括以下步驟：

步驟S1，通過心跳線連接第一防火墻和第二防火墻。

步驟S2，第一防火墻對每個與第一防火墻相關聯的路由路徑設定權重值，第二防火墻對每個與第二防火墻相關聯的路由路徑設定權重值。

步驟S3，第一防火墻計算所有與第一防火墻相關聯的路由路徑的權重值的總和，第二防火墻計算所有與第一防火墻相關聯的路由路徑的權重值的總和。

步驟S4，第一防火墻和第二防火墻通過心跳線將各自的路由路徑權重值總和發給對方。

步驟S5，第一防火墻和第二防火墻分別比較自身的路由路徑權重值總和與接收到的對方的路由路徑權重值總和的大小。

步驟S6，路由路徑權重值總和較大的防火墻將自身的狀態設置為主動模式，對地址解析協議（ARP）廣播報文進行處理并進行數據轉發，路由路徑權重值總和較小的防火墻將自身的狀態設置為被動抑制模式，不處理任何報文。

其中，所述第一防火墻和所述第二防火墻處于同一網絡拓撲環境下，并且所述第一防火墻和所述第二防火墻具有相同的路由路徑配置。

所述第一防火墻和所述第二防火墻每次通過心跳線同步前，重新計算各自的路由路徑權重值總和。

當所述第一防火墻和所述第二防火墻中任意一個出現故障導致心跳信號中斷時，另一個防火墻將自身的狀態變更為緊急模式，根據當前的路由路徑權重值總和進行ARP廣播報文的延時發送，并且所有報文通過該另一個防火墻進行轉發。

當所述心跳線出現故障導致所述第一防火墻和所述第二防火墻均接收不到對方的心跳信號時，所述第一防火墻和所述第二防火墻均將自身的狀態變更為緊急模式，所述第一防火墻和所述第二防火墻根據各自當前的路由路徑權重值總和進行ARP廣播報文的延時發送，其中所述路由路徑權重值總和越高，則延時越長。

根據本發明的另一方面，提供一種基于心跳的雙機熱備系統，包括：第一防火墻、第二防火墻和心跳線，第一防火墻和第二防火墻間通過心跳線進行連接。

第一防火墻對每個與第一防火墻相關聯的路由路徑設定權重值，并計算所有與第一防火墻相關聯的路由路徑的權重值總和。

第二防火墻對每個與第二防火墻相關聯的路由路徑設定權重值，并計算所有與第二防火墻相關聯的路由路徑的權重值總和。

第一防火墻和第二防火墻通過心跳線將各自的路由路徑權重值總和發給對方，并分別比較自身的路由路徑權重值總和與接收到的對方的路由路徑權重值總和的大小。

路由路徑權重值總和較大的防火墻將自身的狀態設置為主動模式，對ARP廣播報文進行處理并進行數據轉發，路由路徑權重值總和較小的防火墻將自身的狀態設置為被動抑制模式，不處理任何報文。

其中，所述第一防火墻和所述第二防火墻處于同一網絡拓撲環境下，并且所述第一防火墻和所述第二防火墻具有相同的路由路徑配置。

所述第一防火墻和所述第二防火墻每次通過心跳線同步前，重新計算各自的路由路徑權重值總和。

當所述第一防火墻和所述第二防火墻中任意一個出現故障導致心跳信號中斷時，另一個防火墻將自身的狀態變更為緊急模式，根據當前的路由路徑權重值總和進行ARP廣播報文的延時發送，并且所有報文通過該另一個防火墻進行轉發。

當所述心跳線出現故障導致所述第一防火墻和所述第二防火墻均接收不到對方的心跳信號時，所述第一防火墻和所述第二防火墻均將自身的狀態變更為緊急模式，所述第一防火墻和所述第二防火墻根據各自當前的路由路徑權重值總和進行ARP廣播報文的延時發送，其中所述路由路徑權重值總和越高，則延時越長。