AFC系统网络双机热备、均衡负载实现方案.docVIP

AFC系统网络双机热备、均衡负载实现方案 李 刚 黄河机电有限公司设备动力处 西安710043 摘要：在国际标准的PDRR网络安全模型基础上，详细介绍了轨道交通AFC系统网络安全的特殊性；同时以某地铁网络系统的实际投标设计方案为例，明确详述了网络双机热备在轨道交通AFC系统中的应用，以及均衡负载实现的可行性方案。 关键词：轨道交通；AFC系统；网络冗余 Abstract: Based on the PDRR Network Security Model, detailed introduces the particularity of network security of the AFC system for the rail transit. At the same time in a subway network system design scheme of the actual bid for example, clear on the network dual machine for hot in railway traffic in the AFC system application, and balanced load of the realization of the feasibility plan. Keywords: Rail traffic; AFC system; Network redundancy 引言 从严格的意义上讲，只有物理上完全不出现任何问题的设备才能保证系统和数据的安全可靠运行。但在实际应用中，尤其是涉及到整个城市公共交通与轨道交通对接融合的大网络中，这几乎是不可能的。那么对于这样的服务安全层次而言，可靠的系统冗余性就成为了网络部属环节的重中之中。 1 PDRR模型 以某地铁AFC系统建设投标方案为例，计算机网络安全是参照了国际通行的PDRR（Protection－防护、Detection－检测、Respone－响应和Recovery－恢复）安全模型进行设计的。与防火墙A和B直接相关的网络部分如下图一 所示： 图一 网络冗余总体布局图 注： 2台防火墙间可增加HA（高可用性）连接。 2 防火墙A和防火墙B的双机热备方案 两台防火墙组构成双机热备、负载分担以实现对系统更好的支持，实施的方式是通过类似于虚拟路由器冗余协议VRRP（HSRP），介绍如下： 为了实现更安全、更有效的防火墙冗余体系，采用防火墙HA工作协议，协议借鉴了VRRP协议，而且弥补了VRRP协议的不足。可实现了： ①在HA组成员之间镜像配置，在发生故障切换时确保正确的行为。 ②可以在HA组中维护所有活动会话和VPN隧道。 ③故障切换算法根据系统健康状态确定哪个系统是主系统，把状态与相邻系统连接起来或监控从本系统到远端的路径。 ④无论活动会话和VPN隧道的数量有多少，故障检测和切换到备用系统可以在低于一秒时间内完成。 ⑤整个系统的防火墙处理能力提高一倍。 ⑥防火墙支持全网状的Active/Active HA，避免低级的网络故障导致防火墙失效。 如图二，设备处于“路由”或NAT模式时，可以将冗余集群中的两台设备都配置为主动，通过具有负载均衡能力的路由器，运行诸如“虚拟路由器冗余协议 (VRRP)”等协议，共享它们之间分配的流量。通过使用冗余协议创建两个虚拟安全设备(VSD)组，每个组都具有自己的虚拟安全接口 (VSI)，即可实现此目的。设备 A 充当VSD组1的主设备，并充当VSD组2的备份设备。设备B充当VSD组2的主设备，并充当 VSD 组1的备份设备，此配置称为双主动。由于设备冗余，因此不存在单一故障点。负载分担的方式是通过同一VLAN内一部分设备的网关指向一台防火墙的端口IP地址，另一部分设备的网关指向另一台防火墙的端口IP地址。故障切换后，该VLAN的所有设备都指向同一防火墙的物理端口（逻辑上具备两个同网段的IP地址，作为不同设备的缺省网关IP地址） 图二 双机热备方案 设备A和设备B各接收50%的网络和VPN流量。设备A出现故障时，设备B变成VSD组1的主设备，同时继续作为VSD组2的主设备，并处理100%的流量。在双主动配置中，故障切换产生的流量转移结果如下图三所示： 图三 流量转移图 尽管处于双主动配置的两台设备分开的会话总数不能超过单个防火墙设备的容量，但添加的第二台设备使可用的潜在带宽加倍。第二台主动设备也保证两台设备都具有网络连接功能。即双主动的配置方法的最大连接数保持为原单机时的数量，该数量对一个大型网络也已足够，而且数据吞吐量相应增大了一倍。 除冗余集群（主要负责在组成员间传播配置并通告每个成员的当前VSD组状态）外，还可以将设备A和设备B配置为RTO镜像组中的成员，该镜像组负责维持