H3C IPS爲何永遠不能成爲故障點
1.概述
IPS是一個深刻應用層(七層)的安全設備,主要提供網絡威脅防護的業務,不一樣於交換機、路由器,IPS自己不參與報文選路和交換,而是透明部署,從一個接口上接收網絡流量,對報文進行深刻七層的實時的分析檢測,根據檢測結果阻斷***流量,並將正常流量從另外一個肯定的接口上轉發出去。因此,在IPS上能夠實現相比交換機、路由器更多的可靠性設計,即IPS的多重高可靠性(MHA)設計。IPS的多重高可靠性(MHA)面向業務傳送的全部層面進行高可靠保護,使得在任何狀況下業務都不會由於IPS的故障而中斷,使得IPS這個網絡節點永遠不會成爲中斷業務的故障點。
IPS是一個深刻應用層(七層)的安全設備,主要提供網絡威脅防護的業務,不一樣於交換機、路由器,IPS自己不參與報文選路和交換,而是透明部署,從一個接口上接收網絡流量,對報文進行深刻七層的實時的分析檢測,根據檢測結果阻斷***流量,並將正常流量從另外一個肯定的接口上轉發出去。因此,在IPS上能夠實現相比交換機、路由器更多的可靠性設計,即IPS的多重高可靠性(MHA)設計。IPS的多重高可靠性(MHA)面向業務傳送的全部層面進行高可靠保護,使得在任何狀況下業務都不會由於IPS的故障而中斷,使得IPS這個網絡節點永遠不會成爲中斷業務的故障點。
IPS的多重高可靠性(MHA)可從宏觀和微觀兩個角度來描述,從宏觀角度來看,IPS的多重高可靠性可劃分爲硬件高可靠性、軟件高可靠性、組網高可靠性;從微觀角度來看,可按協議棧各層次,在物理層(一層)、鏈路層(二層)、IP層、TCP層、應用層等層次上提供層層保護,系統監控模塊對各協議層的運行狀態作統一監控,上層失效時,能夠迅速實現二層Bypass(二層回退)、一層Bypass,從而保證網絡業務的連通性。本文介紹H3C IPS的多重高可靠性(MHA)的實現機制和性能指標。
2.電源可靠性
H3C IPS按照電信級標準設計了冗餘電源進行供電,以下圖所示,而且支持在線電源模塊更換。同時提供了電源線卡扣等可靠性設計。另外,可根據客戶須要提供交流電源模塊和直流電源模塊。
H3C IPS按照電信級標準設計了冗餘電源進行供電,以下圖所示,而且支持在線電源模塊更換。同時提供了電源線卡扣等可靠性設計。另外,可根據客戶須要提供交流電源模塊和直流電源模塊。
3.掉電保護機制
H3C設計了無源鏈接設備PFC(Power Free Connector),PFC能夠爲IPS產品提供了掉電保護功能。在IPS掉電的狀況下,PFC能夠將網絡流量自動繞開IPS、旁路到下一跳設備上去;而當管理員恢復電源供給後,PFC又會自動禁止旁路功能,全部流量將再度流經IPS接受檢測。以下圖所示。
PFC是經過IPS設備上的USB口供電的,當IPS掉電後,PFC也掉電,PFC掉電後經過內部的繼電器裝置會迅速連通網絡,實現一層Bypass。利用PFC設備,H3C IPS在掉電後小於10ms的時間內即能恢復網絡連通。同時,H3C IPS經過控制USB口的供電,能夠保證在IPS重啓時也不中斷網絡業務,這個會在下一節介紹。
4.重啓保護機制
利用上一節介紹的PFC,H3C IPS在設備重啓過程當中不對USB口進行供電,這樣可保證IPS在重啓過程當中仍能經過PFC實現網絡業務的連續性,實現一層Bypass;同時,當IPS重啓完成後,USB口供電,PFC斷開,網絡流量會自動切換到IPS來進行檢測。雖然H3C IPS的重啓時間在3分鐘左右,但在重啓過程當中中斷網絡的時間小於10ms(對上層應用來講,幾乎沒法感受到該中斷)。重啓保護機制在設備人爲重啓或異常重啓時都保證了網絡業務的連續性。
利用上一節介紹的PFC,H3C IPS在設備重啓過程當中不對USB口進行供電,這樣可保證IPS在重啓過程當中仍能經過PFC實現網絡業務的連續性,實現一層Bypass;同時,當IPS重啓完成後,USB口供電,PFC斷開,網絡流量會自動切換到IPS來進行檢測。雖然H3C IPS的重啓時間在3分鐘左右,但在重啓過程當中中斷網絡的時間小於10ms(對上層應用來講,幾乎沒法感受到該中斷)。重啓保護機制在設備人爲重啓或異常重啓時都保證了網絡業務的連續性。
5.二層回退(二層Bypass)機制
H3C IPS產品實現了二層回退機制,當檢測引擎或軟件系統故障(如某個軟件進程掛起)時,H3C IPS會退到二層工做模式,直接將接收到的網絡流量在二層就轉發出去,再也不進行上層的檢測處理,以保證在設備軟件故障時仍能保證網絡業務連續性。以下圖所示。設備檢測引擎或軟件系統故障切換到二層回退的時間在1ms數量級如下。
H3C IPS產品實現了二層回退機制,當檢測引擎或軟件系統故障(如某個軟件進程掛起)時,H3C IPS會退到二層工做模式,直接將接收到的網絡流量在二層就轉發出去,再也不進行上層的檢測處理,以保證在設備軟件故障時仍能保證網絡業務連續性。以下圖所示。設備檢測引擎或軟件系統故障切換到二層回退的時間在1ms數量級如下。
同時,H3C IPS還會監控設備自己的處理性能,當網絡流量超過設備的檢測處理性能時(設備的檢測引擎處理的丟包率持續達到閾值30%時),設備會自動切換到二層回退模式,以保證將網絡流量在二層就迅速轉發出去,以保證網絡業務的連續性。
H3C IPS在二層回退模型下經過設備上內置的交換芯片實現報文轉發,能夠在接口滿配的狀況下達到小包線速轉發。
6.透明部署的可靠性機制
H3C IPS的透明部署可靠性機制從兩方面來實現,一方面是IPS設備的業務口無IP、無MAC,同時對檢測爲正常流量的報文不會作任何修改(如改變TTL值等),對***者來講是完成透明的,網絡上的***者用探測掃描方法感受不到網絡上存在IPS設備,因此IPS永遠不會成爲***者的***目標,這樣也保證了IPS的安全性和可靠性;另外一方面,IPS對兩端的設備也是透明的,即對兩端的設備來講,IPS至關於一根網線,當IPS的一端的接口Down掉時,另外一端的接口也會立刻Down掉,同時當一端的接口UP時,若是另外一端的接口符合UP的條件也會立刻UP起來,因此不會影響原有網絡的拓撲,也不會影響原有網絡的各類動態路由、交換協議等其餘協議的工做機制。
H3C IPS的透明部署可靠性機制從兩方面來實現,一方面是IPS設備的業務口無IP、無MAC,同時對檢測爲正常流量的報文不會作任何修改(如改變TTL值等),對***者來講是完成透明的,網絡上的***者用探測掃描方法感受不到網絡上存在IPS設備,因此IPS永遠不會成爲***者的***目標,這樣也保證了IPS的安全性和可靠性;另外一方面,IPS對兩端的設備也是透明的,即對兩端的設備來講,IPS至關於一根網線,當IPS的一端的接口Down掉時,另外一端的接口也會立刻Down掉,同時當一端的接口UP時,若是另外一端的接口符合UP的條件也會立刻UP起來,因此不會影響原有網絡的拓撲,也不會影響原有網絡的各類動態路由、交換協議等其餘協議的工做機制。
7.冗餘部署的可靠性機制
H3C IPS可雙機部署到冗餘鏈路上,當其中一邊的IPS或其餘網絡設備故障時,IPS兩端的設備會自動將流量選到另外一邊正常的鏈路上,IPS自動能對該鏈路上的流量進行深度檢測防範,從而能夠保證網絡和安全業務都不會由於單點故障而中斷。以下圖所示。倒換的時間取決於IPS兩端的設備。
H3C IPS可雙機部署到冗餘鏈路上,當其中一邊的IPS或其餘網絡設備故障時,IPS兩端的設備會自動將流量選到另外一邊正常的鏈路上,IPS自動能對該鏈路上的流量進行深度檢測防範,從而能夠保證網絡和安全業務都不會由於單點故障而中斷。以下圖所示。倒換的時間取決於IPS兩端的設備。
相關文章
- 1. H3C IPS爲什麼永遠不會成爲故障點
- 2. 爲何大多數人永遠不會真正成功?
- 3. 爲何智能手機中被撕的永遠是華爲!
- 4. 成爲一名 AI 工程師永遠都不晚
- 5. 成爲一名推薦系統工程師永遠都不晚
- 6. 爲什麼大多數人永遠不會真正成功?
- 7. 爲什麼大多數人永遠不會真正成功?
- 8. 爲何我感受永遠知足不了公司的要求?
- 9. 爲什麼智能手機中被撕的永遠是華爲!
- 10. H3C排錯技巧-BGP故障排查
- 更多相關文章...
- • 爲什麼使用 XML Schemas? - XML Schema 教程
- • 爲什麼使用 Web Services? - Web Services 教程
- • SpringBoot中properties文件不能自動提示解決方法
- • IntelliJ IDEA中SpringBoot properties文件不能自動提示問題解決
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章