基于鏈路非對稱網閘的雙機熱備系統研究及實現

苗云龍 陸彥輝 左明陽 楊旭東

關鍵詞： 網閘研究; 網絡隔離; 協議開發; 雙機熱備; 高可用方案; 狀態切換

中圖分類號： TN915.08?34; TP309 ? ? ? ? ? ? ? ? ? ?文獻標識碼： A ? ? ? ? ? ? ? ? 文章編號： 1004?373X（2019）03?0073?05

Abstract： Netgap acts as the bridge to connect the networks with different security levels， and the hot standby technology provides a reliable guarantee to solve the single point of failures （SPOFs） of netgap. According to virtual router redundancy protocol （VRRP） 1.0， the hot standby protocol of link symmetric netgap is improved， and a hot standby application protocol of link asymmetric netgap is developed， which can solve the problem that the link cross switchover of high availability scheme based on netgap is easily locked， and improve the convergence speed and switchover performance of the link. The proposed scheme has great practical value and guiding significance for the research and design of netgap high availability scheme.

Keywords： netgap research; network isolation; protocol development; hot standby; high availability scheme; status switching

0 ?引 ?言

安全隔離網閘簡稱網閘（Netgap），是一種用物理隔離的方式將不同安全等級的網絡隔離開，并進行數據安全交換的網絡設備[1]。網閘為數據在不同安全等級網傳輸提供了安全保障。隨著互聯網經濟的快速發展，信息化是當今世界發展的一大趨勢。在此環境下，信息的保密性、完整性和可用性對保持競爭優勢至關重要。網閘為不同等級網絡之間提供數據交換和鏈接的通道，其負載能力和可靠性是網閘應用中衡量網閘系統質量的兩個關鍵指標。網閘設備發生單點故障（Single Points of Failures，SPOFs）將對整個網絡的可靠性、業務的連續性造成很大影響，甚至導致整個網絡癱瘓。并且從單點故障中完全恢復往往需要很長時間，這對信息化時代的很多業務來說都是不可忍受的。因此，研究如何提高網閘的負載能力和可靠性具有非常重要的意義。由于物理隔離網閘具有“單設備雙系統”的特性，目前雙機熱備系統中廣泛采用的基于VRRP（Virtual Router Redundancy Protocol）的“單系統”高可用（High Availability）方案并不能完全適用于網閘，開發適用于網閘設備的雙機熱備系統成為當前網絡安全領域的迫切需求。文獻[2]利用熱備份路由器協議（Hot Standby Router Protocol，HSRP）和虛擬路由器冗余協議（Virtual Router Redundancy Protocol，VRRP）設計了基于網閘的熱備協議（GAP?VRRP），實現對網閘的熱備功能。但其所提方案只是在網閘內網一端實現了熱備，網閘內外端處理器間通過心跳相互監測，網閘外端機之間并未做任何處理，這樣的設計存在明顯不足：當主備網閘內網端之間心跳線出現故障時，將會導致“雙主”現象，很容易導致系統崩潰。文獻[3]對文獻[2]所提方案進行了改進，增加了主備網閘間外端機間的心跳監測，網閘內外端機和主備網閘內外端機間都通過心跳協議進行檢測，此設計同樣存在系統缺陷：由于改進后的系統結構完全對稱，容易在鏈路交叉切換時出現鎖死現象。文獻[4]以Linux系統為平臺，以高可用性為目的設計了一種基于Linux的雙機熱備系統架構，并對外提供接口，提高了雙機熱備的可擴展性。針對文獻[2?3]出現的問題，本文在基于VRRP 1.0協議[3]和原鏈路完全對稱網閘雙機熱備系統結構的基礎上設計并開發了一種鏈路非對稱結構的網閘雙機熱備系統。通過同網端網閘間VRRP協議進行心跳監測，而網閘內外處理器間用TCP協議協商機制來代替VRRP協議心跳監測機制以確保網閘的主備機切換，有效解決了在鏈路交叉切換時易鎖死的情況。除此之外，此系統設計還具有鏈路收斂速度快、多線程并行處理程序結構簡單等優點。同時，在系統配置頁面添加了可自主設置的HAID（網閘組ID）和備機異常故障警告功能，提高了熱備組的安全性和可靠性。改進后的網閘結構及雙機熱備系統拓撲圖如圖1所示。

1 ?網閘雙機熱備系統的設計與實現

1.1 ?網閘雙機熱備的硬件介紹

網閘具有“單設備雙系統”的特性，系統采用“2+1”模塊結構設計，即雙主機系統+隔離硬件，確保工作安全可靠。采用兩套獨立的高性能處理系統分別作為內端機和外端機，內端機處理內網信息，外端機處理外網信息，內端機和外端機之間采用DTP物理隔離通道控制系統阻斷網絡間的通路[5?6];利用私有控制邏輯和專用通信協議完全控制數據的實時交換;利用專用安全操作系統及嵌入式程序控制確保系統本身免受攻擊。從而有效地保障高安全等級網絡的安全正常運行。

1.2 ?鏈路非對稱網閘雙機熱備系統主程序流程設計

目前提高系統可用性的主要方案是通過系統級冗余，即高可用集群（Cluster）來實現。雙機熱備是目前企業防止核心計算機系統因故障停機的最有效手段之一[7?9]，其工作原理即是通常所說的主/備（Master/Backup）機方式，當Master服務器出現故障時，通過軟件故障檢測或人工方式將Backup服務器激活，從而保證應用在短時間內完全恢復正常。軟件故障檢測通過使用心跳檢測的方法進行，即采用定時發送數據包。如果主機在規定的時間內未做響應，就被認為是發生故障，自動切換至備機，備機自動切換為主機狀態[10]。鏈路非對稱雙機熱備系統主程序流程圖如圖2所示。

由圖2可知，雙機熱備系統進程下共有4個獨立線程，分別為：VRRP發送線程、VRRP接收線程、Peer_to_Peer接收線程、設備狀態監測線程。4個獨立線程分別完成相應的工作。同時，該雙機熱備系統還配備搶占模式和非搶占模式，搶占模式嚴格按優先級級別，優先級高的搶占為主機;非搶占模式下，主機不再受優先級別影響，只有在發生故障時才會轉為備機狀態。因此，本設計除了系統主程序進行初始化判定主備狀態外，系統還對兩個運行狀態流程進行設計，即主機狀態切換流程和備機狀態切換流程。

1.3 ?鏈路非對稱網閘雙機熱備系統主機狀態切換流程設計

雙機熱備系統主要通過虛擬IP技術[8]實現主/備狀態間切換，并通過VRRP協議實現熱備組的心跳監測。虛擬IP是一個未分配給真實主機的IP，即對外提供數據庫服務器的主機除了有一個真實IP外還有一個虛擬IP，使用這兩個IP中的任意一個都可以連接到這臺主機，當服務器發生故障無法對外提供服務時，動態可將這個虛擬IP切換到備用主機[9]。當網閘在主程序流程圖2中初始判定為主機狀態時，主機狀態將會繼續監測各子線程的變化，隨時準備進行主/備機的切換。鏈路非對稱雙機熱備系統主機狀態程序流程如圖3所示。

1.4 ?鏈路非對稱網閘雙機熱備系統備機狀態切換流程設計

綜上所述，當網閘在主程序流程圖2中初始判定為備機狀態時，備機狀態也將會繼續監測各子線程的變化，隨時準備主/備機的切換。備機狀態程序流程如圖4所示。

根據圖3和圖4鏈路非對稱結構主/備機切換的特點可知，鏈路非對稱結構網閘雙機熱備系統及數據處理方法主要通過同網端網閘間VRRP協議心跳包監測和網閘內外處理器間TCP協議雙重協商機制來確保網閘的主/備機切換，而不是現有完全對稱結構技術中所采用的通過心跳線簡單監測網閘內外端機的狀態和主備網閘間處理機狀態。從而克服了網閘“單設備雙系統”特性下，“單設備單系統”高可用（High Availability）方案無法適用這一難題，有效解決了完全對稱結構交叉切換“鎖死”的情況，使網閘的切換性能得到了顯著的提升。

1.5 ?基于網閘的雙機熱備系統結構演進

基于網閘的雙機熱備系統結構如圖5所示，其中圖5a）為文獻[3]所提系統結構，圖5b）為本文所提系統結構。

為了解決文獻[2]提到的會導致“雙主”現象的問題，文獻[3]增加了主備網閘間外端機間的心跳監測，網閘內外端機和主備網閘內外端機間都通過心跳協議進行檢測，形成網閘熱備方案。由圖5a）可知，文獻[3]所提方案結構完全對稱，在兩網閘內外端機同時處理數據交叉切換時，容易出現“鎖死”現象。因此，本文在圖5a）基礎上對方案進行改進，提出一種基于鏈路非對稱結構的網閘雙機熱備系統，即將網閘內端機和外端機之間的通信協議更改為基于TCP協議雙重協商機制來確保網閘的主/備機之間的切換。

2 ?系統測試結果與分析

如圖1所示，系統測試拓撲結構需要的硬件設備如下：網閘2臺;交換機2臺;PC機2臺（1臺作內網服務器，1臺作外網服務器）;網線6根。測試可以分為2類：

第一類：熱備程序的關閉、網線插拔等宕機測試，用來測試雙機熱備程序軟件診測和主備切換的正確性。

第二類：軟件輔助測試，用網閘文件共享同步功能來測試雙機在發生主/備切換時數據業務是否丟失。網閘的文件共享同步即內外網服務器PC通過CIFS（Common Internet File System）協議與網閘進行通信，使數據、文檔從內網服務器PC通過安全隔離網閘共享同步到外網服務器上。

測試前仍需對雙機熱備參數進行配置，雙機熱備系統配置界面如圖6所示。

如圖6中參數所示，該設計與之前網閘熱備系統相比還有其他優越之處，如：可配置的組ID可以使網閘自動識別是否是熱備組網閘發來心跳包，若匹配成功則接收，匹配失敗則丟棄，提高了網閘熱備的可靠性和安全性;搶占模式和非搶占模式兩種，可以根據設備配置情況安排主備機傾向;可供選擇的熱備接口可選用網閘任意可用網卡作為熱備口，有效地解決了熱備口出現故障的情況。在搭建好圖1的拓撲環境，并把設計的雙機熱備系統分別部署于用作主/備的網閘內、外端處理機上，在確保所搭建環境正確、可靠的前提下，進行網閘雙機熱備的高可用實驗測試，實驗測試項目和測試結果如表1所示。

由實驗結果可以看出，本文設計的熱備系統在各種故障情況下均能正常切換，切換時間也與文獻[2，10]中的實驗結果基本相符（2～4 s）。在該測試環境下模擬了各種網閘處理機故障導致交叉切換的場景，實驗均得到了理想的切換結果。同時，在出現鎖死情況方面，在共72次宕機測試過程中，基于原鏈路對稱系統的網閘雙機設備系統出現三次“鎖死”，鎖死后內外網之間的數據無法進行同步，而改進后的基于鏈路非對稱系統的網閘雙機熱備系統均能正常運行，并無“鎖死”現象出現。且該系統已經在深圳利譜信息技術有限公司正常運行一年多，由此表明改進后的基于鏈路非對稱的網閘雙機熱備方案的合理性和正確性。

3 ?結 ?語

本文在基于原鏈路完全對稱網閘雙機熱備系統結構的基礎上設計并實現了一種鏈路非對稱結構的網閘雙機熱備系統。測試結果表明，本文所設計的基于鏈路非對稱結構的網閘雙機熱備系統相比原來完全對稱結構方案，解決了鏈路交叉切換容易鎖死的問題，提高了熱備的切換性能，并且還具有鏈路收斂速度快，多線程并行處理程序結構簡單等優點。改進后的系統已在深圳利譜信息技術有限公司正常運行一年，從理論和實際環境兩方面均證明了改進后的鏈路非對稱結構的網閘雙機熱備系統的合理性。同時，還設計了可以自主設置的網閘熱備組ID（HAID）和可供選擇的熱備接口，提高了網閘熱備組的抗干擾能力和可靠性。

參考文獻

[1] 吳緹.基于物理隔離網閘的銀行文件安全傳輸系統的設計與實現[D].成都：電子科技大學， 2013.

WU Ti. Design and implementation of bank document security transmission system based on physical isolation gatekeeper [D]. Chengdu： University of Electronic Science and Technology of China， 2013.

[2] 蔡智勇，黃輝.一種基于VRRP的網閘高可用性協議模型[J]. 計算機工程，2013（9）：146?149.

CAI Zhiyong， HUANG Hui. A VRRP?based gatekeeper high availability protocol model [J]. Computer engineering， 2013（9）： 146?149.

[3] 白燕.基于網閘的雙機熱備系統的設計與實現[D].北京：北京理工大學，2015.

BAI Yan. Design and implementation of dual?system hot standby system based on gatekeeper [D]. Beijing： Beijing Institute of Technology， 2015.

[4] 李勇.基于Linux系統的雙機熱備系統研究與設計[J].計算機與數字工程，2016（44）：11?13.

LI Yong. Research and design of dual?system hot standby system based on Linux system [J]. Computer and digital engineering， 2016（44）： 11?13.

[5] DAI Z J， LI X W. The application of net gap in electric mobile access system [J]. Applied mechanics & materials， 2012， 241： 627?631.

[6] YU S， ZHAN Y， CAI Q L， et al. A reflective netgap logic framework design [C]// 2008 Workshop on Power Electronics & Intelligent Transportation System. Guangzhou： IEEE， 2008： 565?568.

[7] 闞闖.一種新的基于Linux虛擬服務器集群的動態負載均衡算法[D].青島：中國海洋大學，2008.

KAN Chuang. A new dynamic load balancing algorithm based on Linux virtual server cluster [D]. Qingdao： Ocean University of China， 2008.

[8] 高明.基于Linux的負載平衡算法改進探究[J].電子測試，2015（3）：29?31.

GAO Ming. Research on improvement of load balancing algorithm based on Linux [J]. Electronic test， 2015（3）： 29?31.

[9] 王淑靜.負載均衡算法研究及其在電子商務平臺上的應用[D].鄭州：鄭州大學，2013.

WANG Shujing. Research on load balancing algorithm and its application in e?commerce platform [D]. Zhengzhou： Zhengzhou University， 2013.

[10] 任振芳.基于Xen虛擬機的雙機熱備可用性研究[D].鄭州：鄭州大學，2012.

REN Zhenfang. Research on dual?system hot standby avai?lability based on Xen virtual machine [D]. Zhengzhou： Zhengzhou University， 2012.

[11] 佚名.協議開源代碼網址[EB/OL].[2016?06?15].https：//sourceforge.net/p/vrrpd/code/tree.

Anon. Protocol open source code URL [EB/OL]. [2016?06?15]. https：//sourceforge.net/p/vrrpd/code/tree.

[12] KUO J H， TE S U， LIAO P T， et al. An evaluation of the virtual router redundancy protocol extension with load balancing [C]// The 11th Pacific Rim International Symposium on Dependable Computing. Hunan： IEEE， 2006： 133?139.

[13] HAO L， YAN L. Research on some key performances for high availability and real time cluster system platforms based on task allocating table [C]// The Fifth International Conference on Intelligent Computation Technology and Automation. Zhangjiajie： IEEE， 2012： 534?536.

[14] SINGH S， CHARY V M， RAHMAN P A. Dual redundant profibus network architecture in hot standby fault tolerant control systems [C]// 2014 International Conference on Advances in Engineering and Technology Research. Unnao： IEEE， 2014： 1?5.