无论是传统办公虚拟专用网络VPN(Virtual Private Network,VPN)、工业物联网数据安全传输还是云服务网络层安全应用,TISec技术均是网络安全基础服务的提供者。而这一切归功于TISec的高可用性。具有高可用性的TISec系统,让用户快速构建企业级业务应用VPN更简单,本文将全面介绍TISec系统高可用性技术方案。
图1 TISec应用场景
TISec系统提供两种会话级别高可用性架构
当各种业务在网络上得到了广泛部署,网络规模随之也以指数级增长,如果软件、硬件、基础网络等环境出现中断,将会影响大量业务运行,从而造成重大损失。作为业务承载主体的基础网络的高可用性(High Availablity,HA)特性往往成为系统安全稳定运行的关键要素。传统的网络层安全VPN产品的高可用方案,集成度高并且功能单一,通常所提供的双机热备功能为单台设备的1+1模式,并且不支持隧道等会话信息的实时备份,只能实现系统配置信息的同步。系统发生故障时,网络中的所有节点包括终端和服务器需要重新进行会话协商,结果导致承载的业务系统长时间中断造成损失。
TISec系统为用户提供两种会话级别(Session-level)高可用性架构:第一种是双机热备,第二种是流量控制集群(Traffic Control Cluster)。其中,双机热备是指由两台或多台服务器构成的热备方案,一台为主节点,其余为从节点,节点之间保持固定时间间隔心跳与周期性数据与状态同步,监视对方运行状态,故障场景下进行切换。流量控制集群是指多个服务器设备分别构成主节点与从节点的设备集群,节点之间保持固定心跳与周期性数据与会话状态同步,能够监视对方的运行状态,故障场景下进行切换,相比双机热备集群模式系统的可伸缩性更强。
不同于传统设备无状态双机热备功能,本文所描述的方案实现TISec系统中多设备之间3-4层(Layer3-Layer4)的会话状态同步,支持高可用系统active-active、active-passive等多种模式。本系统的逻辑角色包括: TISec流量控制器(Traffic controller ,TC),TISec系统中前端流量分流设备; TISec隧道服务器(Tunnel Server,TS),TISec系统中的隧道服务器,业务中心的加密数据起止设备; TISec注册服务器(Enrolling Server,ES),TISec系统中用户鉴别、策略管理服务器。上述三种角色可以是物理形态独立的设备或者集成在同一物理设备中的逻辑模块。方案核心要点有以下三点:
1、TISec服务器(包括TC、TS、ES,下同)数据共享,包括静态数据如用户配置、证书等,动态数据如设备之间会话信息,隧道信息等全部安全关联参数;
2、TISec服务器隧道预装(preload)机制,终端和服务器之间的隧道会话信息需要在每台TISec服务器预先建立,满足秒级会话切换的需求;
3、TISec服务器地址切换,无论系统运行于active-active、active-passive模式均需要在服务器出现问题时进行地址切换。
为了保证方案的一致性,TISec高可用系统关键的技术指标有如下六项:
1、TISec服务器静态数据共享,按照分钟级别进行同步,同时active-active模式下数据同步必须支持主动推送能力;
2、TISec服务器故障切换(包括硬件故障、网络故障、软件故障等),按照秒级(如1-30秒)进行切换,同时支持故障检测时间冗余策略配置;
3、TISec服务器动态数据共享,按照秒级(如1-30秒)进行同步,可使用数据库临时表或者共享内存等技术,同时支持故障检测时间冗余策略配置;
4、TISec服务器隧道信息通过动态数据更新后每台设备均预加载,同时active-active模式下数据同步必须支持主动推送能力;
5、同步和备份模式默认为active-passive模式,策略为1+1备份,即每台设备都有专属备份设备,并支持1+N、N+1、N+M等更为复杂的同步和备份模式;
6、系统软件包括Heartbeat和同步模块,Heartbeat负责设备状态监控和故障切换,同步模块负责各服务器静态数据和隧道等内存动态数据的同步。
双机热备模式为是两台或多台独立服务器,在单臂(One-Arm)模式下分别需要两个网络接口,一个提供心跳与数据同步,一个提供对外服务,最好同时具备串口,保障心跳数据的准确。在桥接(Brige)模式下分别需要三个网络接口,一个提供心跳与数据同步,另外两个提供对外服务,最好同时具备串口。
流量控制集群需要的是两套完全相同的流量控制服务节点,每个节点至少由四台服务器构成。其中,可划分为采用交换刀片与采用TC服务器两种情况,采用TC服务器方式,则两节点的TC服务器之间采用串口相互监控,进行心跳通信,两个网络接口分别负责数据上行与数据下行。TS需要两个网络接口,一个负责TS向ES进行状态数据同步,另一个负责业务数据。ES也需要两个网络接口,包括一个负责与TS的状态收集保存以及同从ES实时数据同步,另一个负责业务数据。整个方案采用状态同步集中存储至ES,在ES之间进行内存同步,由ES通知维护TS状态的方式。单个服务器故障则关闭整个节点,由从节点接管服务,并发出警告。
采用交换刀片方式,则两个节点的交换刀片之间通过串口1相互监控,进行心跳通信。TS、ES的业务数据均通过背板与交换刀片进行交换数据。主节点ES通过自带串口连接从节点交换刀片串口2进行控制,从节点ES通过自带串口连接主节点交换刀片串口2进行控制。节点内部TS与ES均通过网口1接入交换刀片前面板接口,将运行状态数据保存至ES。主从节点的ES通过网口2直连进行节点间状态同步与心跳。单节点内的业务数据统一由交换刀片前面板的数据上行口与外接网口对外交互。本章节方案图例均以active-passive模式为例,active-active模式工作原理类似不单独做示例。
流量控制集群一一热备TC方式
1、单链路
图2 流量控制TC热备-单链路
主节点为左侧,正常运行,工作原理为:
(1)主ES负责监控主TS运行状态,主TS将隧道信息实时发送给ES;
(2)主ES维护全部隧道信息,并与从节点内ES通过心跳方式进行隧道信息同步;
(3)主ES与从ES通过数据库同步方式维护内部数据同步;
(4)从ES将更新的隧道数据发送给全部从节点TS,从节点TS在隧道模块内维护全部隧道信息,但隧道处于非激活状态;
(5)主节点内TS子节点发生故障,则其与主ES心跳出现异常,主ES通知从ES,并关闭主节点所属全部子节点;
(6)从ES通知所属从节点全部子节点开始工作;
(7)从TS接收到隧道数据查找不到隧道,则依照规则在存储隧道信息内查找,找到后则在该从TS上启动对应隧道;
(8)主节点内ES子节点发生故障,则从ES通知并关闭主ES,从ES通知所属从节点全部子节点开始工作;
(9)主TC发生故障,则其与从TC心跳出现异常,从TC通知从ES关闭主节点,同时从ES通知所属从节点内全部子节点开始工作。
2、双链路
图3 流量控制TC热备-双链路
(1)客户端建立隧道时采用主链路进行;
(2)隧道启动后,客户端将同时向主、从节点链路均发送隧道维护信息,但从节点不进行密钥更新;
(3)主节点依照策略未能响应隧道维护请求时,则自动切换至使用第二链路进行隧道数据传输。
流量控制集群一一交换刀片热备方式
1、主从节点内全部业务数据均通过交换刀片与外接交换;
2、主从节点之间交换刀片同过串口1直连,相互监控状态,主节点交换刀片与子节点出现硬件故障时,从节点直接接管工作;
3、节点内部的TS、ES同过背板进行内部业务数据交换,并将出入节点数据通过背板交给交换刀片,由其负责发送;
4、TS、ES前面板网口均接入交换刀片的前面板出网口,进行节点内部状态数据存储;
5、主从节点的ES通过前面板网口2直连,进行状态数据与存储数据同步,并相互监视控制;
6、主从节点ES通过串口交叉连接从主节点交换刀片的串口2,控制对节点交换刀片工作;
7、主节点内TS出现软件系统故障,则主ES通知从ES和从节点交换刀片开始工作;
8、从ES收到开始工作通知后关闭主节点交换刀片,通知所属从TS开始工作;
9、主节点内ES出现系统故障,则从ES通知主交换刀片停止工作,主交换刀片停止工作后,从交换刀片将监控到其状态,自动接管工作,从ES继续通知所属从TS开始工作。
双机热备
双机热备模式工作机制同传统的HA基本相同,主要是为所有的系统设备增加会话状态同步和恢复,以保证设备状态切换会话和数据不中断。下述方案以两台设备为例说明,多台设备工作原理类似。
1、桥接模式双机热备
图5 桥接模式双机热备
(2)当主节点出现故障,则从节点主动接管全部服务。
2、单臂模式双机热备
单臂模式除网络接口连接方式和桥接模式不同外,其余工作原理和桥接模式完全相同。
本文基于多个业务应用模式和场景,为TISec系统设计了不同的高可用性方案,从而满足会话级流量控制和热备等安全需求,用户可以根据不同的业务需求和网络规模选择不同的高可用性方案。无论应用场景如何变化,西电捷通TISec系统都能为用户的业务系统提供完备的IP安全可信网络,并且保障业务的高可用性。