图书馆广域网接入高可用架构的技术分析

2014-04-02郑晓军

图书馆研究 2014年2期

郑晓军

（深圳图书馆，深圳 518036）

随着现代图书馆对数字资源服务和网络化应用的要求越来越高，图书馆的各种广域网服务和业务管理工作越来越依赖于高可用的计算机网络系统，尤其是广域网上的各种资源揭示、信息检索与导航、VOD点播、读者借阅、馆际互联等服务，在图书馆的应用系统中占据了重要的位置，而完全服务于图书馆内部的应用和管理的系统已所剩无几。因此，与广域网保持高速、不间断通信的重要性不言而喻，广域网接入发生中断的事件不仅是读者不可忍受的，也是图书馆不可接受的。

图书馆广域网接入高可用模式主要采用双机热备或虚拟化的架构，其关键在于要构建安全接入设备的冗余、IP地址的复用、多链路的网络连接以及设备资源的整合。

1 图书馆广域网应用接入架构的模式现状

互联网是基于广域网的最重要应用模式，图书馆在向广域网运营商申请开通互联网租用链路服务时，都会遇到IP地址资源紧张的问题，大部分运营商默认提供的IP地址为16个，甚至更少，再多就很难申请到了。而提供给读者和工作人员使用的计算机在区级图书馆约为200台以内，市级图书馆约为500台以内，省级图书馆约为1000台以内，显然运营商提供的IP地址远远不能满足图书馆的需求。因此，几乎所有的图书馆计算机网络系统与互联网对接都需要安装网络地址转换（NAT）设备，通过网络地址转换技术，将图书馆内网IP地址转换为互联网的合法地址。网络地址转换不仅解决了图书馆互联网IP地址不足的问题，而且还能够有效地避免来自互联网的外部攻击，隐藏和保护图书馆的计算机，特别是有提供互联网服务的服务器。

目前用于实现网络地址转换的设备主要有防火墙、路由器和代理服务器。代理服务器由于运算成本高、性能效率低，采用的情况越来越少,小型图书馆或社区图书馆采用尚可；路由器虽然性能效率比代理服务器高，但图书馆一般来说不可能采用成本较高的高端路由器来实现网络地址转换，即使要用也是采用较低端的路由器，而且路由器的配置命令复杂，基本上都要依靠运营商提供技术支持，这种接入模式也逐渐在减少。因此，目前图书馆的互联网宽带接入主要模式是由运营商的高性能边界路由器端口连接图书馆的防火墙设备，租用带宽的大小由运营商设定边界路由器端口进行控制。

不少图书馆出于经费的考虑，会采用单台防火墙进行网络地址转换来实现与外网的互访，那么所有的内外网之间交互的流量负载都由该设备承担，这种架构存在单点故障的弊病。一旦网络地址转换设备故障发生，将导致图书馆内网的读者和工作人员无法与外网通信，而互联网上的读者和协作机构也无法访问到图书馆相关的应用服务器，图书馆将成为信息孤岛，其后果可想而知。

由此可见，在图书馆内外网关的网络地址转换这一重要节点，必须要组建冗余备份的架构。最佳的方案是构建双机热备系统，通过部署两台网络地址转换设备形成实时数据的备份，利用虚拟路由器冗余协议（VRRP）或动态路由协议实施配置链路自动切换的机制以及虚拟化技术，实现任一台设备出现故障时，会自动切换链路，让数据流量顺利地通过另一台备份设备，避免图书馆的业务工作遭遇中断的风险。

2 网络地址转换双机热备的机制和架构分析

网络地址转换在防火墙双机热备的机制建设中包含两个方面的内容：一是建立防火墙双机之间的业务内容相互备份机制；二是建立防火墙双机之间的数据流路径切换机制。双机热备的架构建立与工作方式是：连接两台防火墙设备的备份端口，在双机之间建立备份链路；通过备份链路，两台防火墙设备定时互相发送报文信息，当两台防火墙进入同步状态后，开始相互备份对端防火墙上的业务数据，直至两台防火墙设备上的业务状态完全一致；当双机之间的一台防火墙发生故障时，虚拟路由器冗余协议（VRRP）或动态路由协议将业务数据流路径切换到另一台设备上，业务数据流将从该对端防火墙设备上通过。

防火墙双机热备运行的工作模式分为两种，即主备工作模式和互备工作模式。在主备工作模式中，一台防火墙作为主设备，另一台防火墙作为备份设备；主设备处理所有的业务，并将网络地址转换产生的会话信息（包括源IP、源端口、目的IP、目的端口等信息）传送到备份设备进行备份，而备份设备不处理业务，只用做备份。主备工作模式从设备利用角度来说效率不高，不够经济，在图书馆应用实例中并不多见。在互备工作模式中，两台防火墙设备均为主设备，按照路由表的配置承担各自的应用任务，都在处理相应业务的数据流量，同时又作为另一台防火墙设备的备份设备，备份对端设备的会话信息，如图1所示。两台防火墙设备互为备份，一旦一台防火墙通过心跳线侦测到对端设备出现故障，就立即启动备份业务信息，接管故障设备的任务，以使业务工作延续，如图2所示。互备模式不仅容错能力强，能够保证业务应用的持续性，而且设备利用效率高，投资经费相对节约，因此，在图书馆应用最多最普遍。

图1 防火墙无故障时的数据流量模型

图2 防火墙A故障后的数据流量模型

3 双机热备工作模式中网络地址转换冲突问题的解决

3.1 网络地址转换表项的冲突

当双机热备的互备工作模式中两台防火墙设备在网络通信中需要完成网络地址转换功能时，两台防火墙上配置的网络地址转换池的地址空间必须完全一样，才能保证在一台防火墙发生故障时，另一台防火墙能够接替故障设备，让业务应用的运行持续。然而，如果两台防火墙在做地址转换时，分别从各自的地址池中选用了相同的IP地址，且分配了相同的端口号，则会导致两台防火墙设备上的反向会话信息完全一样，无法进行会话数据的互为备份。

为解决该问题，必须采用网络地址转换池高低优先级属性的技术，在互备模式的两台防火墙上配置网络地址转换空间相同但优先级不同的IP地址池。例如：在两台防火墙设备上均配置有两个地址池58.60.2.0～58.60.2.31和58.60.2.32～58.60.2.61。其中防火墙A设备上的58.60.2.0～58.60.2.31地址池定义为高优先级，58.60.2.32～58.60.2.61地址池定义为低优先级。而另一台防火墙B则相反，将58.60.2.0～58.60.2.31地址池定义为低优先级，58.60.2.32～58.60.2.61地址池定义为高优先级。那么，在两台防火墙均正常工作时，路由配置表定义的数据流路径指向防火墙A时，网络地址转换则在58.60.2.0～58.60.2.31地址池里完成转换；而路由配置表定义的数据流路径指向防火墙B时，网络地址转换则在58.60.2.32～58.60.2.61地址池里完成转换。但当防火墙A出现故障时，由于防火墙B中的会话表项与防火墙A完全一致，防火墙B全面接管防火墙A的工作任务，两段地址池同时有效地按照路由表的策略定义进行地址转换。反之，防火墙B出现故障，则防火墙A同样全面接管防火墙B的工作任务。

虽然互备模式的两台防火墙使用相同的网络地址转换池中的地址，但是由于地址池定义的优先级别不同，网络地址转换后互联网IP和互联网端口不会出现完全相同的情况，在相互备份会话数据时不会发生冲突。

3.2 地址解析协议（ARP）响应的冲突

在上述的图书馆互联网接入架构中，两台互备模式的防火墙设备还会发生地址解析协议响应冲突的情况。由于两台防火墙上均配置了相同的网络地址转换池58.60.2.0～58.60.2.31和58.60.2.32～58.60.2.61。当路由发出地址解析请求，查询这两个地址池中的某个地址，两台防火墙都会收到这个地址解析请求，并识别出这是自己地址转换池中的地址。这样，两台防火墙都会回复响应，导致地址解析响应冲突。

为避免地址解析响应的冲突，必须在两台防火墙中建立不同级别的地址转换池解析响应机制，可以设置高优先级的地址转换池在防火墙互备工作模式处于同步状态时优先响应地址解析协议的请求，而低优先级的地址转换池则不响应地址协议的请求，如此就能保证不会出现地址解析协议响应的冲突。

4 防火墙双机互备方案的构建

4.1 利用虚拟路由冗余协议VRRP实现防火墙的流量切换

虚拟路由冗余协议VRRP（Virtual Router Redundancy Protocol）是一种容错协议，应用于具有多组播或广播能力的局域网。通常，一个图书馆局域网内的所有主机都设置一条缺省路由，馆内的计算机或服务器访问的目的地址如不在本网段内，将被通过缺省路由发往配置路由模式的防火器A，从而实现与外部网络的通信。当防火墙A故障时，本网段内所有以防火墙A为缺省路由下联的主机将断掉与外部的通信，就此产生了单点故障。VRRP协议应用于图书馆时，通常将局域网的两台核心防火墙配置成路由模式，组成一个虚拟路由设备。整合后两台配置路由模式的防火墙拥有一个独立的虚IP地址，这个虚IP地址不同于两台核心防火墙的路由地址。图书馆局域网内的计算机或服务器均缺省指向这个虚拟路由设备的虚IP地址，并不指向具体的两台核心防火墙的路由IP地址，网络内的计算机就通过这个虚IP来与互联网或由防火墙隔离的其它外网进行信息通信。如果核心防火墙A由于故障停止工作，那么将会通过策略自动由另一台防火墙B继续向馆内的计算机提供路由转发，实现图书馆局域网内的计算机或服务器不间断地与互联网等外网进行通信。

4.2 利用动态路由实现流量切换

在双机互备工作模式中，两台防火墙同时启用BGP、OSPF、RIP等动态路由协议，当默认的路由链路出现故障而断开时，路由表中的备份链路将自动启动生效，产生的路由链路切换不会导致任何的时间延迟。

与VRRP协议实现流量切换相比，动态路由协议方式更适用多路径的网络环境。比如说，图书馆局域网中的某台PC电脑，一般与访问的服务器存在不同的网段中，无论服务器在局域网中还是在广域网上，在PC电脑和服务器之间配置有多条路由通路，动态路由协议会计算出PC电脑到服务器的最优路径作为缺省的路由。当这条路径出现故障而断开后，动态路由协议会重新计算，从配置表上再选择一条最优的路径作为新的路由。如果故障防火墙恢复正常，则会重新使用原来的缺省路由，也可以说动态路由协议是用动态的方式的保证网络设备之间的实时连通。

5 防火墙虚拟化架构的应用

网关防火墙安装在图书馆的内网与外网之间，数字图书馆的应用大多数是广域网的应用，换句话说图书馆的应用信息流需要通过防火墙的汇聚和转换实现与外网的通信，因此图书馆对防火墙的性能和可靠性要求极高。防火墙是网络攻击的主要对象，如果攻击的流量达到饱和，那么在网关防火墙就会形成流量堵塞，网络性能急剧下降，效果如同图书馆整个网络中断。为了降低网络瓶颈对图书馆可能造成的负面影响，图书馆可选择利用防火墙虚拟化架构来提升网络的高可用性。

图书馆的广域网应用众多，以深圳图书馆为例，拥有的局域网与广域网连接的网络出口链路多达6条，包括互联网应用的光纤城域网接入、短信系统的光纤接入、政务内外网的光纤接入、深圳馆际云服务平台的MPLS-VPN光纤接入等。理论上说，安装与网络出口链路相同数量的防火墙设备就能解决问题，然而高额的采购费用和维护费用，又是大多数图书馆无法承受的。如此众多的外网链路都必须安装安全网关防火墙，采用虚拟化技术的架构是必然的选择。

虚拟化技术架构的实质在于一台网络设备可以模拟为多台性能适用的网络设备，即“一虚多”模式；或者多台网络设备模拟为一台性能更为强大的网络设备，即“多虚一”模式。采用虚拟化技术，允许图书馆将不同外网出口链路针对不同的“虚拟防火墙”部署到各自的网络分区或应用组，分割后的逻辑网络内部有独立的数据通道，对网络安全资源进行更加细致的划分，根据业务特征在逻辑网络内进行灵活的安全策略的部署和匹配。如虚拟防火墙被攻击或性能重新调整等原因需要迁移，对应的安全策略也随之动态迁移，以达到多台防火墙集群的效果。也可以将多台性能一般的防火墙整合为一台性能强大的虚拟防火墙，整合虚拟环境下动态的安全策略部署。例如，深圳图书馆在2013年6月进行的核心系统升级改造中，就采用“多虚一”的模式将2台物理防火墙通过虚拟化技术合并为一台性能强大的防火墙，所有局域网和广域网的连接均为双链路至网络虚拟防火墙，通过统一平台实现对防虚拟火墙的端口、策略、性能等进行集中的监控、整合、配置和管理。总之，虚拟化技术优化了网络资源的使用，动态地调整和迁移虚拟防火墙的资源，使图书馆能够利用虚拟化的架构和统一的管理平台，应对数字图书馆核心应用日益增长的变化。