防火墻集群，簡(jiǎn)單說(shuō)就是將多臺(tái)防火墻捆綁使用，可以按照需要新增或減少防火墻以調(diào)整防火墻集群整體性能。

在網(wǎng)絡(luò)建設(shè)初期，防火墻設(shè)備選型是個(gè)非常頭痛的問(wèn)題。我們必須明確現(xiàn)有網(wǎng)絡(luò)中的業(yè)務(wù)流量模型以及未來(lái)可能出現(xiàn)的數(shù)據(jù)流增長(zhǎng)，這樣才能夠準(zhǔn)確定位需要購(gòu)買(mǎi)防火墻的性能指標(biāo)。

對(duì)于當(dāng)前業(yè)務(wù)流量，我們可以通過(guò)網(wǎng)管及流量分析軟件來(lái)獲取相關(guān)信息，但是對(duì)于未來(lái)業(yè)務(wù)增長(zhǎng)帶來(lái)的流量變化，往往很難預(yù)測(cè)。誰(shuí)都不愿意買(mǎi)臺(tái)防火墻，結(jié)果發(fā)現(xiàn)半年由于業(yè)務(wù)增長(zhǎng)而無(wú)法使用了。那么如何解決呢？傳統(tǒng)的解決辦法通常是預(yù)估性能時(shí)就高不就低，提前購(gòu)買(mǎi)較為高端的設(shè)備。這樣必然會(huì)導(dǎo)致長(zhǎng)時(shí)間設(shè)備資源的浪費(fèi)，增大了初期投資。“思科下一代防火墻集群”技術(shù)正好能夠非常好的解決這個(gè)問(wèn)題。用戶無(wú)需購(gòu)買(mǎi)昂貴的高端設(shè)備，只需照顧到現(xiàn)有業(yè)務(wù)及短期增長(zhǎng)來(lái)選擇購(gòu)買(mǎi)，初期投入非常低。如果業(yè)務(wù)流量后期沒(méi)有太大的變化，那么完全沒(méi)有浪費(fèi)。如果業(yè)務(wù)增長(zhǎng)了，并達(dá)到設(shè)備性能瓶頸。那么只需再購(gòu)買(mǎi)設(shè)備加入集群，提高集群的處理能力即可。實(shí)現(xiàn)了非常好的投資保護(hù)。

防火墻集群在業(yè)界很早就有這種說(shuō)法，那為什么叫思科“下一代”防火墻集群?

我們來(lái)看一下傳統(tǒng)防火墻的集群，通常有以下幾種方式。

通過(guò)負(fù)載均衡器來(lái)對(duì)多臺(tái)防火墻進(jìn)行負(fù)載均擔(dān)。

在前些年，這種集群方式還比較普遍。通常是由負(fù)載均衡器對(duì)多臺(tái)防火墻進(jìn)行負(fù)載均衡，通過(guò)這種方式來(lái)解決單臺(tái)防火墻瓶頸。這種方式的好處是，能夠通過(guò)多臺(tái)防火墻同時(shí)工作來(lái)提高性能。缺點(diǎn)是加入了負(fù)載均衡器，導(dǎo)致額外的設(shè)備管理及故障點(diǎn)，同時(shí)增加了投資。另外多臺(tái)防火墻沒(méi)有統(tǒng)一管理界面，需要獨(dú)立管理，獨(dú)立監(jiān)控統(tǒng)計(jì)，獨(dú)立的排障。

近些年，隨著防火墻性能的提升，防火墻的性能已經(jīng)達(dá)到甚至超過(guò)了負(fù)載均衡器。如果仍然采用這個(gè)方案，可能負(fù)載均衡器就成為了性能瓶頸，根本無(wú)法起到性能擴(kuò)展的作用。

無(wú)需負(fù)載均衡器防火墻直接集群。

之前有些廠家提供了無(wú)需負(fù)載均衡器，僅僅通過(guò)防火墻來(lái)組成的集群方案。但這些方案里，往往在流量負(fù)載均衡上存在著缺陷。通常是集群里選擇一臺(tái)防火墻作為負(fù)載均衡器使用（這點(diǎn)借用了防火墻負(fù)載均衡的思路）或者是通過(guò)組播方式將流量復(fù)制到集群內(nèi)所有防火墻上，然后由各自防火墻進(jìn)行選擇性處理。這類(lèi)集群方式，雖然有一定的性能擴(kuò)展能力，但是不可避免的存在負(fù)載均衡性能瓶頸點(diǎn)或者擴(kuò)展能力很低的問(wèn)題。

為了解決傳統(tǒng)防火墻集群方式出現(xiàn)的問(wèn)題，思科推出了下一代防火墻集群。思科的下一代防火墻集群有以下特點(diǎn)：

更經(jīng)濟(jì)的線性彈性性能擴(kuò)展

思科的下一代防火墻集群通過(guò)“無(wú)狀態(tài)負(fù)載均衡”的方式來(lái)實(shí)現(xiàn)集群內(nèi)防火墻的流量負(fù)載均擔(dān)。

什么是無(wú)狀態(tài)負(fù)載均衡？傳統(tǒng)的負(fù)載均衡器是要記錄會(huì)話表的，所以是狀態(tài)負(fù)載均衡。而路由器及路由交換機(jī)的等價(jià)路由或者策略路由、鏈路捆綁都可以實(shí)現(xiàn)多鏈路的流量負(fù)載均衡，我們稱這種鏈路負(fù)載均衡的方式為無(wú)狀態(tài)的。很明顯，這種流量分擔(dān)的方式的優(yōu)點(diǎn)是轉(zhuǎn)發(fā)速度快，在單鏈路出現(xiàn)故障時(shí)流量切換快。

如下圖，防火墻集群部署在兩臺(tái)路由設(shè)備中間。流量通過(guò)等價(jià)路由，策略路由或者鏈路捆綁方式分擔(dān)到防火墻。當(dāng)需要性能擴(kuò)展時(shí)，并聯(lián)新的防火墻在網(wǎng)絡(luò)中即可。性能擴(kuò)展非常方便。

在此方案中數(shù)據(jù)流的均衡，依靠對(duì)端交換機(jī)或路由器的鏈路捆綁算法或者等價(jià)路由、策略路由算法來(lái)完成。當(dāng)出現(xiàn)鏈路故障出現(xiàn)流量異步時(shí)，思科下一代集群利用自有的防火墻尋回算法，自動(dòng)將流量送回有對(duì)應(yīng)會(huì)話的火墻進(jìn)行處理。同時(shí)，如果對(duì)端路由設(shè)備鏈路負(fù)載均擔(dān)算法不夠均勻（當(dāng)然通?？梢酝ㄟ^(guò)調(diào)整無(wú)狀態(tài)負(fù)載均擔(dān)的算法避免這個(gè)問(wèn)題的出現(xiàn)）。群內(nèi)防火墻也可以按照設(shè)定，自動(dòng)負(fù)載均衡到其他防火墻，解決了負(fù)載均衡不均的問(wèn)題，使方案近乎完美。

整個(gè)方案使用無(wú)狀態(tài)負(fù)載均衡的方式，分擔(dān)流量到集群內(nèi)每臺(tái)防火墻，沒(méi)有負(fù)載均衡性能瓶頸。集群處理性能隨著加入防火墻的數(shù)量實(shí)現(xiàn)了線性增長(zhǎng)。

更靈活的防火墻多活冗余

為了避免在防火墻出現(xiàn)故障時(shí)造成的業(yè)務(wù)影響，通常我們都會(huì)選擇冗余部署。傳統(tǒng)的防火墻冗余方式使用兩臺(tái)防火墻主備冗余或者雙活方式。思科的“下一代防火墻集群”可以很容易將原來(lái)的兩臺(tái)防火墻的雙活模式擴(kuò)展為三活、四活到最大8臺(tái)設(shè)備同時(shí)工作在主用狀態(tài)。

我們以8臺(tái)舉例，群內(nèi)每臺(tái)防火墻都是主用狀態(tài)，防火墻之間使用8備8方式。任何1臺(tái)防火墻的會(huì)話，均勻的備份到其他防火墻上。如果這臺(tái)防火墻出現(xiàn)故障，7臺(tái)防火墻同時(shí)幫忙處理這臺(tái)防火墻的業(yè)務(wù)流量，能夠?qū)崿F(xiàn)無(wú)縫切換，不會(huì)有業(yè)務(wù)影響。

在添加火墻到集群或者從集群剔除過(guò)程中，同樣業(yè)務(wù)沒(méi)有影響。并且可以實(shí)現(xiàn)無(wú)縫防火墻軟件升級(jí)。

借鑒思科成熟的VPC技術(shù)，“思科下一代防火墻集群”技術(shù)實(shí)現(xiàn)了集群內(nèi)多個(gè)防火墻的多鏈路捆綁，我們稱之為“跨機(jī)箱鏈路捆綁”技術(shù)(scEC:span-clusteringEC)。它能夠把集群內(nèi)多個(gè)防火墻的鏈路捆綁在一個(gè)EthernetChannel，通過(guò)這種方式防火墻集群可以與對(duì)端路由交換機(jī)的VPC或者VSS對(duì)接，實(shí)現(xiàn)數(shù)據(jù)流全路的“設(shè)備及鏈路多虛一”，從而避免了生成樹(shù)影響。

下圖是下一代防火墻集群與思科數(shù)據(jù)中心交換機(jī)Nexus的VPC互聯(lián)的方案：

更完備的單點(diǎn)管理方式

當(dāng)多臺(tái)防火墻部署集群時(shí)，為了方便管理，通常維護(hù)人員都希望能夠通過(guò)一個(gè)管理界面統(tǒng)一管理群內(nèi)所有防火墻。“思科下一代防火墻集群”非常好的實(shí)現(xiàn)了統(tǒng)一管理。這其中包括了單點(diǎn)配置、單點(diǎn)查看各種統(tǒng)計(jì)信息、日志。另外，能夠?qū)崿F(xiàn)基于群的故障查詢，例如，群內(nèi)抓取數(shù)據(jù)包，查看群內(nèi)數(shù)據(jù)包處理流程，會(huì)話查詢等等。完全像管理一個(gè)防火墻一樣方便。

“思科下一代防火墻集群”能夠?qū)Ψ阑饓Φ耐掏?、新建?huì)話、并發(fā)連接、NAT連接進(jìn)行性能擴(kuò)展。能夠提供更高的多活冗余方式，實(shí)現(xiàn)單臺(tái)設(shè)備故障的無(wú)縫切換。同時(shí)能夠提供非常完美的統(tǒng)一管理。

集群適用于大部分防火墻部署場(chǎng)景，包括當(dāng)前的熱點(diǎn)“雙活數(shù)據(jù)中心”的安全部署，能夠通過(guò)集群對(duì)多個(gè)數(shù)據(jù)中心統(tǒng)一提供安全保護(hù)。

利用“思科下一代防火墻集群技術(shù)”，我們?cè)诔跗诓少?gòu)時(shí)，可以按照現(xiàn)有業(yè)務(wù)需求，采購(gòu)兩臺(tái)防火墻，將兩臺(tái)組成集群。在享受到集群給部署帶來(lái)的統(tǒng)一管理，快速無(wú)縫切換的好處的同時(shí)。還能夠在后期業(yè)務(wù)增長(zhǎng)，現(xiàn)有防火墻性能不夠時(shí)，通過(guò)購(gòu)買(mǎi)新的防火墻動(dòng)態(tài)加入集群，提高防火墻集群的擴(kuò)展能力。降低了TCO的同時(shí)也極大提高了ROI，是非常好的防火墻部署方式的選擇。