文/韩小平

H3C IRF智能弹性架构是N:1虚拟化技术，通过IRF虚拟化技术可以实现多台设备逻辑上的统一：管理平面呈现统一的配置界面、对外体现统一的监控节点；控制平面进行统一的协议报文处理、维护统一的转发表项；组网上多台设备虚拟化后对上下游设备体现为单一的业务处理节点，可以消除二层环路、简化路由配置；同时虚拟化后可以极大地扩展系统性能及端口密度。

传统安全产品的高可靠性实现方式主要是VRRP+双机热备的模式，但这种方式仅能解决两台设备之间互为备份的问题，本质上，两台设备之间仍然相互独立，存在部署管理复杂、扩展性差的问题。新一代安全产品需要克服这些问题，实现多台设备的有机融合，即在业务层面实现IRF。

根据安全产品的实现架构，有两种不同的设备形态：高端交换机（路由器）+防火墙插卡和独立安全设备。两种形态的产品组网部署一致、IRF技术实现本质相同，但在备份方案上面有差异。本文分别对两种产品形态产品的IRF技术实现和部署进行说明。

1 安全IRF与网络IRF差异化说明

安全IRF和网络IRF技术实现本质相同，是一种控制平面虚拟化技术。两者在主设备选举、IRF设备配置管理、成员设备业务处理及组网部署方面基本一致，差异化在于：

1）网络设备IRF的成员设备之间无需同步任何状态信息，而安全设备特有的安全控制及基于状态的业务需求要求互相备份的成员设备之间同步会话、ALG、VPN等状态信息，即通常所说的状态热备，确保故障切换后用户业务不中断；（状态热备技术相对成熟，相互备份的两台设备通过IRF链路同步相关状态信息，本文不再赘述。）

2）从业务处理角度看，网络设备IRF各成员设备之间独立处理流量，即设备间是Active/Active，而安全设备常见的组网模型中存在Active/Standby业务处理需求，Standby设备作为Active设备的备份，仅在Active设备故障的情况下才会工作。

2 独立安全设备IRF实现及典型部署

2.1 独立安全设备IRF实现

为实现Active/Standby业务处理，需要引入备份组及备份组内成员设备优先级（主备）的概念。相互备份的两台设备加入同一个备份组，并且指定各成员设备的优先级（优先级高者为主，优先级低者为备）。系统根据各成员优先级设置聚合成员口的活动与否状态，从而实现Active/Active或Active/Standby的业务处理。默认情况下，接口故障仅触发聚合成员口切换，为避免非对称流量处理，可以通过监控接口状态调整备份组内成员设备优先级来实现上下行同时切换。IRF控制平面主备和业务处理主备相互独立，二者可以单独切换（如图1所示）。

http://www.h3c.com.cn/res/201305/20/20130520_1596720_image001_785025_30008_0.jpg

图1 安全IRF控制平面及数据平面主备示意图

IRF链路带宽要求在主备和主主模式下不同。主备模式组网时，由于可以保证上下行数据流送到当前的主设备，所以不会存在横向流量，IRF链路仅存在一些控制平面状态协商信息、状态监控信息及session同步数据等，数据量不会太大，一般情况下GE链路即可，为实现冗余可以采用GE链路捆绑。对于双主模式组网，当一侧接口故障后，会存在较大非对称流量，此时IRF链路选择要考虑极限流量。

2.2 独立安全设备组网部署及HA切换

1. 基本Active/Standby

http://www.h3c.com.cn/res/201305/20/20130520_1596721_image002_785025_30008_0.jpg

图2 基本 Active/Standby组网及故障切换

2. Full-Mesh Active/Standby

http://www.h3c.com.cn/res/201305/20/20130520_1596722_image003_785025_30008_0.jpg

图3 Fullmesh Active/Standby组网及故障切换

3. Active/Active

http://www.h3c.com.cn/res/201305/20/20130520_1596723_image004_785025_30008_0.jpg

图4 Active/Active组网及故障切换

安全设备实现IRF后，在可维护性、高可靠性和切换时间方面有了质的提升，可以做到各种情况下的毫秒级切换，相比传统的基于VRRP或路由的双机部署有以下明显改进：

• 统一的管理平面，简化管理员配置复杂度的同时，有效解决双机配置同步带来的配置不一致问题。
• 双机配置单一的IP地址，相比VRRP有效节省公网IP地址资源。
• 主备协商信息通过内部IRF通道传输，避免了VRRP依赖外部二层通道的弊端，降低了组网要求，保证了协议报文的可靠性。
• 业务处理主备技术保证来回路径快速收敛一致，无需复杂的track配置。
• IRF非对称处理机制配合状态热备技术可以保证来回路径不一致时，业务处理无丢包。
• 流量切换后路由等转发表项无需重新学习，进一步减小故障对业务的影响。

3 交换机+多插卡安全IRF技术实现

在交换机+多插卡设备中，主控引擎负责配置管理、路由学习，安全插卡负责对引流上来的流量进行安全业务处理，接口板负责根据静态或动态生成的引流策略进行数据流量分发，需要保证同流同宿。分布式架构从根本上解决了交换机（路由器）+插卡管理离散、引流复杂的弊端。

在交换机+多插卡设备中，安全插卡作为具体业务处理单元，由主控板统一管理，所以多插卡设备的IRF技术实现与网络设备IRF本质相同，IRF配置管理及组网部署一致。在备份方案上，与独立安全设备不同，交换机+多插卡IRF的备份是通过安全插卡的一对一备份来实现的，备份方案实现要点如下：

ž 在IRF系统中，同时存在多个安全插卡，管理员可以根据业务进行安全插卡功能划分，将处理相同业务的多个安全插卡加入同一个逻辑引擎组；

ž 在逻辑引擎组内创建备份组，并指定备份组内两个安全插卡的优先级；

ž 接口板根据静态指定或动态生成的引流策略将报文重定向到某一个安全插卡或某一逻辑引擎组，即重定向到该安全插卡的虚拟外部接口或由逻辑引擎组内各安全插卡的虚拟外部接口组成的聚合接口，为区别于真实外部互联聚合接口，可以把该聚合接口称之为分流聚合口；

ž 系统根据备份组内成员插卡的优先级设置分流聚合口成员的活动与否状态，确保数据流不会被重定向到Standby安全插卡。

ž 主控板实时监控各备份组内成员插卡的状态，一旦发现插卡故障，则进行相应的分流聚合口成员状态切换（如图5所示）。

http://www.h3c.com.cn/res/201305/20/20130520_1596724_image005_785025_30008_0.jpg

图5 引擎备份示意图

交换机+多插卡设备由于备份是在内部安全插卡之间，所以外部互联聚合口成员都处于活动状态。内部安全插卡切换时，外部互联聚合口状态不变，外部无感知，各节点故障切换情况如表1所示。

http://www.h3c.com.cn/res/201305/20/20130520_1596725_image006_785025_30008_0.jpg

表1 分布式产品故障切换

交换机+多插卡产品的IRF技术使当前离散的安全插卡逻辑归一化，相比普通的双机热备具有明显的架构优势：

• 解决VRRP部署带来的组网依赖、地址浪费、切换时间长的问题；
• 统一配置管理及监控节点、避免配置不一致带来的切换问题，减少外部网管平台维护复杂度；
• 基于业务划分安全插卡，灵活实现同一台设备满足多类型业务需求，并根据不同业务需求配置备份或负载分担；
• 灵活、智能、自动化的分流技术，管理员无需关心如何在多安全插卡进行负载分担，简化配置维护难度；
• 安全插卡故障切换，外部网络无感知，转发表项无需更新，减小收敛时间，控制引擎单独切换、业务流量无感知、无中断。

4 结束语

安全IRF技术是应对云计算多对1虚拟化的关键技术手段，可以有效提升大容量安全资源池的组网部署及统一化管理，同时也可以充分利用IRF在故障切换方面的毫秒级优势，提升安全设备在双机热备环境下的可靠性水平，保证用户应用可以永续运行。