數(shù)據(jù)中心系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種數(shù)據(jù)中心系統(tǒng)。該系統(tǒng)包括:通過二層網(wǎng)絡(luò)互聯(lián)的至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)�����,每個(gè)數(shù)據(jù)中心子系統(tǒng)包括多個(gè)主機(jī)、與多個(gè)主機(jī)連接的二層交換機(jī)���、與二層交換機(jī)連接的防火墻組�����、與二層交換機(jī)連接的二層擴(kuò)展設(shè)備���、分別與防火墻組和二層擴(kuò)展設(shè)備連接的路由設(shè)備,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過第一虛擬局域網(wǎng)中的同步通道傳輸同步信息��,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的二層擴(kuò)展設(shè)備通過第二虛擬局域網(wǎng)中的業(yè)務(wù)通道傳輸業(yè)務(wù)信息����,第一虛擬局域網(wǎng)和第二虛擬局域網(wǎng)設(shè)置在二層網(wǎng)絡(luò)上。本發(fā)明解決了相關(guān)技術(shù)中雙活數(shù)據(jù)中心不能協(xié)同工作的技術(shù)問題�����。
【專利說明】
數(shù)據(jù)中心系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域��,具體而言�����,涉及一種數(shù)據(jù)中心系統(tǒng)。
【背景技術(shù)】
[0002]在一些行業(yè)中��,例如金融行業(yè)�����,數(shù)據(jù)中心承載了重要的數(shù)據(jù)信息及生產(chǎn)辦公業(yè)務(wù)�。數(shù)據(jù)中心的可靠性直接關(guān)系到業(yè)務(wù)是否能夠持續(xù)可靠運(yùn)行,考慮到停電�����,地震等因素����,一般要建設(shè)兩地三中心���,即在兩個(gè)相隔比較遠(yuǎn)的城市建設(shè)三個(gè)數(shù)據(jù)中心�����,一般在一個(gè)城市建設(shè)兩個(gè)數(shù)據(jù)中心���,異地再建設(shè)一個(gè)數(shù)據(jù)中心,構(gòu)成兩地三中心。同城市的兩個(gè)數(shù)據(jù)中心構(gòu)成雙活數(shù)據(jù)中心���,即兩個(gè)數(shù)據(jù)中心同時(shí)運(yùn)行��,對(duì)外提供服務(wù)�����,并互為備份�。
[0003]如圖1所示����,在現(xiàn)有的數(shù)據(jù)中心內(nèi),防火墻102’可以實(shí)現(xiàn)南北向(互聯(lián)網(wǎng)與主機(jī)103 ’之間�,需要經(jīng)過路由1 I’、防火墻102’����、交換機(jī)103’和主機(jī)104’)流量的安全防護(hù)和東西向流量(主機(jī)之間的跨局域網(wǎng)的三層流量,如局域網(wǎng)105’中的IP為192.168.10.2的主機(jī)訪問局域網(wǎng)106’中的IP為192.168.20.2的主機(jī)的流量���,需要經(jīng)過防火墻處理)的安全防護(hù)����。
[0004]為了便于業(yè)務(wù)在兩個(gè)數(shù)據(jù)中心之間的迀移,兩個(gè)數(shù)據(jù)中心互聯(lián)一般采用二層擴(kuò)展方式(也叫數(shù)據(jù)中心的大二層)將兩個(gè)數(shù)據(jù)中心進(jìn)行二層互聯(lián)�,即兩個(gè)數(shù)據(jù)中心在二層上是互通的,一個(gè)虛擬機(jī)從一個(gè)數(shù)據(jù)中心迀移到另一個(gè)數(shù)據(jù)中心后不用更改IP地址和路由即可繼續(xù)不中斷地運(yùn)行和提供相應(yīng)的業(yè)務(wù)����。
[0005]如圖2所示,為每個(gè)數(shù)據(jù)中心中增加一個(gè)二層擴(kuò)展設(shè)備205’��,還包括路由器201’����、防火墻202’、交換機(jī)203’��、主機(jī)204’���、局域網(wǎng)206’和局域網(wǎng)207’�����,目前數(shù)據(jù)中心二層擴(kuò)展有多種方案,例如�,0TV(0verlay Transport Virtualizat1n)方案,EVN(Ethernet VirtualNetwork)方案����。其原理是讓兩個(gè)數(shù)據(jù)中心的二層互通�,以使同一個(gè)局域網(wǎng)的兩個(gè)主機(jī)相互訪問時(shí)不用感知主機(jī)的具體位置��,主機(jī)在跨數(shù)據(jù)中心的迀移時(shí)不用更改IP地址��。
[0006]同一個(gè)局域網(wǎng)在每個(gè)數(shù)據(jù)中心有相同的網(wǎng)關(guān)地址�����,(如����,左邊數(shù)據(jù)中心局域網(wǎng)206’的網(wǎng)關(guān)是192.168.10.1,右邊數(shù)據(jù)中心的局域網(wǎng)206’的網(wǎng)關(guān)也是192.168.10.1)����,這相當(dāng)于在同一個(gè)局域網(wǎng)中有兩個(gè)相同的IP地址,如果不做處理的話��,會(huì)發(fā)生IP地址沖突��,而二層擴(kuò)展設(shè)備支持對(duì)包括指定的IP地址的ARP包進(jìn)行過濾����,實(shí)際部署時(shí)��,可以在二層擴(kuò)展設(shè)備上配置以過濾掉包括網(wǎng)關(guān)IP地址的ARP包�����,這樣�,網(wǎng)關(guān)的ARP包就不會(huì)跨數(shù)據(jù)中心轉(zhuǎn)發(fā)�。
[0007]每個(gè)數(shù)據(jù)中心的防火墻部署與單數(shù)據(jù)中心是一致的,但兩個(gè)數(shù)據(jù)中心進(jìn)行二層擴(kuò)展互聯(lián)后����,如果兩個(gè)數(shù)據(jù)中心的防火墻之間獨(dú)立而不協(xié)同工作的話,是不能正常工作的��。這是因?yàn)樵趦蓚€(gè)數(shù)據(jù)中心二層互聯(lián)情況下��,主機(jī)之間跨局域網(wǎng)且跨數(shù)據(jù)中心的訪問存在非對(duì)稱路由����,即對(duì)于同一個(gè)會(huì)話,一個(gè)防火墻只能接收到一個(gè)方向的流量�。由于防火墻需要做基于狀態(tài)的檢測(cè),如果不能接收到同一個(gè)會(huì)話的兩個(gè)方向流量則不能對(duì)數(shù)據(jù)包進(jìn)行正確的處理�����。
[0008]如����,以左邊數(shù)據(jù)中心中局域網(wǎng)206,的IP為192.168.10.2的主機(jī)(簡(jiǎn)稱主機(jī)A)訪問右邊數(shù)據(jù)中心中局域網(wǎng)207����,的IP為192.168.20.4的主機(jī)(簡(jiǎn)稱主機(jī)B)為例,主機(jī)A向主機(jī)B發(fā)送一個(gè)TCP SYN包���,需要依次經(jīng)過左邊數(shù)據(jù)中心的交換機(jī)�����、防火墻��,再由防火墻返回至交換機(jī)��,經(jīng)過交換機(jī)����、二層擴(kuò)展設(shè)備����、路由器之后��,到達(dá)右側(cè)數(shù)據(jù)中心���,再經(jīng)過右側(cè)數(shù)據(jù)中心的路由器、二層擴(kuò)展設(shè)備和交換機(jī)后到達(dá)主機(jī)B�����,主機(jī)B收到TCP SYN包后會(huì)回送一個(gè)TCP SYNACK包����,需要依次經(jīng)過右側(cè)數(shù)據(jù)中心的交換機(jī)和防火墻,再由防火墻返回至交換機(jī)���,經(jīng)過交換機(jī)�、二層擴(kuò)展設(shè)備����、路由器之后,到達(dá)左側(cè)數(shù)據(jù)中心��,再經(jīng)過左側(cè)數(shù)據(jù)中心的路由器����、二層擴(kuò)展設(shè)備和交換機(jī)后到達(dá)主機(jī)A��,左側(cè)數(shù)據(jù)中心的防火墻只處理了TCP SYN包的發(fā)送�,右側(cè)數(shù)據(jù)中心的防火墻也只處理了TCP SYN ACK包的發(fā)送�����,其相當(dāng)于兩側(cè)的防火墻只接收到了單方向的數(shù)據(jù)包�,這種情況下���,防火墻的安全處理功能是不能正常工作的����,主機(jī)A和主機(jī)B再次發(fā)送的數(shù)據(jù)包則會(huì)被防火墻丟棄���。
[0009]針對(duì)相關(guān)技術(shù)中雙活數(shù)據(jù)中心不能協(xié)同工作的技術(shù)問題�,目前尚未提出有效的解決方案��。
【發(fā)明內(nèi)容】
[0010]本發(fā)明實(shí)施例提供了一種數(shù)據(jù)中心系統(tǒng)�,以至少解決相關(guān)技術(shù)中雙活數(shù)據(jù)中心不能協(xié)同工作的技術(shù)問題。
[0011]根據(jù)本發(fā)明的實(shí)施例����,提供了一種數(shù)據(jù)中心系統(tǒng)��,該系統(tǒng)包括:通過二層網(wǎng)絡(luò)互聯(lián)的至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)�,每個(gè)數(shù)據(jù)中心子系統(tǒng)包括多個(gè)主機(jī)��、與多個(gè)主機(jī)連接的二層交換機(jī)��、與二層交換機(jī)連接的防火墻組�����、與二層交換機(jī)連接的二層擴(kuò)展設(shè)備����、分別與防火墻組和二層擴(kuò)展設(shè)備連接的路由設(shè)備,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過第一虛擬局域網(wǎng)中的同步通道傳輸同步信息���,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的二層擴(kuò)展設(shè)備通過第二虛擬局域網(wǎng)中的業(yè)務(wù)通道傳輸業(yè)務(wù)信息���,其中,第一虛擬局域網(wǎng)和第二虛擬局域網(wǎng)設(shè)置在二層網(wǎng)絡(luò)上���。
[0012]進(jìn)一步地����,在至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的任一數(shù)據(jù)中心子系統(tǒng)中,防火墻組包括一個(gè)或多個(gè)防火墻���,每個(gè)防火墻的業(yè)務(wù)接口配置有第一 MAC地址��、第二 MAC地址以及第三MAC地址��,其中,第一 MAC地址用于與任一數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用����,第二 MAC地址用于與其他數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用,第三MAC地址用于轉(zhuǎn)發(fā)非對(duì)稱路由的數(shù)據(jù)包時(shí)使用�,防火墻的業(yè)務(wù)接口與業(yè)務(wù)通道連接。
[0013]進(jìn)一步地����,每個(gè)防火墻的業(yè)務(wù)接口配置有第一 IP地址和第二 IP地址,第一 IP地址用于與任一數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用�,第二 IP地址用于與其他數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用。
[0014]進(jìn)一步地�����,在二層擴(kuò)展設(shè)備的配置文件中,配置有用于過濾以第一MAC地址為源MAC地址和/或以第一 IP地址為源IP地址的數(shù)據(jù)包的信息�����。
[0015]進(jìn)一步地�����,防火墻每隔預(yù)設(shè)時(shí)長(zhǎng)���,以第一MAC地址為源地址發(fā)送免費(fèi)ARP包��。
[0016]進(jìn)一步地��,同步信息包括心跳包��,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過同步通道交換心跳包����,其中�,在預(yù)設(shè)時(shí)間段內(nèi),若從防火墻組未接收到主防火墻組中所有防火墻發(fā)送的心跳包����,則將從防火墻組中的之一切換為主防火墻組��。
[0017]進(jìn)一步地��,同步信息還包括全局配置信息���,在主防火墻組與從防火墻組交換心跳包后,在從防火墻組與主防火墻組的全局配置不相同的情況下��,將主防火墻組的全局配置信息傳輸至從防火墻組��,以使從防火墻組的全局配置與主防火墻組的全局配置相同�����。
[0018]進(jìn)一步地���,同步信息還包括會(huì)話信息和會(huì)話狀態(tài),在至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)中的任意兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻建立會(huì)話連接后���,通過同步通道傳輸會(huì)話信息和會(huì)話狀態(tài)����,其中��,任意兩個(gè)數(shù)據(jù)中心子系統(tǒng)中建立會(huì)話連接的數(shù)據(jù)中心子系統(tǒng)的防火墻的會(huì)話狀態(tài)為第一狀態(tài),另一個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻的會(huì)話狀態(tài)為第二狀態(tài)��。
[0019]進(jìn)一步地�,在至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)中的任一數(shù)據(jù)中心子系統(tǒng)的防火墻接收到會(huì)話數(shù)據(jù)包且會(huì)話狀態(tài)為第二狀態(tài)時(shí),根據(jù)會(huì)話數(shù)據(jù)包確定發(fā)起會(huì)話的防火墻�,并將會(huì)話數(shù)據(jù)包的源MAC地址替換為接收到會(huì)話數(shù)據(jù)包的防火墻的業(yè)務(wù)接口的第三MAC地址,將會(huì)話數(shù)據(jù)包的目的MAC地址替換為發(fā)起會(huì)話的防火墻的業(yè)務(wù)接口的第三MAC地址�����,并通過二層擴(kuò)展設(shè)備轉(zhuǎn)發(fā)會(huì)話數(shù)據(jù)包�。
[0020]進(jìn)一步地,發(fā)起會(huì)話的防火墻在接收到會(huì)話數(shù)據(jù)包之后����,按照會(huì)話數(shù)據(jù)包中的IP地址信息發(fā)送會(huì)話數(shù)據(jù)包。
[0021]在本發(fā)明實(shí)施例中�,本申請(qǐng)的數(shù)據(jù)中心系統(tǒng)包括通過二層網(wǎng)絡(luò)互聯(lián)的至少兩個(gè)數(shù)據(jù)中心子系統(tǒng),每個(gè)數(shù)據(jù)中心子系統(tǒng)包括多個(gè)主機(jī)�����、與多個(gè)主機(jī)連接的二層交換機(jī)��、與二層交換機(jī)連接的防火墻組���、與二層交換機(jī)連接的二層擴(kuò)展設(shè)備�����、分別與防火墻組和二層擴(kuò)展設(shè)備連接的路由設(shè)備����,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過第一虛擬局域網(wǎng)中的同步通道傳輸同步信息,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的二層擴(kuò)展設(shè)備通過第二虛擬局域網(wǎng)中的業(yè)務(wù)通道傳輸業(yè)務(wù)信息�����,第一虛擬局域網(wǎng)和第二虛擬局域網(wǎng)設(shè)置在二層網(wǎng)絡(luò)上��,數(shù)據(jù)中心子系統(tǒng)之間通過同步通道進(jìn)行同步通訊�,并通過業(yè)務(wù)通道傳輸業(yè)務(wù)信息,以使跨數(shù)據(jù)中心的數(shù)據(jù)能夠被正確傳送����,從而解決了相關(guān)技術(shù)中雙活數(shù)據(jù)中心不能協(xié)同工作的技術(shù)問題���,實(shí)現(xiàn)了數(shù)據(jù)中心之間協(xié)同工作的技術(shù)效果����。
【附圖說明】
[0022]此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分�����,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明�,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0023]圖1是相關(guān)技術(shù)中一種可選的數(shù)據(jù)中心的示意圖���;
[0024]圖2是相關(guān)技術(shù)中另一種可選的數(shù)據(jù)中心的示意圖���;
[0025]圖3是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)中心系統(tǒng)的示意圖;以及
[0026]圖4是根據(jù)本發(fā)明實(shí)施例的一種可選的數(shù)據(jù)中心系統(tǒng)的示意圖��。
【具體實(shí)施方式】
[0027]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案�����,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述��,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例�,而不是全部的實(shí)施例?�;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍��。
[0028]需要說明的是�,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象�,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換�,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤4送?����,術(shù)語“包括”和“具有”以及他們的任何變形����,意圖在于覆蓋不排他的包含����,例如��,包含了一系列步驟或單元的過程���、方法、系統(tǒng)��、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元��,而是可包括沒有清楚地列出的或?qū)τ谶@些過程�、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元�。
[0029]首先,在對(duì)本發(fā)明實(shí)施例進(jìn)行描述的過程中出現(xiàn)的部分名詞或術(shù)語適用于如下解釋:
[0030]MAC:Media Access Control或者M(jìn)edium Access Control���,意譯為媒體訪問控制�,或稱為物理地址����、硬件地址,用來定義網(wǎng)絡(luò)設(shè)備的位置��。在OSI模型中�,第三層網(wǎng)絡(luò)層負(fù)責(zé)IP地址,第二層數(shù)據(jù)鏈路層則負(fù)責(zé)MAC地址,因此�,一個(gè)主機(jī)會(huì)有一個(gè)MAC地址,而每個(gè)網(wǎng)絡(luò)位置會(huì)有一個(gè)專屬于它的IP地址���。
[0031 ] ARP: Address Resolut1n Protocol��,地址解析協(xié)議���,是根據(jù)IP地址獲取物理地址的一個(gè)TCP/IP協(xié)議。
[0032]單播包:主機(jī)之間“一對(duì)一”的通訊模式��,網(wǎng)絡(luò)中的交換機(jī)和路由器對(duì)數(shù)據(jù)只進(jìn)行轉(zhuǎn)發(fā)不進(jìn)行復(fù)制�����,如果10個(gè)客戶機(jī)需要相同的數(shù)據(jù)����,則服務(wù)器需要逐一傳送,重復(fù)10次相同的工作�����。
[0033]TCP transmiss1n Control Protocol���,傳輸控制協(xié)議��,是一種面向連接的��、可靠的���、基于字節(jié)流的傳輸層通信協(xié)議,由IETF的RFC 793定義�。在建立TCP連接時(shí),需要發(fā)送一個(gè)TCP SYN包�,該包是TCP/IP建立連接時(shí)使用的握手信號(hào),并接受對(duì)方服務(wù)器發(fā)送的TCPSYN ACK數(shù)據(jù)包����,即應(yīng)答消息,以表示數(shù)據(jù)可以進(jìn)行傳遞���。
[0034]根據(jù)本發(fā)明實(shí)施例��,提供了一種數(shù)據(jù)中心系統(tǒng)的實(shí)施例���,圖3是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)中心系統(tǒng)的示意圖,如圖3所示��,該系統(tǒng)包括:通過二層網(wǎng)絡(luò)互聯(lián)的至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)。
[0035]每個(gè)數(shù)據(jù)中心子系統(tǒng)包括多個(gè)主機(jī)31����、與多個(gè)主機(jī)連接的二層交換機(jī)32、與二層交換機(jī)連接的防火墻組33���、與二層交換機(jī)連接的二層擴(kuò)展設(shè)備34���、分別與防火墻組和二層擴(kuò)展設(shè)備連接的路由設(shè)備35,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過第一虛擬局域網(wǎng)中的同步通道36傳輸同步信息��,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的二層擴(kuò)展設(shè)備通過第二虛擬局域網(wǎng)中的業(yè)務(wù)通道37傳輸業(yè)務(wù)信息�����,第一虛擬局域網(wǎng)和第二虛擬局域網(wǎng)設(shè)置在二層網(wǎng)絡(luò)上����。
[0036]需要說明的是,數(shù)據(jù)中心的路由設(shè)備之間通過互聯(lián)網(wǎng)互聯(lián)�����。
[0037]通過上述實(shí)施例�����,本申請(qǐng)的數(shù)據(jù)中心系統(tǒng)包括通過二層網(wǎng)絡(luò)互聯(lián)的至少兩個(gè)數(shù)據(jù)中心子系統(tǒng),每個(gè)數(shù)據(jù)中心子系統(tǒng)包括多個(gè)主機(jī)���、與多個(gè)主機(jī)連接的二層交換機(jī)、與二層交換機(jī)連接的防火墻組�、與二層交換機(jī)連接的二層擴(kuò)展設(shè)備、分別與防火墻組和二層擴(kuò)展設(shè)備連接的路由設(shè)備�����,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過第一虛擬局域網(wǎng)中的同步通道傳輸同步信息���,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的二層擴(kuò)展設(shè)備通過第二虛擬局域網(wǎng)中的業(yè)務(wù)通道傳輸業(yè)務(wù)信息��,第一虛擬局域網(wǎng)和第二虛擬局域網(wǎng)設(shè)置在二層網(wǎng)絡(luò)上����,數(shù)據(jù)中心子系統(tǒng)之間通過同步通道進(jìn)行同步通訊���,并通過業(yè)務(wù)通道傳輸業(yè)務(wù)信息����,以使跨數(shù)據(jù)中心的數(shù)據(jù)能夠被正確傳送,從而解決了相關(guān)技術(shù)中雙活數(shù)據(jù)中心不能協(xié)同工作的技術(shù)問題�����,實(shí)現(xiàn)了數(shù)據(jù)中心之間協(xié)同工作的技術(shù)效果�����。
[0038]上述的二層擴(kuò)展設(shè)備可以為具有二層互聯(lián)功能的路由器�。
[0039]在上述實(shí)施例中,本申請(qǐng)的數(shù)據(jù)中心系統(tǒng)可以包括兩個(gè)數(shù)據(jù)中心子系統(tǒng)���,也可以包括多個(gè)數(shù)據(jù)中心子系統(tǒng)�,下面以兩個(gè)為例進(jìn)行說明��,在雙活數(shù)據(jù)中心(即包括兩個(gè)數(shù)據(jù)中心子系統(tǒng))場(chǎng)景下�����,虛擬主機(jī)可以在兩個(gè)數(shù)據(jù)中心之間迀移����,采用本申請(qǐng)的上述方式配置雙活數(shù)據(jù)中心,數(shù)據(jù)中心之間可以通過同步通道進(jìn)行同步�����,并通過業(yè)務(wù)通道傳輸信息,而不用更改數(shù)據(jù)中心的配置�,即保證了兩個(gè)數(shù)據(jù)中心的安全策略配置的一致性,而不用在兩套系統(tǒng)上分別進(jìn)行配置��,從而減少了維護(hù)的工作量�����。
[0040]在上述實(shí)施例中�,為了提高防火墻的可用性��,在本申請(qǐng)中���,每個(gè)數(shù)據(jù)中心子系統(tǒng)中配置有一套防火墻�����,每套防火墻組包括一個(gè)或多個(gè)防火墻���,一般部署兩個(gè)防火墻,以構(gòu)成一個(gè)高可用系統(tǒng)�,這兩個(gè)防火墻之間進(jìn)行配置和會(huì)話同步����,實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)同步和備份��。
[0041]需要說明的是�,兩個(gè)防火墻的備份模式可以為主備模式,即一個(gè)防火墻處理業(yè)務(wù)數(shù)據(jù)包�,另一個(gè)防火墻處于備份狀態(tài),也可以為主主模式��,即兩個(gè)防火墻處理業(yè)務(wù)數(shù)據(jù)包�����,不論工作在哪個(gè)模式下�����,當(dāng)其中一個(gè)發(fā)生故障后���,另一個(gè)接手處理所有業(yè)務(wù)����,以實(shí)現(xiàn)防火墻的尚可用性。
[0042]另外�,每個(gè)防火墻的業(yè)務(wù)接口配置有第一MAC地址、第二 MAC地址以及第三MAC地址����,其中,第一MAC地址用于與任一數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用�����,第二MAC地址用于與其他數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用����,第三MAC地址用于轉(zhuǎn)發(fā)非對(duì)稱路由的數(shù)據(jù)包時(shí)使用,防火墻的業(yè)務(wù)接口與業(yè)務(wù)通道連接����。
[0043]上述的業(yè)務(wù)接口也即服務(wù)器的網(wǎng)關(guān)接口��,網(wǎng)關(guān)設(shè)置在防火墻上���。為每一個(gè)業(yè)務(wù)接口配置多個(gè)MAC地址����,每個(gè)MAC地址在不同的場(chǎng)景下使用,即可以解決由于數(shù)據(jù)包的路由不對(duì)稱造成的丟數(shù)據(jù)包的問題�。
[0044]如,對(duì)于第一MAC地址而言����,在同一數(shù)據(jù)中心中,其他設(shè)備看到的業(yè)務(wù)接口的MAC地址即第一MAC地址����。主機(jī)向防火墻發(fā)送數(shù)據(jù)包時(shí),目的MAC地址即第一MAC地址�����,防火墻發(fā)送ARP響應(yīng)包和免費(fèi)ARP包時(shí)也用第一 MAC地址作為源地址�,為了滿足數(shù)據(jù)中心主機(jī)在兩個(gè)數(shù)據(jù)中心迀移而業(yè)務(wù)不中斷的需求,滿足全局配置相同的要求���,不同數(shù)據(jù)中心中對(duì)應(yīng)的業(yè)務(wù)接口的第一MAC地址相同����。
[0045]由于兩套防火墻的對(duì)應(yīng)的業(yè)務(wù)接口第一MAC地址相同�����,其相當(dāng)于在同一個(gè)網(wǎng)絡(luò)中出現(xiàn)了相同的MAC地址,在通訊時(shí)就會(huì)引起通訊混亂���,為了解決該問題���,在二層擴(kuò)展設(shè)備的配置文件中,配置有用于過濾以第一MAC地址為源MAC地址和/或以第一IP地址為源IP地址的數(shù)據(jù)包的信息����。即二層擴(kuò)展設(shè)備需要過濾掉網(wǎng)關(guān)IP地址(即使用業(yè)務(wù)接口的第一MAC地址)發(fā)送的ARP包,從而使得網(wǎng)關(guān)發(fā)送的ARP包不會(huì)跨數(shù)據(jù)中心傳輸����,為了解決跨數(shù)據(jù)中心的數(shù)據(jù)傳輸問題,就為業(yè)務(wù)接口配置了第二MAC地址����,即在防火墻進(jìn)行跨數(shù)據(jù)中心的數(shù)據(jù)傳輸時(shí)使用第二 MAC地址,如給其他數(shù)據(jù)中心的主機(jī)發(fā)送IP數(shù)據(jù)包����、ARP請(qǐng)求包等����,任意兩個(gè)數(shù)據(jù)中心的第二MAC地址是不相同的。另外,還需要代理為業(yè)務(wù)接口配置轉(zhuǎn)發(fā)MAC地址(即第三MAC地址)��,任意兩套防火墻的對(duì)應(yīng)接口的代理轉(zhuǎn)發(fā)MAC地址是不同的���,代理轉(zhuǎn)發(fā)MAC地址用于轉(zhuǎn)發(fā)非對(duì)稱路由的數(shù)據(jù)包����。
[0046]可選地���,在配置完業(yè)務(wù)接口的MAC地址之后�,還需要對(duì)其IP地址做調(diào)整���,具體如下:每個(gè)防火墻的業(yè)務(wù)接口配置有第一 IP地址和第二 IP地址��,第一 IP地址用于與任一數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用��,服務(wù)器上設(shè)置的網(wǎng)關(guān)IP地址是這個(gè)地址�����,其配置屬性為全局��,配置時(shí)會(huì)同步到對(duì)端�,也即不同數(shù)據(jù)中心的業(yè)務(wù)接口的第一 IP地址相同,第二 IP地址用于與其他數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用�����,在二層擴(kuò)展設(shè)備上設(shè)置了針對(duì)網(wǎng)關(guān)IP地址(即第一IP地址)和網(wǎng)關(guān)MAC地址(第一MAC地址)進(jìn)行過濾的配置��,包含網(wǎng)關(guān)IP地址和網(wǎng)關(guān)MAC地址的ARP包會(huì)被過濾����,但是一個(gè)數(shù)據(jù)中心的防火墻需要與另一個(gè)數(shù)據(jù)中心的服務(wù)器進(jìn)行通信時(shí),需要讓防火墻知道對(duì)端數(shù)據(jù)中心的服務(wù)器的ARP信息�����,因此�,防火墻發(fā)送ARP請(qǐng)求包時(shí)不用業(yè)務(wù)第一 MAC地址和第一 IP地址,而用第二 IP地址和第二 MAC地址���。
[0047]需要說明的是��,由于兩個(gè)數(shù)據(jù)中心的防火墻通訊時(shí)�,使用的是二層網(wǎng)絡(luò)上的通道����,即直接通過MAC地址進(jìn)行通訊,所以防火墻在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)不需要知道對(duì)端防火墻的IP地址����,而直接使用MAC地址即可,故而無需為業(yè)務(wù)接口配置轉(zhuǎn)發(fā)用的IP地址�����。
[0048]在一個(gè)可選的實(shí)施例中��,防火墻每隔預(yù)設(shè)時(shí)長(zhǎng)����,以第一MAC地址為源地址發(fā)送免費(fèi)ARP 包。
[0049]具體的���,由于業(yè)務(wù)接口發(fā)送ARP響應(yīng)包和免費(fèi)ARP包時(shí)����,源MAC地址用業(yè)務(wù)第一MAC地址�����,發(fā)送ARP請(qǐng)求包和IP包時(shí)源MAC地址使用業(yè)務(wù)第二 MAC地址��,如果長(zhǎng)時(shí)間沒有發(fā)送ARP響應(yīng)包和免費(fèi)ARP包,可能導(dǎo)致數(shù)據(jù)中心交換機(jī)學(xué)到的業(yè)務(wù)MACl (即上述的第一 MAC地址)表項(xiàng)超時(shí)���,從而會(huì)引起未知單播包增多的問題�,因此����,在每個(gè)業(yè)務(wù)接口啟用一個(gè)定時(shí)器(定時(shí)時(shí)間應(yīng)小于交換機(jī)的MAC表項(xiàng)的老化時(shí)間,如60秒)�,以使業(yè)務(wù)接口定時(shí)向外發(fā)送第一MAC地址的免費(fèi)ARP包,以便交換機(jī)的MAC表項(xiàng)能夠得到刷新����。
[0050]上述的同步信息包括心跳包,至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過同步通道交換心跳包�����,其中�����,在預(yù)設(shè)時(shí)間段內(nèi)����,若從防火墻組未接收到主防火墻組中所有防火墻發(fā)送的心跳包����,則將從防火墻組中的之一切換為主防火墻組��。
[0051 ]如圖3所示���,左邊數(shù)據(jù)中心的一套防火墻和右邊數(shù)據(jù)中心的一套防火墻相互發(fā)送心跳包,以便實(shí)現(xiàn)業(yè)務(wù)處理和管理的同步�����,在業(yè)務(wù)處理上�,兩套防火墻是平等的,沒有主備角色����,在管理平面上,設(shè)置一個(gè)主備角色(為了描述簡(jiǎn)單����,將主角色稱為管理主,將備角色稱為管理備)����。處于管理主的防火墻組可以接收配置管理命令�����,并將全局配置同步到處于管理備的防火墻組上�����,從而實(shí)現(xiàn)配置的統(tǒng)一管理�����,管理主和管理備是通過協(xié)商出來的���,如在防火墻上可配置協(xié)商優(yōu)先級(jí),在協(xié)商時(shí)�����,優(yōu)先級(jí)高的為管理主����,優(yōu)先級(jí)低的為管理備,如果優(yōu)先級(jí)相同�����,則可以看運(yùn)行時(shí)間,運(yùn)行時(shí)間長(zhǎng)的為管理主���,低的為管理備����。
[0052]兩套防火墻互發(fā)心跳包��,通過心跳消息��,兩套防火墻相互監(jiān)測(cè)狀態(tài)�����,以確定防火墻的狀態(tài)為正常運(yùn)行態(tài)還是故障態(tài)�����,由于一套防火墻一般由兩個(gè)防火墻組成�����,主防火墻負(fù)責(zé)處理業(yè)務(wù)����,當(dāng)其發(fā)生故障后,另一個(gè)防火墻會(huì)接手處理��,因此�,只有當(dāng)一套防火墻的所有防火墻都丟失心跳后,才能確定這套防火墻的狀態(tài)為故障態(tài)�����,從而將從處于管理備的防火墻組切換為管理主的防火墻組����,具體由管理主的防火墻組中的主防火墻負(fù)責(zé)管理主的功能。
[0053]可選地��,同步信息還包括全局配置信息����,在主防火墻組與從防火墻組交換心跳包后,在從防火墻組與主防火墻組的全局配置不相同的情況下����,將主防火墻組的全局配置信息傳輸至從防火墻組,以使從防火墻組的全局配置與主防火墻組的全局配置相同�。
[0054]防火墻組在協(xié)商出管理主和管理備之后�,就需要對(duì)配置信息進(jìn)行檢測(cè)���,以便于兩套防火墻之間的配合運(yùn)行�����,配置信息分為全局配置信息和本地配置信息�����,全局配置信息是兩套防火墻可以一致的配置�,如�,在兩套防火墻剛建立握手時(shí)���,會(huì)判斷兩套防火墻的全局配置是否一致����,不一致時(shí)����,管理主防火墻將配置差異部分同步到管理備防火墻,再如���,處于管理主的防火墻可以接收管理員的配置命令�����,如果這個(gè)配置屬于全局配置��,則將這個(gè)配置發(fā)送給管理備防火墻�����,以保證全局配置的一致;本地配置是兩套防火墻不一致的配置��,例如���,同步接口的IP地址就屬于本地配置��。
[0055]通過上述實(shí)施例��,能夠?qū)崿F(xiàn)兩個(gè)數(shù)據(jù)中心的防火墻的配置同步���,大大提高了可管理和可維護(hù)性。
[0056]可選地���,同步信息還包括會(huì)話信息和會(huì)話狀態(tài)���,在至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)中的任意兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻建立會(huì)話連接后����,通過同步通道傳輸會(huì)話信息和會(huì)話狀態(tài)���,其中����,任意兩個(gè)數(shù)據(jù)中心子系統(tǒng)中建立會(huì)話連接的數(shù)據(jù)中心子系統(tǒng)的防火墻的會(huì)話狀態(tài)為第一狀態(tài)�,另一個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻的會(huì)話狀態(tài)為第二狀態(tài)。
[0057]當(dāng)一個(gè)數(shù)據(jù)中心的一套防火墻由兩臺(tái)防火墻構(gòu)成高可靠性主備系統(tǒng)時(shí)�,主防火墻(即主防火墻)負(fù)責(zé)處理業(yè)務(wù),會(huì)話是防火墻的一個(gè)基本數(shù)據(jù)結(jié)構(gòu)��,業(yè)務(wù)數(shù)據(jù)包的一個(gè)TCP連接對(duì)應(yīng)防火墻的一個(gè)會(huì)話�,兩套防火墻組之間進(jìn)行會(huì)話同步時(shí)��,非對(duì)稱路由數(shù)據(jù)包轉(zhuǎn)發(fā)是在兩套防火墻的主防火墻之間進(jìn)行的�����。會(huì)話的狀態(tài)分為兩個(gè)�����,一個(gè)是活躍態(tài)(即第一狀態(tài)),另一個(gè)是非活躍態(tài)(即第二狀態(tài))�����,在兩套防火墻中��,同一個(gè)會(huì)話同時(shí)只在一套防火墻中處于活躍態(tài)�,而在另一套防火墻就處于非活躍態(tài)。
[0058]當(dāng)一套防火墻建立一個(gè)會(huì)話后�,本地會(huì)話狀態(tài)設(shè)置為活躍態(tài),并同時(shí)通過同步接口將會(huì)話同步到另一套防火墻中��,在另一套防火墻中����,將此會(huì)話狀態(tài)設(shè)置為非活躍態(tài),在會(huì)話刪除時(shí)���,同時(shí)通知對(duì)端服務(wù)器刪除會(huì)話��。
[0059]在至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)中的任一數(shù)據(jù)中心子系統(tǒng)的防火墻接收到會(huì)話數(shù)據(jù)包且會(huì)話狀態(tài)為第二狀態(tài)時(shí)��,根據(jù)會(huì)話數(shù)據(jù)包確定發(fā)起會(huì)話的防火墻(如根據(jù)數(shù)據(jù)包中的IP地址或者M(jìn)AC地址確定,或者根據(jù)會(huì)話信息中記錄的防火墻信息確定),并將會(huì)話數(shù)據(jù)包的源MAC地址替換為接收到會(huì)話數(shù)據(jù)包的防火墻的業(yè)務(wù)接口的第三MAC地址�,將會(huì)話數(shù)據(jù)包的目的MAC地址替換為發(fā)起會(huì)話的防火墻的業(yè)務(wù)接口的第三MAC地址,并通過二層擴(kuò)展設(shè)備轉(zhuǎn)發(fā)會(huì)話數(shù)據(jù)包���。
[0060]具體的����,防火墻收到一個(gè)數(shù)據(jù)包后����,首先會(huì)在會(huì)話列表中查找到該會(huì)話�,當(dāng)該會(huì)話處于活躍態(tài)時(shí),則正常轉(zhuǎn)發(fā)��,如果該會(huì)話處于非活躍態(tài)時(shí)���,則說明這是一個(gè)非對(duì)稱路由的數(shù)據(jù)包����,這個(gè)時(shí)候�����,就需要進(jìn)一步判斷對(duì)端數(shù)據(jù)中心的防火墻的狀態(tài)����,如果對(duì)端防火墻處于故障態(tài),則將該會(huì)話改為活躍態(tài)���,并按照會(huì)話進(jìn)一步處理���,其相當(dāng)于對(duì)端的數(shù)據(jù)中心故障,其所有業(yè)務(wù)由本端數(shù)據(jù)中心處理�����,所以可以直接更改會(huì)話狀態(tài),以進(jìn)一步處理;如果對(duì)端防火墻處于正常運(yùn)行態(tài)���,則將該數(shù)據(jù)包的源MAC地址替換為本地入接口的代理轉(zhuǎn)發(fā)MAC地址(SP本地防火墻的業(yè)務(wù)接口的第三MAC地址)��,目的MAC地址替換為對(duì)端防火墻的對(duì)應(yīng)接口的代理轉(zhuǎn)發(fā)MAC地址(即對(duì)端防火墻的業(yè)務(wù)接口的第三MAC地址)���,修改數(shù)據(jù)包后�,將該數(shù)據(jù)包發(fā)送出去����,也即該數(shù)據(jù)包從哪個(gè)接口進(jìn)來�,就把修改后的數(shù)據(jù)包從哪個(gè)接口發(fā)送出去,以克服防火墻在不能接收到同一個(gè)會(huì)話的兩個(gè)方向流量時(shí)����,不能對(duì)數(shù)據(jù)包進(jìn)行正確的處理的問題���,這樣��,在會(huì)話的過程中就不會(huì)存在防火墻丟包的問題。
[0061]可選地,發(fā)起會(huì)話的防火墻在接收到會(huì)話數(shù)據(jù)包之后,按照會(huì)話數(shù)據(jù)包中的IP地址信息發(fā)送會(huì)話數(shù)據(jù)包���。
[0062]由于這個(gè)數(shù)據(jù)包的目的MAC是另一個(gè)數(shù)據(jù)中心防火墻的業(yè)務(wù)接口的代理轉(zhuǎn)發(fā)MAC地址�,因此�����,該數(shù)據(jù)包將到達(dá)另一個(gè)數(shù)據(jù)中心的防火墻��,該防火墻就能根據(jù)數(shù)據(jù)包中的信息(如IP地址信息)對(duì)數(shù)據(jù)包進(jìn)行處理�。通過這個(gè)代理轉(zhuǎn)發(fā)的機(jī)制,對(duì)端防火墻就可以處理兩個(gè)方向的數(shù)據(jù)包了���,從而能使得兩套防火墻可以協(xié)同運(yùn)行�����。
[0063]如圖4所示���,為了簡(jiǎn)單和直觀��,圖中每個(gè)數(shù)據(jù)中心只示出了一臺(tái)防火墻331�,實(shí)線箭頭是從VLANl O中IP地址為192.168.10.2的主機(jī)3 I (簡(jiǎn)稱主機(jī)C)向VLAN20中IP為192.168.20.4的主機(jī)(簡(jiǎn)稱主機(jī)D)發(fā)送TCP SYN包時(shí)數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑����。虛線箭頭是主機(jī)D回應(yīng)的TCP SYN ACK數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑。左邊數(shù)據(jù)中心的防火墻331在從VLANlO接口收到TCP SYN包后建立會(huì)話�����,同時(shí)置為活躍態(tài)�����,之后�����,將該會(huì)話同步到右邊的防火墻��,右邊的防火墻收到會(huì)話同步消息后�,設(shè)置本地會(huì)話的狀態(tài)為非活躍態(tài)��,TCP SYN包通過兩個(gè)數(shù)據(jù)中心的二層擴(kuò)展設(shè)備34進(jìn)行轉(zhuǎn)發(fā)���,到達(dá)右邊數(shù)據(jù)中心的主機(jī)D,當(dāng)右邊數(shù)據(jù)中心的防火墻在VLAN20接口收到從主機(jī)D發(fā)送的相應(yīng)包(S卩TCP SYN ACK數(shù)據(jù)包)后會(huì)查找到這個(gè)會(huì)話���,若該會(huì)話為非活躍態(tài)�,則將該數(shù)據(jù)包的源MAC地址修改為本端防火墻的VLAN20接口的代理轉(zhuǎn)發(fā)MAC地址����,目的MAC改為對(duì)端防火墻的VLAN20接口的代理轉(zhuǎn)發(fā)MAC地址,然后將該數(shù)據(jù)包從VLAN20接口發(fā)送出去,左側(cè)數(shù)據(jù)中心的二層擴(kuò)展設(shè)備接收到之后將其通過二層交換機(jī)32發(fā)送至防火墻���,這樣,左邊數(shù)據(jù)中心的防火墻就會(huì)收到從主機(jī)D返回的TCP SYN ACK包���。從這個(gè)過程可以看到左邊數(shù)據(jù)中心的防火墻能夠處理雙向的流量,從而可以完成正確的安全處理。
[0064]由于災(zāi)備的需要���,一些金融單位正在規(guī)劃建設(shè)雙活數(shù)據(jù)中心��,但當(dāng)把兩個(gè)數(shù)據(jù)中心用二層擴(kuò)展的形式互聯(lián)后���,出現(xiàn)了非對(duì)稱路由問題����,使基于狀態(tài)的防火墻設(shè)備不能正常工作,應(yīng)用本發(fā)明的方案后�����,通過二層擴(kuò)展互聯(lián)的兩個(gè)數(shù)據(jù)中心的防火墻可以繼續(xù)原來的部署方式���,并且能夠正常工作,從而解決了非對(duì)稱路由造成的問題����。另外���,本申請(qǐng)?zhí)峁┝私y(tǒng)一的配置管理,使管理員管理兩個(gè)數(shù)據(jù)中心的多臺(tái)防火墻更加容易和便捷;在會(huì)話的過程中����,通過查詢到會(huì)話狀態(tài)獲知該數(shù)據(jù)包需要進(jìn)行代理轉(zhuǎn)發(fā);對(duì)于需要進(jìn)行代理轉(zhuǎn)發(fā)的數(shù)據(jù)包,修改該數(shù)據(jù)包的源目的MAC地址后將數(shù)據(jù)包從入接口發(fā)出��,不修改數(shù)據(jù)包的IP層內(nèi)容�����,也不對(duì)該數(shù)據(jù)包增加新的頭部或者尾部�。
[0065]上述本發(fā)明實(shí)施例序號(hào)僅僅為了描述,不代表實(shí)施例的優(yōu)劣�。
[0066]在本發(fā)明的上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重���,某個(gè)實(shí)施例中沒有詳述的部分����,可以參見其他實(shí)施例的相關(guān)描述��。
[0067]在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到��,所揭露的技術(shù)內(nèi)容�����,可通過其它的方式實(shí)現(xiàn)�。其中,以上所描述的裝置實(shí)施例僅僅是示意性的�����,例如所述單元的劃分�����,可以為一種邏輯功能劃分�����,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式����,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)��,或一些特征可以忽略,或不執(zhí)行�����。另一點(diǎn)�����,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口�����,單元或模塊的間接耦合或通信連接����,可以是電性或其它的形式。
[0068]另外�,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在���,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中�。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)���,也可以采用軟件功能單元的形式實(shí)現(xiàn)�����。
[0069]所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)����,可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?����;谶@樣的理解�,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中��,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)�����、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟�。而前述的存儲(chǔ)介質(zhì)包括:U盤、只讀存儲(chǔ)器(R0M����,Read-0nly Memory)、隨機(jī)存取存儲(chǔ)器(RAM�,Random Access Memory)��、移動(dòng)硬盤、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)��。
[0070]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式����,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說����,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾����,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種數(shù)據(jù)中心系統(tǒng)���,其特征在于�����,包括:通過二層網(wǎng)絡(luò)互聯(lián)的至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)�,每個(gè)所述數(shù)據(jù)中心子系統(tǒng)包括多個(gè)主機(jī)�、與所述多個(gè)主機(jī)連接的二層交換機(jī)���、與所述二層交換機(jī)連接的防火墻組、與所述二層交換機(jī)連接的二層擴(kuò)展設(shè)備�����、分別與所述防火墻組和所述二層擴(kuò)展設(shè)備連接的路由設(shè)備�,所述至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過第一虛擬局域網(wǎng)中的同步通道傳輸同步信息,所述至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的二層擴(kuò)展設(shè)備通過第二虛擬局域網(wǎng)中的業(yè)務(wù)通道傳輸業(yè)務(wù)信息�����,其中����,所述第一虛擬局域網(wǎng)和所述第二虛擬局域網(wǎng)設(shè)置在所述二層網(wǎng)絡(luò)上。2.根據(jù)權(quán)利要求1所述的系統(tǒng)���,其特征在于�,在所述至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的任一數(shù)據(jù)中心子系統(tǒng)中�,所述防火墻組包括一個(gè)或多個(gè)防火墻,每個(gè)所述防火墻的業(yè)務(wù)接口配置有第一MAC地址����、第二MAC地址以及第三MAC地址��,其中��,所述第一MAC地址用于與所述任一數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用��,所述第二MAC地址用于與其他數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用,所述第三MAC地址用于轉(zhuǎn)發(fā)非對(duì)稱路由的數(shù)據(jù)包時(shí)使用����。3.根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于�,每個(gè)所述防火墻的業(yè)務(wù)接口配置有第一IP地址和第二IP地址,所述第一IP地址用于與所述任一數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用�,所述第二 IP地址用于與其他數(shù)據(jù)中心子系統(tǒng)內(nèi)的設(shè)備通訊時(shí)使用。4.根據(jù)權(quán)利要求3所述的系統(tǒng)���,其特征在于��,在所述二層擴(kuò)展設(shè)備的配置文件中���,配置有用于過濾以所述第一 MAC地址為源MAC地址和/或以所述第一 IP地址為源IP地址的數(shù)據(jù)包的信息。5.根據(jù)權(quán)利要求4所述的系統(tǒng)����,其特征在于��,所述防火墻每隔預(yù)設(shè)時(shí)長(zhǎng)����,以所述第一MAC地址為源地址發(fā)送免費(fèi)ARP包�����。6.根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于,所述同步信息包括心跳包�����,所述至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻組通過所述同步通道交換心跳包���,其中����,在預(yù)設(shè)時(shí)間段內(nèi)�,若從防火墻組未接收到主防火墻組中所有防火墻發(fā)送的心跳包,則將從防火墻組中的之一切換為主防火墻組����。7.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于���,所述同步信息還包括全局配置信息��,在主防火墻組與從防火墻組交換心跳包后����,在從防火墻組與主防火墻組的全局配置不相同的情況下�,將主防火墻組的所述全局配置信息傳輸至從防火墻組���,以使從防火墻組的全局配置與主防火墻組的全局配置相同��。8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于��,所述同步信息還包括會(huì)話信息和會(huì)話狀態(tài)�����,在所述至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)中的任意兩個(gè)數(shù)據(jù)中心子系統(tǒng)的防火墻建立會(huì)話連接后,通過所述同步通道傳輸所述會(huì)話信息和所述會(huì)話狀態(tài)���,其中�����,所述任意兩個(gè)數(shù)據(jù)中心子系統(tǒng)中建立會(huì)話連接的所述數(shù)據(jù)中心子系統(tǒng)的防火墻的會(huì)話狀態(tài)為第一狀態(tài)����,另一個(gè)所述數(shù)據(jù)中心子系統(tǒng)的防火墻的會(huì)話狀態(tài)為第二狀態(tài)�����。9.根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于��,在所述至少兩個(gè)數(shù)據(jù)中心子系統(tǒng)中的任一數(shù)據(jù)中心子系統(tǒng)的防火墻接收到會(huì)話數(shù)據(jù)包且會(huì)話狀態(tài)為第二狀態(tài)時(shí)�����,根據(jù)所述會(huì)話數(shù)據(jù)包確定發(fā)起會(huì)話的防火墻,并將所述會(huì)話數(shù)據(jù)包的源MAC地址替換為接收到所述會(huì)話數(shù)據(jù)包的防火墻的業(yè)務(wù)接口的第三MAC地址�,將所述會(huì)話數(shù)據(jù)包的目的MAC地址替換為所述發(fā)起會(huì)話的防火墻的業(yè)務(wù)接口的第三MAC地址,并通過所述二層擴(kuò)展設(shè)備轉(zhuǎn)發(fā)所述會(huì)話數(shù)據(jù)包��。10.根據(jù)權(quán)利要求9所述的系統(tǒng)���,其特征在于��,所述發(fā)起會(huì)話的防火墻在接收到所述會(huì) 話數(shù)據(jù)包之后��,按照所述會(huì)話數(shù)據(jù)包中的IP地址信息發(fā)送所述會(huì)話數(shù)據(jù)包��。
【文檔編號(hào)】H04L29/08GK105827623SQ201610265084
【公開日】2016年8月3日
【申請(qǐng)日】2016年4月26日
【發(fā)明人】蔣東毅, 楊啟軍, 尚進(jìn), 束林揚(yáng)
【申請(qǐng)人】山石網(wǎng)科通信技術(shù)有限公司