Chinaunix

标题: H3C IPS为什么永远不会成为故障点 [打印本页]

作者: lxpchris 时间: 2008-06-13 15:30
标题: H3C IPS为什么永远不会成为故障点
1.概述\r\nIPS是一个深入应用层（七层）的安全设备，主要提供网络威胁防御的业务，不同于交换机、路由器，IPS本身不参与报文选路和交换，而是透明部署，从一个接口上接收网络流量，对报文进行深入七层的实时的分析检测，根据检测结果阻断攻击流量，并将正常流量从另一个确定的接口上转发出去。所以，在IPS上可以实现相比交换机、路由器更多的可靠性设计，即IPS的多重高可靠性（MHA）设计。IPS的多重高可靠性（MHA）面向业务传送的所有层面进行高可靠保护，使得在任何情况下业务都不会因为IPS的故障而中断，使得IPS这个网络节点永远不会成为中断业务的故障点。\r\n\r\nIPS的多重高可靠性（MHA）可从宏观和微观两个角度来描述，从宏观角度来看，IPS的多重高可靠性可划分为硬件高可靠性、软件高可靠性、组网高可靠性；从微观角度来看，可按协议栈各层次，在物理层（一层）、链路层（二层）、IP层、TCP层、应用层等层次上提供层层保护，系统监控模块对各协议层的运行状态做统一监控，上层失效时，可以迅速实现二层Bypass（二层回退）、一层Bypass，从而保证网络业务的连通性。本文介绍H3C IPS的多重高可靠性（MHA）的实现机制和性能指标。\r\n\r\n2.电源可靠性\r\nH3C IPS按照电信级标准设计了冗余电源进行供电，如下图所示，并且支持在线电源模块更换。同时提供了电源线卡扣等可靠性设计。另外，可根据客户需要提供交流电源模块和直流电源模块。\r\n\r\n

\r\n\r\n3.掉电保护机制\r\nH3C设计了无源连接设备PFC（Power Free Connector），PFC可以为IPS产品提供了掉电保护功能。在IPS掉电的情况下，PFC可以将网络流量自动绕开IPS、旁路到下一跳设备上去；而当管理员恢复电源供给后，PFC又会自动禁止旁路功能，所有流量将再度流经IPS接受检测。如下图所示。\r\n\r\n

\r\n\r\nPFC是通过IPS设备上的USB口供电的，当IPS掉电后，PFC也掉电，PFC掉电后通过内部的继电器装置会迅速连通网络，实现一层Bypass。利用PFC设备，H3C IPS在掉电后小于10ms的时间内即能恢复网络连通。同时，H3C IPS通过控制USB口的供电，可以保证在IPS重启时也不中断网络业务，这个会在下一节介绍。\r\n\r\n4.重启保护机制\r\n利用上一节介绍的PFC，H3C IPS在设备重启过程中不对USB口进行供电，这样可保证IPS在重启过程中仍能通过PFC实现网络业务的连续性，实现一层Bypass；同时，当IPS重启完成后，USB口供电，PFC断开，网络流量会自动切换到IPS来进行检测。虽然H3C IPS的重启时间在3分钟左右，但在重启过程中中断网络的时间小于10ms（对上层应用来说，几乎无法感觉到该中断）。重启保护机制在设备人为重启或异常重启时都保证了网络业务的连续性。 （未完待续）\r\n\r\n

\r\n\r\n转自：http://www.yishang-h3c.com/wmkeyword_redirect.asp?kvid=700283&source=1&show=ignore

作者: 蓝冰儿08 时间: 2008-06-23 17:01
好文章支持一下，学习了！

作者: lxpchris 时间: 2008-06-30 16:39
不错的文章，强力向大家推荐！

作者: 蓝冰儿08 时间: 2008-07-07 13:28
好冷清的帖子阿，楼主要努力喽！我再顶楼主一把！

作者: hhhho 时间: 2008-07-08 22:39
不会成为故障点没有意义，本来就是不能代替主干的附属设备，不让别的设备成为故障点才有价值。

作者: jy069 时间: 2008-09-04 20:43
谢谢楼主分享！！！错

作者: chaochaoma 时间: 2008-09-05 11:36
很好。。。。支持。。。\r\n我的金币呀。。。快给我。。。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)