[发明专利]一种工控防火墙透明模式接入双机热备的实现方法及系统

说明书

本发明公开一种工控防火墙透明模式接入双机热备的实现方法及系统，涉及工控安全技术领域。所述方法包括：主备防火墙的上下行接口加入到同一个VLAN；主防火墙主动学习上下行接口mac表，同步到备防火墙，定时向备机发送心跳报文，宣称当前主状态，要求备防火墙禁止VLAN转发；备防火墙主动禁掉自己的VLAN；若备防火墙接收心跳报文超时，则认为主防火墙故障，备防火墙遍历主防火墙之前备份的上下行接口mac地址，以该mac地址作为源mac发送二层广播报文，刷新上下行交换机的mac表，更新为主状态，主备防火墙角色互换。本发明优化了主备切换时的引流方式，无论主设备故障类型是否为接口down类型都能将流量引导到备设备。

技术领域

本发明涉及工控安全技术领域，尤其涉及一种工控防火墙透明模式接入双机热备的实现方法及系统。

背景技术

工控防火墙部署在工业环境的关键位置，工控流量都会通过防火墙转发,如果防火墙出现故障，便会导致内外网之间的业务全部中断。由此可见，在这种网络关键位置上如果只使用一台设备的话，无论其可靠性多高，我们都必然要承受因设备单点故障而导致网络中断的风险。于是，我们在网络架构设计时，通常会在网络的关键位置部署两台(双机)或多台设备，以提升网络的可靠性，满足国标增强级的要求。双机热备有透明接入、路由接入等多种组网方式。常见的透明模式双机热备主备切换时的引流方式是“主设备VLAN中的接口会down然后up一次，触发上下行二层设备更新MAC转发表”，但这种实现方法是有缺陷的，它寄希望于主设备接口down故障实现引流，对于主机的其他故障是无法实现流量引到备设备的。因此本发明提出一种透明模式接入、上下行连接二层设备的双机热备实现方法。

发明内容

本发明提供了一种工控防火墙透明模式接入双机热备的实现方法，包括：

主备防火墙的上下行接口加入到同一个VLAN；

主防火墙主动学习上下行接口的mac表，并实时同步备份到备防火墙；

主防火墙定时向备机发送心跳报文，宣称自己当前为主状态，要求备防火墙禁止VLAN转发；

当备防火墙接收到心跳报文后，主动禁掉自己的VLAN，不转发流量，并保持备状态；

若备防火墙接收心跳报文超时，则认为主防火墙故障，备防火墙遍历备份的上下行接口的mac表，并以该mac地址作为源mac发送二层广播报文，以刷新上下行交换机的mac表，更新当前状态为主状态，备防火墙转为新的主防火墙，原主防火墙转为新的备防火墙。

如上所述的一种工控防火墙透明模式接入双机热备的实现方法，其中，心跳报文的源mac填充主防火墙光纤以太网接口卡的mac地址，目的地址填充备防火墙光纤以太网接口卡的地址。

如上所述的一种工控防火墙透明模式接入双机热备的实现方法，其中，心跳报文采用二层报文，具体为二层单播心跳报文。

如上所述的一种工控防火墙透明模式接入双机热备的实现方法，其中，备防火墙在接收到心跳报文后，检测其防火墙状态是否为备状态，如不是则置本防火墙设备状态为备状态。

如上所述的一种工控防火墙透明模式接入双机热备的实现方法，其中，刷新上下行交换机的mac表，具体为更新mac表出接口为备链路上的出接口。

本发明还提供一种工控防火墙透明模式接入双机热备的实现系统，包括：两个防火墙，两个防火墙互为主备防火墙，主备防火墙的上下行接口加入到同一个VLAN；

主防火墙主动学习上下行接口的mac表，并实时同步备份到备防火墙；主防火墙定时向备机发送心跳报文，宣称自己当前为主状态，要求备防火墙禁止VLAN转发；