• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

12-HA主备典型配置举例

本章节下载 12-HA主备典型配置举例  (1.19 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334135_30005_0.htm

12-HA主备典型配置举例


1  简介

本文档介绍ACG1000设备HA主备功能典型应用场景配置举例,HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。

随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益成为受关注的焦点。

在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。

主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务配置和数据转发的同时,将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。

在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。

HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息、设备配置、特征库。

·     Session信息:包括设备连接表、FDB、用户信息、PKI。

·     设备配置:同步的设备配置中不包含HA配置信息以及接口manage ip配置。

·     特征库:特征库包括APP特征库以及URL特征库。

主备模式下如下内容不会同步:

·     HA全局配置和接口manage ip,两设备都需要单独配置。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

2.1  组网需求1:HA主备路由模式三层组网

2.1.1  组网需求

图1所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台ACG1000设备:设备A和设备B工作在路由+NAT模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:

·     办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。

下联设备为三层交换机或路由器,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:

·     三层交换机上联两个接口配置在一个vlan中,并设置vlan接口ip:172.16.100.2/24,默认路由网关:172.16.100.1/24。

·     出口二层交换机所有接口在同一个vlan即可,不需要额外配置。

图1 HA主备路由模式三层组网图

 

2.1.2  配置思路

·     设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。

·     配置接口地址。

·     配置路由。

·     配置认证用户地址对象。

·     配置NAT。

·     申请并导入license授权。

·     配置DNS。

·     升级特征库。

·     配置HA全局配置,全局配置包含:工作模式、配置同步、运行状态同步、库同步、抢占模式(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。

·     添加本地认证用户。

·     配置本地web认证策略。

·     验证效果。

2.1.3  使用版本

本举例是在R6608版本上进行配置和验证的。

2.1.4  配置步骤

1. 设备A配置

(1)     配置接口地址

图2所示,进入网络管理>接口,点击ge1-0、ge1-3后的<编辑>按钮,配置IP 192.168.2.56/24、172.16.100.1/30。

图2 配置接口IP

 

(2)     配置静态路由

图3所示,进入网络管理>路由>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24。

图3 配置静态路由

 

(3)     配置认证用户地址对象

图4所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图4 配置认证用户地址对象

 

(4)     配置源NAT

图5所示,进入“网络管理> NAT > 源NAT ”,新建NAT策略配置。

图5 配置源NAT

 

(5)     申请并导入license

图6所示,进入“系统管理> 授权管理 ”,点击<导入许可证>。

图6 导入license

 

(6)     配置DNS

图7所示,进入“网络配置> DNS > DNS服务器”,配置DNS地址,用于升级特征库。

图7 配置DNS

 

(7)     升级特征库

图8所示,进入“系统管理> 系统升级>”,点击立即升级,完成特征库在线自动升级。

图8 升级特征库

 

(8)     配置用户识别范围

图9所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。

图9 用户识别范围

 

(9)     配置地址探测对象

图10所示,进入对象管理>IPv4地址>地址探测,点击<新建>按钮创建探测地址对象。

图10 用户识别范围

 

说明:地址探测支持ping、TCP、DNS三种方式。

(10)     配置HA全局配置

图11所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图11 HA全局配置

 

说明:

·     运行状态同步开启后,会同步session、fdb、用户等信息

·     HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·     被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。

·     地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。

(11)     添加本地认证用户

图12所示,进入“用户管理> 用户 ”页面,点击新建,创建用户账号test。

图12 添加认证用户

 

(12)     配置本地web认证参数

图13所示,进入“用户管理> 认证设置 > 本地web认证 >”页面,没有特殊要求所有配置默认即可。

图13 添加认证用户

 

(13)     配置认证策略

图14所示,进入“用户管理>认证策略”页面,选择新建认证策略,按图完成配置。

图14 认证策略页面

 

2. 设备B配置

在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。

(1)     配置HA全局配置

图15所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图15 HA全局配置

 

2.1.5  配置注意事项

·     用户识别范围要设置成内网用户网段,模式选择强制模式。

·     HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。

·     开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

2.1.6  验证配置

1. 查看设备B的配置,发现设备A上的所有配置都实时同步给了设备B。

2. 172.16.11.0/24网段过设备A进行认证上网,在线用户会同步给设备B,当设备A挂掉后,用户仍然可以通过设备B正常上网,不会断网,也不需要重新认证。

图16所示,设备A在线用户。

图16  设备A在线用户

 

将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。

图17 设备B在线用户

 

2.2  组网需求2:HA主备路由模式二层组网

2.2.1  组网需求

图18所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台ACG1000设备:设备A和设备B工作在路由+NAT模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:

·     办公网段:172.16.11.0/24数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。

下联设备为二层交换机,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:

·     二层交换机上联两个接口配置在一个vlan中。

·     出口二层交换机所有接口在同一个vlan即可,不需要额外配置。

图18 HA主备路由模式二层组网图

 

2.2.2  配置思路

·     设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。

·     配置接口地址。

·     配置路由。

·     配置认证用户地址对象。

·     配置NAT。

·     申请并导入license授权。

·     配置DNS。

·     升级特征库。

·     配置HA全局配置,全局配置包含:工作模式、配置同步、运行状态同步、库同步、抢占模式(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。

·     添加本地认证用户。

·     配置本地web认证策略。

·     验证效果。

2.2.3  使用版本

本举例是在R6608版本上进行配置和验证的。

2.2.4  配置步骤

1. 设备A配置

(1)     配置接口地址

图19所示,进入网络管理>接口,点击ge1-0、ge1-3后的<编辑>按钮,配置IP 192.168.2.56/24、172.16.11.1/24。

图19 配置接口IP

 

(2)     配置静态路由

图20所示,进入网络管理>路由>静态路由,配置访问外网的默认路由。

图20 配置静态路由

 

(3)     配置认证用户地址对象

图21所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图21 配置认证用户地址对象

 

(4)     配置源NAT

图22所示,进入“网络管理> NAT > 源NAT ”,新建NAT策略配置。

图22 配置源NAT

 

(5)     申请并导入license

图23所示,进入“系统管理> 授权管理 ”,点击<导入许可证>。

图23 导入license

 

(6)     配置DNS

图24所示,进入“网络配置> DNS > DNS服务器”,配置DNS地址,用于升级特征库。

图24 配置DNS

 

(7)     升级特征库

图25所示,进入“系统管理> 系统升级>”,点击立即升级,完成特征库在线自动升级。

图25 升级特征库

 

(8)     配置用户识别范围

图26所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。

图26 用户识别范围

 

(9)     配置地址探测对象

图27所示,进入对象管理>IPv4地址>地址探测,点击<新建>按钮创建探测地址对象。

图27 用户识别范围

 

说明:地址探测支持ping、TCP、DNS三种方式。

(10)     配置HA全局配置

图28所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图28 HA全局配置

 

说明:

·     运行状态同步开启后,会同步session、fdb、用户等信息。

·     HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·     被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。

·     地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。

(11)     添加本地认证用户

图29所示,进入“用户管理> 用户 ”页面,点击新建,创建用户账号test。

图29 添加认证用户

 

(12)     配置本地web认证参数

图30所示,进入“用户管理> 认证设置 > 本地web认证 >”页面,没有特殊要求所有配置默认即可。

图30 添加认证用户

 

(13)     配置认证策略

图31所示,进入“用户管理>认证策略”页面,选择新建认证策略,按图完成配置。

图31 认证策略页面

 

2. 设备B配置

在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。

(1)     配置HA全局配置

图32所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图32 HA全局配置

 

2.2.5  配置注意事项

·     用户识别范围要设置成内网用户网段,模式选择强制模式。

·     HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。

·     开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

2.2.6  验证配置

1. 查看设备B的配置,发现设备A上的所有配置都实时同步给了设备B。

2. 172.16.11.0/24网段过设备A进行认证上网,在线用户会同步给设备B,当设备A挂掉后,用户仍然可以通过设备B正常上网,不会断网,也不需要重新认证。

图33所示,设备A在线用户。

图33  设备A在线用户

 

将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。

图34 设备B在线用户

 

2.3  组网需求3:HA主备透明桥模式三层组网

2.3.1  组网需求

图35所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台ACG1000设备:设备A和设备B为透明桥模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:

·     办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。

下联设备为三层交换机或路由器,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:

·     三层交换机上联两个接口配置在一个vlan中,并设置vlan接口ip:172.16.100.3/24,默认路由网关:172.16.100.1/24。

·     出口FW下联两个接口在同一个vlan,出接口配置访问公网的IP和路由,并配置源NAT。

图35 HA主备透明桥模式三层组网图

 

2.3.2  配置思路

·     设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。

·     配置接口地址。

·     配置路由。

·     配置认证用户地址对象。

·     申请并导入license授权。

·     配置DNS。

·     升级特征库。

·     配置HA全局配置,全局配置包含:工作模式、配置同步、运行状态同步、库同步、抢占模式(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。

·     添加本地认证用户。

·     配置本地web认证策略。

·     验证效果。

2.3.3  使用版本

本举例是在R6608版本上进行配置和验证的。

2.3.4  配置步骤

1. 设备A配置

(1)     配置接口地址

图36所示,进入网络管理>接口>网桥接口,点击新建,将ge1-0、ge1-3加入桥口bvi0,配置IP 172.16.100.2/28。

图36 配置接口IP

 

(2)     配置静态路由

图37所示,进入网络管理>路由>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24。

图37 配置静态路由

 

(3)     配置认证用户地址对象

图38所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图38 配置认证用户地址对象

 

(4)     申请并导入license

图39所示,进入“系统管理> 授权管理 ”,点击<导入许可证>。

图39 导入license

 

(5)     配置DNS

图40所示,进入“网络配置> DNS > DNS服务器”,配置DNS地址,用于升级特征库。

图40 配置DNS

 

(6)     升级特征库

图41所示,进入“系统管理> 系统升级>”,点击立即升级,完成特征库在线自动升级。

图41 升级特征库

 

(7)     配置用户识别范围

图42所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。

图42 用户识别范围

 

(8)     配置地址探测对象

图43所示,进入对象管理>IPv4地址>地址探测,点击<新建>按钮创建探测地址对象。

图43 用户识别范围

 

说明:地址探测支持ping、TCP、DNS三种方式。

 

(9)     配置HA全局配置

图44所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图44 HA全局配置

 

说明:

·     运行状态同步开启后,会同步session、fdb、用户等信息。

·     HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·     被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。

·     地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。

(10)     添加本地认证用户

图45所示,进入“用户管理> 用户 ”页面,点击新建,创建用户账号test。

图45 添加认证用户

 

(11)     配置本地web认证参数

图46所示,进入“用户管理> 认证设置 > 本地web认证 >”页面,没有特殊要求所有配置默认即可。

图46 添加认证用户

 

(12)     配置认证策略

图47所示,进入“用户管理>认证策略”页面,选择新建认证策略,按图完成配置。

图47 认证策略页面

 

2. 设备B配置

在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。

(1)     配置HA全局配置

图48所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图48 HA全局配置

 

2.3.5  配置注意事项

·     HA透明桥模式组网需要在ha-config模式下配置fdb refresh enable,当发生HA状态切换时,由主切换为备的设备需要up/down一次桥接口中的成员接口,以促使上下游交换机刷新接口的MAC转发表,将流量同步切换到新的主设备上,只有HA桥模式需要开启此命令。

·     用户识别范围要设置成内网用户网段,模式选择强制模式。

·     HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。

·     开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

2.3.6  验证配置

1. 查看设备B的配置,发现设备A上的所有配置都实时同步给了设备B。

2. 172.16.11.0/24网段过设备A进行认证上网,在线用户会同步给设备B,当设备A挂掉后,用户仍然可以通过设备B正常上网,不会断网,也不需要重新认证。

图49所示,设备A在线用户。

图49  设备A在线用户

 

将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。

图50 设备B在线用户

 

2.4  组网需求4:HA主备透明桥模式二层组网

2.4.1  组网需求

图51所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台ACG1000设备:设备A和设备B为透明桥模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:

·     办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。

上联和下联设备均为二层交换机,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:

·     二层交换机所有接口配置在一个vlan中。

·     出口FW作为内网办公网段用户的网关。

图51 HA主备路由模式二层组网图

 

2.4.2  配置思路

·     设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。

·     配置接口地址。

·     配置路由。

·     配置认证用户地址对象。

·     申请并导入license授权。

·     配置DNS。

·     升级特征库。

·     配置HA全局配置,全局配置包含:工作模式、配置同步、运行状态同步、库同步、抢占模式(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。

·     添加本地认证用户。

·     配置本地web认证策略。

·     验证效果。

2.4.3  使用版本

本举例是在R6608版本上进行配置和验证的。

2.4.4  配置步骤

1. 设备A配置

(1)     配置接口地址

图52所示,进入网络管理>接口>网桥接口,点击新建,将ge1-0、ge1-3加入桥口bvi0,配置IP 172.16.11.2/24。

图52 配置接口IP

 

(2)     配置静态路由

图53所示,进入网络管理>路由>静态路由,配置访问外网的默认路由。

图53 配置静态路由

 

(3)     配置认证用户地址对象

图54所示,进入对象管理>地址>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图54 配置认证用户地址对象

 

(4)     申请并导入license

图55所示,进入“系统管理> 授权管理 ”,点击<导入许可证>。

图55 导入license

 

(5)     配置DNS

图56所示,进入“网络配置> DNS > DNS服务器”,配置DNS地址,用于升级特征库。

图56 配置DNS

 

(6)     升级特征库

图57所示,进入“系统管理> 系统升级>”,点击立即升级,完成特征库在线自动升级。

图57 升级特征库

 

(7)     配置用户识别范围

图58所示,进入“用户管理>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。

图58 用户识别范围

 

(8)     配置地址探测对象

图59所示,进入对象管理>IPv4地址>地址探测,点击<新建>按钮创建探测地址对象。

图59 用户识别范围

 

说明:地址探测支持ping、TCP、DNS三种方式。

(9)     配置HA全局配置

图60所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图60 HA全局配置

 

说明:

·     运行状态同步开启后,会同步session、fdb、用户等信息。

·     HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·     被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。

·     地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。

(10)     添加本地认证用户

图61所示,进入“用户管理> 用户 ”页面,点击新建,创建用户账号test。

图61 添加认证用户

 

(11)     配置本地web认证参数

图62所示,进入“用户管理> 认证设置 > 本地web认证 >”页面,没有特殊要求所有配置默认即可。

图62 添加认证用户

 

(12)     配置认证策略

图63所示,进入“用户管理>认证策略”页面,选择新建认证策略,按图完成配置。

图63 认证策略页面

 

2. 设备B配置

在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。

(1)     配置HA全局配置

图64所示,进入“系统管理> 高可用性 > HA全局配置 >”页面,进行配置。

图64 HA全局配置

 

2.4.5  配置注意事项

·     HA透明桥模式组网需要在ha-config模式下配置fdb refresh enable,当发生HA状态切换时,由主切换为备的设备需要up/down一次桥接口中的成员接口,以促使上下游交换机刷新接口的MAC转发表,将流量同步切换到新的主设备上,只有HA桥模式需要开启此命令。

·     用户识别范围要设置成内网用户网段,模式选择强制模式。

·     HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主设备,即使新的主设备停止服务了。

·     开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

2.4.6  验证配置

1. 查看设备B的配置,发现设备A上的所有配置都实时同步给了设备B。

2. 172.16.11.0/24网段过设备A进行认证上网,在线用户会同步给设备B,当设备A挂掉后,用户仍然可以通过设备B正常上网,不会断网,也不需要重新认证。

图65所示,设备A在线用户。

图65  设备A在线用户

 

将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。

图66 设备B在线用户

 

3  HA主备功能使用限制及注意事项

·     HA主备邻居为什么建立不起来时请检查以下内容:

两台设备必须型号一致,板卡一致。

两台设备的序列号要求不一致。序列号一致,建不起来邻居。

查看心跳线接口状态是否正常。

·     HA主备环境一台设备宕机又恢复后,HA状态不能不变,没有切换回主状态

a.     确认发探测包的接口是否配置了管理IP,HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了。

b.     确认发探测报文的接口是否配置了源NAT,如果配置了配置源NAT,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA模式下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

4  HA主备相关原理资料

·     什么是HA主备模式

主备模式是指实现HA的两台设备中, 一台为主设备进行数据转发,一台为备设备,不转发数据,作为主设备的备份。主设备在进行业务的同时, 将配置、流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。

在主备模式下,主备设备之间通过HA心跳线同步状态信息。

主备模式支持路由模式和透明模式。

·     HA心跳报文

HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。

·     HA管理地址

a.     处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。

b.     当处理备状态下时,设备不参与转发,使用管理地址来发探测包。

·     HA主备状态切换

当设备启用HA主备模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master。出现故障的设备状态置为backup。backup状态的设备,所有接口不参与报文转发。

·     HA主备心跳报文间隔

缺省情况下,报文间隔时间为200毫秒,重试次数为5次,可以通过keepalive <20-1000>  retry<3-500>  命令进行修改。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们