H3C SecPath GAP2000系列安全隔离与信息交换系统 典型配置举例(E6005 E6006)-5W109

02-HA配置举例

本章节下载  (1.26 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/AQGL_XXJH/H3C_SecPath_GAP2000/Configure/Typical_Configuration_Example/GAP2000_CE(E6005_E6006)/202010/1348828_30005_0.htm

02-HA配置举例


1  简介

本文档主要介绍H3C SecPath GAP2000进行HA部署时的配置操作步骤,以及验证方法。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解H3C SecPath GAP2000基本配置及特性。

2.1  组网需求

图1所示,外网通过一个二层交换设备连接两台H3C SecPath GAP2000。内网通过三层冗余交换机和H3C SecPath GAP2000做两两对接。因此对接设备如果没有做HA,可参考外端机配置。如果对接设备做了冗余,请参考内端机配置。H3C SecPath GAP2000 HA配置举例组网图。

图1 H3C SecPath GAP2000 HA配置举例组网图

 

2.2  配置思路

·     确定对接设备是否做了冗余。如果对接设备做了冗余,网闸相应的那一边就要做网口绑定。如果对接设备没做冗余,那网闸就不需要配置网口绑定。

·     网络管理设置完毕后可进行HA配置。

·     通道设置、策略设置均对HA没有影响,可以放最后配置,本文不做详解。

2.3  使用版本

本举例是在E6006P03版本上进行配置和验证的。

2.4  配置步骤

2.4.1  通过B/S方式登录网闸

通过网闸MAN管理口登录网闸系统管理端,打开浏览器输入https://192.168.0.1,(MAN口为专用管理口,其它网口不允许管理配置网闸)

默认账号:admin

默认密码:adminh3c

图2 通过B/S方式登录网闸

 

2.4.2  网络配置

由于内端对接设备做了冗余,需要和H3C SecPath GAP2000做两两对接。所以网闸内端机需要做网卡绑定。

点击“网络管理”→“网卡绑定”,选择内端机的SLOT0/1和SLOT0/2。

图3 对内端做网卡绑定

 

点击“增加绑定”后会弹出工作模式和连接状态监测方式选项框。

图4 添加网卡绑定

 

工作模式、连接状态监测方式说明见表1、表2。

表1  工作模式表

选项

描述

主备

只有一个接口处于活动状态,down掉当前的活动接口,另一个接口马上由备份状态转变为活动状态

负载均衡

所有端口同时生效,按连接方式负载流量。负载均衡扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性

LACP

根据LACP协议对对端协商端口工作状态。LACP是基于IEEE802.3ad标准的LACP是一种实现链路动态汇聚的协议。

 

表2 连接状态检测方式表

选项

监测方式

备注

MII

仅监测物理连接是否正常

 

ARP

借助ARP响应机制,检测链路层是否可达

需要设置同网段其它设备的IP,通常设置网关IP

 

配置工作模式、连接状态监测方式完成后,点击“保存”后完成网卡绑定。

图5 网卡绑定完成

 

接下来,配置内、外端机IP地址。

点击“网络管理”→“IP地址管理”→“内端机”,选中新增的绑定网口,设置网闸内端系统的IP。

图6 选择内端机设置IP地址

 

点击“添加IP”,设置完后点“保存”退出。

图7 配置IP和掩码

 

点击“网络管理”→“IP地址管理”→“外端机”→设置网闸外端系统的IP。

图8 设置网闸外端的IP

 

点击“添加IP”,设置完后点“保存”退出。

图9 添加、保存外端IP设置

 

 

如果需要配置多个IP,可以继续添加。

图10 设置多个IP

 

点击“路由管理”设置两端机的路由。

图11 设置两端机的路由

 

点击“新增路由”按钮添加路由。注意“端机口”参数,由于网闸是多机体系,请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。

图12 设置内端路由

 

图13 配置内端路由参数

 

图14 配置外端路由参数

 

2.5  HA设置

为了便于沟通,避免在交流中出现误解,我们通常将优先级高的设备称为MASTER,优先级低的设备称为SLAVE。而“主机”、“备机”则用来形容设备的HA状态。

点击“设备管理”→“HA设置”,进入HA配置界面。

图15 HA配置界面

 

2.5.1  设置HA基本参数

点击“HA设置”,设置如下参数:1)选择工作模式,共分为禁用、主备、负载均衡三种模式;2)设置优先级;3)设置本机HA口的IP地址,本机掩码;4)填写对端设备ID,对端HA口的IP地址,对端掩码。参数设置完成后点击保存。

图16 MASTER配置参数举例

 

图17 SLAVE配置参数举例

 

HA设置的参数描述如下表所示。

表3 HA设置参数描述

选项

说明

备注

工作模式

禁止、主备、负载均衡

选择“禁止”,则是单机模式;主备模式指两台设备只有一台工作;负载均衡模式指两台设备均为主机,当一台出现故障会导致流量丢失一半。

优先级

HA优先级

数值越大优先级越高(取值范围1~100)

本机设备ID

唯一设备ID标示

安装此设备的唯一字符标识

对端设备ID

唯一设备ID标示

配置HA设置必须正确填写对端设备ID

对端IP地址

HA IP地址

对端设备的IP地址

对端掩码

HA地址掩码

对端设备IP地址的掩码

本机IP地址

HA IP地址

本端设备的IP地址

本机掩码

HA地址掩码

本端设备IP地址的掩码

 

注意:

·     目前版本设计为不抢占模式,不排除后期更新可能加入抢占模式。为了便于维护管理,MASTER的优先级应当高于SLAVE的优先级。

·     修改HA设置中的参数点击保存,将导致两台设备重新协商主备。

2.5.2  勾选HA监测网口

HA模块会周期性的对正在使用的网口进行检测。当其中的网口出现异常,就会做HA主备切换。所以此处需要勾选所有用到的网口。

按照测试环境,勾选内端机的BOND0和外端机的SLOT0/0。

图18 勾选内端机的BOND0

 

图19 勾选外端机的SLOT0/0

 

2.5.3  启用HA功能

配置完成,点击“HA设置”“保存”按钮,开启HA功能

2.5.4  启用HA后,配置注意事项

(1)     如果“网络管理”中“网卡绑定”、“内端机”地址、“外端机”地址等配置需要调整,必须先拔掉所有通讯口网线、停用HA功能。等配置修改完以后,重新勾选HA监测网口,并启用,最后接上通讯口网线。操作步骤如下图:

图20 操作流程图1

 

(2)     目前版本的HA不支持配置同步。如果有业务需要新增、修改或删除通道、策略,请分别登录两台设备进行配置或者通过从一台设备导出配置后导入到另一台设备。“配置的导入导出”中的“导出”和“导入”功能并不包含HA配置,MASTER配置完成后可以将配置导出,随后将其导入SLAVE。但导入前请拔掉SLAVE所有通讯口网线,并停用其HA功能。导入成功后,请重新勾选HA监测网口,并启用HA功能,最后接入通讯口网线。操作步骤如下图:

图21 操作流程图2

 

2.6  验证配置

2.6.1  查看设备HA状态

点击“设备管理”→“HA设置”,进入HA配置界面,可查看当前设备的HA状态,主机如下图:

图22 查看主机状态

 

图23 查看备机状态

 

2.6.2  检查HA切换是否正常

1. HA判定网口法则

对于没有做过绑定的网口,拔掉任意一个此类监测的网口,系统就应执行HA切换。

对于做过网口绑定的网口,系统将绑定的这一组网口视为一个逻辑网口。当它关联的所有物理网口都掉线后,HA模块才将该逻辑网口视为故障,然后执行HA切换。只要其关联的任意一个网口还在线,HA模块都判定该逻辑口正常。

2. HA整机状态判定法则

HA模块按照下列流程图判定整机是否正常,若流程判定过程中无法执行下去,就判定为自身故障,指定周期内无法恢复正常就会执行HA切换。

图24 HA整机状态判定法则流程图

 

3. 切换测试操作步骤

(1)     通常拔掉MASTER没做绑定的网口,测试会简单一点。HA检测周期为2秒,故障出现最多不超过6秒,HA就应该执行切换。切换后请检查两台设备的主备状态是否发生互换。如果MASTER变成备机,SLAVE变成主机,就说明切换正常。查看HA状态如上述3.6.1,不再详述。

表4 第一次切换后各种状态分析表

状态

问题分析

角色:主机

状态:健康

主机状态正常,各种应用能够正常使用

角色:备机

状态:健康

备机状态正常,等待切换

角色:备机

状态:故障

备机可能存在问题,无法切换成主机

 

(2)     由于当前版本HA是不抢占机制,所以即使将MASTER线路恢复,也不会按照优先级抢回去。还需要将SLAVE切换回备机状态,MASTER才会重新切换成主机。所以,恢复MASTER线路后,可以通过对当前主机优先级设置来切换主备模式,或者拔掉SLAVE网线的方式使其切换为备机。同样,通过3.6.1来检查两台设备的主备状态是否互换。

表5 第二次切换后各种状态分析表

MASTER

SLAVE

问题分析

主机

备机

主机

主机

SLAVE的HA模块有异常,同时检查HA心跳线是否有问题

备机

备机

MASTER存在异常,无法切换成主机

备机

主机

SLAVE的HA模块有异常

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们