• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-系统

目录

01-高可靠性

本章节下载 01-高可靠性  (656.53 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_WCG(V7)/06/202108/1450013_30005_0.htm

01-高可靠性

高可靠性

 

本帮助主要介绍以下内容:

·     特性简介

     基本概念

     运行模式

     HA通道

     业务表项备份

     配置信息备份

     配置信息一致性检查

     HA联动

     HA联动路由

     HA透明组网

·     配置指南

·     使用限制和注意事项

特性简介

高可靠性(High Availability),简称为HA,能够在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作。

HA通过RBMRemote Backup Management,远端备份管理)协议管理多个VRRP备份组状态的统一切换或者调整动态路由协议的开销值等,选举出HA中每台设备的主备状态,及其主备状态的动态切换。HA通过RBM协议备份设备间的关键配置信息和业务表项等,从而保证用户业务数据的不间断传输。需要两台软硬件环境完全相同的设备进行HA组网。

基本概念

HA技术包含的基本概念如下:

·     主、从管理设备:HA中的设备分为主、从两种管理角色,用于控制设备之间关键配置信息的同步。配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置信息。

·     主、备业务设备:HA中包含主、备两种设备,其中主设备对应VRRP备份组中的Master设备;备设备对应VRRP备份组中的Backup设备。主设备为业务提供支持,转发业务流量,并向备设备实时备份业务表项信息;备设备除接收主设备的业务表项备份信息外,在主设备发生故障后,备设备会转换成主设备,继续转发业务流量,保证业务不中断。

·     VRRP active组和VRRP standby组:用于将HAVRRP进行关联,实现HA对多个VRRP备份组状态进行统一管理目的。

·     HA通道:两台设备之间交互HA的运行状态信息,关键配置信息和业务表信息的传输通道。

·     HA运行模式:支持主备和双主两种运行模式。主备模式下,仅由主设备处理业务,备设备处于空闲状态,实时待命;双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载分担能力。

·     HA报文:HA使用TCP作为其传输层协议,TCP连接建立后,主管理设备和从管理设备通过HA通道交互HA报文。

运行模式

HA支持主备和双主两种运行模式,具体介绍如下。

主备模式

图-1所示,主备模式下,正常情况仅由主设备处理业务,备设备处于待命状态;当主设备接口、链路或整机故障时,备设备立即切换为主设备,接替原主设备处理业务。

图-1 主备模式的HA示意图

 

双主模式

图-2所示,双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载能力,此模式通过互为主备方法实现。并且当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证业务不中断。

图-2 双主模式的HA示意图

 

HA通道

通道简介

HA通道用于两台设备之间交互HA的运行状态、关键配置和业务表项等信息,包括以下两种类型的通道:

·     控制通道:用来同步设备之间的所有数据,包括HA的运行状态报文、一致性检查报文、业务表项的热备报文、数据透传报文和同步配置信息的报文等。

·     数据通道:仅用于传输设备之间的热备报文和透传报文,不用于传输HA的其他报文。数据通道直接使用底层驱动进行数据传输,因此仅支持二层转发。

控制通道的建立和保活

控制通道使用TCP方式进行创建,其在创建过程中,使用IP地址较大的设备作为Server建立TCP监听,而IP地址较小的设备作为Client向对端设备发起建立TCP连接请求。

控制通道基于TCP协议来监测链路的连通性。控制通道建立后,设备会周期性向对端设备发送Keepalive报文,如果达到最大发送次数后仍然没有收到对端的回应,则HA通道断开,HA失效。

业务表项备份

功能简介

HA可以将主设备上生成的业务表项信息实时备份到备设备,避免了主备设备切换时因备设备上缺失业务表项而造成的业务中断问题。

需要对报文进行状态检测的设备(如防火墙等),对于每个动态生成的连接,都有一个会话表项与之对应。主设备在处理业务的过程中创建了很多会话表项;而备设备没有报文经过,因此也就没有创建会话表项。通过HA的业务表项实时备份功能,主设备会将会话表项备份到备设备,当主备切换后,已有连接的后续业务报文就可以通过匹配备份来的会话表项而保持业务不中断。

支持备份的表项

目前HA支持热备的业务表项包括:会话表项、会话关联表项、NAT端口块表项和各个安全业务模块自身生成的业务表项。

配置信息备份

功能简介

HA可以将主管理设备上的关键配置信息备份到从管理设备,避免了主备设备切换时因对端设备缺失对应的配置信息而造成的业务中断问题。

为了保证备设备可以平滑地接替主设备的工作,HA必须能够将主设备的相关配置信息备份到备设备。尤其在双主组网环境中,两台设备都是主设备。如果允许两台主设备之间能够相互备份配置信息,那么就会造成两台设备上配置信息相互覆盖或冲突的问题。所以为了方便管理员对两台设备的配置信息进行统一管理,又能避免配置信息的混乱,我们引入了主管理设备和从管理设备的概念。主从管理设备角色只能静态配置,不能动态选举。

配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置,保证主从管理设备的配置信息一致。因此建议仅在主管理设备上配置相关功能,不建议在从管理设备上进行配置。

备份方式

HA支持自动和手动两种方式进行配置信息备份。

支持配置信息备份的模块

目前HA支持配置信息同步的业务模块包括:VPN实例、ACL、对象组、时间段、快速日志输出、Flow日志、安全域、ASPF、攻击检测与防范、会话管理、连接数限制、NATAFT、负载均衡、安全策略、DPI相关模块(应用层检测引擎、IPSURL过滤、数据过滤、文件过滤、防病毒、数据分析中心、带宽管理、应用审计与管理、共享上网管理、代理策略)、SSL VPNAPRAAA

配置信息一致性检查

HA通过交互一致性检查报文来检测两台设备的配置信息是否一致,用于防止由于两台设备配置信息不一致,而导致主备切换后业务不通的情况。当配置信息不一致时,设备会发送日志信息,以提示管理员进行配置信息的手动同步。

HA配置信息一致性检查的工作步骤如下:

1.     主管理设备发送一致性检查请求报文给从管理设备,同时收集自身相关模块配置信息的摘要。

2.     从管理设备收到一致性检查请求后,会收集自身相关模块配置信息的摘要,然后封装到一致性检查报文返回给主管理设备。

3.     主管理设备收到从管理设备返回的一致性检查报文后,将自身配置信息的摘要与从管理设备配置信息的摘要进行对比,如果对比结果不一致,则主管理设备输出日志信息进行告警。正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device AVRRP备份组1VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device BVRRP备份组1VRRP备份组2中的状态是Backup设备。

4.     Device A的下行接口Interface A2故障后,HA会收到接口故障事件。然后HA发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master

5.     Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device BVRRP备份组1VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。

6.     Device A收到Device BVRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device AVRRP备份组1VRRP备份组2中的状态变更为Backup

HA联动VRRP

功能简介

HAVRRP联动的组网环境中,HA将会控制设备在多个VRRP备份组中MasterBackup状态的统一切换。此功能可以使设备的上下行流量同时切换到新的主设备,保证业务不中断。

此处以主备模式,介绍HAVRRP的联动组网情况,具体如下。

·     -3的左图所示,在仅有VRRP的组网环境中,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不是同一台设备,造成流量中断。

·     -3的右图所示,将HAVRRP关联后可以解决以上问题。HA控制通道建立后,VRRP备份组内的设备状态将由HA决定,VRRP自身的主备选择机制不再生效。当HA的控制通道断开后,VRRP自身的主备选择机制将会重新生效。

图-3 HA联动VRRP示意图

 

VRRP active/standby

VRRP active组和VRRP standby组:用于将HAVRRP进行关联,实现HA对多个VRRP备份组状态进行统一管理的目的。

VRRP active/standby组分别有两种状态:MasterBackupVRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master

VRRP active/standby组初始状态的实现机制如下:

·     主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup

·     双主模式下:此种模式下VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为MasterVRRP standby组的初始状态均为Backup

HA联动VRRP组网中Master设备的选举机制

-3的右图所示,将HAVRRP关联成功后,VRRP备份组中Master/Backup状态的变化机制如下:

1.     正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device AVRRP备份组1VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device BVRRP备份组1VRRP备份组2中的状态是Backup设备。

2.     Device A的下行接口Interface A2故障后,HA会收到接口故障事件。然后HA发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master

3.     Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device BVRRP备份组1VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。

4.     Device A收到Device BVRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device AVRRP备份组1VRRP备份组2中的状态变更为Backup

Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。

VRRP中的ARP学习

VRRP备份组中的设备接收到虚拟IP地址的ARP请求报文后,只能由Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求,与此同时ARP报文传输路径上的二层设备也就学习到了此虚拟MAC地址的MAC地址表项。

HA联动路由

功能简介

HA与动态路由联动的组网环境中,HA将会调整备设备上动态路由协议对外通告的链路开销值。这样即能保证主备切换时能使设备的上下行流量同时切换到新的主设备,保证业务不中断。

此组网环境中HA必须关联Track项,否则,上下行链路或者接口故障HA不能进行主备切换。

此处以HA联动OSPF为例,介绍HA与动态路由的联动情况,具体如下。

·     -4左图所示,正常情况下,Device A(主设备)按照OSPF的配置正常通告链路开销值(如1),而Device B(备设备)通告的链路开销值是被HA调整后的值(如65500)。这样可以使内外网之间的流量走Device A转发。

·     -4右图所示,当Device A的下行接口Interface A2故障后,Device ADevice B将进行主备切换。之后,Device B(主设备)按照OSPF的配置正常通告链路开销值(如1),而Device A(备设备)通告的链路开销值是被HA调整后的值(如65500)。这样可以使内外网之间的流量走Device B转发。

图-4 HA联动路由示意图

 

运行机制

HA调整备设备上动态路由协议开销值有如下两种方式:

·     绝对值方式:设备将使用配置的绝对值对外通告。

·     增量值方式:设备将在原有开销值上增加此增量值后对外通告。

此功能仅调整备设备上动态路由协议对外通告的开销值,对主设备没有影响。

需要在主备设备上同时开启此功能,并设置相同的参数。

HA透明组网

HA透明组网环境中,可通过HA的监控接口或监控VLAN功能将上下行接口的状态进行联动。当其中一个接口故障后,另一个接口也会失去报文转发能力,从而使设备的上下行流量同时切换到新的主设备,保证业务不中断。

HA的监控接口或监控VLAN功能可以保证所监控对象之间的状态相互联动、保持一致,使其同时具备或同时不具备报文转发能力。

此处以HA监控VLAN功能为例,介绍HA透明组网的情况,具体如下。

·     -5左图所示,正常情况下,Device A(主设备)上HA将监控的VLAN10设置为Active状态,Device B(备设备)上HA将监控的VLAN10设置为Inactive状态。这样可以使内外网之间的流量走Device A转发。

·     -5右图所示,当Device A的下行接口Port A2故障后,Device ADevice B将进行主备切换。之后,Device B(主设备)上HA将监控的VLAN10设置为Active状态,而Device A(备设备)上HA将监控的VLAN10设置为Inactive状态。这样可以使内外网之间的流量走Device B转发。

图-5 HA透明组网示意图

 

配置指南

配置准备

HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性,具体要求如下:

·     /备设备的型号必须一致

·     /备设备的软件版本必须一致。

·     /备设备的IRF成员编号一致。

·     /备设备之间建立控制通道的接口必须一致。

·     /备设备之间建立数据通道的接口必须一致。

·     /备设备对应槽位上的接口必须加入到相同的安全域。

·     /备设备业务板的位置、数量和类型一致。

·     /备设备接口板的位置、数量和类型一致。

配置思路

HA功能的配置思路如下图所示:

图-6 HA配置思路图

 

配置HA

HA的具体配置步骤如下:

1.     选择“系统 > 高可靠性 > 高可靠性”。

2.     在“高可靠性”页面单击<配置>按钮,进入“配置高可靠性”页面,配置HA,具体配置内容如下表所示:

表-1 HA配置参数表

参数

说明

高可靠性开关

高可靠性开关包括两种状态:开启和关闭

运行模式

HA的运行模式包括如下两种:

·     主备模式:正常情况下仅由主设备处理业务,备设备处于空闲状态,实时待命

·     双主模式:两台设备同时处理业务,充分利用设备资源,提高系统负载能力,此模式通过“互为主备”方法实现

管理角色

HA中的设备分为主、从两种管理角色,用于控制设备之间关键配置信息的同步。配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置信息

本端IP地址

配置用于建立控制通道的本端IP地址,Server端将使用此Local IP提供TCP监听服务。支持IPv4IPv6两种类型,但不能同时配置

对端IP地址

配置用于建立控制通道的对端IP地址。支持IPv4IPv6两种类型,但不能同时配置

对端端口号

配置用于建立控制通道的对端端口号,在主备设备上配置的对端端口号必须一致

数据通道

/备设备使用此功能配置的接口建立HA的数据通道,此数据通道仅用于传输设备之间的热备报文和透传报文,不用于传输主/备设备之间的其他报文

心跳间隔

心跳失效阈值

HA通道建立后,设备会周期性向对端设备发送HA Keepalive报文,如果达到心跳失效阈值次数后仍然没有收到对端的回应,则HA通道断开,HA失效

主动抢占

HA组网中的主设备发生故障后,流量自动切换到对端设备。开启此功能后,当原来的主设备再次恢复为主设备后,流量会回切

流量回切延迟时间

由于业务表项在主/备设备之间进行备份需要一定的时间。为了保证业务能够平滑切换,所以需要延迟流量的回切

备份会话表项

开启此功能后,主设备会将其生成的业务表项实时同步到备设备,当主设备发生故障时备设备可以能平滑地接替主设备的工作,保证业务不中断

备份HTTP协议

备份DNS协议

在非对称路径的HA环境中,需要开启此功能,以保证同一条流量的正反向报文在两台设备上能够被正常处理

HA主备模式或对称路径网络环境中,建议关闭从功能,以减少对设备上会话表项资源的消耗。因为对于DNSHTTP类型的应用协议,通常在很少的报文交互之后就会断开连接,当发生主备切换造成当前连接中断时,客户端会立即重新发起请求,用户通常感知不到连接异常

配置信息一致性检查

此功能用于检测HA状态下的两台设备的配置信息是否一致,用于防止发生两台设备配置信息不一致,导致主备切换后业务不通的情况。当配置信息不一致时,会发送日志信息,以提示管理员进行配置信息的手动同步

手工一致性检查

此功能在高可靠性信息展示页面

当需要确认主从管理设备上配置信息是否一致时,可以通过该命令即时触发配置信息一致性检查。若配置信息不一致,则系统会发送日志信息,以提示管理员进行配置信息的手动同步

自动同步配置信息

开启此功能前,主管理设备上已经配置的命令,将会在开启此功能后进行一次批备,之后新增的命令将实时备份到从管理设备

配置信息很多时批备时间会很长,可能需要一到两个小时。因此在初始规划网络配置时,建议先开启此功能,以减少后面配置信息进行批备的时间

手工同步配置信息

此功能在高可靠性信息展示页面

点击此按钮后,主管理设备上的配置信息将同步到从管理设备

状态切换

此功能在高可靠性信息展示页面

HA中主备设备无故障,业务运行在主设备时,可通过此命令触发主备倒换,让业务切换到对端设备上进行处理,以便管理员可以更换主设备上的部件或升级软件等。

此功能仅支持在HA的主备运行环境中使用,且仅在主设备上配置此功能才生效

HA联动VRRPHA组网中,当使用此功能进行主备运行状态倒换时,可能会导致短暂的VRRP虚拟IP地址冲突,属于正常现象

 

3.     在“配置高可靠性”页面中配置HA联动Track项,具体配置内容如下表所示:

表-2 HA联动Track项配置参数表

参数

说明

联动Track

配置此功能后,当HA联动的其中一个Track项的状态为Negative状态时,HA将进行设备的主备切换,将上下行流量同时切换到新的主设备,保证业务不中断

 

4.     在“配置高可靠性”页面,单击<确定>按钮完成HA的配置。

配置HA联动VRRP

请在VRRP中将VRRP与高可靠性关联,具体配置步骤,请参见“VRRP联机帮助”。

配置HA联动路由

HA联动路由的具体配置步骤如下:

1.     选择“系统 > 高可靠性 > 高可靠性”。

2.     在“高可靠性”页面单击<配置>按钮,进入“配置高可靠性”页面,配置HA的路由联动功能,具体配置内容如下表所示:

表-3 HA联动路由的配置参数表

参数

说明

OSPF

表示HA调整备设备上OSPF协议的开销值

IS-IS

表示HA调整备设备上IS-IS协议的开销值

BGP

表示HA调整备设备上BGP协议的开销值

OSPFv3

表示HA调整备设备上OSPFv3协议的开销值

调整cost绝对值

表示备设备以绝对值的形式对外通告动态路由协议的开销值,即设备直接对外通告此绝对值

调整cost增量值

表示备设备以增量值的形式对外通告动态路由协议的开销值,即设备在原有开销值上增加此增量值后对外通告

 

3.     在“配置高可靠性”页面,单击<确定>按钮完成HA的配置。

配置HA透明组网

HA透明组网的具体配置步骤如下:

1.     选择“系统 > 高可靠性 > 高可靠性”。

2.     在“高可靠性”页面单击<配置>按钮,进入“配置高可靠性”页面,配置HA透明组网的相关配置,具体配置内容如下表所示:

表-4 HA透明组网的配置参数表

参数

说明

接口

配置此功能后,HA监控的所有接口的状态将相互联动、保持一致,这些接口将同时都具备或都不具备报文传输能力。只有HA监控接口的状态均为UP时,这些接口才能转发报文。否则,HA监控的所有接口均不能转发报文

使用监控接口功能时,不能监控聚合接口的成员接口

VLAN

配置此功能后,HA会监控VLAN成员端口的状态,并将成员端口的状态相互联动、保持一致,此VLAN中的成员端口将同时都具备或都不具备报文传输能力。只有VLAN所有成员端口状态均为UP时,此VLAN的成员端口才能转发报文。否则,此VLAN的所有成员端口均不能转发报文

基于以上HA监控VLAN的运行原理,请勿配置监控 VLAN 1。因为设备上所有Access端口缺省都属于VLAN 1,所以当VLAN 1中有端口未被使用时其接口状态为Down,这时也会导致VLAN 1中正常使用的端口也无法转发报文

 

3.     在“配置高可靠性”页面,单击<确定>按钮完成HA透明组网的配置。

使用限制和注意事项

·     HA仅支持与VRRP的标准模式配合使用,不支持与VRRP的负载均衡模式配合使用。

·     监控接口、监控VLAN和联动Track项目三个功能互斥,不可同时配置。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们