- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-HA配置举例
本章节下载 (1.73 MB)
目 录
2.4.1 通过B/S方式登录H3C SecPath GAP3000
2.4.3 H3C SecPath GAP3000(主机)内端机HA接口地址配置
2.4.4 H3C SecPath GAP3000(主机)外端机HA接口地址配置
2.4.5 H3C SecPath GAP3000(备机)内端机HA接口地址配置
本文档主要介绍H3C SecPath GAP3000进行HA部署时的配置操作步骤,以及验证方法。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解H3C SecPath GAP3000基本配置及特性。
当用户对H3C SecPath GAP3000系列设备传输节点有高可用性要求时,可采用双机热备的部署方式。备机作为主机的备份,处于静默监测状态。当主机设备出现故障无法工作时,备机会及时抢占线路,承接主机所有业务。保障隔离传输节点的稳定可靠。
如图1所示,外网通过一个二层交换设备连接两台H3C SecPath GAP3000。内网通过三层冗余交换机和H3C SecPath GAP3000做两两对接。
图1 H3C SecPath GAP3000 HA配置举例组网图
HA双机组网环境中,主机设备内端机HA口与备机设备内端机HA口进行相连,主机设备外端机HA口和备机设备外端机HA口进行相连;
单向导入系统HA组网环境中,主机设备内端机与备机设备的内端机进行HA协商,主机设备的外端机与备机设备的外端机进行HA协商。
一端系统发生HA切换后,需要手动切换另外一端系统的HA状态。
· 确定对接设备是否做了冗余。如果对接设备做了冗余,H3C SecPath GAP3000相应的那一边就要做网口绑定。如果对接设备没做冗余,那H3C SecPath GAP3000就不需要配置网口绑定。
· 网络管理设置完毕后可进行HA配置。
· UDP通道设置对HA没有影响,可以放最后配置,本文不做详解。
此HA配置在H3C i-Ware Software, Version 3.1, ESS 6001版本实现。
通过H3C SecPath GAP3000内外MAN管理口分别登录H3C SecPath GAP3000系统内外管理端,在管理H3C SecPath GAP3000内端机PC上打开浏览器输入内端机地址:https://192.168.0.1,在管理H3C SecPath GAP3000外端机PC上打开浏览器输入外端机地址:https://192.168.0.2(MAN口为专用管理口,其它网口不允许管理配置H3C SecPath GAP3000)。
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
审计管理员默认账号:audit;默认密码:audith3c
图2 通过B/S方式登录H3C SecPath GAP3000
该配置在系统管理员admin下操作。
由于内端对接设备做了冗余,需要和H3C SecPath GAP3000做两两对接。所以H3C SecPath GAP3000内端机需要做网卡绑定。
点击“网络管理”→“网卡绑定”→“+”。
图3 对内端机做网卡绑定
点击“添加网卡绑定”,输入绑定网卡名称、选择物理网卡、选择工作模式和连接状态监测方式。
图4 配置网卡绑定
工作模式、连接状态监测方式说明见表1、表2。
表1 绑定网卡名称、物理网卡和工作模式表
|
选项 |
描述 |
|
绑定网卡名称 |
绑定网卡的名称,格式为team+数字(一百以内的正整数),如team1、team99 |
|
物理网卡 |
可以绑定的物理网卡 |
|
主备 |
只有一个接口处于活动状态,down掉当前的活动接口,另一个接口马上由备份状态转变为活动状态 |
|
负载均衡 |
所有端口同时生效,按连接方式负载流量。负载均衡扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性 |
|
LACP |
根据LACP协议对对端协商端口工作状态。LACP是基于IEEE802.3ad标准的LACP是一种实现链路动态汇聚的协议。 |
表2 连接状态检测方式表
|
选项 |
监测方式 |
备注 |
|
MII |
仅监测物理连接是否正常 |
|
|
ARP |
借助ARP响应机制,检测链路层是否可达 |
需要设置同网段其它设备的IP,通常设置网关IP |
点击“添加”后完成网卡绑定。
图5 网卡绑定完成
点击“网络管理”→“IP地址管理”,选中绑定网口team1,配置IP。
图6 配置内端IP
配置完IP掩码后,点击“保存”。
图7 配置IP和掩码
同理,登录H3C SecPath GAP3000外端机,点击“网络管理”→“IP地址管理”→设置外端GE0-1的IP。
图8 IP
配置完IP掩码后,点击“保存”。
图9 添加、保存外端IP
如果需要配置多个IP,可以继续添加。
图10 添加多个IP
分别管理内外端机的管理端,点击“网络管理”→“路由管理”添加内外端机的路由。
图11 添加内端机路由
点击“+”按钮添加内端机路由,添加完毕后点“保存”退出。
图12 添加内端机路由
图13 配置内端路由参数
同理配置外端机路由。
图14 配置外端路由参数
登录主机内端机admin用户,依次点击:网络管理>IP地址管理>HA>添加,添加内端机HA IP地址:
图15 主机内端机HA口IP配置
图16 配置参数
点击保存,添加成功
图17 主机内端机HA口IP配置成功
登录主机外端机admin用户,依次点击:网络管理>IP地址管理>HA>添加,添加外端机HA IP地址:
图18 主机外端机HA口IP配置
图19 配置参数
点击保存,添加成功
图20 主机外端机HA口IP配置成功
登录备机内端机admin用户,依次点击:网络管理>IP地址管理>HA>添加,添加内端机HA IP地址:
图21 备机内端机HA口IP配置
图22 配置参数
点击保存,添加成功
图23 备机内端机HA口IP配置成功
登录备机内端机admin用户,依次点击:网络管理>IP地址管理>HA>添加,添加内端机HA IP地址:
图24 备机外端机HA口IP配置
图25 配置参数
点击保存,添加成功
图26 备机外端机HA口IP配置成功
该配置在系统管理员admin下操作。
点击“设备管理”→“HA设置”,进入HA配置界面。
图27 HA配置界面
图28 主机内端HA配置
图29 主机外端HA配置
图30 备机内端HA配置
图31 备机外端HA配置
HA设置的参数描述如下表所示。
表3 HA设置参数描述
|
选项 |
说明 |
备注 |
|
工作模式 |
禁止、主备 |
选择“禁止”,则是单机模式;主备模式指两台设备只有一台工作 |
|
优先级 |
HA优先级 |
数值越大优先级越高(取值范围1~100) |
|
对端IP地址 |
HA IP地址 |
对端设备的IP地址 |
|
对端掩码 |
HA地址掩码 |
对端设备IP地址的掩码 |
|
本机IP地址 |
HA IP地址 |
本端设备的IP地址 |
|
本机掩码 |
HA地址掩码 |
本端设备IP地址的掩码 |
注意:
· 目前版本设计为不抢占模式。为了便于维护管理,主机的优先级应当高于备机的优先级。
· 修改HA设置中的参数点击保存,将导致两台设备重新协商主备。
· 单向设备,主机设备内端机与备机设备的内端机进行HA协商,主机设备的外端机与备机设备的外端机进行HA协商。
HA模块会周期性的对正在使用的网口进行检测。当其中的网口出现异常,就会做HA主备切换。所以此处需要勾选所有用到的网口。
按照测试环境,勾选内端机的team1和外端机的GE0-1。
图32 勾选内端机的team1
图33 勾选外端机的GE0-1
配置完成,点击“HA设置”“保存”按钮,开启HA功能
(1) 如果“网络管理”中“网卡绑定”、“内端机”地址、“外端机”地址等配置需要调整,必须先拔掉所有通讯口网线、停用HA功能。等配置修改完以后,重新勾选HA监测网口,并启用,最后接上通讯口网线。操作步骤如下图:
图34 操作流程图1
HA双机情况下两台设备的优先级不支持相同;数据库同步双机热备,需保证主备机系统时间保持一致;数据库和文件同步不支持在HA-备机状态下工作,通道不支持在HA-主备-备机状态下工作;
点击“设备管理”→“HA设置”,进入HA配置界面,可查看当前设备的HA状态,主机如下图:
图35 查看主机状态
图36 查看备机状态
对于没有做过绑定的网口,拔掉任意一个此类监测的网口,系统就应执行HA切换。
对于做过网口绑定的网口,系统将绑定的这一组网口视为一个逻辑网口。当它关联的所有物理网口都掉线后,HA模块才将该逻辑网口视为故障,然后执行HA切换。只要其关联的任意一个网口还在线,HA模块都判定该逻辑口正常。
HA模块按照下列流程图判定整机是否正常,若流程判定过程中无法执行下去,就判定为自身故障,指定周期内无法恢复正常就会执行HA切换。
图37 HA整机状态判定法则流程图
(1) 通常拔掉主机没做绑定的网口,测试会简单一点。HA检测周期为2秒,故障出现最多不超过6秒,HA主备切换时另外一台需要手动切换。切换后请检查两台设备的主备状态是否发生互换。如果主机变成备机,备机变成主机,就说明切换正常。查看HA状态如上述2.6.1,不再详述。
表4 第一次切换后各种状态分析表
|
状态 |
问题分析 |
|
角色:主机 状态:健康 |
主机状态正常,各种应用能够正常使用 |
|
角色:备机 状态:健康 |
备机状态正常,等待切换 |
|
角色:备机 状态:故障 |
备机可能存在问题,无法切换成主机 |
(2) 由于当前版本HA是不抢占机制,所以即使将主机线路恢复,也不会按照优先级抢回去。还需要将备机切换回备机状态,主机才会重新切换成主机。所以,恢复主机线路后,可以通过对当前主机优先级设置来切换主备模式,或者拔掉备机网线的方式使其切换为备机。同样,可通过2.6.1 来检查两台设备的主备状态是否互换。
表5 第二次切换后各种状态分析表
|
主机 |
备机 |
问题分析 |
|
主机 |
备机 |
无 |
|
主机 |
主机 |
备机的HA模块有异常,同时检查HA心跳线是否有问题 |
|
备机 |
备机 |
主机存在异常,无法切换成主机 |
|
备机 |
主机 |
备机的HA模块有异常 |
· 如果要修改ha使用的ip,请先更换被ha占用的ip,在进行修改ip操作。
· HA组网环境下,一端设备发生切换后,需要手动切换另外一端设备ha状态。
· ha地址不支持ipv6。
· 当备机执行“配置的导入导出”中的“导入”时,若此时备机优先级大于主机,则需要先拔掉备机的HA线和网线,配置导入完成后再依次插入HA线和业务网线。若此时备机优先级小于主机,则直接导入配置即可。
· 当业务地址已被通道或者其它模块使用,此时若需要对该地址进行修改,为了保证主机业务不中断,需要按照如下步骤操作:
a. 拔掉备机的业务口网线,内外不分先后(避免HA停用后,主备机地址冲突)
b. 主备机去除勾选的监听网口,内外不分先后,并停用HA
c. 在备机上进行业务地址修改和业务配置,内外不分先后,
d. 设置备机HA优先级,重新进行HA协商,使其成为新的主机,原主机成为备机
e. 重新插上新主机的业务网线,内外不分先后,然后主备机勾选监听网口
f. 导出新主机的配置,并导入到新备机中
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
