- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
25-HA主主典型配置举例
本章节下载 (776.43 KB)
目 录
本文档介绍设备的HA主主功能典型应用场景配置举例,HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
主主模式下设备之间会同步如下内容:
· 运行状态同步:session、fdb、用户状态。(默认关闭)
· 监控接口地址同步:当前设备HA状态发生异常后,另一主设备会进行arp代理,发送免费arp,更新用户的ARP缓存,应用场景为下联设备为二层设备时。
主主模式下如下内容不会同步:
· 配置不会同步。
· 特征库不会同步。
· HA全局配置不会同步,两设备都需要单独配置。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如图1所示,某公司内网办公网段1:IP地址172.16.11.0/24,办公网段2:IP地址172.16.12.0/24,其中172.16.11.1/24作为办公网段1的网关,172.16.12.1/24作为办公网段2的网关。两台设备的:设备A和设备B工作在透明桥模式,并以HA主主模式部署,互为备份,接入网络,两台设备开启本地web认证,其中一台设备A或B挂掉后,已经通过认证上网的用户,仍然能通过另一台备份设备上网,不需要再次认证,具体应用需求如下:
· 办公网段1:172.16.11.0/24以设备A为主,以设备B为备。
· 办公网段2:172.16.12.0/24以设备B为主,以设备A为备。
下联联动设备为三层交换机或路由器或其它支持策略路由健康检查实现路由备份的设备,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 172.16.11.0/24过三层交换机后主链路网关为172.16.100.1;通过健康检查发现主链路不通后切换到172.16.200.1备链路。
· 172.16.12.0/24过三层交换机后主链路网关为172.16.200.1;通过健康检查发现主链路不通后切换到172.16.100.1备链路。
上联联动设备为出口FW,支持策略路由健康检查实现路由备份的功能,因设备选型不一样,配置会不一样,配置不详细列出,主要目的是实现用户数据来回路径保持一致,配置需求概括如下:
· 172.16.11.0/24的回应数据主链路下一跳为172.16.100.2;通过健康检查发现主链路不通后切换到172.16.200.3备链路。
· 172.16.12.0/24的回应数据主链路下一跳为172.16.200.2;通过健康检查发现主链路不通后切换到172.16.100.3备链路。
图1 HA主主路由模式三层组网图
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置地址探测。
· 配置HA全局配置,全局配置包含:工作模式、运行状态同步(可选配置)、监控接口地址同步(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在E6501版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入网络配置>接口配置,在<网桥接口>下点击新建将ge0、ge3添加到桥接口bvi0中,并配置IP 172.16.100.2/28。
(2) 配置静态路由
如图3所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24,172.16.12.0/24路由。
(3) 配置认证用户地址对象
如图4所示,进入策略配置>对象管理>地址对象>地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,172.16.12.0/24,点击<提交>。
(4) 申请并导入license
如图5所示,进入“系统管理 > 系统维护 > 授权管理”,点击<导入许可证>。
(5) 配置DNS
如图6所示,进入“网络配置> DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(6) 升级特征库
如图7所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(7) 配置用户识别范围
如图8所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(8) 配置地址探测对象
如图9所示,进入“策略配置>对象管理>地址对象>地址探测”,点击<新建>按钮创建探测地址对象。
说明:地址探测支持ping、TCP、DNS三种方式。
(9) 配置HA全局配置
如图10所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图10 HA全局配置
说明:
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· 监控接口地址同步在该场景下不需要开启。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。下联设备检测到主链路不通后,将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务,保证业务不中断。监控接口都为UP状态时,HA状态会恢复。
· 地址探测:地址探测失败后,设备A的HA状态会发生变化,业务切换到设备B。建议下联联动设备和设备A都检查同一个地址,避免设备A状态变化后,下联设备路由没有同步切换导致断网的现象出现。
(10) 添加本地认证用户
如图11 所示,进入“用户管理> 用户 ”页面,点击新建,创建用户账号test。
(11) 配置本地web认证参数
如图12所示,进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图12 配置本地web认证参数
(12) 配置本地web认证策略
如图13所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
所有配置请根据拓扑图参照设备A的配置步骤和配置方法完成配置即可。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
如图14所示,设备A在线用户。
图14 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
如图15所示,设备B在线用户。
图15 设备B在线用户
如图16所示,设备A在线用户。
图16 设备A在线用户
将设备B重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。当设备B恢复后,用户再次切回设备B上网。
图17 设备B在线用户
如图18所示,某公司内网办公网段:IP地址172.16.11.0/24其中172.16.11.1/24作为办公网段的网关。两台设备的:设备A和设备B工作在透明桥模式,并以HA主主模式部署,互为备份,接入网络,两台设备开启本地web认证,其中一台设备A或B挂掉后,已经通过认证上网的用户,仍然能通过另一台备份设备上网,不需要再次认证,具体应用需求如下:
· 办公网段部分用户将网关设置成172.16.11.1,两台设备透明串接在两台二层交换机中间,转发二层交换机过来的用户流量。
该场景下联动设备为二层交换机,配置需求如下:
· 两台二层交换机之间的两条链路进行聚合,聚合链路算法建议基于源IP进行hash,保证同一个用户的流量走同一条链路。
图18 HA主主路由模式三层组网图
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置地址探测。
· 配置HA全局配置,全局配置包含:工作模式、运行状态同步(可选配置)、监控接口地址同步(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在E6501版本上进行配置和验证的。
(1) 配置接口地址
如图19所示,进入“网络配置>接口配置”,在<网桥接口>下点击新建将ge0、ge3添加到桥接口bvi0中,并配置IP 172.16.11.2/24。
(2) 配置静态路由
如图20所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由。
(3) 配置认证用户地址对象
如图21所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 申请并导入license
如图22所示,进入“系统管理 > 系统维护 > 授权管理”,点击<导入许可证>。
(5) 配置DNS
如图23所示,进入“网络配置> DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(6) 升级特征库
如图24所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(7) 配置用户识别范围
如图25所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(8) 配置地址探测对象
如图26所示,进入“策略配置>对象管理>地址对象>地址探测”,点击<新建>按钮创建探测地址对象。
说明:地址探测支持ping、TCP、DNS三种方式。
(9) 配置HA全局配置
如图27所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图27 HA全局配置
说明:
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· 监控接口地址同步在该场景下不需要开启。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。下联设备检测到主链路不通后,将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务,保证业务不中断。监控接口都为UP状态时,HA状态会恢复。
· 地址探测:地址探测失败后,设备A的HA状态会发生变化,业务切换到设备B。
(10) 添加本地认证用户
如图28 所示,进入“用户管理> 用户组织结构”页面,点击新建,创建用户账号test。
(11) 配置本地web认证参数
如图29所示,进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图29 配置本地web认证参数
(12) 配置本地web认证策略
如图30所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
所有配置请根据拓扑图参照设备A的配置步骤和配置方法进行配置即可。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
如图31所示,设备A在线用户。
图31 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。
图32 设备B在线用户
· HA主主邻居为什么建立不起来时请检查以下内容:
两台设备必须型号一致,板卡一致。
两台设备的序列号要求不一致。序列号一致建不起来邻居。
查看心跳线接口状态是否正常。
· HA主主环境一台设备宕机后HA状态仍然为master(N)状态,不能转发业务时请检查以下内容:
a. 确认发探测包的接口是否配置了管理IP,HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
· 什么是HA主主模式
主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息
主主模式支持路由模式和透明模式。
· HA心跳报文
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
· HA管理地址
a. 处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
b. 当处理备状态下时,设备不参与转发,使用管理地址来发探测包。
· HA主主状态切换
当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master(A)。出现故障的设备状态置为master(N)。master(N)状态的设备,监控接口不参与报文转发。
· HA主主监控地址同步
两台设备均配置监控接口,并开启监控接口地址同步,当其中一台设备的接口down掉后,另一台设备的对应接口将对端地址代理,代理地址置为active,并发送免费arp更新用户arp缓存,此接口参与出现故障设备的业务转发。
· HA主主心跳报文间隔
缺省情况下,报文间隔时间为200毫秒,重试次数为5次,可以通过keepalive <20-1000> retry<3-500> 命令进行修改。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
