- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
64-HA高可用性典型配置
本章节下载: 64-HA高可用性典型配置 (2.19 MB)
目 录
本文档介绍设备的HA主备功能典型应用场景配置举例,HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务配置和数据转发的同时,将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息、设备配置、特征库。
· Session信息:包括设备连接表、FDB、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息以及接口manage ip配置。
· 特征库:特征库包括APP特征库以及URL特征库。
主备模式下如下内容不会同步:
· HA全局配置和接口manage ip,两设备都需要单独配置。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如图1所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B工作在路由+NAT模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:
· 办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。
下联设备为三层交换机或路由器,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 三层交换机上联两个接口配置在一个vlan中,并设置vlan接口ip:172.16.100.2/24,默认路由网关:172.16.100.1/24。
· 出口二层交换机所有接口在同一个vlan即可,不需要额外配置。
图1 HA主备路由模式三层组网图
· 设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 配置NAT。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置HA全局配置,全局配置包含:工作模式、配置同步、运行状态同步、库同步、抢占模式(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入网络配置>接口配置,点击ge0、ge3口的<编辑>按钮,配置IP 192.168.2.56/24、172.16.100.1/30。
(2) 配置静态路由
如图3所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24。
(3) 配置认证用户地址对象
如图4所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 配置源NAT
如图5所示,进入“策略配置 > NAT转换策略 > 源NAT ”,新建NAT策略配置。
(5) 申请并导入license
如图6所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(6) 配置DNS
如图7所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(7) 升级特征库
如图8所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(8) 配置用户识别范围
如图9所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(9) 配置地址探测对象
如图10所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
地址探测支持ping、TCP、DNS三种方式。
(10) 配置HA全局配置
如图11所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图11 HA全局配置
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。
· 地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。
(11) 添加本地认证用户
如图12所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。
(12) 配置本地web认证参数
如图13所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图13 配置本地web认证参数
(13) 配置认证策略
如图14所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。
(1) 配置地址探测对象
进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
图15 配置地址探测
(2) 配置HA全局配置
如图16所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图16 HA全局配置
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图17所示,设备A在线用户。
图17 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
图18 设备B在线用户
如图19所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B工作在路由+NAT模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:
· 办公网段:172.16.11.0/24数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。
下联设备为二层交换机,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 二层交换机上联两个接口配置在一个vlan中。
· 出口二层交换机所有接口在同一个vlan即可,不需要额外配置。
图19 HA主备路由模式二层组网图
· 设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 配置NAT。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图20所示,进入网络配置>接口配置,点击ge0、ge3口的<编辑>按钮,配置IP 192.168.2.56/24、172.16.11.1/24。
(2) 配置静态路由
如图21所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由。
(3) 配置认证用户地址对象
如图22所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 配置源NAT
如图23所示,进入“策略配置 > NAT转换策略 > 源NAT ”,新建NAT策略配置。
(5) 申请并导入license
如图24所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(6) 配置DNS
如图25所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(7) 升级特征库
如图26所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(8) 配置用户识别范围
如图27所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(9) 配置地址探测对象
如图28所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
地址探测支持ping、TCP、DNS三种方式。
(10) 配置HA全局配置
如图29所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图29 HA全局配置
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。
· 地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。
(11) 添加本地认证用户
如图30所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。
(12) 配置本地web认证参数
如图31所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图31 配置web认证参数
(13) 配置认证策略
如图32所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。
(1) 配置HA全局配置
如图33所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图33 HA全局配置
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图34所示,设备A在线用户。
图34 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
图35 设备B在线用户
如图36所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B为透明桥模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:
· 办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。
下联设备为三层交换机或路由器,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 三层交换机上联两个接口配置在一个vlan中,并设置vlan接口ip:172.16.100.3/24,默认路由网关:172.16.100.1/24。
· 出口FW下联两个接口在同一个vlan,出接口配置访问公网的IP和路由,并配置源NAT。
图36 HA主备透明桥模式三层组网图
· 设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图37所示,进入网络配置>接口配置>网桥接口,点击新建,将ge0、ge3加入桥口bvi0,配置IP 172.16.100.2/28。
(2) 配置静态路由
如图38所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24。
(3) 配置认证用户地址对象
如图39所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 申请并导入license
如图40所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(5) 配置DNS
如图41所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(6) 升级特征库
如图42所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(7) 配置用户识别范围
如图43所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(8) 配置地址探测对象
如图44所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
地址探测支持ping、TCP、DNS三种方式。
(9) 配置HA全局配置
如图45所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图45 HA全局配置
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。
· 地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。
(10) 添加本地认证用户
如图46所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。
(11) 配置本地web认证参数
如图47所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图47 配置本地web认证参数
(12) 配置认证策略
如图48所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。
(1) 配置HA全局配置
如图49所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图49 HA全局配置
· HA透明桥模式组网需要在ha-config模式下配置fdb refresh enable,当发生HA状态切换时,由主切换为备的设备需要up/down一次桥接口中的成员接口,以促使上下游交换机刷新接口的MAC转发表,将流量同步切换到新的主设备上,只有HA桥模式需要开启此命令。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图50所示,设备A在线用户。
图50 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
图51 设备B在线用户
如图52所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B为透明桥模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:
· 办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。
上联和下联设备均为二层交换机,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 二层交换机所有接口配置在一个vlan中。
· 出口FW作为内网办公网段用户的网关。
图52 HA主备透明桥模式二层组网图
· 设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图53所示,进入网络配置>接口配置>网桥接口,点击新建,将ge0、ge3加入桥口bvi0,配置IP 172.16.11.2/24。
(2) 配置静态路由
如图54所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由。
(3) 配置认证用户地址对象
如图55所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 申请并导入license
如图56所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(5) 配置DNS
如图57所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(6) 升级特征库
如图58所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(7) 配置用户识别范围
如图59所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(8) 配置地址探测对象
如图60所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
地址探测支持ping、TCP、DNS三种方式。
(9) 配置HA全局配置
如图61所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图61 HA全局配置
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。
· 地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。
(10) 添加本地认证用户
如图62所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。
(11) 配置本地web认证参数
如图63所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图63 配置本地web认证参数
(12) 配置认证策略
如图64所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。
(1) 配置HA全局配置
如图65所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图65 HA全局配置
· HA透明桥模式组网需要在ha-config模式下配置fdb refresh enable,当发生HA状态切换时,由主切换为备的设备需要up/down一次桥接口中的成员接口,以促使上下游交换机刷新接口的MAC转发表,将流量同步切换到新的主设备上,只有HA桥模式需要开启此命令。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主设备,即使新的主设备停止服务了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图66所示,设备A在线用户。
图66 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
图67 设备B在线用户
· HA主备邻居为什么建立不起来时请检查以下内容:
两台设备必须型号一致,板卡一致。
两台设备的序列号要求不一致。序列号一致,建不起来邻居。
查看心跳线接口状态是否正常。
· HA主备环境一台设备宕机又恢复后,HA状态不能不变,没有切换回主状态
a. 确认发探测包的接口是否配置了管理IP,HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了。
b. 确认发探测报文的接口是否配置了源NAT,如果配置了配置源NAT,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA模式下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
· 什么是HA主备模式
主备模式是指实现HA的两台设备中, 一台为主设备进行数据转发,一台为备设备,不转发数据,作为主设备的备份。主设备在进行业务的同时, 将配置、流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主备设备之间通过HA心跳线同步状态信息。
主备模式支持路由模式和透明模式。
· HA心跳报文
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
· HA管理地址
a. 处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
b. 当处理备状态下时,设备不参与转发,使用管理地址来发探测包。
· HA主备状态切换
当设备启用HA主备模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master。出现故障的设备状态置为backup。backup状态的设备,所有接口不参与报文转发。
· HA主备心跳报文间隔
缺省情况下,报文间隔时间为200毫秒,重试次数为5次,可以通过keepalive <20-1000> retry<3-500> 命令进行修改。
本文档介绍设备的HA主主功能典型应用场景配置举例,HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如1.3.1 图1所示,某公司内网办公网段1:IP地址172.16.11.0/24,办公网段2:IP地址172.16.12.0/24,其中172.16.11.1/24作为办公网段1的网关,172.16.12.1/24作为办公网段2的网关。两台设备的:设备A和设备B工作在路由+NAT模式,并以HA主主模式部署,互为备份,接入网络,两台设备开启本地web认证,其中一台设备A或B挂掉后,已经通过认证上网的用户,仍然能通过另一台备份设备上网,不需要再次认证,具体应用需求如下:
· 办公网段1:172.16.11.0/24以设备A为主,以设备B为备。
· 办公网段2:172.16.12.0/24以设备B为主,以设备A为备。
联动设备为三层交换机或路由器或其它支持策略路由健康检查实现路由备份的设备,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 172.16.11.0/24过三层交换机后主链路网关为172.16.100.1;通过健康检查发现主链路不通后切换到172.16.200.1备链路。
· 172.16.12.0/24过三层交换机后主链路网关为172.16.200.1;通过健康检查发现主链路不通后切换到172.16.100.1备链路。
图68 HA主主路由模式三层组网图
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 配置NAT。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置地址探测。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图69所示,进入“网络配置>接口配置”,点击ge0、ge3后的<编辑>按钮,配置IP 192.168.2.56/24、172.16.100.1/30。
(2) 配置静态路由
如图70所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24,172.16.12.0/24路由。
(3) 配置认证用户地址对象
如图71所示,进入“策略配置>对象管理>地址对象>IPv4地址对象”,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,172.16.12.0/24,点击<提交>。
(4) 配置源NAT
如图72所示,进入“网络配置 > NAT转换策略 > 源NAT ”,新建NAT策略配置。
(5) 申请并导入license
如图73所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(6) 配置DNS
如图74所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(7) 升级特征库
如图75所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(8) 配置用户识别范围
如图76所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(9) 配置地址探测对象
如图77所示,进入“策略配置>对象管理>地址对象>地址探测”,点击<新建>按钮创建探测地址对象。
说明:地址探测支持ping、TCP、DNS三种方式。
(10) 配置HA全局配置
如图78所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图78 HA全局配置
说明:
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· 监控接口地址同步在下联设备为二层设备时开启。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。下联设备检测到主链路不通后,将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务,保证业务不中断。监控接口都为UP状态时,HA状态会恢复。
· 地址探测:地址探测失败后,设备A的HA状态会发生变化,业务切换到设备B。建议下联联动设备和设备A都检查同一个地址,避免设备A状态变化后,下联设备路由没有同步切换导致断网的现象出现。
(11) 添加本地认证用户
如图79所示,进入“用户管理> 用户组织结构”页面,点击新建选择<用户>,创建用户账号test。
(12) 配置本地web认证参数
如图80所示,进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图80 配置本地web认证参数
(13) 配置本地web认证策略
如图81所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
所有配置按照拓扑图参照设备A的配置步骤和配置方法进行配置即可。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· 如果开启地址探测功能,下联设备健康检查地址要与HA设备健康检查地址保持一致。
· HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA master(N)状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图82所示,设备A在线用户。
图82 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
图83 设备B在线用户
如图84所示,设备A在线用户。
图84 设备A在线用户
将设备B重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。当设备B恢复后,用户再次切回设备B上网。
图85 设备B在线用户
如图86所示,某公司内网办公网段:IP地址172.16.11.0/24其中172.16.11.1/24作为办公网段的网关,172.16.11.2/24作为办公网段的备用网关。两台设备的:设备A和设备B工作在路由+NAT模式,并以HA主主模式部署,互为备份,接入网络,两台设备开启本地web认证,其中一台设备A或B挂掉后,已经通过认证上网的用户,仍然能通过另一台备份设备上网,不需要再次认证,具体应用需求如下:
· 办公网段部分用户将网关设置成172.16.11.1,部分用户将网关设置成172.16.11.2,当设备A故障后,设备B会发免费arp更新用户ARP缓存,原经设备A上网的用户会将数据目的MAC更改成设备B接口ge2的MAC进行上网,当设备A恢复后,该部分用户会重新切回设备A上网。
该场景下联动设备为二层交换机,只需要保证所有接口在同一个vlan即可。
图86 HA主主路由模式二层组网图
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 配置NAT。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置地址探测。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图87所示,进入网络配置>接口配置,点击ge0、ge3后的<编辑>按钮,配置IP 192.168.2.56/24、172.16.11.1/24。
(2) 配置静态路由
如图88所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由。
(3) 配置认证用户地址对象
如图89所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 配置源NAT
如图90所示,进入“网络配置 > NAT转换策略 > 源NAT ”,新建NAT策略配置。
(5) 申请并导入license
如图91所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(6) 配置DNS
如图92所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(7) 升级特征库
如图93所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(8) 配置用户识别范围
如图94 所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(9) 配置地址探测对象
如图95所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
说明:地址探测支持ping、TCP、DNS三种方式。
(10) 配置HA全局配置
如图96所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图96 HA全局配置
说明:
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· 监控接口地址同步在下联设备为二层设备时开启。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。下联设备检测到主链路不通后,将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务,保证业务不中断。监控接口都为UP状态时,HA状态会恢复。
· 地址探测:地址探测失败后,设备A的HA状态会发生变化,业务切换到设备B。
(11) 添加本地认证用户
如图97所示,进入“用户管理> 用户组织结构”页面,点击新建,创建用户账号test。
(12) 配置本地web认证参数
如图98所示,进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图98 配置本地web认证参数
(13) 配置本地web认证策略
如图99所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
所有配置请按照拓扑图参照设备A的配置步骤和配置方法进行配置即可。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA master(N)状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图100所示,设备A在线用户。
图100 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。
图101 设备B在线用户
如图102所示,某公司内网办公网段1:IP地址172.16.11.0/24,办公网段2:IP地址172.16.12.0/24,其中172.16.11.1/24作为办公网段1的网关,172.16.12.1/24作为办公网段2的网关。两台设备的:设备A和设备B工作在透明桥模式,并以HA主主模式部署,互为备份,接入网络,两台设备开启本地web认证,其中一台设备A或B挂掉后,已经通过认证上网的用户,仍然能通过另一台备份设备上网,不需要再次认证,具体应用需求如下:
· 办公网段1:172.16.11.0/24以设备A为主,以设备B为备。
· 办公网段2:172.16.12.0/24以设备B为主,以设备A为备。
下联联动设备为三层交换机或路由器或其它支持策略路由健康检查实现路由备份的设备,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 172.16.11.0/24过三层交换机后主链路网关为172.16.100.1;通过健康检查发现主链路不通后切换到172.16.200.1备链路。
· 172.16.12.0/24过三层交换机后主链路网关为172.16.200.1;通过健康检查发现主链路不通后切换到172.16.100.1备链路。
上联联动设备为出口FW,支持策略路由健康检查实现路由备份的功能,因设备选型不一样,配置会不一样,配置不详细列出,主要目的是实现用户数据来回路径保持一致,配置需求概括如下:
· 172.16.11.0/24的回应数据主链路下一跳为172.16.100.2;通过健康检查发现主链路不通后切换到172.16.200.3备链路。
· 172.16.12.0/24的回应数据主链路下一跳为172.16.200.2;通过健康检查发现主链路不通后切换到172.16.100.3备链路。
图102 HA主主路由模式三层组网图
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置地址探测。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图103所示,进入网络配置>接口配置,在<网桥接口>下点击新建将ge0、ge3添加到桥接口bvi0中,并配置IP 172.16.100.2/28。
(2) 配置静态路由
如图104所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24,172.16.12.0/24路由。
(3) 配置认证用户地址对象
如图105所示,进入策略配置>对象管理>地址对象>地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,172.16.12.0/24,点击<提交>。
(4) 申请并导入license
如图106所示,进入“系统管理 > 系统维护 > 授权管理”,点击<导入许可证>。
(5) 配置DNS
如图107所示,进入“网络配置> DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(6) 升级特征库
如图108所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(7) 配置用户识别范围
如图109所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(8) 配置地址探测对象
如图110所示,进入“策略配置>对象管理>地址对象>地址探测”,点击<新建>按钮创建探测地址对象。
说明:地址探测支持ping、TCP、DNS三种方式。
(9) 配置HA全局配置
如图111所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图111 HA全局配置
说明:
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· 监控接口地址同步在该场景下不需要开启。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。下联设备检测到主链路不通后,将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务,保证业务不中断。监控接口都为UP状态时,HA状态会恢复。
· 地址探测:地址探测失败后,设备A的HA状态会发生变化,业务切换到设备B。建议下联联动设备和设备A都检查同一个地址,避免设备A状态变化后,下联设备路由没有同步切换导致断网的现象出现。
(10) 添加本地认证用户
如图112 所示,进入“用户管理> 用户 ”页面,点击新建,创建用户账号test。
(11) 配置本地web认证参数
如图113所示,进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图113 配置本地web认证参数
(12) 配置本地web认证策略
如图114所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
所有配置请根据拓扑图参照设备A的配置步骤和配置方法完成配置即可。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
如图115所示,设备A在线用户。
图115 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
如图116所示,设备B在线用户。
图116 设备B在线用户
如图117所示,设备A在线用户。
图117 设备A在线用户
将设备B重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。当设备B恢复后,用户再次切回设备B上网。
图118 设备B在线用户
如图119所示,某公司内网办公网段:IP地址172.16.11.0/24其中172.16.11.1/24作为办公网段的网关。两台设备的:设备A和设备B工作在透明桥模式,并以HA主主模式部署,互为备份,接入网络,两台设备开启本地web认证,其中一台设备A或B挂掉后,已经通过认证上网的用户,仍然能通过另一台备份设备上网,不需要再次认证,具体应用需求如下:
· 办公网段部分用户将网关设置成172.16.11.1,两台设备透明串接在两台二层交换机中间,转发二层交换机过来的用户流量。
该场景下联动设备为二层交换机,配置需求如下:
· 两台二层交换机之间的两条链路进行聚合,聚合链路算法建议基于源IP进行hash,保证同一个用户的流量走同一条链路。
图119 HA主主路由模式三层组网图
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置地址探测。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图120所示,进入“网络配置>接口配置”,在<网桥接口>下点击新建将ge0、ge3添加到桥接口bvi0中,并配置IP 172.16.11.2/24。
(2) 配置静态路由
如图121所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由。
(3) 配置认证用户地址对象
如图122所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 申请并导入license
如图123所示,进入“系统管理 > 系统维护 > 授权管理”,点击<导入许可证>。
(5) 配置DNS
如图124所示,进入“网络配置> DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(6) 升级特征库
如图125所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(7) 配置用户识别范围
如图126所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(8) 配置地址探测对象
如图127所示,进入“策略配置>对象管理>地址对象>地址探测”,点击<新建>按钮创建探测地址对象。
说明:地址探测支持ping、TCP、DNS三种方式。
(9) 配置HA全局配置
如图128所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图128 HA全局配置
说明:
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· 监控接口地址同步在该场景下不需要开启。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。下联设备检测到主链路不通后,将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务,保证业务不中断。监控接口都为UP状态时,HA状态会恢复。
· 地址探测:地址探测失败后,设备A的HA状态会发生变化,业务切换到设备B。
(10) 添加本地认证用户
如图129 所示,进入“用户管理> 用户组织结构”页面,点击新建,创建用户账号test。
(11) 配置本地web认证参数
如图130所示,进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图130 配置本地web认证参数
(12) 配置本地web认证策略
如图131所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
所有配置请根据拓扑图参照设备A的配置步骤和配置方法进行配置即可。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
如图132所示,设备A在线用户。
图132 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。
图133 设备B在线用户
· HA主主邻居为什么建立不起来时请检查以下内容:
两台设备必须型号一致,板卡一致。
两台设备的序列号要求不一致。序列号一致建不起来邻居。
查看心跳线接口状态是否正常。
· HA主主环境一台设备宕机后HA状态仍然为master(N)状态,不能转发业务时请检查以下内容:
a. 确认发探测包的接口是否配置了管理IP,HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。
b. 确认发探测报文的接口是否配置了源NAT,如果配置了配置源NAT,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA master(N)状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
· HA主主场景,内网用户流量过一台主设备去访问另一台主设备的外网接口时访问不了
确认HA主主是否开启了源NAT,因为HA主设备会同步流给对端主设备,当访问数据到对端 主设备外网接口后,在建流时会出现反向流跟已同步过来的流冲突导致丢包。规避方法为1、不开源NAT;2、内网用户访问另一台HA主设备的内网接口IP即可。
· 什么是HA主主模式
主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息
主主模式支持路由模式和透明模式。
· HA心跳报文
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
· HA管理地址
a. 处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
b. 当处理备状态下时,设备不参与转发,使用管理地址来发探测包。
· HA主主状态切换
当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master(A)。出现故障的设备状态置为master(N)。master(N)状态的设备,监控接口不参与报文转发。
· HA主主监控地址同步
两台设备均配置监控接口,并开启监控接口地址同步,当其中一台设备的接口down掉后,另一台设备的对应接口将对端地址代理,代理地址置为active,并发送免费arp更新用户arp缓存,此接口参与出现故障设备的业务转发。
· HA主主心跳报文间隔
缺省情况下,报文间隔时间为200毫秒,重试次数为5次,可以通过keepalive <20-1000> retry<3-500> 命令进行修改。
两台设备工作在主主工作模式下,如果用户要在两台设备上配置相同的策略,不再需要在两台设备各配一遍,只需要在一台设备配置策略,并配好主主配置同步关系,设备会自动把配置同步到另一台设备,提升易用性和工作效率。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
在配置前,需要做如下准备:
· 两台设备型号与软件版本必须一致,并对接口布线。
· 两台设备的业务接口设置(除IP)与布线上要一样,配置同步才有意义。
· 本文档假设您已了解HA主主配置同步特性。
· HA主主的两台设备的型号及软件版本必须一致,且序列号必须不相同。
· 配置和库同步的方向只能是从主控到备控。
· HA配置在各设备上单独进行,不进行同步。
· 特征库同步的前提是:主控上特征库的版本比备控的特征库版本高。
· 设备处于HA备控状态时候,只有HA配置、路由、网管配置、广告推送策略、信息收集、日志服务器、NAT64/NAT46和接口配置能修改。
· 两台设备的接口布线必须一致。
不同步配置项说明:
· 应用缓存上传的文件不会同步
· SSL VPN在线用户不会同步
· IC卡认证中上传的安装包配置文件也不会同步
· 所有的路由v4/v6(静态路由/策略路由/动态路由[RIP/ISP/OSPF/BGP])的配置都不会同步
· 网管配置不会同步
· 广告推送策略配置不会同步/广告对象也不会同步
· 设备的hostname不同步
· 物理接口的任何配置都不会同步[如:接口的PPPOE/DHCP 配置不会从主控同步到备控]
· 子接口/网桥接口/聚合接口/隧道接口 只同步接口名称,其它的配置(如:描述,IP地址,成员,接口禁用/启用状态, 等不应该同步)
· 无线接口的配置不会同步
· 隧道接口的名称和隧道模式会同步,隧道接口其它配置不会同步
· 高可用性下的接口状态同步组和接口状态探测不会同步
· NAT64/NAT46不支持HA主主配置同步
· AD域单点登录配置不支持HA主主配置同步
· 旁路部署与接口相关,其配置不支持HA主主配置同步
· 安全设置>ARP/ND攻击防护>ARP/ND学习控制,其配置不支持HA主主配置同步(与接口相关)
· 日志服务器配置不会同步
设备A和设备B工作在路由模式,并以HA主主模式部署,互为备份,接入网络。设备A配置为主控设备,设备B配置成为备控设备,设备 A的ge2接口作为HA通讯接口和设备 B的ge2接口相连。具体应用需求如下:
· 如果两台设备的配置不一致,可以将主控设备的配置全量同步到备控设备。
· 在主控设备上新增的配置能够同步到备控设备。
· 主控设备上升级特征库后,特征库自动同步到备控设备。
· 主控设备与备控设备可以进行角色切换。
图134 HA主主配置同步举例组网图
· HA主主的配置和组网。
· 配置HA主-主模型中的主控,并配置配置和库同步。
· 配置HA主-主模型中的备控,并配置配置和库同步。
· 配置全量同步。
· 配置增量同步。
本举例是在R6616版本上进行配置和验证的。
(1) 配置主控设备(设备A)的HA全局配置。
登录设备A的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA全局配置”,配置完毕后点击“提交”按钮。
图135 设备A的HA全局配置
(2) 配置设备A的接口管理地址。
选择“系统管理>系统设定> 高可用性 > HA全局配置”,选择“HA接口管理地址”页签,单击“新建”,配置HA接口管理地址。
图136 配置设备A的HA接口管理地址
(3) 配置备控设备(设备B)的HA全局配置。
登录设备B的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA全局配置”,配置完毕后点击“提交”按钮。
图137 设备B的HA全局配置
(4) 配置设备B的接口管理地址。
选择“系统管理>系统设定> 高可用性 > HA全局配置”,选择“HA接口管理地址”页签,单击“新建”,配置HA接口管理地址。
图138 配置设备B的HA接口管理地址
(5) 查看设备A的HA监控状态
登录设备A的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA监控”,查看主控设备A的HA监控状态。
图139 查看设备A的HA监控状态
(6) 查看设备B的HA监控状态
登录设备B的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA监控”,查看备控设备B的HA监控状态,备控设备不能进行配置同步和角色切换。
图140 查看设备B的HA监控状态
HA主-主配置同步模型刚建立起来以后,主控设备周期性(每10分钟)和备控设备进行配置文件比对,如配置不一致,主、备控设备均提示配置不相同。
(7) 将主控设备的配置同步到备控设备
登录主控设备A的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA监控”,点击“同步配置”按钮,然后在提示窗口点击“确定”按钮,主控设备将配置文件内容全量同步到备控设备,并触发备控设备自动重启,重启之后主控设备上的配置会同步到备控设备。
图141 主控设备同步配置到备控设备
(8) 验证全量配置同步
备控设备重启完毕之后,查看主控设备A的“HA监控”状态,显示主控和备控设备配置相同。
图142 查看设备A的HA监控状态
(9) 备控重启完毕之后,查看备控设备B上的“HA监控”状态,显示主控和备控设备配置相同。
图143 查看设备B的HA监控状态
配置前提:HA主主已经处于配置同步状态,如图142、图143所示。
(1) 在主控设备上新增配置
进入设备A的Web管理页面选择 “策略配置 > 审计策略”,新增一条审计策略。
图144 设备A上配置审计策略
(2) 在备控设备上查看配置同步结果
进入设备B的Web管理页面,选择“策略配置 > 审计策略”,查看审计策略配置,主控设备上的审计策略配置会自动同步到备控设备。
图145 设备B上查看审计策略配置
(3) 查看主控设备和备控设备的“HA监控”状态
进入设备A的Web管理页面,选择“系统管理>系统设定> 高可用性 > HA监控”,查看设备A的HA监控状态,显示配置和库同步。
图146 设备A的HA监控页面
进入设备B的Web管理页面,选择“系统管理>系统设定> 高可用性 > HA监控”,查看设备B的HA监控状态,显示配置和库同步。
图147 设备B的HA监控页面
配置前提:HA主主已经处于配置同步状态,如图142、图143所示。
(1) 在主控设备上升级特征库
进入设备A的Web管理页面,选择“系统管理 > 系统维护 > 系统升级”,进入系统升级页面,升级特征库。如下图所示,选择“病毒防护特征库”文件后点击“上传”。
图148 设备A上升级特征库
(2) 进入设备A的Web管理页面,选择“系统管理>系统设定> 高可用性 > HA监控”,查看HA监控状态。显示IPS库的状态为“正在同步库文件”。
图149 设备A的HA监控页面
(3) 进入设备B的Web管理页面,选择“系统管理>系统设定> 高可用性 > HA监控”,查看HA监控状态。显示AV库的状态为“正在同步库文件”。
图150 设备B的HA监控页面
(4) 查看特征库同步完成后的状态
特征库同步完成后,查看设备A的“HA监控”状态,显示特征库已同步。
图151 设备A的HA监控页面
(5) 查看设备B的“HA监控”状态,显示特征库已同步。
图152 设备B的HA监控页面
配置前提:HA主主关系已经建立。
(1) 在主控设备上切换配置角色
登录设备A的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA监控”,在HA监控页面上,点击“配置角色切换”按钮。
图153 设备A上进行配置角色切换
(2) 验证切换后结果
登录设备A的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA监控”,查看HA监控状态,设备A切换成了备控角色。
图154 设备A 切换为备控
登录设备B的Web管理页面,进入“系统管理>系统设定> 高可用性 > HA监控”,查看HA监控状态,设备B切换成了主控角色。
图155 设备B 切换为主控
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
