- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-双机热备(RBM)配置
本章节下载: 01-双机热备(RBM)配置 (1.16 MB)
双机热备(RBM)是一种通过本公司私有的RBM(Remote Backup Management,远端备份管理)协议,实现设备级的高可靠性(High Availability,简称HA)的技术。此技术能够在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作。
下文中使用的HA概念无特殊说明的情况下均指双机热备(RBM)技术。
RBM通过RBM协议管理多个VRRP备份组状态的统一切换或者调整动态路由协议的开销值等,选举出RBM系统中每台设备的主备状态,及其主备状态的动态切换。同时通过RBM协议备份设备间的关键配置信息和业务表项等,从而保证用户业务数据的不间断传输。需要两台软硬件环境完全相同的设备进行RBM组网。
随着互联网以及各行各业数字化转型的蓬勃发展,网络承载的业务越来越多,越来越重要。如何保证网络的可靠性、业务的不间断传输成为网络建设中必须要解决的问题。
如图1-1中的左图所示,Device部署在网络的出口,内、外网之间的业务均会通过Device处理和转发。如果Device出现故障,便会导致内、外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的情况下,无论其可靠性多高,都会存在因设备单点故障而导致网络中断的风险。
因此,通常会在网络的关键位置部署两台设备,以提升网络的可靠性。如图1-1中的右图所示,当Device A出现故障时,流量会通过Device B转发,保证内、外网之间业务不间断运行。
图1-1 RBM部署提升网络可靠性示意图
对于传统的网络设备(如交换机、路由器),只需要做好二层网络的冗余和路由表项的备份就可以保证业务的不间断传输。但是,对于需要对报文进行状态检测和策略处理的设备(如防火墙、入侵防御、网页防火墙、上网行为审计等),它会对一条流量的首包进行合法性检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才会在此类设备上进行处理并完成报文转发,如果后续报文不能匹配到会话则会被丢弃。所以当此类设备进行RBM部署时还需要保证两台设备之间的业务表项信息和关键配置信息的一致性,只有如此才能保证业务的不间断传输。
RBM功能可以解决以上问题。如图1-1中的右图所示,RBM功能提供一条专用备份通道,用于两台Device之间进行会话等状态信息和配置信息的备份。
双机热备技术包含的基本概念如下:
· 主、从管理设备:在控制层面RBM系统中的设备分为主、从两种管理角色(也可以称作主、从管理状态),用于控制设备之间关键配置信息的同步。RBM控制通道建立成功后,只能在主管理设备上配置相关业务功能(支持配置信息同步的命令),从管理设备上不能配置。系统会在命令行提示符前增加前缀信息,以便标识设备的主、从管理角色。RBM_P前缀信息表示主管理角色,如RBM_P<Sysname>;RBM_S前缀信息表示从管理角色,如RBM_S<Sysname>。
· 主、备设备:在数据层面RBM系统中包含主、备两种业务角色(也可以称作主、备业务状态)。主设备处理业务,并向备设备实时备份业务表项信息;备设备除接收主设备的业务表项备份信息外,在主设备发生故障后,备设备会转换成主设备,继续处理业务流量,保证业务不中断。
· RBM通道:用于两台设备之间交互RBM系统的运行状态信息,关键配置信息和业务表项信息。
· 双机热备工作模式:支持主备、镜像和双主三种工作模式。主备模式下,仅由主设备处理业务,备设备处于待命状态;镜像模式下,两台设备的接口(镜像模式管理接口和RBM通道接口除外)使用相同的IP地址,同样由主设备处理业务,备设备处于待命状态;双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载分担能力。
· RBM报文:RBM报文使用RBM协议承载两台设备之间需要交互的信息。其使用TCP作为传输层协议,TCP连接建立后,主管理设备和从管理设备通过RBM通道交互RBM报文。
双机热备支持主备、镜像和双主三种工作模式,具体介绍如下。
如图1-2所示,主备模式下,正常情况仅由主设备处理业务,备设备处于待命状态;当主设备接口、链路或整机故障时,备设备立即切换为主设备,接替原主设备处理业务。
图1-2 主备模式的双机热备示意图
镜像模式是一种特殊的主备模式,部署方式与主备模式相同。在镜像模式下,两台设备的接口(镜像模式管理接口和RBM通道接口除外)使用相同的IP地址,正常情况下同样由主设备处理业务,备设备处于待命状态;当主设备接口、链路或整机故障时,备设备立即切换为主设备,接替原主设备处理业务。
此组网环境中RBM必须关联Track项,否则上下行链路或接口故障时,双机热备不能主备切换。
如图1-3所示,双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载能力,此模式通过互为主备方法实现。并且当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证业务不中断。
图1-3 双主模式的双机热备示意图
如图1-4所示,RBM业务角色选举条件的优先级从高到底依次为链路状态、健康值、工作模式。
双机热备组网中,设备之间具体选举过程如下:
(1) 首先比较设备的业务接口链路状态,可通过track、track interface等命令监测业务接口的链路状态。此时会有以下三种情况:
¡ 一台设备业务接口链路状态全为UP,另一台设备存在DOWN的接口:业务接口链路状态全为UP的设备会当选为主设备,另一台为备设备。
¡ 两台设备业务接口链路状态全为UP:进行下一步选举。
¡ 两台设备都存在业务接口链路状态为DOWN的接口:进行下一步选举。
(2) 当无法比较设备的业务接口链路状态时,则比较设备的健康值(管理员可通过display system health命令查看设备健康值),健康值小的设备会当选为主设备,另一台设备则为备设备。
(3) 当以上条件都相同时,则根据设备的工作模式来选择业务角色。双主模式下,两台设备都为主设备。主备和镜像模式下,由主管理设备作为主设备,从管理设备作为备设备。当设备的管理角色配置为自动选择时,双机热备会选举控制通道本端IP地址小的一方为主管理设备,此时该设备是主设备,另一台设备为备设备。
RBM报文包括如下:
· 心跳报文(Keepalive报文):两台设备通过定期互相发送心跳报文来检测对端设备是否存活。
· 控制报文:根据设备的运行状态来控制设备的主备状态切换。
· 配置信息和表项备份报文:用于两台设备之间进行配置信息和业务表项的备份。
· 配置一致性检查报文:用于设备之间检测配置信息,以确保两台设备的关键配置一致。
· 透传报文:用于设备间非对称路径业务报文的透传或复制。
RBM通道用于两台设备之间进行RBM运行状态、关键配置和业务表项等信息的传输,包括以下三种类型的通道:
· 控制通道:可传输的报文类型包括RBM的心跳报文、运行状态报文、一致性检查报文和同步配置信息的报文等。
· 数据通道:可传输的报文类型包括热备报文和透传报文。数据通道的报文传输模式支持使用二层或三层。
控制通道基于TCP协议来监测链路的连通性。控制通道建立后,设备会周期性向对端设备发送Keepalive报文,如果达到最大发送次数后仍然没有收到对端的回应,则RBM通道断开,RBM失效。
RBM能够将主设备上生成的业务表项信息实时备份到备设备,避免了主备设备切换时因备设备上缺失业务表项而造成的业务中断问题。
需要对报文进行状态检测的设备,对于每个动态生成的连接,都有一个会话表项与之对应。主设备在处理业务的过程中创建了很多会话表项;而备设备没有报文经过,因此也就没有创建会话表项。通过RBM的业务表项实时备份功能,主设备会实时将会话表项备份到备设备,当主备切换后,已有连接的后续业务报文可以通过匹配备份来的会话表项来保持业务不中断。
目前RBM支持热备的业务表项包括:IPsec隧道相关的信息表项、域名解析相关的表项、NAT端口块表项、AFT端口块表项、会话表项、会话关联表项和各个安全业务模块自身生成的业务表项。
此处列举了双机热备支持热备的所有业务表项,其中部分业务表项本产品可能不支持,请以设备的实际情况为准。
RBM可以将主管理设备上的关键配置信息备份到从管理设备,避免了主备设备切换时因对端设备缺失对应的配置信息而造成的业务中断问题。
RBM中主从管理设备之间的关键配置信息备份原理分如下两种:
· 两台设备均正常运行情况下,配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上对应的配置信息,因此建议仅在主管理设备上配置相关功能,不建议在从管理设备上进行配置。
· 两台设备的任意一台重启情况下,重启后的设备向未重启的设备获取关键配置信息,并覆盖本设备上对应的配置信息。
RBM支持自动和手动两种方式进行配置信息备份。
此处列举了双机热备支持配置信息同步的所有业务模块以及对应的命令,其中部分业务模块或命令本产品可能不支持,请以设备的实际情况为准。
目前双机热备主备、镜像和双主模式下均支持配置信息同步的业务模块如下:
表1-1 双机热备主备、镜像和双主模式下均支持配置信息同步的业务模块
|
模块 |
支持情况 |
说明 |
|
RBAC |
部分支持 |
仅role feature-group、feature、vpn-instance policy deny、permit vpn-instance命令支持同步 |
|
接口管理分册 |
部分支持 |
除shutdown外所有在接口视图下配置的命令支持同步 |
|
VLAN |
全部支持 |
- |
|
IPoE |
全部支持 |
- |
|
域名解析 |
部分支持 |
DDNS中命令不支持同步 |
|
NAT |
全部支持 |
- |
|
AFT |
全部支持 |
- |
|
VPN实例 |
全部支持 |
- |
|
ACL |
部分支持 |
除acl copy命令外的其他命令支持同步 |
|
时间段 |
全部支持 |
- |
|
安全域 |
全部支持 |
- |
|
AAA |
部分支持 |
本地用户配置命令中配置网络接入类本地用户属性的命令都支持同步 RADIUS配置命令中的radius dynamic-author server、port、client、attribute translate、attribute convert (RADIUS DAE server view)、attribute reject (RADIUS DAE server view)命令支持同步 RADIUS服务器配置命令中的radius-server client、radius-server activate、radius-server deactivate、radius-server ldap-scheme、radius-server eap-profile命令支持同步 HWTACACS配置命令中除hwtacacs nas-ip、nas-ip (HWTACACS scheme view)外的其他命令 |
|
Password Control |
全部支持 |
- |
|
IPsec |
部分支持 |
仅IKEv1、IKEv2和IPsec安全策略相关功能支持配置信息同步,其他IPsec功能不支持配置信息同步 |
|
SSL VPN |
全部支持 |
- |
|
ASPF |
全部支持 |
- |
|
APR |
全部支持 |
- |
|
会话管理 |
全部支持 |
- |
|
连接数限制 |
全部支持 |
- |
|
对象组 |
全部支持 |
- |
|
安全策略 |
全部支持 |
- |
|
攻击检测与防范 |
全部支持 |
- |
|
云平台连接 |
全部支持 |
- |
|
NQA |
部分支持 |
系统视图下的nqa agent enable命令支持同步 NQA模板视图下,除了destination ipv6、destination ip、next-hop ip、next-hop ipv6、proxy-url、source ip、source ipv6、source port、url命令外的其他命令支持同步 |
|
快速日志输出 |
全部支持 |
- |
|
Flow日志 |
全部支持 |
- |
|
信息中心 |
部分支持 |
info-center loghost source命令不支持同步 |
|
应用层检测引擎 |
全部支持 |
- |
|
IPS |
全部支持 |
- |
|
URL过滤 |
全部支持 |
- |
|
数据过滤 |
全部支持 |
- |
|
文件过滤 |
全部支持 |
- |
|
防病毒 |
全部支持 |
- |
|
数据分析中心 |
全部支持 |
- |
|
代理策略 |
全部支持 |
- |
|
WAF |
全部支持 |
- |
|
APT防御 |
全部支持 |
- |
|
带宽管理 |
全部支持 |
- |
|
应用审计与管理 |
全部支持 |
- |
|
共享上网管理 |
全部支持 |
- |
|
负载均衡 |
全部支持 |
- |
|
全局负载均衡 |
部分支持 |
loadbalance default-syncgroup member命令不支持同步 |
在镜像模式下除上述模块支持配置信息同步外,还有以下模块支持配置信息同步:
表1-2 仅镜像模式支持配置信息同步的模块
|
模块 |
支持情况 |
说明 |
|
登录设备 |
部分支持 |
用户线视图下的命令支持同步 |
|
配置文件管理 |
部分支持 |
配置文件保存的相关命令支持同步 |
|
设备管理 |
部分支持 |
clock datetime、clock summer-time、clock timezone命令支持同步 |
|
MAC地址表配置 |
部分支持 |
除mac-address blackhole、mac-address static命令外的其他命令支持同步 |
|
VLAN终结 |
全部支持 |
- |
|
二层转发 |
部分支持 |
mac fast-forwarding check-vlan-id、bridge fast-forwarding check-vlan-id命令支持同步 |
|
ARP |
部分支持 |
除arp multiport命令外的其他命令支持同步 |
|
IP地址 |
部分支持 |
仅ip address命令支持同步 |
|
DHCP |
部分支持 |
DHCP公共命令、DHCP服务器配置命令、DHCP客户端配置命令支持同步 |
|
IP转发基础 |
全部支持 |
- |
|
快速转发 |
部分支持 |
除hardware fast-forwarding enable命令外的其他命令都支持同步 |
|
多CPU报文负载分担 |
全部支持 |
- |
|
IP性能优化 |
部分支持 |
配置IP报文功能相关命令以及tcp mss、tcp auto-adjust-mss命令支持同步 |
|
IPv6基础 |
部分支持 |
ipv6 address、ipv6 mtu及IPv6邻居发现相关命令支持同步 |
|
DHCPv6 |
部分支持 |
DHCPv6公共命令、DHCPv6服务器配置命令、DHCPv6客户端配置命令支持同步 |
|
IPv6快速转发 |
全部支持 |
- |
|
隧道 |
部分支持 |
interface tunnel number [ mode { gre [ ipv6 ] | ipv4-ipv6 | ipv6-ipv4 [ 6rd | 6to4 | auto-tunnel | isatap ] | mgre } ]命令支持同步 |
|
GRE |
部分支持 |
gre key、gre checksum命令支持同步 |
|
IP路由基础 |
全部支持 |
- |
|
静态路由 |
全部支持 |
- |
|
RIP |
全部支持 |
- |
|
OSPF |
全部支持 |
- |
|
BGP |
全部支持 |
- |
|
IPv6静态路由 |
全部支持 |
- |
|
RIPng |
全部支持 |
- |
|
OSPFv3 |
全部支持 |
- |
|
路由策略 |
全部支持 |
- |
|
MPLS L3VPN |
部分支持 |
除BGP相关视图下的命令支持同步 |
|
QOS |
全部支持 |
- |
|
AAA |
部分支持 |
本地用户配置命令中配置设备管理类本地用户属性的命令都支持同步 |
|
Keychain |
全部支持 |
- |
|
PKI |
部分支持 |
私钥、本地证书、CA证书、CRL、证书过滤相关的命令支持同步 |
|
SSH |
部分支持 |
除dsa local-key-pair create、rsa local-key-pair create和ecc local-key-pair create命令外的其他命令支持同步 |
|
ARP攻击防御 |
全部支持 |
- |
|
MFF |
全部支持 |
- |
|
BFD |
全部支持 |
- |
|
EVI |
部分支持 |
仅evi arp-suppression enable命令支持同步 |
|
VXLAN |
部分支持 |
仅arp distributed-gateway dynamic-entry synchronize命令支持同步 |
RBM通过交互一致性检查报文来检测两台设备的配置信息是否一致,用于防止由于两台设备配置信息不一致,而导致主备切换后业务不通的情况。当配置信息不一致时,设备会发送日志信息,以提示管理员进行配置信息的手动同步。
RBM配置信息一致性检查的过程如下:
(1) 主管理设备发送一致性检查请求报文给从管理设备,同时收集自身相关模块配置信息的摘要。
(2) 从管理设备收到一致性检查请求后,会收集自身相关模块配置信息的摘要,然后封装到一致性检查报文返回给主管理设备。
(3) 主管理设备收到从管理设备返回的一致性检查报文后,将自身配置信息的摘要与从管理设备配置信息的摘要进行对比,如果对比结果不一致,则主管理设备输出日志信息。
双机热备的主、从管理状态由配置指定,不会动态切换;双机热备的主、备运行状态由RBM选举决定,可动态切换。
如图1-5所示,在RBM控制通道未建立的情况下,控制层面两台设备都是主管理状态,数据层面两台设备也都是主业务状态,但是此时并不是正常的RBM状态,RBM组建还未完成。
图1-5 RBM控制通道未建立的情况
如图1-6所示,在RBM控制通道建立成功且两台设备均运行正常的情况下,控制层面两台设备的管理状态由配置信息决定。数据层面,在主备工作模式下,两台设备的运行状态与管理状态保持一致,即主管理设备就是业务主,从管理设备就是业务备;在双主工作模式下,两台设备都是业务主。
图1-6 RBM控制通道建立成功且两台设备均运行正常的情况,主备工作模式举例
如图1-7所示,当上下行业务链路故障时,只会导致数据层面的主、备业务状态发生切换,使流量切换到正常设备上进行处理,这种情况不会导致控制层面的主、从管理状态发生切换。
如图1-8所示,只有主管理设备整机故障或重启(相当于RBM控制通道未建立的情况)才会导致控制层面的主、从管理状态和数据层面的主、备业务状态一起发生切换。从管理设备会临时抢占为主管理状态;当主管理设备故障恢复后(相当于RBM控制通道建立的情况),从管理设备变为从管理状态。
在设备运行过程中,故障事件可能会导致业务中断。因此需要设备设定不同的触发事件来监控故障事件。当设备监测到故障事件发生时,会自动触发主备切换机制,从而保证业务的连续性和稳定性。
触发主备切换的事件可分为RBM通道正常和RBM通道断开两种。
由于RBM通道断开而触发主备切换的事件主要有以下几种:
· 两台设备正常运行情况下,当控制通道断开后会进行主备切换。这时两台设备都变为主设备,进行业务处理,但是两台设备不再是RBM状态,对后续的非对称流量会有影响。
· 主设备整机故障,备设备升为主设备进行业务处理。
当RBM通道正常时,触发主备切换的事件主要有以下几种:
· 主设备上RBM监控的接口故障(如track、track interface等)。
主设备上RBM监控的接口故障会触发主备切换,当两台设备上都存在故障的接口时,主备工作模式中,业务主就是主管理设备,业务备就是从管理设备;双主工作模式中,两台设备都将变为业务主。
· 主设备的健康值变化。
主设备的健康值变化会触发主备竞选。竞选过程中当两台设备的健康值相同时,主备工作模式中,业务主就是主管理设备,业务备就是从管理设备;双主工作模式中,两台设备都是业务主。当两台设备的健康值不一样时,任何工作模式中,都是健康值小的一方竞选为业务主,大的一方竞选为业务备。
主设备切换备时,RBM通过对其他模块进行如下联动,将流量引流到新的主设备:
· RBM与VRRP联动时,RBM将故障设备上的VRRP备份组状态都切为Backup状态。
· RBM与动态路由联动时,RBM将故障设备上的路由开销值调大。
在RBM与VRRP联动的组网环境中,RBM将会控制设备在多个VRRP备份组中Master和Backup状态的统一切换。此功能可以使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此处以主备模式为例,介绍RBM与VRRP的联动组网情况,具体如下。
· 如图1-9左图所示,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不在同一台设备,造成流量中断。
· 如图1-9右图所示,将RBM和VRRP关联后可以解决以上问题。RBM控制通道建立后,VRRP备份组内的设备状态将由RBM决定,VRRP自身的主备选择机制不再生效。当RBM的控制通道断开后,VRRP自身的主备选择机制将会重新生效。
图1-9 RBM联动VRRP示意图
VRRP active组和VRRP standby组:用于将RBM与VRRP进行关联,实现RBM对多个VRRP备份组状态进行统一管理的目的。
VRRP active/standby组分别有两种状态:Master状态和Backup状态。VRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master。
VRRP active/standby组的初始状态与RBM的工作模式有关,具体如下:
· 主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup。
· 双主模式下:VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为Master;VRRP standby组的初始状态为Backup。
将RBM与VRRP关联成功后,VRRP备份组中Master/Backup状态的变化机制如下:
(1) 正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device A在VRRP备份组1和VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device B在VRRP备份组1和VRRP备份组2中的状态是Backup设备。
(2) 当Device A的下行接口Interface A2故障后,RBM会收到接口故障事件。然后RBM发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master。
(3) Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device B在VRRP备份组1和VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。
(4) Device A收到Device B的VRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device A在VRRP备份组1和VRRP备份组2中的状态变更为Backup。
当Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。
当VRRP备份组中的设备接收到虚拟IP地址的ARP请求报文后,只能由Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求,与此同时ARP报文传输路径上的二层设备也就学习到了此虚拟MAC地址的MAC地址表项。
在RBM与动态路由联动的组网环境中,RBM将会调整备设备上动态路由协议对外通告的链路开销值。这样即能保证主备切换时能使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此组网环境中RBM必须关联Track项,否则上下行链路或接口故障时,RBM不能主备切换。
此处以RBM与OSPF联动的主备模式为例,介绍RBM与动态路由的联动情况,具体如下。
· 如图1-10左图所示,正常情况下,Device A(主设备)根据OSPF的配置正常通告链路开销值(如1),而Device B(备设备)通告的链路开销值是被RBM调整后的值(如65500)。这样可以使内外网之间的流量都走Device A转发。
· 如图1-10右图所示,当Device A的下行接口Interface A2故障后,Device A和Device B将进行主备切换。之后,Device B(主设备)根据OSPF的配置正常通告链路开销值(如1),而Device A(备设备)通告的链路开销值是被RBM调整后的值(如65500)。这样可以使内外网之间的流量都切换到Device B转发。
图1-10 RBM联动路由示意图
虚拟MAC地址是一种独特的MAC地址,它不是由硬件所固定产生,而是由软件程序创建,用于模拟网络中真实设备的MAC地址。在双机热备镜像模式、RBM联动VRRP组网场景中都需要使用虚拟MAC地址,不同组网场景下对于虚拟MAC的使用方式不同。
在RBM联动VRRP的组网场景下,RBM成员设备的业务接口上配置了VRRP备份组并与RBM关联。每个VRRP备份组都会产生一个虚拟MAC地址,并根据配置来决定发送报文时使用物理MAC地址还是虚拟MAC地址。
图1-11 RBM联动VRRP组网下MAC地址使用规则
|
报文类别 |
缺省配置 |
系统视图配置ip send-packet source-mac prefer virtual-mac |
系统视图配置undo vrrp virtual-mac enable |
|
RBM主设备接收针对虚拟IP的ARP请求发送虚拟IP的应答 |
以太网封装源MAC是虚拟MAC,ARP应答MAC也是虚拟MAC |
无影响 |
以太网封装源MAC是物理MAC,ARP应答MAC也是物理MAC |
|
RBM主设备主动发送虚拟IP的免费ARP |
以太网封装源MAC是虚拟MAC,ARP公告MAC也是虚拟MAC |
无影响 |
以太网封装源MAC是物理MAC,ARP公告MAC也是物理MAC |
|
RBM主设备转发IP报文 |
以太网封装源MAC是物理MAC |
以太网封装源MAC是虚拟MAC |
无影响 |
|
RBM主设备本机发送IP报文 |
以太网封装源MAC是物理MAC |
如果源IP是虚拟IP,以太网封装源MAC是虚拟MAC,如果源IP不是虚拟IP,以太网封装源MAC是物理MAC |
无影响 |
|
RBM备设备转发IP报文 |
以太网封装源MAC是物理MAC |
以太网封装源MAC是物理MAC |
无影响 |
|
RBM备设备本机发送IP报文 |
以太网封装源MAC是物理MAC |
以太网封装源MAC是物理MAC |
无影响 |
在双机热备镜像模式的组网场景下,当运行模式为镜像模式时RBM成员设备的业务接口上的虚拟MAC地址就会生效,并发送报文时使用虚拟MAC地址。
图1-12 双机热备镜像模式MAC地址使用规则
|
报文类别 |
缺省配置 |
|
RBM主设备接收针对虚拟IP的ARP请求发送虚拟IP的应答 |
以太网封装源MAC是虚拟MAC,ARP应答MAC也是虚拟MAC |
|
RBM主设备主动发送虚拟IP的免费ARP |
以太网封装源MAC是虚拟MAC,ARP公告MAC也是虚拟MAC |
|
RBM主设备转发IP报文 |
以太网封装源MAC是虚拟MAC |
|
RBM主设备本机发送IP报文 |
以太网封装源MAC是虚拟MAC |
在RBM联动VRRP组网场景中,RBM成员设备的业务接口在发送ARP报文时会使用虚拟MAC地址,但业务主设备发送的其他报文会使用接口的物理MAC地址对报文进行封装,此时可能会出现问题。例如,RBM成员设备的上下行设备使用严格型uRPF检查,此时报文可能会被丢弃从而导致业务中断。此时有以下两种解决方法:
· 管理员可以在RBM主管理设备上开启接口发送报文的源MAC地址优先使用虚拟MAC功能使业务主设备发送的报文也使用虚拟MAC地址来封装。
· 在RBM联动VRRP的组网场景中,管理员也可以通过配置undo vrrp virtual-mac enable命令使ARP报文使用物理MAC地址来避免业务中断,两个功能不能同时配置。
仅支持两台设备进行RBM组网。
因为一台设备故障时另一台设备需要承担两台设备的流量,所以建议在正常情况下每台设备只负载各自实际能力50%的流量。
对于RBM支持配置信息同步的业务模块只需要在主管理设备上配置相关功能即可,对于不支持配置信息同步的模块需要在双机热备系统的所有设备上均配置相关功能。有关RBM具体支持哪些业务模块的配置信息同步,请参见配置信息备份中的详细介绍。
RBM管理视图下的配置命令都不支持同步,需要在两端同时配置。
对于资源文件类型的相关功能或者文件(比如:公钥信息、ISP地址库文件、特征库文件等),需要RBM中的所有设备上均导入相同内容的文件。
对于需要进行License授权的特性或特征库等,需要对主、备设备分别进行购买和激活License授权。
在双机热备组网环境中,管理员如需对双机热备成员设备进行版本升级,请先关闭配置信息自动备份功能。待两台设备均升级完成后再开启配置信息自动备份功能。
主从管理设备中的同名VPN实例,必须配置相同的RD(Route Distinguisher,路由标识)。
RBM不能与DHCP Client等自动获取IP地址的特性结合使用,因为此种组网中业务接口的IP地址必须固定。
当业务接口工作在二层模式时,两台设备的上、下行业务接口需要加入同一VLAN。
在RBM控制通道已建立且开启配置信息自动备份功能的情况下,从管理设备上不能创建虚拟接口(如子接口、VLAN接口等),只能进入已经存在接口的接口视图。从管理设备上的这些虚拟接口只能先在主管理设备上创建完成后,再同步到从管理设备。
当使用track、track interface、track vlan命令监控聚合接口时,设备仅关注聚合接口的状态,不关注聚合成员接口的状态。当使用track、track interface、track vlan命令监控聚合成员接口时,设备仅关注聚合成员接口的状态,不关注聚合接口的状态。track interface、track vlan命令不支持同时监控聚合接口和该聚合接口的成员接口。
针对一些设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
Bypass接口仅用于单机故障场景,RBM组网中请勿使用Bypass接口。
RBM通道通过心跳线进行连接,心跳线可以直连,也可以通过中间设备连接。
有关RBM控制通道和数据通道接口的其他相关限制和指导如下:
· 接口只支持物理口和聚合口,不支持子接口及成员口。
· 接口不支持与指定VPN实例关联,不支持配置从IP地址。
· RBM通道接口可以支持同速率同介质的接口聚合使用。
· RBM的控制通道和数据通道建议使用同一个物理或逻辑通道,不建议分开。其接口的MTU值请使用缺省值,勿修改。
· RBM通道接口的IP地址不能与其他接口IP地址相同(包括其他RBM通道接口的IP地址)。
配置信息批量备份期间,不能进行主备倒换、插拔板卡或配置变更等任何操作,可通过display remote-backup-group status命令查看配置信息的批量备份状态。
在非对称流量的RBM网络环境中,建议使用session aging-time state fin命令将TCP协议FIN-WAIT状态的会话老化时间设置为15秒左右。这样在TCP链接断开的过程中可以加快会话表项的老化速度,以减少此类会话表项对系统资源的占用。有关session aging-time state命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
不同RBM组网对主备部署和双主部署的支持情况不同,推荐配置和组网限制也不相同。因此,部署RBM前,请先了解如下组网相关的限制和指导。
此组网环境中,主备模式和双主模式均可使用。
此组网环境使用动态路由协议时,需要配置RBM调整动态路由协议开销值功能(即adjust-cost enable命令)来保证主备或者双主组网,并配置RBM与Track项联动监控上下行接口状态。
此组网环境使用静态路由时,需要通过track interface命令监控上下行三层以太网接口的状态,并将这些接口的状态进行联动。
此组网环境中,主备模式、镜像模式和双主模式均可使用。
在主备模式中,此组网环境中需要配置RBM联动VRRP功能;双主模式中,此组网环境中需要配置RBM联动VRRP功能;镜像模式中可以直接使用。
此处列举了双机热备相关的所有业务模块,其中部分业务模块本产品可能不支持,请以设备的实际情况为准。
在RBM与NAT结合的组网环境中,对NAT功能有如下限制:
· 不支持NAT地址池探测功能和Easy IP模式。
· NAT地址池不允许包含两台设备上接口的IP地址。如果NAT地址池包含接口的IP地址,上行设备请求该地址池IP的ARP时,主、备两台设备都会回应,导致ARP冲突。
· NAT策略中的源或目的地址不允许包含RBM通道的接口IP地址,以免心跳报文被NAT转换引发心跳链路通信异常。
· 如果同一个五元组无法保证同一单向报文只在一台设备处理时,必须使用端口拆分功能(即nat remote-backup port-alloc { primary | secondary }命令)。
· 配置端口块大小时,必须大于等于4,在配置端口拆分功能后,通过display nat port-block命令查询NAT端口范围时只会显示实际可用的。
在RBM的双主工作模式与NAT结合的组网环境中,对NAT功能有如下限制:
· 地址池不支持EIM模式。
· 当NAT方式是PAT模式时,必须在一台上配置nat remote-backup port-alloc primary命令,另外一台上配置nat remote-backup port-alloc secondary命令,将地址池中地址的端口分为前后两端,保证NAT地址池端口不冲突。
· 当NAT方式是NAT NO-PAT模式时,必须使用两个地址池,如果使用一个地址池会导致资源分配冲突。
在RBM联动VRRP的高可靠性组网中开启AFT功能时,AFT策略中的地址不允许包含RBM通道的接口IP地址,以免心跳报文被AFT转换引发心跳链路通信异常。
在RBM环境中,当设备需要处理多通道协议(如FTP、SIP协议等)时,必须保证多通道协议的控制报文和数据报文在同一台设备上进行处理。
在RBM环境中,当设备需要处理基于SCTP协议的流量时,必须保证同一条流量的正反向报文在同一台设备上进行处理。
在高可靠性组网环境中,执行configuration replace file命令配置回滚完成后,需要在主管理设备上执行configuration manual-sync命令将主管理设备上的配置信息手工批量备份到从管理设备,以保证主备设备的配置信息一致。有关配置回滚功能的详细介绍,请参见“基础配置指导”中的“配置文件管理”。
部署RBM前,请先保证主/备设备硬件环境的一致性,具体要求如下:
· 主/备设备的型号必须一致。
· 主/备设备上管理接口、镜像模式管理接口、业务接口、RBM通道接口需要分别使用相互独立的接口,且所使用的接口编号和类型必须一致。
· 主/备设备上硬盘的位置、数量和类型建议一致。未安装硬盘的设备日志存储量将远低于安装了硬盘的设备,而且部分日志和报表功能不可用。
部署RBM前,请先保证主/备设备软件环境的一致性,具体要求如下:
· 主/备设备的系统软件环境及其版本必须一致,如:Boot包、System包、Feature包和补丁包等等。
· 主/备设备的系统时间一致。
· 主/备设备上被授权的特征库和特性环境必须一致,如:特征库的种类,每类特征库的版本、授权时间范围、授权的资源数等等。
· 主/备设备上的资源文件必须一致,比如:公钥信息、ISP地址库文件等。
· 主/备设备的接口编号必须一致。
· 主/备设备之间建立RBM通道的接口类型、速率和编号等信息必须一致,推荐使用聚合接口。
· 主/备设备上聚合接口的编号、成员接口编号必须一致。引擎聚合组及对应引擎聚合接口相关配置也必须相同
· 主/备设备的HASH选择CPU模式以及HASH因子都必须相同(即forwarding policy命令)。
· 请使用初始状态(未配置双机热备且无业务运行)的两台设备组成镜像模式双机热备。如果设备已在运行业务,请勿直接将非镜像模式切换成镜像模式,必须将设备恢复到初始状态后再切换成镜像模式,否则有可能会导致业务异常。
· 基于镜像模式实现双机热备时,两台设备上编号相同的接口使用相同的IP地址。此处的接口是指除镜像模式管理接口和RBM通道接口以外的接口。
· 基于镜像模式实现IPv6双机热备时,两台设备上编号相同的业务接口使用相同的IPv6地址和IPv6链路本地地址。请手工配置IPv6链路本地地址,不要为接口配置自动生成的链路本地地址,以免产生不一致。
· 启用镜像模式后,两台设备之间支持备份的配置增多。例如,接口IP地址配置命令在未启用镜像模式时不支持备份,启用镜像模式后支持备份。有关镜像模式具体支持哪些业务模块的配置信息同步,请参见配置信息备份中的详细介绍。
· 启用镜像模式后,设备能根据业务运行角色调整业务接口的状态。主设备上的业务接口正常收发报文,备设备上的业务接口只能收发三层以下的报文,如LLDP、LACP等。
· 镜像模式下,RBM无法联动VRRP或虚地址。如果设备上有VRRP或虚地址配置,则不能启用镜像模式。启用镜像模式后,设备上不能再进行VRRP或虚地址配置。
· 镜像模式下请勿配置track interface、track vlan命令。
· 退出镜像模式时需要按照“先退出备设备镜像模式,再退出主设备镜像模式”的顺序进行。
· 设备与上下行设备之间的路由仅支持静态路由,不支持动态路由和智能选路。以动态路由为例,因为镜像模式下的备设备不会发送和接收路由协商报文,与上下行设备的动态路由邻居关系无法建立。主备切换时,新的主用设备需要和上下行设备重新协商路由,这将导致主备切换时业务中断时间较长。因此,在两台设备的业务接口工作在三层、上下行连接路由器、与路由器之间运行动态路由协议的组网下,不支持使用镜像模式双机热备。
· 启用镜像模式后,设备不支持通过BFD或NQA监控远端接口故障。以BFD为例,因为镜像模式下的备设备不发送BFD探测报文,备设备的BFD状态始终是Down的。如果配置了双机热备与Track项联动且Track项和BFD会话之间建立了关联,则备设备的RBM处于故障状态。这样,主设备的BFD Down或者某一个接口Down时,双机热备的运行状态不会切换。
· 镜像模式当前暂不支持VPN隧道同步,如:IPsec相关隧道、GRE相关隧道、L2TP相关隧道等。缺省情况下,RBM会使用60095端口进行特征库文件同步,管理员配置控制通道时如果使用该端口建立TCP连接,则需要通过inspect rbm port命令修改RBM组网中DPI业务数据同步时使用的端口号。有关inspect rbm port命令的详细介绍,请参见“DPI深度安全命令参考”中的“应用层检测引擎命令”。
· 镜像模式下,特征库文件会自动进行同步,从管理设备不允许升级特征库。
· 未配置控制通道或设备的管理角色时,无法配置RBM工作模式为镜像模式。
双机热备的基本配置思路如下图所示。
图1-13 双机热备配置思路图
(1) 配置双机热备为主备模式
(2) 配置设备管理角色
(3) 配置RBM信息同步
a. 配置RBM控制通道
b. 配置RBM数据通道
d. (可选)开启运行数据自动备份功能
e. 配置RBM备份配置信息
f. (可选)配置RBM同步静态路由配置信息功能
(4) (可选)开启RBM流量回切功能
(5) 配置RBM联动方式
请选择以下一项任务进行配置
(1) 配置双机热备为镜像模式
(2) 配置设备管理角色
(3) 配置RBM信息同步
a. 配置RBM控制通道
b. 配置RBM数据通道
d. (可选)开启运行数据自动备份功能
e. 配置RBM备份配置信息
(4) 配置镜像模式管理接口
(5) (可选)开启RBM流量回切功能
(1) 配置双机热备为双主模式
(2) 配置设备管理角色
(3) 配置RBM信息同步
a. 配置RBM控制通道
b. 配置RBM数据通道
d. (可选)开启运行数据自动备份功能
e. 配置RBM备份配置信息
(4) 开启RBM流量回切功能
(5) 配置RBM联动方式
请选择以下一项任务进行配置
(1) (可选)配置RBM与Track项联动
(2) (可选)手工触发RBM主备倒换
(3) (可选)开启RBM在设备间透传业务流量功能
(4) (可选)开启接口发送报文的源MAC地址优先使用虚拟MAC功能
(5) (可选)配置设备从双机热备中隔离
(6) (可选)将本端设备的会话表项手工批量备份到对端设备
(7) (可选)开启热备业务表项的可靠性功能
(8) (可选)配置接口等待恢复时间
(9) (可选)配置RBM与其他特性配合使用
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备在双机热备中的模式为主备模式。
undo backup-mode
缺省情况下,设备在双机热备中的模式为主备模式。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备在双机热备中的模式为镜像模式。
backup-mode mirror
缺省情况下,设备在双机热备中的模式为主备模式。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备在双机热备中的模式为双主模式。
backup-mode dual-active
缺省情况下,设备在双机热备中的模式为主备模式。
为了保证备设备可以平滑地接替主设备的工作,RBM必须能够将主设备的相关业务模块的配置信息备份到备设备。尤其在双主组网环境中,两台设备都是主设备。如果允许两台主设备之间能够相互备份配置信息,那么就会造成两台设备上配置信息相互覆盖或冲突的问题。所以为了方便管理员对两台设备的配置信息进行统一管理,又能避免配置信息的混乱,双机热备系统中引入了主管理设备和从管理设备角色的概念。
RBM中设备的管理角色有手工配置和自动选择两种方式,具体内容如下:
· 手工配置:此方式需要通过命令手工指定设备的管理角色,一旦指定后设备的管理角色将固定不变。如需更改,则通过执行命令手工更改。此方式适用于使用独立的管理用以太网口进行设备管理的网络环境,此方式仅支持在双机热备的主备和双主工作模式下使用,不能在镜像工作模式下使用。
· 自动选择:此方式下设备的管理角色根据运行角色进行自动选择,管理角色与运行角色始终保持一致,即业务主是主管理设备,业务备是从管理设备。此方式适用于复用业务接口进行设备管理的网络环境,此方式仅支持在双机热备的主备和镜像工作模式下使用,不能在双主工作模式下使用。
配置完设备的管理角色后,系统将会在命令行提示符前增加前缀信息,以便标识设备的主、从管理角色。这样在后续业务配置中能够更加友好醒目地提示管理员设备当前的管理角色是什么。
主备和双主模式中具体标识方法如下:
· 主管理设备:将在命令行提示符前面增加RBM_P前缀信息,如:RBM_P<Sysname>。
· 从管理设备:将在命令行提示符前面增加RBM_S前缀信息,如:RBM_S<Sysname>。
镜像模式中具体标识方法如下:
· 主管理设备:将在命令行提示符前面增加RBM_MIRROR_P前缀信息,如:RBM_MIRROR_P<Sysname>。
· 从管理设备:将在命令行提示符前面增加RBM_MIRROR_S前缀信息,如:RBM_MIRROR_S<Sysname>。
在RBM控制通道建立成功前,系统不关心配置的设备管理角色是什么,其都认为自己是主管理角色,这时命令行提示符前缀总是RBM_P/RBM_MIRROR_P。在RBM控制通道建立成功后,系统将按照实际配置的管理角色显示命令行提示符前缀信息。
在双机热备组网中必须将其中一台设备配置为主管理设备,另一台设备配置为从管理设备。
建议仅在主管理设备上配置相关业务功能,不建议在从管理设备上进行配置。
在使用业务接口进行设备管理的组网环境或双机热备镜像模式组网环境中,当设备的主备运行角色切换后,管理员只能远程登录当前的业务主进行管理。如果此时业务主恰好是从管理设备,则管理员在当前设备上进行的配置更改将无法同步到对端设备,导致主备设备配置信息不一致。为解决以上问题,可使用自动方式进行设备管理角色的选举。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备的管理角色。
¡ 主备模式下配置设备的管理角色
device-role { auto | primary | secondary }
缺省情况下,未配置设备的管理角色。
¡ 镜像模式下配置设备的管理角色
device-role auto
缺省情况下,未配置设备的管理角色。
¡ 双主模式下配置设备的管理角色
device-role { primary | secondary }
缺省情况下,未配置设备的管理角色。
创建RBM控制通道时,设备会将配置的本端IP地址与对端IP地址进行比较,IP地址较大的设备将作为Server,IP地址较小的设备将作为Client。Client向Server发起TCP连接请求来建立RBM控制通道。
在Server端配置的对端端口号,表示设备使用此端口号作为服务端口为Client提供服务;在Client端配置此端口号,表示设备使用此端口号作为目的端口与Server建立TCP连接。Client上的源端口号随机生成。
在RBM组网中的主备设备上仅支持分别配置一个对端IP地址,且配置的端口号必须相同。端口号也不能与已有的TCP监听服务使用的端口号相同。
RBM控制通道的本端IP地址与对端IP地址不能相同。RBM控制通道的对端IP地址为对端RBM成员设备的本端IP地址。
RBM控制通道的IPv4地址和IPv6地址不能同时配置。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置RBM的控制通道。请选择其中一项进行配置。
¡ 配置RBM控制通道的IPv4地址。
- 配置RBM控制通道的对端IPv4地址。
remote-ip ipv4-address [ port port-number ]
缺省情况下,未配置RBM控制通道对端IPv4地址。
- 配置RBM控制通道的本端IPv4地址。
local-ip ipv4-address
缺省情况下,未配置RBM控制通道的本端IPv4地址。
¡ 配置RBM控制通道的IPv6地址。
- 配置RBM控制通道的对端IPv6地址。
remote-ipv6 ipv6-address [ port port-number ]
缺省情况下,未配置RBM控制通道的对端IPv6地址。
- 配置RBM控制通道的本端IPv6地址。
local-ipv6 ipv6-address
缺省情况下,未配置RBM控制通道的本端IPv6地址。
(4) 配置设备发送Keepalive报文的时间间隔。
keepalive interval interval
缺省情况下,设备发送Keepalive报文的时间间隔为1秒。
(5) 配置设备发送Keepalive报文的最大次数。
keepalive count counts
缺省情况下,设备发送Keepalive报文的最大次数为10。
(6) (可选)开启RBM批量备份数据时的CRC校检功能。
crc enable
缺省情况下,未开启RBM批量备份数据时的CRC校检功能。
在无法使用二层通道作为数据通道进行报文传输的组网环境下,可以通过本功能将RBM数据通道的报文传输模式配置为三层模式,例如:使用虚拟化设备进行RBM组网。
RBM数据通道通过心跳线进行连接,心跳线可以直连,也可以通过中间设备连接。当使用中间设备连接时根据报文传输模式不同,可使用的中间设备不同:
· 当报文传输模式为二层模式时,支持中间跨越二层交换机,但不可以跨越三层设备。
· 当报文传输模式为三层模式时,二三层设备都可以跨越。
当数据通道的报文传输模式为三层模式时,有以下限制:
· RBM数据通道接口中的IP地址与对端接口的IP地址不能相同。
· RBM数据通道接口的IPv4地址和IPv6地址可以同时配置,设备会基于RBM控制通道的本端IP地址类型获取数据通道接口中的IP地址,并与对端进行连接。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置RBM数据通道。
data-channel interface interface-type interface-number
缺省情况下,RBM中不存在数据通道。
(4) (可选)配置RBM数据通道的报文传输模式。
data-channel mode { layer2 | layer3 }
缺省情况下,RBM数据通道的报文传输模式为二层模式。
开启RBM热备业务表项功能后,RBM中主设备上的业务表项信息会实时备份到备设备上。
RBM热备份应用协议创建的会话表项功能的应用场景建议如下:
· 在非对称路径的双机热备网络环境中,需要开启此功能,以保证同一条流量的正反向报文在两台设备上能够被正常处理;若不开启此功能,则会因为两台设备上的会话表项不一致,导致同一条流量的正反向报文在两台设备上不能被正常处理,从而可能会出现网络不通等异常情况。
· 在双机热备主备、镜像模式或对称路径的双机热备网络环境中,关闭此功能后,可减少设备性能的消耗;但是设备间流量平滑的时效性将受到一些影响。因此,请管理员根据实际业务情况来判断是否需要关闭此功能。
因为对于DNS和HTTP类型的应用协议,通常在很少的报文交互之后就会断开连接,当发生主备切换造成当前连接中断时,客户端会立即重新发起请求,用户通常感知不到连接异常。所以可以关闭这两个协议触发创建会话的备份功能。
在双机热备系统稳定运行且正在处理流量的情况下,请勿清除会话表项(即执行reset session table命令),否则会导致流量中断或业务主、备设备上的会话表项不一致。有关会话管理功能的详细介绍,请参见“安全配置指导”中的“会话管理”。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启RBM热备业务表项功能。
hot-backup enable
缺省情况下,RBM热备业务表项功能处于开启状态。
(4) 开启RBM热备份应用协议创建的会话表项功能。
hot-backup protocol { dns | http } * enable
缺省情况下,RBM热备份应用协议创建的会话表项功能处于开启状态。
除了DNS和HTTP应用协议,其它应用协议创建的会话不受本功能控制,只要RBM热备业务表项功能处于开启状态,就会进行这些会话表项备份。
RBM成员设备在处理报文时会产生相应的运行数据,并基于这些运行数据对报文进行检测和转发。为了保证故障切换后业务不中断,组成双机热备的两台成员设备之间需要备份运行数据。双机热备主备和镜像组网中,只有主设备会处理业务,主设备向备设备同步运行数据。双主组网中,两台成员设备都会处理业务,都会生成运行数据并向对端设备备份。
目前RBM支持同步的动态运行数据包括:DNS表项、ARP表项、负载均衡业务就近性表项、负载均衡业务运行数据以及IPsec、IKE、IKEv2相关的运行数据。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启运行数据自动备份功能。
running-data auto-sync enable
缺省情况下,运行数据自动备份功能处于开启状态。
RBM备份配置信息支持实时备份和批量备份两种方式,具体如下:
· 实时备份:主管理设备上新增、删除或修改的配置信息将实时备份到从管理设备,保证这些变化的配置信息在主从管理设备上的一致。
· 批量备份:主管理设备上的关键配置信息全部备份到从管理设备,从管理设备上会删除与主管理设备上不一致的配置,保证关键配置信息在主从管理设备上的完全一致。
仅配置信息自动备份功能处于开启状态且RBM控制通道建立成功的情况下,RBM才会进行实时备份或者批量备份。
仅如下几种情况才会触发设备之间进行配置信息的批量备份:
· RBM中的设备正常运行后,RBM控制通道是第一次成功建立且配置信息自动备份功能也是第一次开启时(包括默认开启的情况),主管理设备会将自己当前的所有关键配置信息批量备份到从管理设备进行覆盖。设备正常运行后,只要进行过一次批量备份,即使再反复开启配置信息自动备份功能或RBM控制通道反复建立也不会再触发配置信息的批量备份。
· 设备重启或者RBM进程重启,并且这期间未重启设备上的配置信息自动备份功能一致处于开启状态的情况下。当重启完成且RBM控制通道再次建立后,未重启的设备会将自己当前的所有关键配置信息批量备份到重启过的设备进行覆盖。
当RBM控制通道第一次成功建立且配置信息自动备份功能也第一次开启后,请不要随意关闭配置信息自动备份功能。否则会导致设备不能触发配置信息的批量备份,近而可能会导致主、从管理设备的配置信息不一致,最终影响业务的正常处理。
配置信息很多的时候批量备份时间会很长,可能耗时一到两个小时。为了减少批量备份时间,有如下两种操作建议:
· 在初始规划网络配置时,建议先开启配置信息自动备份功能,可减少后续配置信息批量备份的时间。
· 在初始规划网络配置时,也可以先通过复制配置文件到从管理设备的方式进行网络的初始部署。然后开启配置信息一致性检查功能,检查两台设备的相关配置信息是否一致。
当RBM控制通道建立成功,并开启配置信息自动备份功能的情况下,只能在主管理设备上配置相关业务功能,从管理设备上不能配置。
当RBM控制通道未建立或关闭配置信息自动备份功能的情况下,主管理设备和从管理设备上均可以配置业务功能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启配置信息自动备份功能。
configuration auto-sync enable
缺省情况下,配置信息自动备份功能处于开启状态。
(4) 开启配置信息一致性检查功能。
configuration sync-check [ interval interval | { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } time ]
缺省情况下,配置信息一致性检查功能处于开启状态并且配置信息一致性检查的周期为24小时。
(5) (可选)手工触发配置信息一致性检查。
configuration manual-sync-check
此功能仅在主管理设备上执行才有效,在从管理设备上执行无效。
(6) (可选)将主管理设备上的配置信息手工批量备份到从管理设备。
configuration manual-sync
此功能仅在主管理设备上执行才有效,在从管理设备上执行无效。
开启本功能后,当RBM的主管理设备向从管理设备自动或者手工同步配置信息时,会将设备上已配置的静态路由同步到从管理设备。
本功能只能在开启配置信息自动备份功能后才会生效。当开启配置信息自动备份功能后开启本功能,后续新增的静态路由可以进行自动同步,之前的需要执行configuration manual-sync命令进行手工批量备份。
仅需要在双机热备的镜像模式中使用此功能,其他RBM组网场景中请勿开启此功能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启RBM同步静态路由配置信息功能。
configuration auto-sync enable route-static
缺省情况下,RBM同步静态路由配置信息功能处于关闭状态。
在RBM镜像模式下,主管理设备上的接口配置(RBM通道接口除外)会同步到从管理设备,两台设备上用于连接网管设备和日志主机的接口拥有相同的IP地址。此时只有主设备可以连接网管设备和日志主机,备设备无法连接。为避免上述问题,管理员可配置镜像模式管理接口,管理接口下的IP地址不会进行同步。
只有在RBM镜像模式下才能配置镜像模式管理接口。当设备关闭镜像模式时,镜像模式管理接口会恢复到缺省情况。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备在双机热备中的模式为镜像模式。
backup-mode mirror
缺省情况下,设备在双机热备中的模式为主备模式。
(4) 配置镜像模式管理接口。
mirror mgt-interface interface-type interface-number
缺省情况下,未配置镜像模式管理接口。
当RBM组网中的主设备切换为备设备时,流量自动切换到对端设备进行处理。缺省情况下,当原主设备恢复正常时,流量不回切。这时如果需要流量再次回到原主设备进行处理,可以开启RBM流量回切功能,并设置延迟切换时间保证业务能够平滑切回。
在双机热备的双主模式下,必须开启此功能,否则当一条链路故障又恢复后流量无法实现回切,这时不能实现两台设备双主工作。
在回切定时器倒计时的过程中,如果修改delay-time的值,则本次回切仍然按照之前的回切时间进行处理,后续回切会按照修改后的回切时间进行处理;如果关闭本功能,则不进行回切。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启RBM流量回切功能。
delay-time delay-time
缺省情况下,RBM流量回切功能处于关闭状态,流量不回切。
RBM仅支持与VRRP的标准模式配合使用,不支持与VRRP的负载均衡模式配合使用。
当设备采用基于VRRP的RBM组网方式时,设备仅支持直连部署在网络中,且上下必须连接二层设备。建议主管理设备绑定VRRP active组,从管理设备绑定VRRP standby组。
关联RBM的IPv6 VRRP备份组和IPv4 VRRP备份组中可以配置多个虚IP地址,但备份组中不能存在IP地址拥有者。
在RBM联动VRRP组网环境中,当设备使用子接口进行组网时,需要先在主设备的子接口上配置vlan-type dot1q vid命令,之后再配置VRRP备份组,然后在备设备的子接口上按照相同顺序进行配置。
track interface所监控的接口与配置VRRP功能的接口不能相同。
IPv6 VRRP备份组中必须配置一个链路本地地址的虚拟IPv6地址和一个全球单播的虚拟IPv6地址,VRRP备份组才能正常工作。IPv6 VRRP备份组的第一个虚拟IPv6地址必须是链路本地地址,链路本地地址必须最后删除。一个VRRP备份组中只允许有一个链路本地地址。
在RBM联动IPv6 VRRP的组网中,需要先配置IPv6地址,等待1s后再配置VRRP备份组。
在RBM联动VRRP组网环境中,如果要删除接口下的配置,需要先删除VRRP备份组再删除IPv4/IPv6地址。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置RBM联动VRRP。请至少选择其中一项进行配置。
¡ 创建IPv4 VRRP备份组,并与RBM关联。
vrrp vrid virtual-router-id virtual-ip virtual-address [ mask | mask-length ] { active | standby }
缺省情况下,不存在IPv4 VRRP备份组。
¡ 创建IPv6 VRRP备份组,配置IPv6链路本地地址并与RBM关联,配置IPv6全球单播地址用于业务通信。
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address [ prefix-length ] link-local { active | standby }
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address
缺省情况下,不存在IPv6 VRRP备份组。
在RBM组网环境中,正常情况下,主、备设备上的动态路由协议均依据自身的运行机制对外通告链路的开销值。开启RBM调整备设备上动态路由协议开销值功能后,备设备上对外通告的路由协议链路开销值将是被RBM调整后的值;主设备对外通告的链路开销值仍然是路由协议自身设置的值。RBM调整备设备上动态路由协议开销值有如下几种方式:
· 绝对值方式:设备将使用配置的绝对值对外通告。
· 增量值方式:设备将在原有开销值基础上累加配置的增量值后对外通告。
此功能仅调整备设备上动态路由协议对外通告的开销值,对主设备没有影响。
建议在运行相同路由协议的双机热备场景中使用此功能。
在RBM与动态路由协议联动的组网环境中,需要在主、备设备上同时开启此功能,并设置相同的参数。
silent-backup-interface命令与adjust-cost enable命令不能同时使用。
在RBM联动路由的双主组网中,建议上下行设备上配置IP转发模式为逐流的负载分担方式。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启RBM调整备设备上动态路由协议开销值功能。
adjust-cost { ospf | ospfv3 } enable { absolute [ absolute-cost ] | increment [ increment-cost ] }
缺省情况下,RBM调整备设备上动态路由协议开销值功能处于关闭状态。
如下图所示,在使用不同路由协议的RBM场景中,因为不同的路由协议存在缺省优先级。当Device A的下行链路故障时,即使RBM可以将Device A对外通告的OSPF链路开销值调高。但是,因为OSPF的缺省路由优先级高于IBGP的缺省路由优先级,所以从Router A去往内网的流量仍然会被转发到Device A所在的故障链路,而不能被转发到Device B所在的正常链路。
图1-14 使用不同路由协议的双机热备场景图
为了解决以上问题,可通过执行silent-backup-interface命令禁止备设备上的接口收发路由协议报文,使邻居关系断开。同时主设备上的接口还可以继续正常收发路由协议报文,保证上下行流量均能在主设备上被正常处理。
建议在运行不相同路由协议的RBM组网场景中使用此功能。
在RBM与动态路由协议联动的组网环境中,需要在主、备设备上同时配置RBM禁止备设备收发动态路由协议报文功能。
silent-backup-interface命令与adjust-cost enable命令不能同时使用。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置RBM禁止备设备上的接口收发动态路由协议报文。
silent-backup-interface { ospf | ospfv3 }
缺省情况下,备设备上的接口允许收发动态路由协议报文。
配置此功能后,当RBM联动的其中一个Track项的状态为Negative状态时,RBM将进行设备的主备切换,将上下行流量同时切换到新的主设备,保证业务不中断。有关Track的详细介绍,请参见“网络管理和监控配置指导”中的“Track”。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置RBM与Track项联动。
track track-entry-number
缺省情况下,RBM未与Track项联动。
管理员可通过本功能触发主备倒换或其中一台设备的升主、降备,引导业务流量切换到相应的主设备上,以便更换备设备上的部件或升级软件等。当RBM组网中的设备处于配置批备、会话批备、选举元素不一致等状态时,无法通过switchover命令进行主备倒换,此时可以通过配置force参数强制执行主备倒换。
不同工作模式下,执行此功能的效果不同:
· switchover request:在主备和镜像组网中,在主设备或备设备上执行此功能均会触发主备倒换。
· switchover active:在双主组网中,正常情况下两台设备均为主设备,可在其中一台设备上执行此功能使其保持不变仍为主设备,另外一台设备将自动成为备设备。
· switchover standby:在双主组网中,正常情况下两台设备均为主设备,可在其中一台设备上执行此功能使其成为备设备,另外一台设备仍为主设备。
· switchover reset:在主设备或备设备上执行此功能均会触发RBM对设备的业务角色进行重新选举。
当RBM组网中的设备处于配置批备、会话批备、选举元素不一致等状态时,强制进行主备倒换可能会导致备份失败或者业务受到影响。如非必要,请勿使用force参数强制执行主备倒换。
在RBM与VRRP配合使用的组网中,当使用此功能进行主备倒换时,可能会导致短暂的VRRP虚拟IP地址冲突,属于正常现象。
为保证RBM稳定运行,系统不允许1分钟内重复执行此命令。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 手工触发RBM主备倒换。
switchover { reset | { active | request | standby } [ force ] }
此功能仅适用于RBM双主组网中存在非对称流量的场景,请谨慎使用。
在RBM双主组网场景中,当存在非对称流量时,同一条流量的正反向报文可能会被送到不同的设备,这时将会影响部分功能模块(如NBAR、DPI、负载均衡等功能)处理报文的能力,例如可能会降低NBAR业务对报文的识别率等。开启此透传功能后,同一条流量的正反向报文最终会被送到同一台设备,可以提升这些功能模块处理报文的能力。但是,透传功能可能会消耗设备的大量资源,影响设备性能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启RBM在设备间透传业务流量功能。
transparent-transmit enable
缺省情况下,RBM在设备间透传业务流量功能处于开启状态。
在RBM联动VRRP组网场景中,RBM成员设备的业务接口在发送ARP报文时会使用虚拟MAC地址,但业务主设备发送的其他报文会使用接口的物理MAC地址对报文进行封装,此时可能会出现问题。例如,RBM成员设备的上下行设备使用严格型uRPF检查,此时报文可能会被丢弃从而导致业务中断。
管理员可以在RBM主管理设备上开启本功能,使业务主设备发送的报文也使用虚拟MAC地址来封装,从而避免上述问题出现。
在RBM联动VRRP的组网场景中,除使用本功能外,管理员也可以通过配置undo vrrp virtual-mac enable命令使ARP报文使用物理MAC地址来避免业务中断,两个功能不能同时配置。
本功能支持配置同步,当开启配置信息自动备份功能后只需在RBM主管理设备上开启本功能。当接口下配置多个VRRP备份组与RBM关联时,不支持使用本功能。
本功能仅适用于RBM联动VRRP组网场景,其他组网场景中请勿使用本功能。
开启本功能后,由于RBM成员设备发送业务报文的源MAC地址为虚拟MAC地址且主备切换时虚拟MAC地址不变,当主备业务切换时,上下行业务设备上有关这个虚拟MAC地址的MAC地址表项上的出接口可能会反复切换,导致业务流量出现短暂断流情况。
(1) 进入系统视图。
system-view
(2) 开启接口发送报文的源MAC地址优先使用虚拟MAC功能。
ip send-packet source-mac prefer virtual-mac
缺省情况下,接口发送报文的源MAC地址优先使用虚拟MAC功能处于关闭状态。
当管理员需要给正常运行的双机热备成员设备更换部件或升级软件时,可以通过本功能来隔离需要更换部件或升级软件的设备。
开启本功能后,设备进入隔离状态,除管理接口和RBM通道接口外的其他接口禁止收发报文,RBM通道保持连接。设备会主动让出业务主运行角色且无法再被选举为业务主。
本功能仅支持在双机热备和集群组网中使用,其他情况下无法使用。
(1) 进入系统视图。
system-view
(2) 将设备从双机热备中隔离。
equipment isolation
缺省情况下,设备未从双机热备中隔离。
在双机热备组网中,当两台设备间的会话表项不一致时,可通过本功能,将本端设备的会话表项手工批量备份到对端设备。
本功能仅在RBM热备业务表项功能(hot-backup enable)开启后才生效。
在配置信息批量备份或者业务表项批量备份过程中开启本功能无效。可通过display remote-backup-group status命令查看设备是否在进行配置信息批量备份或者业务表项批量备份。该命令在一分钟之内不可连续执行。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 将本端设备的会话表项手工批量备份到对端设备。
session manual-sync
在双机热备组网场景下,如存在RBM通道异常、端口快速复用、快速新建和删除会话等情况,可能会导致备机会话残留或新会话备份后立即删除问题,具体如下:
· 当同一会话快速新建和删除时,热备份的新建和删除消息可能会乱序到达备机,若删除消息先到新建消息后到,则会导致RBM备机上会话残留。
· 当同一五元组的不同会话先后进行删除和新建时,热备份的删除和新建消息也可能乱序,若新建消息先到而删除消息后到,则会导致新建的会话被错误删除,进而引发服务中断。
为解决上述问题,建议开启热备业务表项的可靠性功能,以确保网络服务的连续性和数据的完整性。
开启本功能后,会话主备关系不再切换,主会话删除可能会存在延迟等现象。
开启本功能后会导致RBM数据通道消息量增加,特别是在数据通道带宽较低的情形下,可能需要考虑提升数据通道带宽。
当前仅支持会话表项、会话关联表项的可靠性功能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启热备业务表项的可靠性功能。
reliable-backup enable
缺省情况下,热备业务表项的可靠性功能处于关闭状态。
在RBM组网场景中,当使用track interface命令监控上下行业务接口时,所监控接口的状态相互联动,保持一致。如果主设备上监控的接口出现故障,导致主备切换,那么原主设备上其他被监控的接口也将无法进行报文传输。当接口故障恢复后,如果管理员配置了流量回切功能,并且已经到达流量回切延迟时间,流量会切换回原主设备,其他被监控的接口也会恢复正常。
为了避免其他被监控的接口恢复时间过长,导致流量再次切换,管理员可以配置接口等待恢复时间。只有当接口等待恢复时间结束后,接口仍未恢复或仍存在监控接口故障问题,流量才会切换到对端设备。
需要注意的是,当流量回切延迟时间内出现监控接口故障时,流量仍然会切换到故障设备,从而造成业务中断,直到接口等待恢复时间结束后才会进行切换。因此,建议管理员在设置接口等待恢复时间时,在确保其他被监控的接口能够恢复的基础上,尽量缩短接口等待恢复时间。
本命令仅建议在使用track interface命令监控上下行业务接口的组网中使用,其他组网场景不需要配置。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置接口等待恢复时间。
wait-interface-up delay-time time-value
缺省情况下,接口等待恢复时间为32秒。
此处列举了与双机热备配合使用的所有特性,其中部分特性本产品可能不支持,请以设备的实际情况为准。
在RBM组网环境中,当需要在设备上使用NAT功能时,必须将NAT相关配置与VRRP备份组进行绑定,否则NAT无法正常工作。例如使用动态NAT、内部服务器NAT、端口块NAT和静态NAT时,必须将这些NAT方式与VRRP备份组绑定。有关NAT的详细介绍,请参见“三层技术-IP业务配置指导”中的“NAT”。
本节内容仅以双机热备主备模式中的动态NAT为例,其他方式的NAT及其双机热备双主模式中的NAT与此类似。
缺省情况下,若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段,则NAT设备使用NAT接口的物理MAC地址应答此ARP请求报文。
如图1-15所示,在RBM组网环境中配置动态NAT功能后,NAT与VRRP备份组没有绑定的情况下,内网访问外网的报文被处理的流程如下:
(1) 当内网访问外网的报文到达Device A后,报文的源地址会被转换成NAT地址池中的IP地址,然后被Device A转发给Router。
(2) 若NAT地址池中的IP地址与Device A的上行接口VRRP备份组1的虚拟IP地址在同一网段,则外网返回的报文到达Router后,因为目的IP地址是直连路由所以Router会广播ARP报文请求NAT地址池中IP地址对应的MAC地址,而不是请求VRRP备份组1虚拟IP地址对应的MAC地址。
(3) 当Device A和Device B接收到此ARP请求报文后,因为两台Device上有相同的NAT地址池配置,所以两台Device都会将自身上行接口的物理MAC地址应答给Router。
(4) 在这种情况下,Router就会时而以Device A上行接口的MAC地址来封装报文,将报文送到Device A;时而以Device B上行接口的MAC地址来封装报文,将报文送到Device B,从而影响业务的正常运行。
在RBM组网环境中,为了解决上述NAT部署的问题,必须将NAT与VRRP备份组绑定。
图1-15 NAT未绑定VRRP备份组示意图
将NAT与VRRP备份组绑定后,若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段,则只能由VRRP备份组中Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求。
如图1-16所示,在RBM组网环境中配置动态NAT功能后,NAT与VRRP备份组绑定的情况下,内网访问外网的报文被处理的流程如下:
(1) 当内网访问外网的报文到达Device A后,报文的源地址会被转换成NAT地址池中的IP地址,然后被Device A转发给Router。
(2) 若NAT地址池中的IP地址与Device A的上行接口VRRP备份组1的虚拟IP地址在同一网段,则外网返回的报文到达Router后,因为目的IP地址是直连路由所以Router会广播ARP报文请求NAT地址池中IP地址对应的MAC地址,而不是请求VRRP备份组1虚拟IP地址对应的MAC地址。
(3) 当Device A和Device B接收到此ARP请求报文后,因为NAT与VRRP备份组进行了绑定,所以只有VRRP备份组中Master设备(Device A)使用VRRP备份组1的虚拟MAC地址响应此ARP请求给Router。
(4) 在这种情况下,Router只会收到Master设备(Device A)响应的ARP报文,Router就会以VRRP备份组1的虚拟MAC地址来封装报文,将报文送到Device A,从而可以保证业务的正常运行。
图1-16 NAT绑定VRRP备份组示意图
有关动态NAT、内部服务器NAT、端口块NAT和静态NAT与VRRP备份组绑定的相关命令和详细使用说明,请参见“三层技术-IP业务配置指导”中的“NAT”。
RBM常用部署方式有以下几种:
· 三层主备直路部署
· 三层双主直路部署
· 透明主备直路部署
· 透明双主直路部署
如图1-17所示,RBM三层主备直路部署方式的适用场景为:需要将Device A与Device B串联部署在上下行设备之间,Device的上、下行业务接口均为三层接口,所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量,当主设备或链路故障时,可以将业务流量平滑迁移到备设备进行处理。
仅以RBM与VRRP联动的方案为举例,介绍此种RBM部署方式的部署思路,具体如下:
· 两台Device上下行分别连接二层交换机,Device的上下行接口工作在三层模式。
· 两台Device之间建立一条RBM通道。
· 两台Device上下行分别配置一个VRRP备份组,并与RBM关联。Device A上下行业务接口的VRRP备份组1和2加入Active group;Device B上下行业务接口的VRRP备份组1和2加入Standby group。
· 两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址(此示例中为2.1.1.15)。
· Router上需要将去往Host网段路由的下一跳指定为VRRP备份组1的虚拟IP地址(此示例中为2.1.1.3)。
· Host上需要设置默认网关IP地址为VRRP备份组2的虚拟IP地址(此示例中为10.1.1.3)。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
图1-17 RBM三层主备直路部署示意图
如图1-17所示,RBM三层主备直路部署完成后,以Host访问Internet流量为例,分析报文在此网络中的传输过程如下:
(1) Host判断目的IP地址与本机IP地址不在同一网段,因此Host将查找默认网关IP地址的ARP表项进行MAC地址封装发送报文,假设Host上还没有默认网关IP地址的ARP表项。
(2) Host将ARP请求报文(用于请求Host网关地址对应的MAC地址)发送给Switch B。Switch B在网络中广播此ARP请求报文。此时,Switch B会记录Host的MAC地址与接口的对应关系。
(3) 当VRRP备份组2中的两台Device接收到ARP请求报文后,只能由Master设备响应此ARP请求,且ARP应答报文中填写的MAC地址为VRRP备份组2的虚拟MAC地址。
(4) Switch B接收到此ARP应答报文后会记录VRRP备份组2的虚拟MAC地址与接口的对应关系,然后Switch B根据之前学习到的MAC地址表项将ARP响应报文发送给Host。
(5) Host接收到ARP响应报文后,将业务报文的目的MAC地址封装为VRRP备份组2的虚拟MAC地址,并发送给Switch B。
(6) Switch B根据已学习到的MAC地址表项,将报文转给Master设备(Device A)。至此,内网Host发出的流量就都会通过Master设备转发,并在Master设备上进行相关安全业务的处理。
(7) 假设Master设备没有去往Internet下一跳IP地址的ARP表项。Master设备将ARP请求报文发送给Switch A,ARP请求报文的源MAC地址为VRRP备份组1的虚拟MAC地址。在此ARP学习过程中Switch A会学习到去往Master设备和Router的MAC地址表项。其ARP的学习过程和后续的报文转发流程与上面描述的类似,此处不再赘述。
(8) Internet主动访问内网Host流量的处理过程与Host主动访问Internet流程的处理过程一样,此处不再赘述。
如图1-18所示,RBM三层双主直路部署方式的适用场景为:需要将Device A与Device B串联部署在上下行设备之间,Device的上、下行业务接口均为三层接口,所有业务流量都必须经过Device。正常情况下两台设备都需要处理业务流量,当其中一台设备或链路故障时,可以将业务流量平滑迁移到另一设备进行处理。
仅以RBM与VRRP联动的方案为举例,介绍此种RBM部署方式的部署思路,具体如下:
· 两台Device上下行分别接入二层交换机,Device的上下行接口工作在三层模式。
· 两台Device之间建立一条RBM通道。
· 两台Device上下行分别配置两个VRRP备份组,并与RBM关联,具体如下:
¡ Device A上下行业务接口的VRRP备份组1和3加入Active group;Device A上下行业务接口的VRRP备份组2和4加入Standby group。
¡ Device B上下行业务接口的VRRP备份组1和3加入Standby group;Device B上下行业务接口的VRRP备份组2和4加入Active group。
· 两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址(此示例中为2.1.1.15)。
· Router上需要将去往Host A路由的下一跳指定为VRRP备份组1的虚拟IP地址(此示例中为2.1.1.3)。
· Router上需要将去往Host B路由的下一跳指定为VRRP备份组2的虚拟IP地址(此示例中为2.1.1.4)。
· Host A上需要设置默认网关IP地址为VRRP备份组3的虚拟IP地址(此示例中为10.1.1.3)。
· Host B上需要设置默认网关IP地址为VRRP备份组4的虚拟IP地址(此示例中为10.1.1.4)。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
图1-18 RBM三层双主直路部署示意图
如图1-18所示,RBM三层双主直路部署完成后,Host A的业务流量会转发给Device A处理,Host B的业务流量会转发给Device B处理,形成负载分担的效果。Host访问Internet流量的具体处理过程与主备部署方式类似,这里不再单独介绍。
在完成上述配置后,在任意视图下执行display命令可以显示配置后RBM的运行情况,通过查看显示信息验证配置的效果。
表1-3 RBM显示和维护
|
操作 |
命令 |
|
显示虚拟MAC地址信息 |
display mac-address virtual [ mac-address | interface interface-type interface-number ] |
|
显示MAD配置信息 |
display mad [ verbose ] |
|
显示RBM本端设备当前的选举参数 |
display remote-backup-group local element-weight |
|
显示RBM的状态信息 |
display remote-backup-group status |
|
显示RBM关键配置信息的一致性检查结果 |
display remote-backup-group sync-check |
|
显示RBM数据通道传输的镜像模式特有的数据统计信息 |
display remote-backup-group trans-data |
|
清除RBM数据通道传输的镜像模式特有的数据统计信息 |
reset remote-backup-group trans-data |
如图1-19所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-19 RBM联动VRRP三层主备组网图
(1) 确保主备设备的软硬件环境一致
# 在配置RBM功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.15/24。
# 配置路由信息,去往内网流量的下一跳IPv4地址为VRRP备份组1的虚拟IPv4地址2.1.1.3,去往Internet流量的下一跳IPv4地址为出接口对端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP备份组,并与RBM关联。实现RBM对VRRP备份组的统一管理和流量引导。
RBM_P[DeviceA] interface gigabitethernet 1/0
RBM_P[DeviceA-GigabitEthernet1/0] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0] quit
RBM_P[DeviceA] interface gigabitethernet 2/0
RBM_P[DeviceA-GigabitEthernet2/0] vrrp vrid 2 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet2/0] quit
d. 配置安全业务
# 以上有关RBM的配置部署完成后,可以配置各种安全业务。对于RBM支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP备份组,并与RBM关联。实现RBM对VRRP备份组的统一管理和流量引导。
RBM_S[DeviceB] interface gigabitethernet 1/0
RBM_S[DeviceB-GigabitEthernet1/0] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0] quit
RBM_S[DeviceB] interface gigabitethernet 2/0
RBM_S[DeviceB-GigabitEthernet2/0] vrrp vrid 2 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet2/0] quit
(7) 配置Host
# 配置Host的默认网关为VRRP备份组2的虚拟IPv4地址10.1.1.3。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0 1 Master 100 100 None 2.1.1.3
GE2/0 2 Master 100 100 None 10.1.1.3
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Backup
VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0 1 Backup 100 100 None 2.1.1.3
GE2/0 2 Backup 100 100 None 10.1.1.3
如图1-20所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行RBM组网,同时需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-20 RBM联动VRRP三层双主组网图
(1) 确保主备设备的软硬件环境一致
# 在配置RBM功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.15/24。
# 配置路由信息,去往一部分内网流量(如Host 1)的下一跳IPv4地址为VRRP备份组1的虚拟IPv4地址2.1.1.3,去往另一部分内网流量(如Host 3)的下一跳IPv4地址为VRRP备份组2的虚拟IPv4地址2.1.1.4,去往Internet流量的下一跳IPv4地址为出接口对端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行RBM组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP备份组,并与RBM关联。实现RBM对VRRP备份组的统一管理和流量引导。
RBM_P[DeviceA] interface gigabitethernet 1/0
RBM_P[DeviceA-GigabitEthernet1/0] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0] vrrp vrid 2 virtual-ip 2.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0] quit
RBM_P[DeviceA] interface gigabitethernet 2/0
RBM_P[DeviceA-GigabitEthernet2/0] vrrp vrid 3 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet2/0] vrrp vrid 4 virtual-ip 10.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet2/0] quit
d. 配置安全业务
# 以上有关RBM的配置部署完成后,可以配置各种安全业务。对于RBM支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行RBM组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP备份组,并与RBM关联。实现RBM对VRRP备份组的统一管理和流量引导。
RBM_S[DeviceB] interface gigabitethernet 1/0
RBM_S[DeviceB-GigabitEthernet1/0] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0] vrrp vrid 2 virtual-ip 2.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0] quit
RBM_S[DeviceB] interface gigabitethernet 2/0
RBM_S[DeviceB-GigabitEthernet2/0] vrrp vrid 3 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet2/0] vrrp vrid 4 virtual-ip 10.1.1.4 active
RBM_S[DeviceB-GigabitEthernet2/0] quit
(7) 配置Host
# 配置一部分Host(如Host 1)的默认网关为VRRP备份组3的虚拟IPv4地址10.1.1.3,配置另一部分Host(如Host 3)的默认网关为VRRP备份组4的虚拟IPv4地址10.1.1.4。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0 1 Master 100 100 None 2.1.1.3
GE1/0 2 Backup 100 100 None 2.1.1.4
GE2/0 3 Master 100 100 None 10.1.1.3
GE2/0 4 Backup 100 100 None 10.1.1.4
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0 1 Backup 100 100 None 2.1.1.3
GE1/0 2 Master 100 100 None 2.1.1.4
GE2/0 3 Backup 100 100 None 10.1.1.3
GE2/0 4 Master 100 100 None 10.1.1.4
如图1-21所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。Device的上、下行业务接口均为三层接口,上下行连接路由器,Device与路由器之间运行OSPF协议。为提高业务稳定性,使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-21 RBM联动路由三层主备直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置RBM功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为2.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址为10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为10.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
(4) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceA] track 1 interface gigabitethernet 1/0
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 2/0
[DeviceA-track-2] quit
# 使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 开启RBM调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM与序号为1和2的Track项联动。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
d. 配置安全业务
# 以上有关RBM的配置部署完成后,可以配置各种安全业务。对于RBM支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceB] track 1 interface gigabitethernet 1/0
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 2/0
[DeviceB-track-2] quit
# 使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 开启RBM调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM与序号为1和2的Track项联动。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为20.1.1.1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device A的OSPF路由信息,可看到Device A的Cost值小于Device B,上下行流量经过Device A转发。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成后,通过查看Device B的OSPF路由信息,可看到Device A的Cost值小于Device B,上下行流量不经过Device B转发。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 6000 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 6000 1 10.1.10.2 10.1.10.1
如图1-22所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。Device的上、下行业务接口均为三层接口,上下行连接路由器,Device与路由器之间运行OSPF协议。为提高业务稳定性,使用两台Device进行RBM组网,同时需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-22 RBM联动路由三层双主直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置RBM功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为2.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址为10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为10.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(4) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceA] track 1 interface gigabitethernet 1/0
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 2/0
[DeviceA-track-2] quit
# 使用两台Device进行RBM组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 开启RBM调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM与序号为1和2的Track项联动。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
d. 配置安全业务
# 以上有关RBM的配置部署完成后,可以配置各种安全业务。对于RBM支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceB] track 1 interface gigabitethernet 1/0
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 2/0
[DeviceB-track-2] quit
# 使用两台Device进行RBM组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 开启RBM调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM与序号为1和2的Track项联动。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为20.1.1.1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device A的OSPF路由信息,可看到Device A的Cost值与Device B相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device B的OSPF路由信息,可看到Device B的Cost值与Device A相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 1 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 1 1 10.1.10.2 10.1.10.1
RBM配置举例(IPv6应用)
如图1-23所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-23 RBM联动VRRP三层直连主备组网图
(1) 确保主备设备的软硬件环境一致
# 在配置RBM功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv6地址为3003::15/64。
# 配置路由信息,去往内网流量的下一跳IPv6地址为VRRP备份组1的虚拟IPv6地址3003::3/64,去往Internet流量的下一跳IPv6地址为出接口对端的IPv6地址。
(5) 配置Device A
a. 配置接口IPv6地址
# 根据组网图中规划的信息,配置各接口的IPv6地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0] ipv6 address fe80::3:1 link-local
[DeviceA-GigabitEthernet1/0] quit
[DeviceA] interface gigabitethernet 2/0
[DeviceA-GigabitEthernet2/0] ipv6 address 3001::1/64
[DeviceA-GigabitEthernet2/0] ipv6 address fe80::1:1 link-local
[DeviceA-GigabitEthernet2/0] undo ipv6 nd ra halt
[DeviceA-GigabitEthernet2/0] quit
[DeviceA] interface gigabitethernet 3/0
[DeviceA-GigabitEthernet3/0] ipv6 address 3005::1/64
[DeviceA-GigabitEthernet3/0] ipv6 address auto link-local
[DeviceA-GigabitEthernet3/0] quit
b. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv6地址为3003::15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceA] ipv6 route-static 0::0 0 3003::15
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP备份组,并与RBM关联。实现RBM对VRRP备份组的统一管理和流量引导。配置IPv6 VRRP备份组时配置的第一个虚拟IPv6地址必须是链路本地地址。
RBM_P[DeviceA] interface gigabitethernet 1/0
RBM_P[DeviceA-GigabitEthernet1/0] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local active
RBM_P[DeviceA-GigabitEthernet1/0] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_P[DeviceA-GigabitEthernet1/0] quit
RBM_P[DeviceA] interface gigabitethernet 2/0
RBM_P[DeviceA-GigabitEthernet2/0] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local active
RBM_P[DeviceA-GigabitEthernet2/0] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_P[DeviceA-GigabitEthernet2/0] quit
d. 配置安全业务
# 以上有关RBM的配置部署完成后,可以配置各种安全业务。对于RBM支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(6) 配置Device B
a. 配置接口IPv6地址
# 根据组网图中规划的信息,配置各接口的IPv6地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ipv6 address 3003::2/64
[DeviceB-GigabitEthernet1/0] ipv6 address fe80::3:2 link-local
[DeviceB-GigabitEthernet1/0] quit
[DeviceB] interface gigabitethernet 2/0
[DeviceB-GigabitEthernet2/0] ipv6 address 3001::2/64
[DeviceB-GigabitEthernet2/0] ipv6 address fe80::1:2 link-local
[DeviceB-GigabitEthernet2/0] undo ipv6 nd ra halt
[DeviceB-GigabitEthernet2/0] quit
[DeviceB] interface gigabitethernet 3/0
[DeviceB-GigabitEthernet3/0] ipv6 address 3005::2/64
[DeviceB-GigabitEthernet3/0] ipv6 address auto link-local
[DeviceB-GigabitEthernet3/0] quit
b. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv6地址为3003::15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceB] ipv6 route-static 0::0 0 3003::15
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行RBM组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP备份组,并与RBM关联。实现RBM对VRRP备份组的统一管理和流量引导。配置IPv6 VRRP备份组时配置的第一个虚拟IPv6地址必须是链路本地地址。
RBM_S[DeviceB] interface gigabitethernet 1/0
RBM_S[DeviceB-GigabitEthernet1/0] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local standby
RBM_S[DeviceB-GigabitEthernet1/0] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_S[DeviceB-GigabitEthernet1/0] quit
RBM_S[DeviceB] interface gigabitethernet 2/0
RBM_S[DeviceB-GigabitEthernet2/0] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local standby
RBM_S[DeviceB-GigabitEthernet2/0] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_S[DeviceB-GigabitEthernet2/0] quit
(7) 配置Host
# 配置Host的默认网关为VRRP备份组2的虚拟IPv6地址3001::3。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_P[DeviceA] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Master
IPv6 VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0 1 Master 100 100 None FE80::3:3
GE2/0 2 Master 100 100 None FE80::1:3
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet3/0
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_S[DeviceB] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Backup
IPv6 VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0 1 Backup 100 100 None FE80::3:3
GE2/0 2 Backup 100 100 None FE80::1:3
如图1-24所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。Device的上、下行业务接口均为三层接口,上下行连接路由器,Device与路由器之间运行OSPFv3协议。为提高业务稳定性,使用两台Device进行RBM组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-24 RBM联动路由三层双主直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置RBM功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv6地址为3003::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址为3004::2/64。
# 配置OSPFv3路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv6地址为3001::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址为3002::2/64。
# 配置OSPFv3路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(4) 配置Device A
a. 配置接口IPv6地址
# 根据组网图中规划的信息,配置各接口的IPv6地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0] ipv6 address auto link-local
[DeviceA-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置OSPFv3,保证路由可达
# 配置设备上的OSPFv3功能,OSPFv3协议自身的链路开销值建议保持默认配置即可。
[DeviceA] ospfv3 1
[DeviceA-ospfv3-1] router-id 2.1.1.1
[DeviceA-ospfv3-1] quit
[DeviceA] interface gigabitethernet 1/0
[DeviceA-GigabitEthernet1/0] ospfv3 1 area 0
[DeviceA-GigabitEthernet1/0] quit
[DeviceA] interface GigabitEthernet2/0
[DeviceA-GigabitEthernet2/0] ospfv3 1 area 0
[DeviceA-GigabitEthernet2/0] quit
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceA] track 1 interface gigabitethernet 1/0
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 2/0
[DeviceA-track-2] quit
# 使用两台Device进行RBM组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 开启RBM调整备设备上动态路由协议OSPFv3的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置RBM与序号为1和2的Track项联动。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
d. 配置安全业务
# 以上有关RBM的配置部署完成后,可以配置各种安全业务。对于RBM支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置接口IPv6地址
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ipv6 address 3004::1/64
[DeviceB-GigabitEthernet1/0] ipv6 address auto link-local
[DeviceB-GigabitEthernet1/0] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置OSPFv3,保证路由可达
# 配置设备上的OSPFv3功能,OSPFv3协议自身的链路开销值建议保持默认配置即可。
[DeviceB] ospfv3 1
[DeviceB-ospfv3-1] router-id 3.1.1.1
[DeviceB-ospfv3-1] quit
[DeviceB] interface gigabitethernet 1/0
[DeviceB-GigabitEthernet1/0] ospfv3 1 area 0
[DeviceB-GigabitEthernet1/0] quit
[DeviceB] interface GigabitEthernet2/0
[DeviceB-GigabitEthernet2/0] ospfv3 1 area 0
[DeviceB-GigabitEthernet2/0] quit
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceB] track 1 interface gigabitethernet 1/0
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 2/0
[DeviceB-track-2] quit
# 使用两台Device进行RBM组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 3/0
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 开启RBM调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置RBM与序号为1和2的Track项联动。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为2001::1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device A的OSPFv3路由信息,可看到Device A的Cost值与Device B相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_P[DeviceA] display ospfv3 interface
OSPFv3 Process 1 with Router ID 2.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 2.1.1.1 1.1.1.1 0 GE1/0
3 BDR 1 1 4.1.1.1 2.1.1.1 0 GE2/0
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet3/0
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device B的OSPFv3路由信息,可看到Device B的Cost值与Device A相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_S[DeviceB] display ospfv3 interface
OSPFv3 Process 1 with Router ID 3.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 3.1.1.1 1.1.1.1 0 GE1/0
3 BDR 1 1 4.1.1.1 3.1.1.1 0 GE2/0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
