• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SecPath ACG1000-TE 是否支持双主模式?

2024-04-22提问
  • 0关注
  • 0收藏,614浏览
粉丝:0人 关注:1人

问题描述:

两台ACG1000做的透明部署,现在的模式是主备模式;

ACG上下联分别是一组交换机和一组防火墙,两台防火墙主备模式,当防火墙切换后,业务会发生中断。

问题是ACG 可不可以支持 主主模式,当防火墙切换后,另一台AC也能转发业务流量 。有没有相关参考文档?

1 个回答
已采纳
粉丝:237人 关注:8人

2.6  组网需求4:HA主主透明桥模式二层组网

2.6.1  组网需求

图119所示,某公司内网办公网段:IP地址172.16.11.0/24其中172.16.11.1/24作为办公网段的网关。两台设备的:设备A和设备B工作在透明桥模式,并以HA主主模式部署,互为备份,接入网络,两台设备开启本地web认证,其中一台设备A或B挂掉后,已经通过认证上网的用户,仍然能通过另一台备份设备上网,不需要再次认证,具体应用需求如下:

·              办公网段部分用户将网关设置成172.16.11.1,两台设备透明串接在两台二层交换机中间,转发二层交换机过来的用户流量。

该场景下联动设备为二层交换机,配置需求如下:

·              两台二层交换机之间的两条链路进行聚合,聚合链路算法建议基于源IP进行hash,保证同一个用户的流量走同一条链路。

图119 HA主主路由模式三层组网图

 

2.6.2  配置思路

·              配置接口地址。

·              配置路由。

·              配置认证用户地址对象。

·              申请并导入license授权。

·              配置DNS。

·              升级特征库。

·              配置地址探测。

·              配置HA全局配置。

·              添加本地认证用户。

·              配置本地web认证策略。

·              验证效果。

2.6.3  使用版本

本举例是在R6616版本上进行配置和验证的。

2.6.4  配置步骤

1. 设备A配置

(1)      配置接口地址

图120所示,进入“网络配置>接口配置”,在<网桥接口>下点击新建将ge0、ge3添加到桥接口bvi0中,并配置IP 172.16.11.2/24。

图120 配置接口IP

 

(2)      配置静态路由

图121所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由。

图121 配置静态路由

 

(3)      配置认证用户地址对象

图122所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图122 配置认证用户地址对象

 

(4)      申请并导入license

图123所示,进入“系统管理 > 系统维护 > 授权管理”,点击<导入许可证>。

图123 导入license

 

(5)      配置DNS

图124所示,进入“网络配置> DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。

图124 配置DNS

 

(6)      升级特征库

图125所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。

图125 升级特征库

 

(7)      配置用户识别范围

图126所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。

图126 用户识别范围

 

(8)      配置地址探测对象

图127所示,进入“策略配置>对象管理>地址对象>地址探测”,点击<新建>按钮创建探测地址对象。

图127 配置地址探测

 

说明:地址探测支持ping、TCP、DNS三种方式。

(9)      配置HA全局配置

图128所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。

图128 HA全局配置

 

说明:

·              运行状态同步开启后,会同步session、fdb、用户等信息。

·              监控接口地址同步在该场景下不需要开启。

·              HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·              被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。下联设备检测到主链路不通后,将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务,保证业务不中断。监控接口都为UP状态时,HA状态会恢复。

·              地址探测:地址探测失败后,设备A的HA状态会发生变化,业务切换到设备B。

(10)   添加本地认证用户

图129 所示,进入“用户管理> 用户组织结构”页面,点击新建,创建用户账号test。

图129 添加认证用户

 

(11)   配置本地web认证参数

图130所示,进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面,没有特殊要求所有配置默认即可。

图130 配置本地web认证参数

 

(12)   配置本地web认证策略

图131所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。

图131 认证策略页面

 

2. 设备B配置

所有配置请根据拓扑图参照设备A的配置步骤和配置方法进行配置即可。

2.6.5  配置注意事项

·              用户识别范围要设置成内网用户网段,模式选择强制模式。

·              HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。

2.6.6  验证配置

1. 过设备A进行认证上网的用户,在线用户会同步给设备B,当设备A挂掉后,用户会切换到设备B正常上网,不会断网,也不需要重新认证。

图132所示,设备A在线用户。

图132  设备A在线用户

 

将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。

图133 设备B在线用户

 

2.7  HA主主功能使用限制及注意事项

·              HA主主邻居为什么建立不起来时请检查以下内容:

两台设备必须型号一致,板卡一致。

两台设备的序列号要求不一致。序列号一致建不起来邻居。

查看心跳线接口状态是否正常。

·              HA主主环境一台设备宕机后HA状态仍然为master(N)状态,不能转发业务时请检查以下内容:

a.   确认发探测包的接口是否配置了管理IP,HA主主模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用主地址发包,但是发生状态切换变成master(N)状态后,地址探测就会用管理地址发包了。

b.   确认发探测报文的接口是否配置了源NAT,如果配置了配置源NAT,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA master(N)状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

·              HA主主场景,内网用户流量过一台主设备去访问另一台主设备的外网接口时访问不了

确认HA主主是否开启了源NAT,因为HA主设备会同步流给对端主设备,当访问数据到对端 主设备外网接口后,在建流时会出现反向流跟已同步过来的流冲突导致丢包。规避方法为1、不开源NAT;2、内网用户访问另一台HA主设备的内网接口IP即可。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明