SecPath ACG1000-TE 是否支持双主模式？

2.6  组网需求4：HA主主透明桥模式二层组网

2.6.1  组网需求

如图119所示，某公司内网办公网段：IP地址172.16.11.0/24其中172.16.11.1/24作为办公网段的网关。两台设备的：设备A和设备B工作在透明桥模式，并以HA主主模式部署，互为备份，接入网络，两台设备开启本地web认证，其中一台设备A或B挂掉后，已经通过认证上网的用户，仍然能通过另一台备份设备上网，不需要再次认证，具体应用需求如下：

·              办公网段部分用户将网关设置成172.16.11.1，两台设备透明串接在两台二层交换机中间，转发二层交换机过来的用户流量。

该场景下联动设备为二层交换机，配置需求如下：

·              两台二层交换机之间的两条链路进行聚合，聚合链路算法建议基于源IP进行hash，保证同一个用户的流量走同一条链路。

图119 HA主主路由模式三层组网图

2.6.2  配置思路

·              配置接口地址。

·              配置路由。

·              配置认证用户地址对象。

·              申请并导入license授权。

·              配置DNS。

·              升级特征库。

·              配置地址探测。

·              配置HA全局配置。

·              添加本地认证用户。

·              配置本地web认证策略。

·              验证效果。

2.6.3  使用版本

本举例是在R6616版本上进行配置和验证的。

2.6.4  配置步骤

1. 设备A配置

(1)      配置接口地址

如图120所示，进入“网络配置>接口配置”，在<网桥接口>下点击新建将ge0、ge3添加到桥接口bvi0中，并配置IP 172.16.11.2/24。

图120 配置接口IP

(2)      配置静态路由

如图121所示，进入“网络配置>路由管理>静态路由”，配置访问外网的默认路由。

图121 配置静态路由

(3)      配置认证用户地址对象

如图122所示，进入“策略配置>对象管理>地址对象>地址对象”，点击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24，点击<提交>。

图122 配置认证用户地址对象

(4)      申请并导入license

如图123所示，进入“系统管理 > 系统维护 > 授权管理”，点击<导入许可证>。

图123 导入license

(5)      配置DNS

如图124所示，进入“网络配置> DNS服务 > DNS服务器”，配置DNS地址，用于升级特征库。

图124 配置DNS

(6)      升级特征库

如图125所示，进入“系统管理 > 系统维护 > 系统升级”，点击立即升级，完成特征库在线自动升级。

图125 升级特征库

(7)      配置用户识别范围

如图126所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，识别模式选择“强制模式”，提交配置。

图126 用户识别范围

(8)      配置地址探测对象

如图127所示，进入“策略配置>对象管理>地址对象>地址探测”，点击<新建>按钮创建探测地址对象。

图127 配置地址探测

说明：地址探测支持ping、TCP、DNS三种方式。

(9)      配置HA全局配置

如图128所示，进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面，进行配置。

图128 HA全局配置

说明：

·              运行状态同步开启后，会同步session、fdb、用户等信息。

·              监控接口地址同步在该场景下不需要开启。

·              HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·              被监控接口：被监控接口中任一接口down后，设备A的HA状态会发生变化，设备A不再转发数据。下联设备检测到主链路不通后，将路由切换到备用链路即可。设备B会继续处理设备A之前承载的业务，保证业务不中断。监控接口都为UP状态时，HA状态会恢复。

·              地址探测：地址探测失败后，设备A的HA状态会发生变化，业务切换到设备B。

(10)   添加本地认证用户

如图129 所示，进入“用户管理> 用户组织结构”页面，点击新建，创建用户账号test。

图129 添加认证用户

(11)   配置本地web认证参数

如图130所示，进入“用户管理 > 认证管理 > 认证设置 > 本地web认证”页面，没有特殊要求所有配置默认即可。

图130 配置本地web认证参数

(12)   配置本地web认证策略

如图131所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，按图完成配置。

图131 认证策略页面

2. 设备B配置

所有配置请根据拓扑图参照设备A的配置步骤和配置方法进行配置即可。

2.6.5  配置注意事项

·              用户识别范围要设置成内网用户网段，模式选择强制模式。

·              HA主主模式下，如果开启地址探测，探测接口需要配置管理IP，在主状态下地址探测是用主地址发包，但是发生状态切换变成master(N)状态后，地址探测就会用管理地址发包了。

2.6.6  验证配置

1. 过设备A进行认证上网的用户，在线用户会同步给设备B，当设备A挂掉后，用户会切换到设备B正常上网，不会断网，也不需要重新认证。

如图132所示，设备A在线用户。

图132  设备A在线用户

将设备A重启或down监控接口，或探测地址变为不可达，用户仍然可以正常上网。

图133 设备B在线用户

2.7  HA主主功能使用限制及注意事项

·              HA主主邻居为什么建立不起来时请检查以下内容：

两台设备必须型号一致，板卡一致。

两台设备的序列号要求不一致。序列号一致建不起来邻居。

查看心跳线接口状态是否正常。

·              HA主主环境一台设备宕机后HA状态仍然为master(N)状态，不能转发业务时请检查以下内容：

a.   确认发探测包的接口是否配置了管理IP，HA主主模式下，如果开启地址探测，探测接口需要配置管理IP，在主状态下地址探测是用主地址发包，但是发生状态切换变成master(N)状态后，地址探测就会用管理地址发包了。

b.   确认发探测报文的接口是否配置了源NAT，如果配置了配置源NAT，要将管理IP的地址排除，避免管理地址过出接口时做源NAT导致探测报文发不出去，因为在HA master(N)状态下，探测报文源地址为管理IP时才会发送，否则会丢包处理，源NAT会改变探测报文源地址。

·              HA主主场景，内网用户流量过一台主设备去访问另一台主设备的外网接口时访问不了

确认HA主主是否开启了源NAT，因为HA主设备会同步流给对端主设备，当访问数据到对端 主设备外网接口后，在建流时会出现反向流跟已同步过来的流冲突导致丢包。规避方法为1、不开源NAT；2、内网用户访问另一台HA主设备的内网接口IP即可。