• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

最佳 ACG1000:两台设备做透明模式的HA,应该如何配置?那位大拿能给个操作建议啊!!!

2024-10-23提问
  • 0关注
  • 0收藏,118浏览

最佳答案

粉丝:192人 关注:8人

有手册的哦,参考:

 1 HA主备功能典型配置举例


1  HA主备功能典型配置举例

1.1  简介

本文档介绍设备的HA主备功能典型应用场景配置举例,HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。

随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益成为受关注的焦点。

在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。

主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务配置和数据转发的同时,将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。

在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。

HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息、设备配置、特征库。

·              Session信息:包括设备连接表、FDB、用户信息、PKI。

·              设备配置:同步的设备配置中不包含HA配置信息以及接口manage ip配置。

·              特征库:特征库包括APP特征库以及URL特征库。

主备模式下如下内容不会同步:

·              HA全局配置和接口manage ip,两设备都需要单独配置。

1.2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

1.3  组网需求1:HA主备路由模式三层组网

1.3.1  组网需求

图1所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B工作在路由+NAT模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:

·              办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。

下联设备为三层交换机或路由器,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:

·              三层交换机上联两个接口配置在一个vlan中,并设置vlan接口ip:172.16.100.2/24,默认路由网关:172.16.100.1/24。

·              出口二层交换机所有接口在同一个vlan即可,不需要额外配置。

图1 HA主备路由模式三层组网图

 

1.3.2  配置思路

·              设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。

·              配置接口地址。

·              配置路由。

·              配置认证用户地址对象。

·              配置NAT。

·              申请并导入license授权。

·              配置DNS。

·              升级特征库。

·              配置HA全局配置,全局配置包含:工作模式、配置同步、运行状态同步、库同步、抢占模式(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。

·              添加本地认证用户。

·              配置本地web认证策略。

·              验证效果。

1.3.3  使用版本

本举例是在R6616版本上进行配置和验证的。

1.3.4  配置步骤

1. 设备A配置

(1)      配置接口地址

图2所示,进入网络配置>接口配置,点击ge0、ge3口的<编辑>按钮,配置IP 192.168.2.56/24、172.16.100.1/30。

图2 配置接口IP

 

 

 

 

(2)      配置静态路由

图3所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24。

图3 配置静态路由

 

(3)      配置认证用户地址对象

图4所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图4 配置认证用户地址对象

 

(4)      配置源NAT

图5所示,进入“策略配置 > NAT转换策略 > 源NAT ”,新建NAT策略配置。

图5 配置源NAT

(5)      申请并导入license

图6所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。

图6 导入license

 

(6)      配置DNS

图7所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。

图7 配置DNS

 

(7)      升级特征库

图8所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。

图8 升级特征库

 

(8)      配置用户识别范围

图9所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。

图9 用户识别范围

 

(9)      配置地址探测对象

图10所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。

图10 配置地址探测

 

说明

地址探测支持ping、TCP、DNS三种方式。

 

(10)   配置HA全局配置

图11所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。

图11 HA全局配置

 

说明

·          运行状态同步开启后,会同步session、fdb、用户等信息。

·          HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·          被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。

·          地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。

 

(11)   添加本地认证用户

图12所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。

图12 添加认证用户

 

(12)   配置本地web认证参数

图13所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。

图13 配置本地web认证参数

 

(13)   配置认证策略

图14所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。

图14 认证策略页面

 

2. 设备B配置

在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。

(1)      配置地址探测对象

进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。

图15 配置地址探测

 

(2)      配置HA全局配置

图16所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。

图16 HA全局配置

 

1.3.5  配置注意事项

·              用户识别范围要设置成内网用户网段,模式选择强制模式。

·              HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。

·              开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

1.3.6  验证配置

1. 查看设备B的配置,发现设备A上的所有配置都实时同步给了设备B。

2. 172.16.11.0/24网段过设备A进行认证上网,在线用户会同步给设备B,当设备A挂掉后,用户仍然可以通过设备B正常上网,不会断网,也不需要重新认证。

图17所示,设备A在线用户。

图17  设备A在线用户

将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。

图18 设备B在线用户

暂无评论

1 个回答
粉丝:222人 关注:0人

以下是配置案例,请参考:

1.6  组网需求4:HA主备透明桥模式二层组网

1.6.1  组网需求

图52所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B为透明桥模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:

·              办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。

上联和下联设备均为二层交换机,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:

·              二层交换机所有接口配置在一个vlan中。

·              出口FW作为内网办公网段用户的网关。

图52 HA主备透明桥模式二层组网图

 

1.6.2  配置思路

·              设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。

·              配置接口地址。

·              配置路由。

·              配置认证用户地址对象。

·              申请并导入license授权。

·              配置DNS。

·              升级特征库。

·              配置HA全局配置。

·              添加本地认证用户。

·              配置本地web认证策略。

·              验证效果。

1.6.3  使用版本

本举例是在R6616版本上进行配置和验证的。

1.6.4  配置步骤

1. 设备A配置

(1)      配置接口地址

图53所示,进入网络配置>接口配置>网桥接口,点击新建,将ge0、ge3加入桥口bvi0,配置IP 172.16.11.2/24。

图53 配置接口IP

 

(2)      配置静态路由

图54所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由。

图54 配置静态路由

 

(3)      配置认证用户地址对象

图55所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。

图55 配置认证用户地址对象

 

(4)      申请并导入license

图56所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。

图56 导入license

 

(5)      配置DNS

图57所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。

图57 配置DNS

 

(6)      升级特征库

图58所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。

图58 升级特征库

 

(7)      配置用户识别范围

图59所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。

图59 用户识别范围

 

(8)      配置地址探测对象

图60所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。

图60 用户识别范围

 

说明

地址探测支持ping、TCP、DNS三种方式。

 

(9)      配置HA全局配置

图61所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。

图61 HA全局配置

 

说明

·          运行状态同步开启后,会同步session、fdb、用户等信息。

·          HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。

·          被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。

·          地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。

 

(10)   添加本地认证用户

图62所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。

图62 添加认证用户

 

(11)   配置本地web认证参数

图63所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。

图63 配置本地web认证参数

 

(12)   配置认证策略

图64所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。

图64 认证策略页面

 

2. 设备B配置

在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。

(1)      配置HA全局配置

图65所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。

图65 HA全局配置

 

1.6.5  配置注意事项

·              HA透明桥模式组网需要在ha-config模式下配置fdb refresh enable,当发生HA状态切换时,由主切换为备的设备需要up/down一次桥接口中的成员接口,以促使上下游交换机刷新接口的MAC转发表,将流量同步切换到新的主设备上,只有HA桥模式需要开启此命令。

·              用户识别范围要设置成内网用户网段,模式选择强制模式。

·              HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主设备,即使新的主设备停止服务了。

·              开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。

1.6.6  验证配置

1. 查看设备B的配置,发现设备A上的所有配置都实时同步给了设备B。

2. 172.16.11.0/24网段过设备A进行认证上网,在线用户会同步给设备B,当设备A挂掉后,用户仍然可以通过设备B正常上网,不会断网,也不需要重新认证。

图66所示,设备A在线用户。

图66  设备A在线用户

 

将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。

图67 设备B在线用户

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明