https://zhiliao.h3c.com/questions/problemEdit/279504
(0)
最佳答案
有手册的哦,参考:
本文档介绍设备的HA主备功能典型应用场景配置举例,HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务配置和数据转发的同时,将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息、设备配置、特征库。
· Session信息:包括设备连接表、FDB、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息以及接口manage ip配置。
· 特征库:特征库包括APP特征库以及URL特征库。
主备模式下如下内容不会同步:
· HA全局配置和接口manage ip,两设备都需要单独配置。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如图1所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B工作在路由+NAT模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:
· 办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。
下联设备为三层交换机或路由器,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 三层交换机上联两个接口配置在一个vlan中,并设置vlan接口ip:172.16.100.2/24,默认路由网关:172.16.100.1/24。
· 出口二层交换机所有接口在同一个vlan即可,不需要额外配置。
图1 HA主备路由模式三层组网图
· 设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 配置NAT。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置HA全局配置,全局配置包含:工作模式、配置同步、运行状态同步、库同步、抢占模式(可选配置)、HA通讯接口、被监控接口(可选配置)、地址探测(可选配置)。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入网络配置>接口配置,点击ge0、ge3口的<编辑>按钮,配置IP 192.168.2.56/24、172.16.100.1/30。
(2) 配置静态路由
如图3所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由及内网认证用户网段172.16.11.0/24。
(3) 配置认证用户地址对象
如图4所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 配置源NAT
如图5所示,进入“策略配置 > NAT转换策略 > 源NAT ”,新建NAT策略配置。
(5) 申请并导入license
如图6所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(6) 配置DNS
如图7所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(7) 升级特征库
如图8所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(8) 配置用户识别范围
如图9所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(9) 配置地址探测对象
如图10所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
地址探测支持ping、TCP、DNS三种方式。
(10) 配置HA全局配置
如图11所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图11 HA全局配置
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。
· 地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。
(11) 添加本地认证用户
如图12所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。
(12) 配置本地web认证参数
如图13所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图13 配置本地web认证参数
(13) 配置认证策略
如图14所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。
(1) 配置地址探测对象
进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
图15 配置地址探测
(2) 配置HA全局配置
如图16所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图16 HA全局配置
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主,即使新的主设备挂了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图17所示,设备A在线用户。
图17 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
图18 设备B在线用户
(0)
以下是配置案例,请参考:
如图52所示,某公司内网办公网段:IP地址172.16.11.0/24,172.16.11.1/24作为办公网段的网关,两台设备的:设备A和设备B为透明桥模式,并以HA主备模式部署,实现热备份,接入网络,两台设备开启本地web认证,主设备A上的业务配置会实时同步给备设备B,其中主设备A挂掉后,已经通过认证上网的用户,仍然能通过备设备B上网,不需要再次认证,具体应用需求如下:
· 办公网段:172.16.11.0/24以数据默认走主设备A转发,当设备A发生故障后,备设备B切换为主,继续转发数据。
上联和下联设备均为二层交换机,因设备选型不一样,配置会不一样,配置不详细列出,配置需求概括如下:
· 二层交换机所有接口配置在一个vlan中。
· 出口FW作为内网办公网段用户的网关。
图52 HA主备透明桥模式二层组网图
· 设备A和设备B连接心跳线,并完成HA配置,保证HA主备协商成功,然后在设备A上开始做其它配置,以下配置都为设备A上的配置步骤。
· 配置接口地址。
· 配置路由。
· 配置认证用户地址对象。
· 申请并导入license授权。
· 配置DNS。
· 升级特征库。
· 配置HA全局配置。
· 添加本地认证用户。
· 配置本地web认证策略。
· 验证效果。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图53所示,进入网络配置>接口配置>网桥接口,点击新建,将ge0、ge3加入桥口bvi0,配置IP 172.16.11.2/24。
(2) 配置静态路由
如图54所示,进入网络配置>路由管理>静态路由,配置访问外网的默认路由。
(3) 配置认证用户地址对象
如图55所示,进入策略配置>对象管理>地址对象>IPv4地址对象,点击<新建>按钮创建认证用户地址对象,设置地址为172.16.11.0/24,点击<提交>。
(4) 申请并导入license
如图56所示,进入“系统管理 > 系统维护 > 授权管理 ”,点击<导入许可证>。
(5) 配置DNS
如图57所示,进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”,配置DNS地址,用于升级特征库。
(6) 升级特征库
如图58所示,进入“系统管理 > 系统维护 > 系统升级”,点击立即升级,完成特征库在线自动升级。
(7) 配置用户识别范围
如图59所示,进入“用户管理>认证管理>高级选项>全局配置”页面,识别范围选择“认证用户”,识别模式选择“强制模式”,提交配置。
(8) 配置地址探测对象
如图60所示,进入策略配置>对象管理>地址对象>地址探测,点击<新建>按钮创建探测地址对象。
地址探测支持ping、TCP、DNS三种方式。
(9) 配置HA全局配置
如图61所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图61 HA全局配置
· 运行状态同步开启后,会同步session、fdb、用户等信息。
· HA通讯接口用于设备之间交互状态报文、心跳报文、同步运行状态信息。
· 被监控接口:被监控接口中任一接口down后,设备A的HA状态会发生变化,设备A不再转发数据。设备B会发送免费ARP更新下联交换机的MAC表项,用户数据会被转发到设备B进行处理。监控接口都为UP状态时,设备A会抢占为主,转发数据。
· 地址探测:地址探测失败后,设备A的HA状态变为备,业务切换到设备B。当探测地址恢复后,设备A会重新抢占为主进行数据转发。
(10) 添加本地认证用户
如图62所示,进入“用户管理> 用户组织结构 ”页面,点击新建,创建用户账号test。
(11) 配置本地web认证参数
如图63所示,进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面,没有特殊要求所有配置默认即可。
图63 配置本地web认证参数
(12) 配置认证策略
如图64所示,进入“用户管理 > 认证管理 > 认证策略”页面,选择新建认证策略,按图完成配置。
在配置其它策略前,先保证设备A和设备B均开启了HA主备配置,设备B只需要做HA全局配置,设备A上的所有其它配置都会自动同步给设备B,不需要人为配置。
(1) 配置HA全局配置
如图65所示,进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面,进行配置。
图65 HA全局配置
· HA透明桥模式组网需要在ha-config模式下配置fdb refresh enable,当发生HA状态切换时,由主切换为备的设备需要up/down一次桥接口中的成员接口,以促使上下游交换机刷新接口的MAC转发表,将流量同步切换到新的主设备上,只有HA桥模式需要开启此命令。
· 用户识别范围要设置成内网用户网段,模式选择强制模式。
· HA主备模式下,如果开启地址探测,探测接口需要配置管理IP,在主状态下地址探测是用接口主地址发包,但是发生状态切换变成备状态后,地址探测就会用管理地址发包了,如果不配置管理IP,会导致原来的主设备永远不能重新变成主设备,即使新的主设备停止服务了。
· 开启地址探测功能后,在配置源NAT时,要将管理IP的地址排除,避免管理地址过出接口时做源NAT导致探测报文发不出去,因为在HA 主状态下,探测报文源地址为管理IP时才会发送,否则会丢包处理,源NAT会改变探测报文源地址。
如图66所示,设备A在线用户。
图66 设备A在线用户
将设备A重启或down监控接口,或探测地址变为不可达,用户仍然可以正常上网。设备A恢复后,用户再次切回设备A上网。
图67 设备B在线用户
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论