1  HA主备功能典型配置举例

1.1  简介

本文档介绍设备的HA主备功能典型应用场景配置举例，HA是High Availability缩写，即高可用性，可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断，保证网络服务的连续性和安全强度。

随着网络的快速普及和应用的日益深入，各种增值业务（如 IPTV、视频会议等）得到了广泛部署，网络中断可能影响大量业务、造成重大损失。因此，作为业务承载主体的基础网络，其可靠性日益成为受关注的焦点。

在实际网络中，总避免不了各种非技术因素造成的网络故障和服务中断。因此，提高系统容错能力、提高故障恢复速度、降低故障对业务的影响，是提高系统可靠性的有效途径。

主备模式是指实现HA的两台设备中， 一台作为主设备， 另外一台作为备设备。主设备在进行业务配置和数据转发的同时，将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时，备用设备成为主设备，接管原主设备的工作，实现网络业务的无缝切换。

在主备模式下，主设备响应各类报文请求，并且转发网络流量；备用设备不响应报文请求，也不转发网络流量。

HA作为热备份，为了在状态切换的过程中，尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种：session信息、设备配置、特征库。

·              Session信息：包括设备连接表、FDB、用户信息、PKI。

·              设备配置：同步的设备配置中不包含HA配置信息以及接口manage ip配置。

·              特征库：特征库包括APP特征库以及URL特征库。

主备模式下如下内容不会同步：

·              HA全局配置和接口manage ip，两设备都需要单独配置。

1.2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

1.3  组网需求1：HA主备路由模式三层组网

1.3.1  组网需求

如图1所示，某公司内网办公网段：IP地址172.16.11.0/24，172.16.11.1/24作为办公网段的网关，两台设备的：设备A和设备B工作在路由+NAT模式，并以HA主备模式部署，实现热备份，接入网络，两台设备开启本地web认证，主设备A上的业务配置会实时同步给备设备B，其中主设备A挂掉后，已经通过认证上网的用户，仍然能通过备设备B上网，不需要再次认证，具体应用需求如下：

·              办公网段：172.16.11.0/24以数据默认走主设备A转发，当设备A发生故障后，备设备B切换为主，继续转发数据。

下联设备为三层交换机或路由器，因设备选型不一样，配置会不一样，配置不详细列出，配置需求概括如下：

·              三层交换机上联两个接口配置在一个vlan中，并设置vlan接口ip:172.16.100.2/24，默认路由网关：172.16.100.1/24。

·              出口二层交换机所有接口在同一个vlan即可，不需要额外配置。

图1 HA主备路由模式三层组网图

1.3.2  配置思路

·              设备A和设备B连接心跳线，并完成HA配置，保证HA主备协商成功，然后在设备A上开始做其它配置，以下配置都为设备A上的配置步骤。

·              配置接口地址。

·              配置路由。

·              配置认证用户地址对象。

·              配置NAT。

·              申请并导入license授权。

·              配置DNS。

·              升级特征库。

·              配置HA全局配置，全局配置包含：工作模式、配置同步、运行状态同步、库同步、抢占模式（可选配置）、HA通讯接口、被监控接口（可选配置）、地址探测（可选配置）。

·              添加本地认证用户。

·              配置本地web认证策略。

·              验证效果。

1.3.3  使用版本

本举例是在R6616版本上进行配置和验证的。

1.3.4  配置步骤

1. 设备A配置

(1)      配置接口地址

如图2所示，进入网络配置>接口配置，点击ge0、ge3口的<编辑>按钮，配置IP 192.168.2.56/24、172.16.100.1/30。

图2 配置接口IP

(2)      配置静态路由

如图3所示，进入网络配置>路由管理>静态路由，配置访问外网的默认路由及内网认证用户网段172.16.11.0/24。

图3 配置静态路由

(3)      配置认证用户地址对象

如图4所示，进入策略配置>对象管理>地址对象>IPv4地址对象，点击<新建>按钮创建认证用户地址对象，设置地址为172.16.11.0/24,点击<提交>。

图4 配置认证用户地址对象

(4)      配置源NAT

如图5所示，进入“策略配置 > NAT转换策略 > 源NAT ”，新建NAT策略配置。

图5 配置源NAT

(5)      申请并导入license

如图6所示，进入“系统管理 > 系统维护 > 授权管理 ”，点击<导入许可证>。

图6 导入license

(6)      配置DNS

如图7所示，进入“网络配置 > 基础网络 > DNS服务 > DNS服务器”，配置DNS地址，用于升级特征库。

图7 配置DNS

(7)      升级特征库

如图8所示，进入“系统管理 > 系统维护 > 系统升级”，点击立即升级，完成特征库在线自动升级。

图8 升级特征库

(8)      配置用户识别范围

如图9所示，进入“用户管理>认证管理>高级选项>全局配置”页面，识别范围选择“认证用户”，识别模式选择“强制模式”，提交配置。

图9 用户识别范围

(9)      配置地址探测对象

如图10所示，进入策略配置>对象管理>地址对象>地址探测，点击<新建>按钮创建探测地址对象。

图10 配置地址探测

(10)   配置HA全局配置

如图11所示，进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面，进行配置。

图11 HA全局配置

(11)   添加本地认证用户

如图12所示，进入“用户管理> 用户组织结构 ”页面，点击新建，创建用户账号test。

图12 添加认证用户

(12)   配置本地web认证参数

如图13所示，进入“用户管理 > 认证管理 > 认证方式 > 本地web认证”页面，没有特殊要求所有配置默认即可。

图13 配置本地web认证参数

(13)   配置认证策略

如图14所示，进入“用户管理 > 认证管理 > 认证策略”页面，选择新建认证策略，按图完成配置。

图14 认证策略页面

2. 设备B配置

在配置其它策略前，先保证设备A和设备B均开启了HA主备配置，设备B只需要做HA全局配置，设备A上的所有其它配置都会自动同步给设备B，不需要人为配置。

(1)      配置地址探测对象

进入策略配置>对象管理>地址对象>地址探测，点击<新建>按钮创建探测地址对象。

图15 配置地址探测

(2)      配置HA全局配置

如图16所示，进入“系统管理 > 系统设定 > 高可用性 > HA全局配置”页面，进行配置。

图16 HA全局配置

1.3.5  配置注意事项

·              用户识别范围要设置成内网用户网段，模式选择强制模式。

·              HA主备模式下，如果开启地址探测，探测接口需要配置管理IP，在主状态下地址探测是用接口主地址发包，但是发生状态切换变成备状态后，地址探测就会用管理地址发包了，如果不配置管理IP，会导致原来的主设备永远不能重新变成主，即使新的主设备挂了。

·              开启地址探测功能后，在配置源NAT时，要将管理IP的地址排除，避免管理地址过出接口时做源NAT导致探测报文发不出去，因为在HA 主状态下，探测报文源地址为管理IP时才会发送，否则会丢包处理，源NAT会改变探测报文源地址。

1.3.6  验证配置

1. 查看设备B的配置，发现设备A上的所有配置都实时同步给了设备B。

2. 172.16.11.0/24网段过设备A进行认证上网，在线用户会同步给设备B，当设备A挂掉后，用户仍然可以通过设备B正常上网，不会断网，也不需要重新认证。

如图17所示，设备A在线用户。

图17  设备A在线用户

将设备A重启或down监控接口，或探测地址变为不可达，用户仍然可以正常上网。设备A恢复后，用户再次切回设备A上网。

图18 设备B在线用户