您好,参考案例
本章介绍AFC串联部署如何进行双机主备配置操作。
串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署,而双机主备部署是为了满足客户需求中主设备出现故障的情况,防护及网络不中断。
本配置适用于H3C SecPath AFC串联设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.1.21的流量的清洗,将AFC设备串联到客户网络中,将AFC主/备设备的输入口接上层交换机,将AFC主/备设备的输出口接下层交换机,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图1所示。
图5-1 AFC串联部署双机主备配置组网图
具体实现如下:
· 接口连接:AFC主/备设备的通道输入口M2/GE0接上层交换机VLAN 1711,AFC主/备设备通道输出口M2/GE1接下层交换机VLAN 1711。
· 主机流量清洗:AFC上配置防护范围及防护主机策略,通过策略实时对主机流量进行过滤检测。
表5-1 VLAN分配列表
VLAN ID | 作用描述 | IP地址 |
1711 | · 核心交换机与AFC通道输入口连接接口; · 下层网络的网关地址 · 上下层网络所在VLAN ID,受保护主机所在VLAN | 171.0.1.1/24 |
上下层交换机连接AFC主/备设备的接口VLAN号需要保持一致,否则会造成主备失败。
表5-2 AFC接口IP分配列表
接口 | 作用描述 | IP地址 |
M2/GE0 | · 主/备设备的通道输入口,接上层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
M2/GE1 | · 主/备设备的通道输出口,接下层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
M2/GE2 | · 主/备设备同步接口 | 主设备:10.10.10.1/24 备设备:10.10.10.2/24 |
Eth0 | · AFC管理口 | 主设备:183.1.0.24/24 备设备:183.1.0.25/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。
要实现AFC串联部署主备配置,可按照如下思路进行配置:
· 上下层交换机配置:配置上下层交换机与AFC相连的接口二层属性一致,比如同为VLAN 1711,或者同为Trunk模式,且允许受保护主机VLAN通过;
· AFC配置:修改AFC为串联模式,设置防护范围及防护主机,启用防护策略。
要进行串联组网部署,首先要确保AFC设备部署方式已经切换为串联模式。
通过SSH配置视图,切换AFC部署模式:
# 切换【AFC】工作模式为:inline
> systools bootrom inline
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图,在AFC主/备设备上创建通道:
# 修改【AFC】通道
> config startup-script channel_device 1 M2/GE0 M2/GE1
modified the startup script with channel 1 devices
# 应用通道配置
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
#配置AFC主/备设备接口
登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态,确认通道已经创建成功。
图5-2 查看AFC通道口
默认串联版本,通道口有默认IP,在不与网络IP冲突的情况下不需要修改。
(1) 【AFC】主设备配置
设置设备号,删除无关地址,或保证地址不会冲突。
进入【AFC】CLI命令行配置
# 设置主设备的设备号
> conf startup-script init_address 1
建议将Master 设备的所有接口IP的尾数为1,Backup设备的所有接口IP的尾数为2。
图5-3 设置AFC主设备同步口地址为10.10.10.1/24
保证Master设备与Backup设备同步口地址在一个网段。
填写AFC主设备集群管理,并点击下方的“保存”按钮,不是“开启”按钮。
图5-4 配置系统集群管理
集群同步设备:即“设备管理”页面预先指定的同步接口;
集群同步地址:即Master与Backup设备在“设备管理”页面预先指定的同步接口IP;
AFC主设备配置完集群管理时,填写集群同步地址后,点击的是保存,而不是开启。
(2) 【AFC】备设备配置
设置设备号,删除无关地址,或保证地址不会冲突
进入【AFC】CLI命令行配置
# 设置备设备的设备号
> conf startup-script init_address 2
建议将Master 设备的所有接口IP的尾数为1,Backup设备的所有接口IP的尾数为2。
图5-5 设置AFC备设备同步口地址为10.10.10.2/24
保证Master设备与Backup设备同步口地址在一个网段。
填写AFC备设备集群管理,并点击下方的“保存”按钮,不是“开启”按钮。
图5-6 配置系统集群管理
集群同步设备:即“设备管理”页面预先指定的同步接口;
集群同步地址:即Master与Backup设备在“设备管理”页面预先指定的同步接口IP;
AFC主设备配置完集群管理时,填写集群同步地址后,点击的是保存,而不是开启。
(3) 启用AFC主/备设备热备配置
勾选AFC主设备:热备启用主备模式、主激活模式、备用模式下断开网络接口、激活状态超时和备用状态超时。
这里需要注意,因为本文档组网举例中每台设备均只用了一对通道,所以可以不用勾选“任一链路异常则切换”。但是如果现网中做HA主备的两台设备使用了多对通道,就需要勾选此项,否则单个通道链路异常不会执行主备切换。
图5-7 AFC主设备热备配置
热备配置,只有“开启”按钮,如果要关闭,将热备配置中的选项取消,再次点击开启即可关闭热备。当前“集群管理”中的保存按钮仅对“系统集群管理”生效。
勾选AFC备设备:热备启用主备模式、备用模式下断开网络接口、激活状态超时和备用状态超时。
图5-8 AFC备设备热备配置
· 启用主备配置:表示此设备为主备部署
· 主激活模式:表示当前设备为Master设备
· 备用模式下断开网络接口:表示设备处于Backup模式时自动关闭业务口
· 激活状态超时:系统处于激活模式时,设定时间(秒)内,没有检测到有效的数据或者测试地址间的回应,则切换为备份模式,默认3秒
· 备用状态超时:系统处于备份模式时,系统在设定时间(秒)内,无其他系统处于激活状态,则本系统进入激活状态以检测链路是否恢复。默认30秒。
创建1711, VLAN 1711对应171.0.1.0/24网段,作用为保证AFC主/备设备的通道输入口和输出口在相同的VLAN。
# 创建VLAN
[L3SW1]vlan 1711
[L3SW1]quit
# 配置VLAN IP
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[L3SW1-Vlan-interface1711]quit
# 将接口G1/0/10和G1/0/11加入到VLAN 1711
[L3SW1]int GigabitEthernet 1/0/10
[L3SW1-GigabitEthernet1/0/10]port access vlan 1711
[L3SW1-GigabitEthernet1/0/10]quit
[L3SW1]int GigabitEthernet 1/0/11
[L3SW1-GigabitEthernet1/0/11]port access vlan 1711
[L3SW1-GigabitEthernet1/0/11]quit
创建VLAN 1711,作用为保证AFC主/备设备的通道输入口和输出口在相同的VLAN。
# 创建VLAN
[L2SW1]vlan 1711
# 将交换机连接主机的接口加入VLAN
[L2SW1]interface GigabitEthernet1/0/13
# 连接被保护主机
[L2SW1-GigabitEthernet1/0/13]port link-mode bridge
[L2SW1-GigabitEthernet1/0/13]port access vlan 1711
[L2SW1-GigabitEthernet1/0/13]quit
#将接口G1/0/10和G1/0/11加入到VLAN 1711
[L2SW1]int GigabitEthernet 1/0/10
[L2SW1-GigabitEthernet1/0/10]port access vlan 1711
[L2SW1-GigabitEthernet1/0/10]quit
[L2SW1]int GigabitEthernet 1/0/11
[L2SW1-GigabitEthernet1/0/11]port access vlan 1711
[L2SW1-GigabitEthernet1/0/11]quit
# 添加防护范围及回注方式
防护范围及回注方式,回注方式选择“默认”,回注参数留空。
图5-9 配置AFC防护范围
图5-10 配置AF保护主机IP
(1) 验证【AFC】主设备和备设备接口状态
AFC主设备的业务接口为激活状态
图5-11 AFC主设备接口状态
AFC备设备的业务接口为关闭状态
图5-12 AFC备设备接口状态
(2) 验证客户端与服务端通信是否经过【AFC】
在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来
图5-13 客户端ping服务器
在【AFC】上抓取客户端到服务器的ping包
抓包分析,在【AFC】通道的输入口M2/GE0即eth12,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图5-14 在AFC上抓包,查看输入口报文
抓包分析,在【AFC】通道的输出口M2/GE1即eth13,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图5-15 在AFC上抓包,查看输出口报文
本章介绍AFC串联部署如何进行双机集群配置操作。
串联模式应用的场景为客户需要实时对进出网络流量进行全链路检测清洗或者客户网络设备中无三层路由设备无法进行旁路部署,而双机集群部署是为了满足单台设备防护性能达不到客户防护流量需求时,进行防护能力扩容的一种方法。
本配置适用于H3C SecPath AFC串联设备。
软件版本:H3C i-Ware Software, Version 1.10, ESS 6501。
为实现对攻击被保护IP 171.0.1.21的流量的清洗,将AFC设备串联到客户网络中,AFC集群中设备的通道输入口接上层交换机端口聚合组,AFC集群中所有设备的通道输出口接下层交换机端口聚合组,AFC对接收的混合流量进行检测过滤后转发到下层网络。组网如图16所示。
图6-1 AFC串联部署多通道设备配置组网图
具体实现如下:
· 接口连接:AFC集群所有设备通道输入口接上层交换机端口聚合组aggregation 8,AFC集群设备所有通道输出口接下层交换机端口聚合组aggregation 8。
· 主机流量清洗:AFC上配置防护范围及防护主机策略,通过策略对实时对主机流量进行过滤检测。
表6-1 VLAN分配列表
VLAN ID | 作用描述 | IP地址 |
1711 | · 核心交换机与AFC通道输入口连接接口; · 上下层交换机聚合组所属VLAN · 下层网络网关 | 171.0.1.1/24 |
表6-2 AFC接口IP分配列表
接口 | 作用描述 | IP地址 |
M2/GE0 | · 集群所有设备的通道输入口,接上层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
M2/GE1 | · 集群所有设备的通道输出口,接下层网络 · 串联模式下,无需配置,如果配置,需要与网络地址无冲突 |
|
M2/GE2 | 集群所有设备同步接口 | 设备1:10.10.10.1/24 设备2:10.10.10.2/24 |
Eth0 | AFC管理口 | 设备1:183.1.0.24/24 设备2: 183.1.0.25/24 |
【AFC】接口名称,由具体设备型号而定,此处只做指导参考。
要实现AFC串联部署集群配置,可按照如下思路进行配置:
· 上下层交换机配置:上下交换机分别建立端口聚合组,且聚合组配置属性相同,如VLAN信息均属于VLAN 1711;
· AFC配置:修改AFC为串联模式,设置防护范围及防护主机,启用防护策略。将AFC集群所有设备通道输入口接入到上层交换机的聚合组,将AFC集群所有设备通道的输出口接入下层交换机的聚合组。
要进行串联组网部署,首先要确保AFC设备部署方式已经切换为串联模式,将所有集群设备工作模式均切换为串联防护。
通过SSH配置视图,切换AFC部署模式:
# 切换【AFC】工作模式为:inline
> systools bootrom inline
NOTE: the switching may need some time, do not interrupt to avoid severe damage
type 'SURE' to confirm switching the bootrom ... sure
switching bootrom, do not reboot or poweroff ... done
reboot is needed
当前【AFC】支持旁路与串联切换,切换命令为:systool boot bypass|inline,其中bypass表示切换为旁路,inline表示切换为串联。
使用SSH方式登录AFC CLI配置视图:
# 配置【AFC】集群设备1通道,并应用配置
> config startup-script channel_device 1 M2/GE0 M2/GE1
modified the startup script with channel 1 devices
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】集群设备2通道,并应用配置
> config startup-script channel_device 1 M2/GE0 M2/GE1
modified the startup script with channel 1 devices
> config startup-script channel_device apply
apply the channel device settings ? yes
applying ... succeed
applied the channel device settings
# 配置【AFC】集群设备1接口
图6-2 查看AFC通道口
# 配置【AFC】集群设备2接口
图6-3 查看AFC通道口
默认串联版本,通道口有默认IP,在不与网络IP冲突的情况下不需要修改。
启用AFC集群所有设备集群管理配置
# 依次配置【AFC】集群设备同步口,本实例中均为M2/GE2,分别为10.10.10.1/24和10.10.10.2/24
图6-4 AFC集群设备1同步口IP
图6-5 AFC集群设备2同步口IP
· 没有开启集群配置之前,所有M2/GE2功能未显示为“同步设备”
· 集群同步设备:即“设备管理”页面预先指定的同步接口
· 集群同步地址:即在“设备管理”页面预先指定的同步接口IP,依次填写集群设备1到集群设备N的同步接口IP(2≤N≤32),本次实验使用两台设备做集群。
在集群设备1上启用“系统集群配置”
图6-6 在集群设备1启用集群配置
查看集群设备2,其接口M2/GE2已经变为“同步设备”
图6-7 集群设备2的M2/GE1状态
· 在进行集群部署时,除了要保证所有集群设备型号一致,在进行同步口配置时,需要选择所有设备的相同接口作为同步口,比如这里的M2/GE2.
· 集群设备1,配置好系统集群管理中的集群同步设备及集群同步地址,点击下方“保存”,先不要点击“开启”。等其他设备均配置好同步接口IP后,切都接入同步交换机后,只需要在集群设备1上开启集群即可,集群设备1会将配置信息同步到集群所有设备上。
# 添加防护范围及回注方式
防护范围及回注方式,回注方式选择“默认”,回注参数留空。
图6-8 配置AFC防护范围
图6-9 配置AFC保护主机IP
创建1711,VLAN 1711对应171.0.1.0/24网段,作用为保证所有AFC集群设备通道输入口和输出口在相同的VLAN。
# 创建VLAN
[L3SW1]vlan 1711
[L3SW1]quit
# 配置VLAN IP
[L3SW1]interface Vlan-interface1711
[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0
[L3SW1-Vlan-interface1711]quit
# 创建端口聚合组
[L3SW1]int Bridge-Aggregation 8
[L3SW1-Bridge-Aggregation8]quit
# 将接口G1/0/10和G1/0/11加入到聚合组
[L3SW1]int GigabitEthernet 1/0/10
[L3SW1-GigabitEthernet1/0/10]port link-aggregation group 8
[L3SW1-GigabitEthernet1/0/10]quit
[L3SW1]int GigabitEthernet 1/0/11
[L3SW1-GigabitEthernet1/0/11]port link-aggregation group 8
[L3SW1-GigabitEthernet1/0/11]quit
# 配置聚合组VLAN信息
[L3SW1]int Bridge-Aggregation 8
[L3SW1-Bridge-Aggregation8]port access vlan 1711
[L3SW1-Bridge-Aggregation8]quit
# 在此查看接口配置
[L3SW1]int GigabitEthernet 1/0/10
[L3SW1-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[L3SW1-GigabitEthernet1/0/10]quit
[L3SW1]int GigabitEthernet 1/0/11
[L3SW1-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
# 查看聚合组状态,默认为二层静态聚合
[L3SW1]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
# 查看负载方式,默认为目的/源IP负载分担
[L3SW1]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
创建VLAN 1711, 作用为保证所有AFC集群设备设备的通道输入口和输出口在相同的VLAN。
# 创建VLAN
[L2SW1]vlan 1711
# 将交换机连接主机的接口加入VLAN
[L2SW1]interface GigabitEthernet1/0/13
# 连接被保护主机
[L2SW1-GigabitEthernet1/0/13]port link-mode bridge
[L2SW1-GigabitEthernet1/0/13]port access vlan 1711
[L2SW1-GigabitEthernet1/0/13]quit
# 聚合组配置
[L2SW1]interface Bridge-Aggregation 8
[L2SW1- Bridge-Aggregation 8]port access vlan 1711
# 将接口G1/0/10和G1/0/11加入到聚合组
[L2SW1]int GigabitEthernet 1/0/10
[L2SW1-GigabitEthernet1/0/10]port link-aggregation group 8
[L2SW1-GigabitEthernet1/0/10]quit
[L2SW1]int GigabitEthernet 1/0/11
[L2SW1-GigabitEthernet1/0/11]port link-aggregation group 8
[L2SW1-GigabitEthernet1/0/11]quit
# 配置聚合组VLAN信息
[L2SW1]int Bridge-Aggregation 8
[L2SW1-Bridge-Aggregation8]port access vlan 1711
[L2SW1-Bridge-Aggregation8]quit
# 在此查看接口配置
[L2SW1]int GigabitEthernet 1/0/10
[L2SW1-GigabitEthernet1/0/10]dis this
#
interface GigabitEthernet1/0/10
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
[L2SW1-GigabitEthernet1/0/10]quit
[L2SW1]int GigabitEthernet 1/0/11
[L2SW1-GigabitEthernet1/0/11]dis this
#
interface GigabitEthernet1/0/11
port link-mode bridge
port access vlan 1711
port link-aggregation group 8
#
return
# 聚合状态查看
[L2SW1]display link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregation Interface: Bridge-Aggregation8
Aggregation Mode: Static
Loadsharing Type: Shar
Port Status Oper-Key
--------------------------------------------------------------------------------
GE1/0/10 S 1
GE1/0/11 S 1
# 聚合负载方式查看
[L2SW1]display link-aggregation load-sharing mode interface
Bridge-Aggregation8 Load-Sharing Mode:
Layer 2 traffic: ingress-port, destination-mac address,
source-mac address
Layer 3 traffic: destination-ip address, source-ip address
如果上下层交换机必须支持端口聚合。
(1) 验证集群状态是否成功
查看所有集群设备的集群同步口功能是否变为“同步设备”,以集群设备2为例,如下图
图6-10 集群设备2的M2/GE1状态
在所有集群设备上查看系统日志,可以看到关于激活集群配置的成功提示
图6-11 集群同步同步日志
(2) 验证客户端与服务端通信是否经过【AFC】
在客户端ping保护主机,查看【AFC】上主机状态,有ICMP报文过来。
图6-12 客户端ping服务器
在【AFC】上抓取客户端到服务器的ping包。
抓包分析,在【AFC】通道的输入口M2/GE0即eth12,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图6-13 在AFC上抓包,查看输入口报文
抓包分析,在【AFC】通道的输出口M2/GE1即eth13,可以看到客户端184.0.0.75到服务器171.0.1.21的echo包。
图6-14 在AFC上抓包,查看输出口报文
对于多通道设备,主机流量经过那个通道由上层设备负载方式来决定,此实例为客户端到服务器的Ping数据包经过集群设备1的通道1。
(0)
双机集群是双主模式对吧
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
双机集群是双主模式对吧