H3C SecPath ACG1000係列應用控製網關 Web配置指導(R6612 E6453)-6W106

54-HA

1 HA

1.1 概述

1.1.1 HA簡介

HA是High Availability的縮寫，即高可用性，可防止網絡中由於單個網關產品的設備故障或鏈路故障導致網絡中斷，保證網絡服務的連續性和安全強度。

隨著網絡的快速普及和應用的日益深入，各種增值業務（如 IPTV、視頻會議等）得到了廣泛部署，網絡中斷可能影響大量業務、造成重大損失。因此，作為業務承載主體的基礎網絡，其可靠性日益成為受關注的焦點。

在實際網絡中，總避免不了各種非技術因素造成的網絡故障和服務中斷。因此，提高係統容錯能力、提高故障恢複速度、降低故障對業務的影響，是提高係統可靠性的有效途徑。

本產品通過雙機熱備來實現HA。

進行HA的兩台設備，要求為同一個硬件型號，並且選擇同樣的接口作為HA接口。這兩台設備之間通過HA接口直連，HA接口可以是任何以太網接口，也可以是AGG接口（聚合接口）。

1.1.2 HA組網模式

目前產品支持兩台網關設備以主-備或主主模式運行。

主備模式是指實現HA的兩台設備中，一台作為主設備，另外一台作為備設備。主設備在進行業務的同時，將相關的配置和數據信息實時同步到備設備。當主設備出現故障或主設備的鏈路中斷時，備用設備成為主設備，接管原主設備的工作，實現網絡業務的無縫切換。如圖1-1所示。

圖1-1 主備模式

在主備模式下，主設備響應各類報文請求，並且轉發網絡流量；備用設備不響應報文請求，也不轉發網絡流量。主備設備之間通過HA心跳線同步狀態信息，配置信息以及特征庫文件。

在主主模式下，兩台設備都配置成主動，使兩台設備同時運行各自的工作，且相互監測對方的情況。當其中一台設備發生故障時，另外一台設備運行其自身的工作並且接管故障設備的工作，以保證整體業務不間斷。兼具故障備份和負載均衡。如圖1-2所示。

圖1-2 主主模式

主備模式和主主模式均支持路由模式和透明模式。

· 路由模式：設備接口配置IP地址，通過路由轉發數據，上下遊設備的接口IP地址處於不用網段。

· 透明模式：設備接口配置加入橋中，隻有橋接口配置IP地址，通過橋轉發數據，上下遊設備的接口IP地址處於同一網段，不知道設備的存在。

HA的主主模式的路由部署方式中——HA設備的上下行可以在不同的網段。但是由於一台出現故障，另一台需要代理故障設備的流量發送免費ARP更新上下遊的ARP表項。所以需要HA設備的上下聯接口網段和與之相連的其它設備網絡相同。

1.1.3 HA工作狀態

HA主備模式的工作狀態主要有兩種，主模式和備模式。

· 主模式是指在設備HA主備模式中，實際參與工作。

· 備模式是指設備是指在HA主備模式中，作為主設備備份，不參與實際工作。隻有當主設備失效，才轉換為主設備，接替其工作。

HA主主的工作狀態有三種：Master模式、Master（N）模式、Master（A）模式。

· Master模式：兩台設備都處於流量轉發狀態。

· Master（N）模式：本端設備出現故障。

· Master（A）模式：本端設備代理故障設備和自己原來的所有流量。

1.1.4 接口概念

HA中，主要有兩種接口概念。

· HA接口：連接兩台HA設備的接口，不參與報文的轉發，隻用於HA設備直接心跳報文和同步報文發送。

· 監控接口：HA必須重點關注的設備接口，如果此接口狀態為down，表明網絡狀態發生故障，需要切換主備設備來修複故障。

1.1.5 搶占模式

· 非搶占方式：如果備份組中的設備工作在非搶占方式下，則隻要主設備沒有出現故障，備設備不會主動成為主設備。

· 搶占模式：搶占模式時指用戶可以根據需要，指定某一台設備優選為主設備或者為備設備。如果配置優選為主設備的設備工作正常，即使當前設備為備狀態，也要“搶占”成主設備。

· HA的兩台設備在主備模式下：搶占模式必須匹配，或者全部配置成非搶占模式，或者一個配置成搶占為主，一個配置成搶占為備，否則HA無法正確協商。

· HA的主主模式兩台設備沒有搶占的概念。

1.1.6 搶占延時定時器

在HA主備模式下：為了避免HA設備頻繁進行主備狀態轉換，備設備在網絡狀態恢複為正常狀態後，也不會馬上搶占為主，而是在流表等信息同步完成後，等待一定時間。隻有在這段時間內，設備依然正常，才會通知備設備，搶占成主。

在HA主主模式下，沒有搶占的概念。

1.1.7 心跳報文

HA設備之間用來相互通告設備的HA配置和HA狀態的報文。如果一個設備在規定時間沒有收到鄰居心跳報文，可以認定HA鄰居已經失效。

1.1.8 HA管理地址

處於備狀態的HA設備不會參與網絡轉發，因此無法通過其接口配置的IP地址訪問。為了解決這一問題，可以在設備上配置管理地址，用作備設備的網絡管理。用戶可以從外部訪問備設備的telnet服務和web管理界麵。

在HA主備和主主模式下，建議兩台設備都配置管理地址。目的是防止當其中一台設備故障不轉發數據的情況下，依然可以通過管理地址進行管理。

1.1.9 HA狀態同步

HA作為熱備份，為了在狀態切換的過程中，盡量減小對網絡的影響。HA會將主設備上的一些實時的狀態同步給備設備。同步的內容主要包括三種：session信息、設備配置、特征庫。

· Session信息：包括設備連接表、FBD、用戶信息、PKI。

· 設備配置：同步的設備配置中不包含HA配置信息，以及一些特殊的配置。

· 特征庫：特征庫包括APP特征庫以及URL特征庫。

HA主主模式下，同步內容有2種：運行狀態同步、監控接口地址同步。

· Session信息：包括設備連接表、FBD、用戶信息、PKI。

· 監控接口地址同步：當其中一台HA主主設備發生故障，那麼另一台會代理這台故障設備的IP地址。

1.1.10 HA狀態切換

· 當設備啟用HA主備模式後，設備進入init（初始化狀態）。在這個狀態，設備不參與報文轉發，隻接受對端HA設備的keepalive報文。如果收到了主設備發出的keepalive報文，設備會進入備狀態。如果沒有收到keepalive報文，設備會進入主狀態。

· 如果設備成為主狀態後，會向外發送免費arp報文，用來更新上下遊設備的arp表（工作在路由模式），或者向外發送特殊的報文刷新上下遊交換機的FBD信息（工作在橋模式）。

· 如果設備成為備設備，設備會清除自己的FBD表（如果工作在橋模式），並且向主設備請求狀態信息。

· HA主主的兩台設備，默認都是Master的狀態，兩台設備同時在轉發流量。

· HA主主的兩台設備，其中一台發生故障，故障設備的狀態機會變成Master（N），不再轉發數據；另外一台設備的狀態機變成Master（A），開始代理這台設備的全部流量。

· 如果設備工作在橋模式，為了防止形成環路，在剛剛成為主設備的一秒內，橋不轉發報文。

· 如果設備工作在橋模式，在成為備設備後，設備會將加入橋的接口關閉打開一次，用來刷新上下遊交換機的FBD表。

· 設備剛變成備狀態，會從主設備獲取配置信息，但是不會立刻加載。如果主備設備的信息不一致。需要重啟備設備。

1.2 配置HA

1.2.1 配置概述

HA配置的推薦步驟如表1-1所示。

表1-1 HA配置的推薦步驟

配置任務	說明	詳細配置
HA全局配置	必選	· 1.2.2
HA狀態查看和維護	可選	· 1.2.3
配置管理地址	可選	· 1.2.4

1.2.2 HA全局配置

在導航欄中選擇“係統管理 > 係統設定 > 高可用性 > HA全局配置”，進入HA的配置頁麵，如圖1-3所示。

圖1-3 HA全局配置頁麵

頁麵的詳細說明如表1-2。

表1-2 HA全局配置的詳細說明

項目	說明
工作模式	HA的工作模式，有不啟用、主備模式、主主模式三個選項。
配置同步	是否啟用HA配置同步。
運行狀態同步	是否配置HA運行狀態同步。
庫同步	是否配置HA庫同步。
搶占模式	是否配置HA搶占模式。
模式	HA的搶占模式，有主和備兩個選項。
延時時間	HA搶占延時時間。
HA通訊接口	HA 的通訊接口，隻能選擇物理接口和聚合接口。
被監控接口	HA監控的接口。
地址探測	選擇引用地址探測對象。地址探測出接口需配置管理IP且到探測IP可達，非共享網絡地址探測不建議配置地址探測。

選中左邊的接口列表中的接口，點擊<添加>按鈕，可以將選中接口配置成到監控接口。

選中右邊的監控接口列表中的接口，點擊<刪除>按鈕，可以將選中接口從監控接口列表中刪除。

輸入完畢後，點擊<提交>按鈕，應用配置。

· HA主備模式下，如果開啟地址探測，地址探測出接口需配置管理IP且到探測IP可達。主機使用接口主地址發包進行探測，備機是使用HA接口管理地址發包進行探測，因此，備機上需要配置HA接口管理地址，否則備機無法探測成功，主備無法進行切換。當主備切換後，原來的主機切換為新的備機，同理，原來的主機也需要配置HA接口管理地址，否則新的備機無法進行地址探測。

· HA主主模式下，如果開啟地址探測，探測接口需要配置管理IP，在主狀態下地址探測是用主地址發包，但是發生狀態切換變成master(N)狀態後，地址探測就會用管理地址發包了。

· 開啟地址探測功能後，在配置源NAT時，要將管理IP的地址排除，避免管理地址過出接口時做源NAT導致探測報文發不出去，因為在HA 備狀態下，備機是使用HA接口管理地址發包進行探測，探測報文源地址為管理IP時才會發送，否則探測報文無法發送，如果不將管理IP的地址排除，源NAT會改變探測報文源地址，導致探測報文發不出去。

1.2.3 HA狀態顯示和維護

在導航欄中選擇“係統管理 > 係統設定 > 高可用性 > HA全局配置”，點擊頁麵上方的“HA監控”標簽，進入HA監控頁麵，如圖1-4所示。

圖1-4 HA監控頁麵

頁麵的詳細說明如表1-3。

表1-3 HA監控的詳細說明

項目	說明
設備名稱	本地設備和HA鄰居設備的設備名稱。
主備狀態	本地設備和HA鄰居設備的HA狀態。
係統配置	本地設備和HA鄰居設備的配置是否同步。
IPS庫	本地設備和HA鄰居設備的IPS特征庫是否同步。
AV庫	本地設備和HA鄰居設備的AV特征庫是否同步。
APP庫	本地設備和HA鄰居設備的APP特征庫是否同步。

點擊<同步配置>按鈕，可以將主設備的配置同步給備設備，並且重啟備設備。

點擊<主備切換>按鈕，可以手動切換主備設備的HA狀態。

· 如果係統配置已經相同，無需再次同步，<同步配置>按鈕無法點擊。

· 如果配置了搶占模式，無法進行手動切換狀態，<主備切換>按鈕無法點擊。

1.2.4 配置管理地址

在導航欄中選擇“係統管理 > 係統設定 > 高可用性 > HA全局配置”，點擊頁麵上方的“HA接口管理地址”標簽，進入HA接口管理地址配置頁麵，如圖1-5所示。

圖1-5 HA接口管理地址頁麵

頁麵的詳細說明如表1-4。

表1-4 HA接口管理地址的詳細說明

項目	說明
接口名稱	配置管理地址接口名稱。
管理地址	接口配置的管理地址。
操作	對管理地址可進行的操作。

點擊<新建>按鈕，進入HA接口管理地址的新建頁麵，如圖1-6所示。

圖1-6 HA接口管理地址新建頁麵

頁麵的詳細說明如表1-5。

表1-5 HA接口管理地址的詳細說明

項目	說明
接口名稱	配置管理地址接口名稱，隻包含物理接口，橋接口和三層子接口。
管理地址	接口配置的管理地址，僅支持IPv4地址。

輸入完畢後，點擊<提交>按鈕，應用配置。

在HA接口管理地址顯示頁麵，可以點擊管理地址右邊的<刪除>按鈕，刪除對應的管理地址。

1.3 HA配置舉例

1.3.1 HA主備模式配置舉例

1. 組網需求

· 設備 A配置為主設備，設備 B配置成為備設備。

· 設備 A的ge2接口作為HA接口和設備 B的ge2接口相連。

· 設備A配置為搶占主模式，設備B配置成搶占備模式。

· 設備A和設備B的keepalive間隔設置為1秒，重試次數為3次。

· 設備A和設備B配置ge0和ge1為監控接口。

· 設備A和設備B配置自動同步session，配置特征庫。

2. 組網圖

圖1-7 HA主備模式組網圖

3. 配置思路

· 配置設備A為主設備，設備B為備設備。

· 設備A監控自己的ge0和ge1接口，當ge0或者ge1 down後，設備A切換成備狀態，設備B切換成主狀態。

· 設備B監控設備A的狀態，當B收不到A的心跳報文，認為設備A已經失效，設備B變成主狀態。

· 當設備A的狀態恢複正常後，設備A會搶回自己的主狀態。設備A變成主設備，設備B變成備設備。

4. 配置步驟

(1) 配置設備A的HA全局配置。

圖1-8 設備A的HA全局配置

(2) 在設備A的ge0接口配置管理地址1.1.1.100/24。

圖1-9 配置設備A的管理地址

(3) 配置設備B的HA全局配置。

圖1-10 設備B的HA全局配置

(4) 在設備B的ge0接口配置管理地址1.1.1.101/24。

圖1-11 配置設備B的管理地址

(5) 點擊設備A的HA監控頁麵的配置同步按鈕，同步配置。

圖1-12 設備A的HA監控頁麵

5. 驗證配置

(1) 通過管理地址1.1.1.100/24訪問設備A，查看HA監控頁麵。

圖1-13 設備A的HA監控頁麵顯示

(2) 通過管理地址1.1.1.101/24訪問設備B，查看HA監控頁麵。

圖1-14 設備B的HA監控頁麵顯示