本幫助主要介紹以下內容：

·     特性簡介

○     基本概念

○     運行模式

○     雙機熱備通道

○     業務表項備份

○     配置信息備份

○     配置信息一致性檢查

○     雙機熱備聯動VRRP

○     雙機熱備聯動路由

○     雙機熱備透明組網

·     使用限製和注意事項

·     配置指南

特性簡介

雙機熱備功能可以在通信線路或設備產生故障時提供備用方案，當其中一個網絡節點發生故障時，另一個網絡節點可以接替故障節點繼續工作，從而實現設備的雙機熱備（High Availability，高可靠性）部署。

雙機熱備通過RBM（Remote Backup Management，遠端備份管理）協議管理多個VRRP備份組狀態的切換或者調整動態路由協議的開銷值等，選舉出雙機熱備中每台設備的主備業務狀態。雙機熱備通過RBM協議備份設備間的關鍵配置信息和業務表項等，從而保證用戶業務數據的不間斷傳輸。需要兩台軟硬件環境完全相同的設備進行雙機熱備組網。

基本概念

雙機熱備技術包含的基本概念如下：

·     主、從管理設備：雙機熱備中的設備分為主、從兩種管理角色，用於控製設備之間關鍵配置信息的同步。配置信息隻能從“主管理設備”同步到“從管理設備”，並覆蓋從管理設備上的相關配置信息。

·     主、備業務設備：雙機熱備中包含主、備兩種設備，其中主設備對應VRRP備份組中的Master設備；備設備對應VRRP備份組中的Backup設備。主設備為業務提供支持，轉發業務流量，並向備設備實時備份業務表項信息；備設備除接收主設備的業務表項備份信息外，在主設備發生故障後，備設備會轉換成主設備，繼續轉發業務流量，保證業務不中斷。

·     VRRP active組和VRRP standby組：用於將雙機熱備與VRRP進行關聯，實現雙機熱備對多個VRRP備份組狀態進行統一管理的目的。

·     雙機熱備通道：兩台設備之間交互雙機熱備的運行狀態信息，關鍵配置信息和業務表信息的傳輸通道。

·     雙機熱備運行模式：支持主備和雙主兩種運行模式。主備模式下，僅由主設備處理業務，備設備處於空閑狀態，實時待命；雙主模式下，兩台設備同時處理業務，充分利用設備資源，提高係統負載分擔能力。

·     雙機熱備報文：雙機熱備使用TCP作為其傳輸層協議，TCP連接建立後，主管理設備和從管理設備通過雙機熱備通道交互雙機熱備報文。

運行模式

雙機熱備支持主備和雙主兩種運行模式，具體介紹如下。

主備模式

如圖-1所示，主備模式下，正常情況僅由主設備處理業務，備設備處於待命狀態；當主設備接口、鏈路或整機故障時，備設備立即切換為主設備，接替原主設備處理業務。

圖-1 主備模式的雙機熱備示意圖

雙主模式

如圖-2所示，雙主模式下，兩台設備同時處理業務，充分利用設備資源，提高係統負載能力，此模式通過互為主備方法實現。並且當其中一台設備發生故障時，另外一台設備會立即承擔其業務，保證業務不中斷。

圖-2 雙主模式的雙機熱備示意圖

雙機熱備通道

通道簡介

雙機熱備通道用於兩台設備之間交互雙機熱備的運行狀態、關鍵配置和業務表項等信息，包括以下兩種類型的通道：

·     控製通道：用來同步設備之間的所有數據，包括雙機熱備的運行狀態報文、一致性檢查報文、業務表項的熱備報文、數據透傳報文和同步配置信息的報文等。

·     數據通道：僅用於傳輸設備之間的熱備報文和透傳報文，不用於傳輸雙機熱備的其他報文。數據通道直接使用底層驅動進行數據傳輸，因此僅支持二層轉發。

控製通道的建立和保活

控製通道基於TCP協議來監測鏈路的連通性。其使用TCP方式進行創建，在創建過程中，使用IP地址較大的設備作為Server建立TCP監聽，而IP地址較小的設備作為Client向對端設備發起建立TCP連接請求。

控製通道建立後，設備會周期性向對端設備發送Keepalive報文，如果達到最大發送次數後仍然沒有收到對端的回應，則雙機熱備通道斷開，雙機熱備失效。

業務表項備份

功能簡介

雙機熱備可以將主設備上生成的業務表項信息實時備份到備設備，避免了主備設備切換時因備設備上缺失業務表項而造成的業務中斷問題。

需要對報文進行狀態檢測的設備（如防火牆等），對於每個動態生成的連接，都有一個會話表項與之對應。主設備在處理業務的過程中創建了很多會話表項；而備設備沒有報文經過，因此也就沒有創建會話表項。通過雙機熱備的業務表項實時備份功能，主設備會將會話表項備份到備設備，當主備切換後，已有連接的後續業務報文就可以通過匹配備份來的會話表項而保持業務不中斷。

支持備份的表項

目前雙機熱備支持熱備的業務表項包括：會話表項、會話關聯表項、NAT端口塊表項、AFT端口塊表項和各個安全業務模塊自身生成的業務表項。

此處僅是列出雙機熱備所支持熱備份表項的所有業務模塊，但是不同產品對這些表項的支持情況不同，請以設備對相關功能的實際支持情況為準。

配置信息備份

功能簡介

雙機熱備可以將主管理設備上的關鍵配置信息備份到從管理設備，避免了主備設備切換時因對端設備缺失對應的配置信息而造成的業務中斷問題。

為了保證備設備可以平滑地接替主設備的工作，雙機熱備必須能夠將主設備的相關配置信息備份到備設備。尤其在雙主組網環境中，兩台設備都是主設備。如果允許兩台主設備之間能夠相互備份配置信息，那麼就會造成兩台設備上配置信息相互覆蓋或衝突的問題。所以為了方便管理員對兩台設備的配置信息進行統一管理，又能避免配置信息的混亂，我們引入了主管理設備和從管理設備的概念。主從管理設備角色隻能靜態配置，不能動態選舉。

配置信息隻能從“主管理設備”同步到“從管理設備”，並覆蓋從管理設備上的相關配置，保證主從管理設備的配置信息一致。因此建議僅在主管理設備上配置相關功能，不建議在從管理設備上進行配置。

備份方式

雙機熱備支持自動和手動兩種方式進行配置信息備份。

支持配置信息備份的模塊

目前雙機熱備支持配置信息同步的業務模塊如下：

·     資源類：VPN實例、ACL、對象組、時間段、安全域、會話管理、APR、AAA。

·     DPI相關模塊：應用層檢測引擎、IPS、URL過濾、數據過濾、文件過濾、防病毒、數據分析中心、WAF。

·     策略類：對象策略、安全策略、ASPF、攻擊檢測與防範、連接數限製、NAT、AFT、負載均衡、帶寬管理、應用審計與管理、共享上網管理、代理策略。

·     日誌類：快速日誌輸出、Flow日誌。

·     VPN類：SSL VPN。

·     其他類：VLAN、信息中心。

此處僅是列出雙機熱備支持配置信息同步的所有業務模塊，但是不同產品對這些業務模塊的支持情況不同，請以設備實際情況為準。

配置信息一致性檢查

雙機熱備通過交互一致性檢查報文來檢測兩台設備的配置信息是否一致，用於防止由於兩台設備配置信息不一致，而導致主備切換後業務不通的情況。當配置信息不一致時，設備會發送日誌信息，以提示管理員進行配置信息的手動同步。

雙機熱備聯動VRRP

功能簡介

在雙機熱備與VRRP聯動的組網環境中，雙機熱備將會控製設備在多個VRRP備份組中Master和Backup狀態的統一切換。此功能可以使設備的上下行流量同時切換到新的主設備，保證業務不中斷。

此處以主備模式為例，介紹雙機熱備與VRRP的聯動組網情況，具體如下。

·     如圖-3的左圖所示，在僅有VRRP的組網環境中，當VRRP鏈路故障時會導致上、下行VRRP備份組中的Master設備不是同一台設備，造成流量中斷。

·     如圖-3的右圖所示，將雙機熱備和VRRP關聯後可以解決以上問題。雙機熱備控製通道建立後，VRRP備份組內的設備狀態將由雙機熱備決定，VRRP自身的主備選擇機製不再生效。當雙機熱備的控製通道斷開後，VRRP自身的主備選擇機製將會重新生效。

圖-3 雙機熱備聯動VRRP示意圖

VRRP active/standby組

VRRP active組和VRRP standby組：用於將雙機熱備與VRRP進行關聯，實現雙機熱備對多個VRRP備份組狀態進行統一管理的目的。

VRRP active/standby組分別有兩種狀態：Master和Backup。VRRP成員設備在VRRP備份組中的狀態與所屬VRRP active/standby組的狀態保持一致。例如，VRRP active備份組的狀態是Master，則該組中所有設備在VRRP備份組中的狀態均為Master。

VRRP active/standby組初始狀態的實現機製如下：

·     主備模式下：主管理設備上VRRP active組和VRRP standby組的初始狀態均為Master；從管理設備上VRRP active組和VRRP standby組的初始狀態均為Backup。

·     雙主模式下：此種模式下VRRP active/standby組的狀態與主從管理設備角色無關，VRRP active組的初始狀態為Master；VRRP standby組的初始狀態均為Backup。

雙機熱備聯動VRRP組網中Master設備的選舉機製

如圖-3的右圖所示，將雙機熱備與VRRP關聯成功後，VRRP備份組中Master/Backup狀態的變化機製如下：

1.     正常情況下，Device A（假設其是主管理設備）上VRRP active組的狀態是Master，所以Device A在VRRP備份組1和VRRP備份組2中的狀態是Master設備。Device B（假設其是從管理設備）上VRRP standby組的狀態是Backup，所以Device B在VRRP備份組1和VRRP備份組2中的狀態是Backup。

2.     當Device A的下行接口Interface A2故障後，雙機熱備會收到接口故障事件。然後雙機熱備發送VRRP active/standby組狀態信息變更報文給Device B，通知Device B將其VRRP standby組的狀態變更為Master。

3.     Device B收到VRRP active/standby組狀態信息變更報文後，會將自身VRRP standby組的狀態變更為Master，同時將Device B在VRRP備份組1和VRRP備份組2中的狀態變為Master。變更完成後給Device A發送應答報文。

4.     Device A收到Device B的VRRP standby組狀態變更成功應答報文後，將自己VRRP active組的狀態變更為Backup，同時將Device A在VRRP備份組1和VRRP備份組2中的狀態變更為Backup。

當Device A的下行接口Interface A2故障恢複後，流量會進行回切，VRRP備份組中Master/Backup狀態的變化與接口故障時的變化過程類似，不再重複介紹。

VRRP中的ARP學習

當VRRP備份組中的設備接收到虛擬IP地址的ARP請求報文後，隻能由Master設備使用VRRP備份組的虛擬MAC地址響應此ARP請求，與此同時ARP報文傳輸路徑上的二層設備也就學習到了此虛擬MAC地址的MAC地址表項。

雙機熱備聯動路由

功能簡介

在雙機熱備與動態路由聯動的組網環境中，雙機熱備將會調整備設備上動態路由協議對外通告的鏈路開銷值。這樣可以保證主備切換時使設備的上下行流量同時切換到新的主設備，保證業務不中斷。

此組網環境中雙機熱備必須關聯Track項，否則，上下行鏈路或者接口故障雙機熱備不能進行主備切換。

此處以雙機熱備聯動OSPF為例，介紹雙機熱備與動態路由的聯動情況，具體如下。

·     如圖-4左圖所示，正常情況下，Device A（主設備）按照OSPF的配置正常通告鏈路開銷值（如1），而Device B（備設備）通告的鏈路開銷值是被雙機熱備調整後的值（如65500）。這樣可以使內外網之間的流量走Device A轉發。

·     如圖-4右圖所示，當Device A的下行接口Interface A2故障後，Device A和Device B將進行主備切換。之後，Device B（主設備）按照OSPF的配置正常通告鏈路開銷值（如1），而Device A（備設備）通告的鏈路開銷值是被雙機熱備調整後的值（如65500）。這樣可以使內外網之間的流量走Device B轉發。

圖-4 雙機熱備聯動路由示意圖

運行機製

雙機熱備調整備設備上動態路由協議開銷值有如下兩種方式：

·     絕對值方式：設備將使用配置的絕對值對外通告。

·     增量值方式：設備將在原有開銷值上增加配置的增量值後對外通告。

此功能僅調整備設備上動態路由協議對外通告的開銷值，對主設備沒有影響。

需要在主備設備上同時開啟此功能，並設置相同的參數。

雙機熱備透明組網

在雙機熱備透明組網環境中，可通過雙機熱備的監控接口或監控VLAN功能將上下行接口的狀態進行聯動。當其中一個接口故障後，另一個接口也會失去報文轉發能力，從而使設備的上下行流量同時切換到新的主設備，保證業務不中斷。

雙機熱備的監控接口或監控VLAN功能可以保證所監控對象之間的狀態相互聯動、保持一致，使其同時具備或同時不具備報文轉發能力。

此處以雙機熱備監控VLAN功能為例，介紹雙機熱備透明組網的情況，具體如下。

·     如圖-5左圖所示，正常情況下，Device A（主設備）上雙機熱備將監控的VLAN10設置為Active狀態，Device B（備設備）上雙機熱備將監控的VLAN10設置為Inactive狀態。這樣可以使內外網之間的流量走Device A轉發。

·     如圖-5右圖所示，當Device A的下行接口Port A2故障後，Device A和Device B將進行主備切換。之後，Device B（主設備）上雙機熱備將監控的VLAN10設置為Active狀態，而Device A（備設備）上雙機熱備將監控的VLAN10設置為Inactive狀態。這樣可以使內外網之間的流量走Device B轉發。

圖-5 雙機熱備透明組網示意圖

使用限製和注意事項

·     雙機熱備僅支持與VRRP的標準模式配合使用，不支持與VRRP的負載均衡模式配合使用。

·     監控VLAN與監控接口兩個功能互斥，不可同時配置；監控VLAN與聯動Track項目兩個功能互斥，不可同時配置；監控接口與聯動Track項目兩個功能可以同時配置，但是兩者監控的接口不能相同。

配置指南

配置準備

在雙機熱備功能之前，請先保證主/備設備的硬件環境和軟件環境的一致性，具體要求如下：

·     主/備設備的型號必須一致

·     主/備設備的軟件版本必須一致。

·     主/備設備的接口編號必須一致。

·     主/備設備之間建立控製通道的接口必須一致。

·     主/備設備之間建立數據通道的接口必須一致。

·     主/備設備對應位置的接口必須加入到相同的安全域。

配置思路

雙機熱備功能的配置思路如下圖所示：

圖-6 雙機熱備配置思路圖

‌

配置雙機熱備

雙機熱備的具體配置步驟如下：

1.     選擇“係統 > 高可靠性 > 雙機熱備”。

2.     在“雙機熱備”頁麵單擊<配置>按鈕，進入“配置雙機熱備”頁麵，配置雙機熱備，具體配置內容如下表所示：

表-1 雙機熱備配置參數表

3.     在“配置雙機熱備”頁麵中配置雙機熱備聯動Track項，具體配置內容如下表所示：

表-2 雙機熱備聯動Track項配置參數表

4.     在“配置雙機熱備”頁麵，單擊<確定>按鈕完成雙機熱備的配置。

5.     在“雙機熱備”頁麵，單擊<手工一致性檢查>按鈕或<手工同步配置信息>按鈕，可以進行手工檢查配置信息的一致性和同步配置信息。

表-3 手工檢查配置信息的一致性和同步配置信息

6.     在“雙機熱備”頁麵，單擊<狀態切換>按鈕，可以手工進行主備業務狀態切換。

表-4 手工進行主備業務狀態切換

配置雙機熱備聯動VRRP

請在VRRP中將VRRP與高可靠性關聯，具體配置步驟，請參見“VRRP聯機幫助”。

配置雙機熱備聯動路由

雙機熱備聯動路由的具體配置步驟如下：

1.     選擇“係統 > 高可靠性 > 雙機熱備”。

2.     在“雙機熱備”頁麵單擊<配置>按鈕，進入“配置雙機熱備”頁麵，配置雙機熱備的路由聯動功能，具體配置內容如下表所示：

表-5 雙機熱備聯動路由的配置參數表

3.     在“配置雙機熱備”頁麵，單擊<確定>按鈕完成雙機熱備的配置。

配置雙機熱備透明組網

雙機熱備透明組網的具體配置步驟如下：

1.     選擇“係統 > 高可靠性 > 雙機熱備”。

2.     在“雙機熱備”頁麵單擊<配置>按鈕，進入“配置雙機熱備”頁麵，配置雙機熱備透明組網的相關配置，具體配置內容如下表所示：

表-6 雙機熱備透明組網的配置參數表

3.     在“配置雙機熱備”頁麵，單擊<確定>按鈕完成雙機熱備透明組網的配置。