- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-雙機熱備(RBM)配置
本章節下載: 01-雙機熱備(RBM)配置 (1.44 MB)
目 錄
1.14.2 配置HA禁止備設備上的接口收發動態路由協議報文功能
1.23.7 HA聯動VRRP主備模式中接口NAT功能典型配置舉例
1.23.8 HA聯動VRRP雙主模式中接口NAT功能典型配置舉例
1.23.9 HA聯動VRRP主備模式中全局NAT功能典型配置舉例
1.23.10 HA聯動VRRP雙主模式中全局NAT功能典型配置舉例
雙機熱備(RBM)是一種通過我司私有的RBM(Remote Backup Management,遠端備份管理)協議,實現設備級的高可靠性(High Availability,簡稱HA)的技術。此技術能夠在通信線路或設備產生故障時提供備用方案,當其中一個網絡節點發生故障時,另一個網絡節點可以接替故障節點繼續工作。
下文中使用的HA概念無特殊說明的情況下均指雙機熱備(RBM)技術。
HA通過RBM協議管理多個VRRP備份組狀態的統一切換或者調整動態路由協議的開銷值等,選舉出HA中每台設備的主備狀態,及其主備狀態的動態切換。HA通過RBM協議備份設備間的關鍵配置信息和業務表項等,從而保證用戶業務數據的不間斷傳輸。需要兩台軟硬件環境完全相同的設備進行HA組網。
隨著互聯網以及各行各業數字化轉型的蓬勃發展,網絡承載的業務越來越多,越來越重要。如何保證網絡的可靠性、業務的不間斷傳輸成為網絡建設中必須要解決的問題。
如圖1-1中的左圖所示,Device部署在網絡的出口,內、外網之間的業務均會通過Device處理和轉發。如果Device出現故障,便會導致內、外網之間的業務全部中斷。由此可見,在這種網絡關鍵位置上如果隻使用一台設備的情況下,無論其可靠性多高,都會存在因設備單點故障而導致網絡中斷的風險。
因此,通常會在網絡的關鍵位置部署兩台設備,以提升網絡的可靠性。如圖1-1中的右圖所示,當Device A出現故障時,流量會通過Device B轉發,保證內、外網之間業務不間斷運行。
圖1-1 HA部署提升網絡可靠性示意圖
對於傳統的網絡設備(如交換機、路由器),隻需要做好二層網絡的冗餘和路由表項的備份就可以保證業務的不間斷傳輸。但是,對於需要對報文進行狀態檢測和策略處理的設備(如防火牆、入侵防禦、網頁防火牆、上網行為審計等),它會對一條流量的首包進行合法性檢測,並建立會話來記錄報文的狀態信息(包括報文的源IP、源端口、目的IP、目的端口、協議等)。而這條流量的後續報文隻有匹配會話才會在此類設備上進行處理並完成報文轉發,如果後續報文不能匹配到會話則會被丟棄。所以當此類設備進行HA部署時還需要保證兩台設備之間的業務表項信息和關鍵配置信息的一致性,隻有如此才能保證業務的不間斷傳輸。
HA功能可以解決以上問題。如圖1-1中的右圖所示,HA功能提供一條專用備份通道,用於兩台Device之間進行會話等狀態信息和配置信息的備份。
HA技術包含的基本概念如下:
· 主、從管理設備:在控製層麵HA中的設備分為主、從兩種管理角色(也可以稱作主、從管理狀態),用於控製設備之間關鍵配置信息的同步。係統會在命令行提示符前增加前綴信息,以便標識設備的主、從管理角色。RBM_P前綴信息表示主管理角色,如RBM_P<Sysname>;RBM_S前綴信息表示從管理角色,如RBM_S<Sysname>。
· 主、備設備:在數據層麵HA中包含主、備兩種業務角色(也可以稱作主、備業務狀態)。主設備處理業務,並向備設備實時備份業務表項信息;備設備除接收主設備的業務表項備份信息外,在主設備發生故障後,備設備會轉換成主設備,繼續處理業務流量,保證業務不中斷。
· HA通道:用於兩台設備之間交互HA的運行狀態信息,關鍵配置信息和業務表信息。
· HA工作模式:支持主備和雙主兩種工作模式。主備模式下,僅由主設備處理業務,備設備處於待命狀態;雙主模式下,兩台設備同時處理業務,充分利用設備資源,提高係統負載分擔能力。
· HA報文:HA報文使用RBM協議承載兩台設備之間需要交互的信息。其使用TCP作為傳輸層協議,TCP連接建立後,主管理設備和從管理設備通過HA通道交互HA報文。
HA支持主備和雙主兩種工作模式,具體介紹如下。
如圖1-2所示,主備模式下,正常情況僅由主設備處理業務,備設備處於待命狀態;當主設備接口、鏈路或整機故障時,備設備立即切換為主設備,接替原主設備處理業務。
圖1-2 主備模式的HA示意圖
如圖1-3所示,雙主模式下,兩台設備同時處理業務,充分利用設備資源,提高係統負載能力,此模式通過互為主備方法實現。並且當其中一台設備發生故障時,另外一台設備會立即承擔其業務,保證業務不中斷。
圖1-3 雙主模式的HA示意圖
HA報文包括如下:
· 心跳報文(Keepalive報文):兩台設備通過定期互相發送心跳報文來檢測對端設備是否存活。
· 控製報文:根據設備的運行狀態來控製設備的主備狀態切換。
· 配置信息和表項備份報文:用於兩台設備之間進行配置信息和業務表項的備份。
· 配置一致性檢查報文:用於檢測兩台設備的關鍵配置是否一致。
· 透傳報文:用於設備間非對稱路徑業務報文的透傳或複製。
HA通道用於兩台設備之間進行HA運行狀態、關鍵配置和業務表項等信息的傳輸,包括以下兩種類型的通道:
· 控製通道:可傳輸的報文類型包括HA的運行狀態報文、一致性檢查報文和同步配置信息的報文等。
· 數據通道:可傳輸的報文類型包括熱備報文和透傳報文。數據通道直接使用底層驅動進行數據傳輸,因此僅支持二層轉發。
控製通道基於TCP協議來監測鏈路的連通性。控製通道建立後,設備會周期性向對端設備發送Keepalive報文,如果達到最大發送次數後仍然沒有收到對端的回應,則HA通道斷開,HA失效。
HA能夠將主設備上生成的業務表項信息實時備份到備設備,避免了主備設備切換時因備設備上缺失業務表項而造成的業務中斷問題。
需要對報文進行狀態檢測的設備,對於每個動態生成的連接,都有一個會話表項與之對應。主設備在處理業務的過程中創建了很多會話表項;而備設備沒有報文經過,因此也就沒有創建會話表項。通過HA的業務表項實時備份功能,主設備會實時將會話表項備份到備設備,當主備切換後,已有連接的後續業務報文可以通過匹配備份來的會話表項來保持業務不中斷。
目前HA支持熱備的業務表項包括:NAT端口塊表項、AFT端口塊表項、會話表項、會話關聯表項和各個安全業務模塊自身生成的業務表項。
HA可以將主管理設備上的關鍵配置信息備份到從管理設備,避免了主備設備切換時因對端設備缺失對應的配置信息而造成的業務中斷問題。
HA中主從管理設備之間的關鍵配置信息備份原理分如下兩種:
· 兩台設備均正常運行情況下,配置信息隻能從“主管理設備”同步到“從管理設備”,並覆蓋從管理設備上對應的配置信息,因此建議僅在主管理設備上配置相關功能,不建議在從管理設備上進行配置。
· 兩台設備的任意一台重啟情況下,重啟後的設備向未重啟的設備獲取關鍵配置信息,並覆蓋本設備上對應的配置信息。
HA支持自動和手動兩種方式進行配置信息備份。
目前HA支持配置信息同步的業務模塊如下:
· 資源類:VPN實例、ACL(acl copy命令不支持同步)、對象組、時間段、安全域、會話管理、APR、AAA(local-user和local-guest等有關本地用戶和本地來賓用戶的命令不支持同步)。
· NQA:支持同步如下配置命令:
¡ 係統視圖下的nqa agent enable命令。
¡ NQA模板視圖下,除了destination ipv6、destination ip、next-hop ip、next-hop ipv6、proxy-url、source ip、source ipv6、source port、url命令外的其它命令。
· DPI相關模塊:應用層檢測引擎、IPS、URL過濾、數據過濾、文件過濾、防病毒、數據分析中心、WAF。
· 策略類:安全策略、ASPF、攻擊檢測與防範(blacklist ip命令不支持同步)、連接數限製、NAT、AFT、負載均衡、帶寬管理、應用審計與管理、共享上網管理、代理策略。
· 日誌類:快速日誌輸出(customlog host source命令不支持同步)、Flow日誌(userlog flow export source-ip命令不支持同步)。
· VPN類:SSL VPN。
· 其他類:VLAN。
HA通過交互一致性檢查報文來檢測兩台設備的配置信息是否一致,用於防止由於兩台設備配置信息不一致,而導致主備切換後業務不通的情況。當配置信息不一致時,設備會發送日誌信息,以提示管理員進行配置信息的手動同步。
HA配置信息一致性檢查的過程如下:
(1) 主管理設備發送一致性檢查請求報文給從管理設備,同時收集自身相關模塊配置信息的摘要。
(2) 從管理設備收到一致性檢查請求後,會收集自身相關模塊配置信息的摘要,然後封裝到一致性檢查報文返回給主管理設備。
(3) 主管理設備收到從管理設備返回的一致性檢查報文後,將自身配置信息的摘要與從管理設備配置信息的摘要進行對比,如果對比結果不一致,則主管理設備輸出日誌信息。
HA的主、從管理狀態由配置指定,不會動態切換;HA的主、備運行狀態由HA選舉決定,可動態切換。
如圖1-4所示,在HA控製通道未建立的情況下,控製層麵兩台設備都是主管理狀態,數據層麵兩台設備也都是主業務狀態,但是此時並不是正常的HA狀態,HA組建還未完成。
圖1-4 HA控製通道未建立的情況
如圖1-5所示,在HA控製通道建立成功且兩台設備均運行正常的情況下,控製層麵兩台設備的管理狀態由配置信息決定,且任何情況下都不會發生變動。數據層麵,在主備工作模式下,兩台設備的運行狀態與管理狀態保持一致,即主管理設備就是業務主,從管理設備就是業務備;在雙主工作模式下,兩台設備都是業務主。
圖1-5 HA控製通道建立成功且兩台設備均運行正常的情況,主備工作模式舉例
如圖1-6所示,當上下行業務鏈路故障時,隻會導致數據層麵的主、備業務狀態發生切換,使流量切換到正常設備上進行處理,這種情況不會導致控製層麵的主、從管理狀態發生切換。
如圖1-7所示,隻有主管理設備整機故障或重啟(相當於HA控製通道未建立的情況)才會導致控製層麵的主、從管理狀態和數據層麵的主、備業務狀態一起發生切換。從管理設備會臨時搶占為主管理狀態;當主管理設備故障恢複後(相當於HA控製通道建立的情況),從管理設備變為從管理狀態。
主備切換是指HA中的一台設備或其鏈路等發生故障,另一台設備接替故障設備處理業務。設備通過設定不同的觸發條件,對不同的故障事件進行監控,當故障發生時,能及時觸發主備切換,保證業務不中斷。
觸發主備切換的事件可分為RBM通道正常和RBM通道斷開兩種。
由於RBM通道斷開而觸發主備切換的事件主要有以下幾種:
· 兩台設備正常運行情況下,當控製通道斷開後會進行主備切換。這時兩台設備都變為主設備,進行業務處理,但是兩台設備不再是HA狀態,對後續的非對稱流量會有影響。
· 主設備整機故障,備設備升為主設備進行業務處理。
當RBM通道正常時,觸發主備切換的事件主要有以下幾種:
· 主設備上HA監控的接口故障(如track、track interface、track vlan等)。
主設備上HA監控的接口故障會觸發主備切換,當兩台設備上都存在故障的接口時,主備工作模式中,業務主就是主管理設備,業務備就是從管理設備;雙主工作模式中,兩台設備都將變為業務主。
· 主設備上關閉與備設備編號相同的非缺省Context。
主設備上關閉與備設備編號相同的非缺省Context會觸發業務主備競選。競選過程中當兩台設備上編號相同且處於active狀態的非缺省Context數量一樣時,主備工作模式中,業務主就是主管理設備,業務備就是從管理設備;雙主工作模式中,兩台設備都是業務主。當兩台設備上編號相同且處於active狀態的非缺省Context數量不一樣時,任何工作模式中,都是active狀態的非缺省Context數量多的一方競選為業務主,少的一方競選為業務備。
· 主設備的健康值變化。
主設備的健康值變化會觸發主備競選。競選過程中當兩台設備的健康值相同時,主備工作模式中,業務主就是主管理設備,業務備就是從管理設備;雙主工作模式中,兩台設備都是業務主。當兩台設備的健康值不一樣時,任何工作模式中,都是健康值小的一方競選為業務主,大的一方競選為業務備。
主設備切換備時,HA通過對其他模塊進行如下聯動,將流量引流到新的主設備:
· HA與VRRP聯動時,HA將故障設備上的VRRP備份組狀態都切為Backup狀態。
· HA與動態路由聯動時,HA將故障設備上的路由開銷值調大。
在HA與VRRP聯動的組網環境中,HA將會控製設備在多個VRRP備份組中Master和Backup狀態的統一切換。此功能可以使設備的上下行流量同時切換到新的主設備,保證業務不中斷。
此處以主備模式為例,介紹HA與VRRP的聯動組網情況,具體如下。
· 如圖1-8左圖所示,當VRRP鏈路故障時會導致上、下行VRRP備份組中的Master設備不在同一台設備,造成流量中斷。
· 如圖1-8右圖所示,將HA和VRRP關聯後可以解決以上問題。HA控製通道建立後,VRRP備份組內的設備狀態將由HA決定,VRRP自身的主備選擇機製不再生效。當HA的控製通道斷開後,VRRP自身的主備選擇機製將會重新生效。
圖1-8 HA聯動VRRP示意圖
VRRP active組和VRRP standby組:用於將HA與VRRP進行關聯,實現HA對多個VRRP備份組狀態進行統一管理的目的。
VRRP active/standby組分別有兩種狀態:Master狀態和Backup狀態。VRRP成員設備在VRRP備份組中的狀態與所屬VRRP active/standby組的狀態保持一致。例如,VRRP active備份組的狀態是Master,則該組中所有設備在VRRP備份組中的狀態均為Master。
VRRP active/standby組的初始狀態與HA的工作模式有關,具體如下:
· 主備模式下:主管理設備上VRRP active組和VRRP standby組的初始狀態均為Master;從管理設備上VRRP active組和VRRP standby組的初始狀態均為Backup。
· 雙主模式下:VRRP active/standby組的狀態與主從管理設備角色無關,VRRP active組的初始狀態為Master;VRRP standby組的初始狀態為Backup。
如圖1-8的右圖所示,將HA與VRRP關聯成功後,VRRP備份組中Master/Backup狀態的變化機製如下:
(1) 正常情況下,Device A(假設其是主管理設備)上VRRP active組的狀態是Master,所以Device A在VRRP備份組1和VRRP備份組2中的狀態是Master設備。Device B(假設其是從管理設備)上VRRP standby組的狀態是Backup,所以Device B在VRRP備份組1和VRRP備份組2中的狀態是Backup設備。
(2) 當Device A的下行接口Interface A2故障後,HA會收到接口故障事件。然後HA發送VRRP active/standby組狀態信息變更報文給Device B,通知Device B將其VRRP standby組的狀態變更為Master。
(3) Device B收到VRRP active/standby組狀態信息變更報文後,會將自身VRRP standby組的狀態變更為Master,同時將Device B在VRRP備份組1和VRRP備份組2中的狀態變為Master設備。變更完成後給Device A發送應答報文。
(4) Device A收到Device B的VRRP standby組狀態變更成功應答報文後,將自己VRRP active組的狀態變更為Backup,同時將Device A在VRRP備份組1和VRRP備份組2中的狀態變更為Backup。
當Device A的下行接口Interface A2故障恢複後,流量會進行回切,VRRP備份組中Master/Backup狀態的變化與接口故障時的變化過程類似,不再重複介紹。
當VRRP備份組中的設備接收到虛擬IP地址的ARP請求報文後,隻能由Master設備使用VRRP備份組的虛擬MAC地址響應此ARP請求,與此同時ARP報文傳輸路徑上的二層設備也就學習到了此虛擬MAC地址的MAC地址表項。
在HA與動態路由聯動的組網環境中,HA將會調整備設備上動態路由協議對外通告的鏈路開銷值。這樣即能保證主備切換時能使設備的上下行流量同時切換到新的主設備,保證業務不中斷。
此組網環境中HA必須關聯Track項,否則上下行鏈路或接口故障時,HA不能主備切換。
此處以HA與OSPF聯動的主備模式為例,介紹HA與動態路由的聯動情況,具體如下。
· 如圖1-9左圖所示,正常情況下,Device A(主設備)根據OSPF的配置正常通告鏈路開銷值(如1),而Device B(備設備)通告的鏈路開銷值是被HA調整後的值(如65500)。這樣可以使內外網之間的流量都走Device A轉發。
· 如圖1-9右圖所示,當Device A的下行接口Interface A2故障後,Device A和Device B將進行主備切換。之後,Device B(主設備)根據OSPF的配置正常通告鏈路開銷值(如1),而Device A(備設備)通告的鏈路開銷值是被HA調整後的值(如65500)。這樣可以使內外網之間的流量都切換到Device B轉發。
圖1-9 HA聯動路由示意圖
在HA透明組網環境中,可通過track vlan或track interface命令將上下行接口的狀態進行聯動。當其中一個接口故障後,另一個接口也會失去報文轉發能力,從而使設備的上下行流量同時切換到新的主設備,保證業務不中斷。
HA的track vlan或track interface功能可以保證所監控對象之間的狀態相互聯動並保持一致,使其同時具備或同時不具備報文轉發能力。
此處以HA的track vlan功能為例,介紹HA透明組網的情況,具體如下。
· 如圖1-10左圖所示,正常情況下,Device A(主設備)上HA將監控的VLAN10設置為Active狀態,Device B(備設備)上HA將監控的VLAN10設置為Inactive狀態。這樣可以使內外網之間的流量走Device A轉發。
· 如圖1-10右圖所示,當Device A的下行接口Port A2故障後,Device A和Device B將進行主備切換。之後,Device B(主設備)上HA將監控的VLAN10設置為Active狀態,而Device A(備設備)上HA將監控的VLAN10設置為Inactive狀態。這樣可以使內外網之間的流量走Device B轉發。
圖1-10 HA透明組網示意圖
僅支持兩台設備進行HA組網。
因為一台設備故障時另一台設備需要承擔兩台設備的流量,所以建議在正常情況下每台設備隻負載各自實際能力50%的流量。
對於HA支持配置信息同步的業務模塊隻需要在主管理設備上配置相關功能即可,對於不支持配置信息同步的模塊需要在HA的所有設備上均配置相關功能。有關HA具體支持哪些業務模塊的配置信息同步,請參見配置信息備份小節中的詳細介紹。
對於資源文件類型的相關功能或者文件(比如:公鑰信息、ISP地址庫文件、特征庫文件等),需要HA中的所有設備上均導入相同內容的文件。
對於需要進行License授權的特性或特征庫等,需要對主、備設備分別進行購買和激活License授權。
設備上承載業務流量的接口都必須加入安全域,否則接口間流量不能互通,並配置安全策略控製接口間報文的轉發。
HA不能與DHCP Client等自動獲取IP地址的特性結合使用,因為此種組網中業務接口的IP地址必須固定。
當業務接口工作在二層模式時,上、下行業務接口需要加入同一VLAN。
當使用track、track interface、track vlan命令監控聚合接口時,設備僅關注聚合接口的狀態,不關注聚合成員接口的狀態。當使用track、track interface、track vlan命令監控聚合成員接口時,設備僅關注聚合成員接口的狀態,不關注聚合接口的狀態。
針對一些設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
HA通道通過心跳線進行連接,心跳線可以直連,也可以通過交換機連接,但不可以跨三層通信。其中F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-V50、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK9180設備由於架構設計和其他設備有區別,在和中間交換機連接時,在RBM通道傳輸數據時會打上VLAN tag 2044的標簽,故需要在中間交換機與兩台設備連接的接口上配置port trunk permit vlan 2044命令。
有關HA控製通道和數據通道接口的其他相關限製和指導如下:
· 接口隻支持物理口和聚合口,不支持子接口及成員口。
· 當接口以獨占或共享方式分配給非缺省Context時,無法使用該接口作為HA通道接口,非缺省Context下的信息可以通過缺省Context的HA通道進行同步。
· HA的控製通道和數據通道建議使用同一個物理或邏輯通道,不建議分開。其接口的MTU值請使用缺省值,勿修改。
配置信息批量備份期間,不能進行主備倒換、插拔板卡或配置變更等任何操作,可通過display remote-backup-group status命令查看配置信息的批量備份狀態。
在非對稱流量的HA網絡環境中,建議使用session aging-time state fin命令將TCP協議FIN-WAIT狀態的會話老化時間設置為15秒左右。這樣在TCP鏈接斷開的過程中可以加快會話表項的老化速度,以減少此類會話表項對係統資源的占用。有關session aging-time state命令的詳細介紹,請參見“安全命令參考”中的“會話管理”。
不同HA組網對主備部署和雙主部署的支持情況不同,推薦配置和組網限製也不相同。因此,部署HA前,請先了解如下組網相關的限製和指導。
此組網環境中,主備模式和雙主模式均可使用。
此組網環境使用動態路由協議時,需要配置HA調整動態路由協議開銷值功能(即adjust-cost enable命令)來保證主備或者雙主組網,並配置HA與Track項聯動監控上下行接口狀態。
此組網環境使用靜態路由時,需要通過track interface命令監控上下行三層以太網接口的狀態,並將這些接口的狀態進行聯動。
此組網環境中,主備模式和雙主模式均可使用。
此組網環境中需要配置HA與VRRP功能配合使用。
此組網環境中,主備模式和雙主模式均可使用。
此組網環境中需要配置HA的track interface功能監控上下行二層以太網接口的狀態,並將這些接口的狀態進行聯動。
此組網環境中,僅支持主備模式。
此組網環境中需要配置HA的track vlan功能監控上下行接口的狀態,並將這些接口的狀態進行聯動。
HA功能僅支持在缺省Context中配置,且配置完成後,就能完成所有非缺省Context的高可靠性部署。
當任意Context中設備的主備運行角色發生切換時,其他所有Context中設備的主備運行角色也都進行切換。因此在高可靠性主備組網中,建議所有Context的主運行設備都在同一台物理設備上。
在非缺省Context中使用HA功能時,必須以共享方式將業務接口分配給非缺省Context使用,不能使用獨占方式分配。
在HA與NAT結合的組網環境中,對NAT功能有如下限製:
· 不支持NAT地址池探測功能和Easy IP模式。
· NAT地址池不允許包含兩台設備上接口的IP地址。如果NAT地址池包含接口的IP地址,上行設備請求該地址池IP的ARP時,主、備兩台設備都會回應,導致ARP衝突。
· NAT策略中的源或目的地址不允許包含HA通道的接口IP地址,以免心跳報文被NAT轉換引發心跳鏈路通信異常。
· 如果同一個五元組無法保證同一單向報文隻在一台設備處理時,必須使用端口拆分功能(即nat remote-backup port-alloc { primary | secondary }命令)。
在HA的雙主工作模式與NAT結合的組網環境中,對NAT功能有如下限製:
· 地址池不支持EIM模式。
· 當NAT方式是PAT模式時,必須在一台上配置nat remote-backup port-alloc primary命令,另外一台上配置nat remote-backup port-alloc secondary命令,將地址池中地址的端口分為前後兩端,保證NAT地址池端口不衝突。
· 當NAT方式是NAT NO-PAT模式時,必須使用兩個地址池,如果使用一個地址池會導致資源分配衝突。
在HA聯動VRRP的高可靠性組網中開啟AFT功能時,AFT策略中的地址不允許包含HA通道的接口IP地址,以免心跳報文被AFT轉換引發心跳鏈路通信異常。
在HA環境中,當設備需要處理多通道協議(如FTP、SIP協議等)時,必須保證多通道協議的控製報文和數據報文在同一台設備上進行處理。
在HA環境中,當設備需要處理基於SCTP協議的流量時,必須保證同一條流量的正反向報文在同一台設備上進行處理。
部署HA前,請先保證主/備設備硬件環境的一致性,具體要求如下:
· 主/備設備的型號必須一致。
· 主/備設備上管理接口、業務接口、HA通道接口需要分別使用相互獨立的接口,且所使用的接口編號和類型必須一致。
· 主/備設備上硬盤的位置、數量和類型建議一致。未安裝硬盤的設備日誌存儲量將遠低於安裝了硬盤的設備,而且部分日誌和報表功能不可用。
部署HA前,請先保證主/備設備軟件環境的一致性,具體要求如下:
· 主/備設備的係統軟件環境及其版本必須一致,如:Boot包、System包、Feature包和補丁包等等。
· 主/備設備的係統時間一致。
· 主/備設備上被授權的特征庫和特性環境必須一致,如:特征庫的種類,每類特征庫的版本、授權時間範圍、授權的資源數等等。
· 主/備設備上的資源文件必須一致,比如:公鑰信息、ISP地址庫文件等。
· 主/備設備的接口編號必須一致。
· 主/備設備之間建立HA通道的接口類型、速率和編號等信息必須一致,推薦使用聚合接口。
· 主/備設備上聚合接口的編號、成員接口編號必須一致。
· 主/備設備相同位置的接口必須加入到相同的安全域。
· 主/備設備的HASH選擇CPU模式以及HASH因子都必須相同(即forwarding policy命令)。
配置安全策略保證路由協議等基礎報文可以正常交互。其配置思路為:業務接口所在安全域與Local安全域之間建議僅允許動態路由協議(如OSPF協議)等基礎報文放行。
設備默認放行HA通道上的HA報文,管理員無需配置相關的安全策略。
對於兩台設備之間不能進行配置信息同步的模塊(例如接口和路由等)需要提前配置完成,確保網絡路由可達。HA具體支持同步哪些模塊的配置信息,請參見“1.1.4 4. 配置信息備份”。
HA的基本配置思路如下圖所示。
圖1-11 HA配置思路圖
HA配置任務如下:
(1) 配置設備管理角色
(2) 配置HA信息同步
a. 配置HA控製通道
b. 配置HA數據通道
c. 開啟HA熱備業務表項功能
d. 配置HA備份配置信息
(3) 開啟HA流量回切功能
(4) 配置HA工作模式
請選擇以下一項任務進行配置
(5) 配置HA聯動方式
請選擇以下一項任務進行配置
¡ 配置HA聯動路由
¡ 配置HA透明組網
(6) (可選)配置HA與Track項聯動
(7) (可選)手工觸發HA主備倒換
(8) (可選)開啟HA在設備間透傳業務流量功能
(9) (可選)配置接口等待恢複時間
(10) (可選)配置HA與其他特性配合使用
為了保證備設備可以平滑地接替主設備的工作,HA必須能夠將主設備的相關業務模塊的配置信息備份到備設備。尤其在雙主組網環境中,兩台設備都是主設備。如果允許兩台主設備之間能夠相互備份配置信息,那麼就會造成兩台設備上配置信息相互覆蓋或衝突的問題。所以為了方便管理員對兩台設備的配置信息進行統一管理,又能避免配置信息的混亂,雙機熱備係統中引入了主管理設備和從管理設備角色的概念。主從管理設備角色隻能手工配置,不能動態選舉。
配置完設備的管理角色後,係統將會在命令行提示符前增加前綴信息,以便標識設備的主、從管理角色。這樣在後續業務配置中能夠更加友好醒目地提示管理員設備當前的管理角色是什麼。具體標識方法如下:
· 主管理設備:將在命令行提示符前麵增加RBM_P前綴信息,如:RBM_P<Sysname>。
· 從管理設備:將在命令行提示符前麵增加RBM_S前綴信息,如:RBM_S<Sysname>。
在HA控製通道建立成功前,係統不關心配置的設備管理角色是什麼,其都認為自己是主管理角色,這時命令行提示符前綴總是RBM_P。在HA控製通道建立成功後,係統將按照實際配置的管理角色顯示命令行提示符前綴信息。
在HA組網中必須將其中一台設備配置為主管理設備,另一台設備配置為從管理設備。
建議僅在主管理設備上配置相關業務功能,不建議在從管理設備上進行配置。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備的管理角色。
device-role { primary | secondary }
缺省情況下,未配置設備的管理角色。
創建HA控製通道時,設備會將配置的本端IP地址與對端IP地址進行比較,IP地址較大的設備將作為Server,IP地址較小的設備將作為Client。Client向Server發起TCP連接請求來建立HA控製通道。
在Server端配置的對端端口號,表示設備使用此端口號作為服務端口為Client提供服務;在Client端配置此端口號,表示設備使用此端口號作為目的端口與Server建立TCP連接。Client上的源端口號隨機生成。
在HA組網中的主備設備上僅支持分別配置一個對端IP地址,且配置的端口號必須相同。端口號也不能與已有的TCP監聽服務使用的端口號相同。
HA控製通道的本端IP地址與對端IP地址不能相同。
HA控製通道的IPv4地址和IPv6地址不能同時配置。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置HA的控製通道。請選擇其中一項進行配置。
¡ 配置HA控製通道的IPv4地址。
- 配置HA控製通道的對端IPv4地址。
remote-ip ipv4-address [ port port-number ]
缺省情況下,未配置HA控製通道對端IPv4地址。
- 配置HA控製通道的本端IPv4地址。
local-ip ipv4-address
缺省情況下,未配置HA控製通道的本端IPv4地址。
¡ 配置HA控製通道的IPv6地址。
- 配置HA控製通道的對端IPv6地址。
remote-ipv6 ipv6-address [ port port-number ]
缺省情況下,未配置HA控製通道的對端IPv6地址。
- 配置HA控製通道的本端IPv6地址。
local-ipv6 ipv6-address
缺省情況下,未配置HA控製通道的本端IPv6地址。
(4) 配置設備發送Keepalive報文的時間間隔。
keepalive interval interval
缺省情況下,設備發送Keepalive報文的時間間隔為1秒。
(5) 配置設備發送Keepalive報文的最大次數。
keepalive count counts
缺省情況下,設備發送Keepalive報文的最大次數為10。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置HA數據通道。
data-channel interface interface-type interface-number
缺省情況下,HA中不存在數據通道。
開啟HA熱備業務表項功能後,HA中主設備上的業務表項信息會實時備份到備設備上。
HA熱備份應用協議創建的會話表項功能的應用場景建議如下:
· 在非對稱路徑的HA網絡環境中,需要開啟此功能,以保證同一條流量的正反向報文在兩台設備上能夠被正常處理;若不開啟此功能,則會因為兩台設備上的會話表項不一致,導致同一條流量的正反向報文在兩台設備上不能被正常處理,從而可能會出現網絡不通等異常情況。
· 在HA主備模式或對稱路徑的HA網絡環境中,關閉此功能後,可減少設備性能的消耗;但是設備間流量平滑的時效性將受到一些影響。因此,請管理員根據實際業務情況來判斷是否需要關閉此功能。
因為對於DNS和HTTP類型的應用協議,通常在很少的報文交互之後就會斷開連接,當發生主備切換造成當前連接中斷時,客戶端會立即重新發起請求,用戶通常感知不到連接異常。所以可以關閉這兩個協議觸發創建會話的備份功能。
在高可靠性係統穩定運行且正在處理流量的情況下,請勿清除會話表項(即執行reset session table命令),否則會導致流量中斷或業務主、備設備上的會話表項不一致。有關會話管理功能的詳細介紹,請參見“安全配置指導”中的“會話管理”。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟HA熱備業務表項功能。
hot-backup enable
缺省情況下,HA熱備業務表項功能處於開啟狀態。
(4) 開啟HA熱備份應用協議創建的會話表項功能。
hot-backup protocol { dns | http } * enable
缺省情況下,HA熱備份應用協議創建的會話表項功能處於開啟狀態。
除了DNS和HTTP應用協議,其它應用協議創建的會話不受本功能控製,隻要HA熱備業務表項功能處於開啟狀態,就會進行這些會話表項備份。
HA備份配置信息支持實時備份和批量備份兩種方式,具體如下:
· 實時備份:主管理設備上新增、刪除或修改的配置信息將實時備份到從管理設備,保證這些變化的配置信息在主從管理設備上的一致。
· 批量備份:主管理設備上的關鍵配置信息全部備份到從管理設備,從管理設備上會刪除與主管理設備上不一致的配置,保證關鍵配置信息在主從管理設備上的完全一致。
僅配置信息自動備份功能處於開啟狀態且HA控製通道建立成功的情況下,HA才會進行實時備份或者批量備份。
僅如下幾種情況才會觸發設備之間進行配置信息的批量備份:
· HA中的設備正常運行後,HA控製通道是第一次成功建立且配置信息自動備份功能也是第一次開啟時(包括默認開啟的情況),主管理設備會將自己當前的所有關鍵配置信息批量備份到從管理設備進行覆蓋。設備正常運行後,隻要進行過一次批量備份,即使再反複開啟配置信息自動備份功能或HA控製通道反複建立也不會再觸發配置信息的批量備份。
· 設備重啟或者HA進程(即RBM進程)重啟,並且這期間未重啟設備上的配置信息自動備份功能一致處於開啟狀態的情況下。當重啟完成且HA控製通道再次建立後,未重啟的設備會將自己當前的所有關鍵配置信息批量備份到重啟過的設備進行覆蓋。
當HA控製通道第一次成功建立且配置信息自動備份功能也第一次開啟後,請不要隨意關閉配置信息自動備份功能。否則會導致設備不能觸發配置信息的批量備份,近而可能會導致主、從管理設備的配置信息不一致,最終影響業務的正常處理。
配置信息很多的時候批量備份時間會很長,可能耗時一到兩個小時。為了減少批量備份時間,有如下兩種操作建議:
· 在初始規劃網絡配置時,建議先開啟配置信息自動備份功能,可減少後續配置信息批量備份的時間。
· 在初始規劃網絡配置時,也可以先通過複製配置文件到從管理設備的方式進行網絡的初始部署。然後開啟配置信息一致性檢查功能,檢查兩台設備的相關配置信息是否一致。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟配置信息自動備份功能。
configuration auto-sync enable
缺省情況下,配置信息自動備份功能處於開啟狀態。
(4) 開啟配置信息一致性檢查功能。
configuration sync-check [ interval interval ]
缺省情況下,配置信息一致性檢查功能處於開啟狀態。
(5) (可選)手工觸發配置信息一致性檢查。
configuration manual-sync-check
此功能僅在主管理設備上執行才有效,在從管理設備上執行無效。
(6) (可選)將主管理設備上的配置信息手工批量備份到從管理設備。
configuration manual-sync
此功能僅在主管理設備上執行才有效,在從管理設備上執行無效。
當HA組網中的主設備切換為備設備時,流量自動切換到對端設備進行處理。缺省情況下,當原主設備恢複正常時,流量不回切。這時如果需要流量再次回到原主設備進行處理,可以開啟HA流量回切功能,並設置延遲切換時間保證業務能夠平滑切回。
在HA的雙主模式下,必須開啟此功能,否則當一條鏈路故障又恢複後流量無法實現回切,這時不能實現兩台設備雙主工作。
在回切定時器倒計時的過程中,如果修改delay-time的值,則本次回切仍然按照之前的回切時間進行處理,後續回切會按照修改後的回切時間進行處理;如果關閉本功能,則不進行回切。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟HA流量回切功能。
delay-time delay-time
缺省情況下,HA流量回切功能處於關閉狀態,流量不回切。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備在HA中的模式為主備模式。
undo backup-mode
缺省情況下,設備在HA中的模式為主備模式。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備在HA中的模式為雙主模式。
backup-mode dual-active
缺省情況下,設備在HA中的模式為主備模式。
HA僅支持與VRRP的標準模式配合使用,不支持與VRRP的負載均衡模式配合使用。
當設備采用基於VRRP的HA組網方式時,設備僅支持直連部署在網絡中,且上下必須連接二層設備。建議主管理設備綁定VRRP active組,從管理設備綁定VRRP standby組。
關聯HA的IPv6 VRRP備份組和IPv4 VRRP備份組中可以配置多個虛IP地址,但備份組中不能存在IP地址擁有者。
在HA聯動VRRP組網環境中,當設備使用子接口進行組網時,需要先在主設備的子接口上配置vlan-type dot1q vid命令,之後再配置VRRP備份組,然後在備設備的子接口上按照相同順序進行配置。
VRRP備份組聯動HA功能和VRRP備份組關聯Track項兩個功能不能同時配置。
在HA聯動VRRP組網中,不能配置track vlan或track interface功能。
IPv6 VRRP備份組中必須配置一個鏈路本地地址的虛擬IPv6地址和一個全球單播的虛擬IPv6地址,VRRP備份組才能正常工作。IPv6 VRRP備份組的第一個虛擬IPv6地址必須是鏈路本地地址,鏈路本地地址必須最後刪除。一個VRRP備份組中隻允許有一個鏈路本地地址。
在HA聯動IPv6 VRRP的組網中,需要先配置IPv6地址,等待1s後再配置VRRP備份組。
在HA聯動VRRP組網環境中,如果要刪除接口下的配置,需要先刪除VRRP備份組再刪除IPv4/IPv6地址。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置HA聯動VRRP。請至少選擇其中一項進行配置。
¡ 創建IPv4 VRRP備份組,並與HA關聯。
vrrp vrid virtual-router-id virtual-ip virtual-address [ mask | mask-length ] { active | standby }
缺省情況下,不存在IPv4 VRRP備份組。
¡ 創建IPv6 VRRP備份組,配置IPv6鏈路本地地址並與HA關聯,配置IPv6全球單播地址用於業務通信。
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address [ prefix-length ] link-local { active | standby }
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address
缺省情況下,不存在IPv6 VRRP備份組。
有關vrrp vrid命令和vrrp ipv6 vrid命令的詳細介紹,請參見“高可靠性命令參考”中的“VRRP命令”。
在HA組網環境中,正常情況下,主、備設備上的動態路由協議均依據自身的運行機製對外通告鏈路的開銷值。開啟RBM調整備設備上動態路由協議開銷值功能後,備設備上對外通告的路由協議鏈路開銷值將是被HA調整後的值;主設備對外通告的鏈路開銷值仍然是路由協議自身設置的值。HA調整備設備上動態路由協議開銷值有如下幾種方式:
· 絕對值方式:設備將使用配置的絕對值對外通告。
· 增量值方式:設備將在原有開銷值基礎上累加配置的增量值後對外通告。
此功能僅調整備設備上動態路由協議對外通告的開銷值,對主設備沒有影響。
建議在運行相同路由協議的雙機熱備場景中使用此功能。
在HA與動態路由協議聯動的組網環境中,需要在主、備設備上同時開啟此功能,並設置相同的參數。
silent-backup-interface命令與adjust-cost enable命令不能同時使用。
在HA聯動路由的雙主組網中,建議上下行設備上配置IP轉發模式為逐流的負載分擔方式。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟HA調整備設備上動態路由協議開銷值功能。
adjust-cost { bgp | isis | ospf | ospfv3 } enable { absolute [ absolute-cost ] | increment [ increment-cost ] }
缺省情況下,HA調整備設備上動態路由協議開銷值功能處於關閉狀態。
如圖1-12所示,在使用不同路由協議的HA場景中,因為不同的路由協議存在缺省優先級。當Device A的下行鏈路故障時,即使HA可以將Device A對外通告的OSPF鏈路開銷值調高。但是,因為OSPF的缺省路由優先級高於IBGP的缺省路由優先級,所以從Router A去往內網的流量仍然會被轉發到Device A所在的故障鏈路,而不能被轉發到Device B所在的正常鏈路。
為了解決以上問題,可通過執行silent-backup-interface命令禁止備設備上的接口收發路由協議報文,使鄰居關係斷開。同時主設備上的接口還可以繼續正常收發路由協議報文,保證上下行流量均能在主設備上被正常處理。
建議在運行不相同路由協議的HA組網場景中使用此功能。
在HA與動態路由協議聯動的組網環境中,需要在主、備設備上同時配置HA禁止備設備收發動態路由協議報文功能。
silent-backup-interface命令與adjust-cost enable命令不能同時使用。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置HA禁止備設備上的接口收發動態路由協議報文。
silent-backup-interface { ospf | ospfv3 }
缺省情況下,備設備上的接口允許收發動態路由協議報文。
在HA透明組網環境中,通過HA監控連接上、下行設備的接口,實現所監控接口的狀態相互聯動並保持一致。這些接口將同時具備或同時不具備報文傳輸能力。隻有HA所監控接口的狀態均為UP時,這些接口才能轉發報文。否則,HA監控的所有接口均不能轉發報文。
track interface與track命令可以同時配置,但是所監控的接口不能相同。
track vlan與track interface命令互斥,不可同時配置。
不能監控聚合接口的成員接口。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置HA監控接口狀態。
track interface interface-type interface-number
缺省情況下,HA不監控任何接口的狀態。
此功能支持對二層以太網接口和三層以太網接口的狀態進行監控。
在HA透明組網環境中,通過HA監控連接上、下行設備的VLAN,實現所監控VLAN成員端口狀態的相互聯動並保持一致。此VLAN中的成員端口將同時具備或同時不具備報文傳輸能力。隻有VLAN中的所有成員端口狀態均為UP時,此VLAN的狀態才為Active,所有成員端口可以轉發報文。否則,此VLAN的狀態為Inactive,所有成員端口均不能轉發報文。
此功能一般用於監控HA組網環境中用於連接上、下行設備的VLAN。
在HA的不同工作模式下,主、從管理設備上VLAN成員端口對報文的轉發控製策略有所不同,具體如下所示:
· 當HA工作在主備模式時,正常情況下,主管理設備上HA所監控VLAN的狀態為Active,從管理設備上HA所監控VLAN的狀態為Inactive。
· 在HA工作在雙主模式時,正常情況下,主、從管理設備上HA所監控VLAN的狀態均為Active。
track vlan與track interface命令互斥,不可同時配置;track vlan與track命令互斥,不可同時配置。
基於HA監控VLAN的運行機製,請勿配置track vlan 1。因為設備上所有Access端口缺省屬於VLAN 1,當VLAN 1中有端口未被使用時其接口狀態為Down,所以會導致VLAN 1中正常使用的端口也無法轉發報文。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置HA監控VLAN的狀態。
track vlan vlan-id
缺省情況下,HA不監控任何VLAN的狀態。
配置此功能後,當HA聯動的其中一個Track項的狀態為Negative狀態時,HA將進行設備的主備切換,將上下行流量同時切換到新的主設備,保證業務不中斷。有關Track的詳細介紹,請參見“ 網絡管理和監控配置指導”中的“Track”。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置HA與Track項聯動。
track track-entry-number
缺省情況下,HA未與Track項聯動。
當HA中主備設備無故障,業務運行在主設備時,可通過此命令觸發主備倒換,讓業務切換到對端設備上進行處理,以便管理員可以更換主設備上的部件或升級軟件等。
此功能僅支持在HA主備模式下的主設備和備設備上執行。
對於F1000-AK9110、F1000-AK9210設備,此功能僅支持在HA的主備模式下使用,且僅在主設備上配置此功能才生效。
在HA與VRRP配合使用的組網中,當使用此功能進行主備倒換時,可能會導致短暫的VRRP虛擬IP地址衝突,屬於正常現象。
為保證HA穩定運行,係統不允許1分鍾內重複執行此功能。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 手工觸發HA主備倒換。
switchover request
此功能僅適用於HA雙主組網中存在非對稱流量的場景,請謹慎使用。
在HA雙主組網場景中,當存在非對稱流量時,同一條流量的正反向報文可能會被送到不同的設備,這時將會影響部分功能模塊(如NBAR、DPI、負載均衡等功能)處理報文的能力,例如可能會降低NBAR業務對報文的識別率等。開啟此透傳功能後,同一條流量的正反向報文最終會被送到同一台設備,可以提升這些功能模塊處理報文的能力。但是,透傳功能可能會消耗設備的大量資源,影響設備性能。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟HA在設備間透傳業務流量功能。
transparent-transmit enable
缺省情況下,HA在設備間透傳業務流量功能處於開啟狀態。
在RBM組網場景中,當使用track interface命令或track vlan命令監控上下行業務接口時,所監控接口的狀態相互聯動,保持一致。如果主設備上監控的接口出現故障,導致主備切換,那麼原主設備上其他被監控的接口也將無法進行報文傳輸。當接口故障恢複後,如果管理員配置了流量回切功能,並且已經到達流量回切延遲時間,流量會切換回原主設備,其他被監控的接口也會恢複正常。
為了避免其他被監控的接口恢複時間過長,導致流量再次切換,管理員可以配置接口等待恢複時間。隻有當接口等待恢複時間結束後,接口仍未恢複或仍存在監控接口故障問題,流量才會切換到對端設備。
需要注意的是,當流量回切延遲時間內出現監控接口故障時,流量仍然會切換到故障設備,從而造成業務中斷,直到接口等待恢複時間結束後才會進行切換。因此,建議管理員在設置接口等待恢複時間時,在確保其他被監控的接口能夠恢複的基礎上,盡量縮短接口等待恢複時間。
本命令僅建議在使用track interface命令或track vlan命令監控上下行業務接口的組網中使用,其他組網場景不需要配置。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置接口等待恢複時間。
wait-interface-up delay-time time-value
缺省情況下,接口等待恢複時間為32秒。
在HA組網環境中,當需要在設備上使用NAT功能時,必須將NAT相關配置與VRRP備份組進行綁定,否則NAT無法正常工作。例如使用動態NAT、內部服務器NAT、端口塊NAT和靜態NAT時,必須將這些NAT方式與VRRP備份組綁定。有關NAT的詳細介紹,請參見“NAT配置指導”中的“NAT”。
本節內容僅以HA主備模式中的動態NAT為例,其他方式的NAT及其HA雙主模式中的NAT與此類似。
缺省情況下,若NAT設備接收到的ARP報文請求的目標IP地址與NAT接口的IP地址在同一網段,則NAT設備使用NAT接口的物理MAC地址應答此ARP請求報文。
如圖1-13所示,在HA組網環境中配置動態NAT功能後,NAT與VRRP備份組沒有綁定的情況下,內網訪問外網的報文被處理的流程如下:
(1) 當內網訪問外網的報文到達Device A後,報文的源地址會被轉換成NAT地址池中的IP地址,然後被Device A轉發給Router。
(2) 若NAT地址池中的IP地址與Device A的上行接口VRRP備份組1的虛擬IP地址在同一網段,則外網返回的報文到達Router後,因為目的IP地址是直連路由所以Router會廣播ARP報文請求NAT地址池中IP地址對應的MAC地址,而不是請求VRRP備份組1虛擬IP地址對應的MAC地址。
(3) 當Device A和Device B接收到此ARP請求報文後,因為兩台Device上有相同的NAT地址池配置,所以兩台Device都會將自身上行接口的物理MAC地址應答給Router。
(4) 在這種情況下,Router就會時而以Device A上行接口的MAC地址來封裝報文,將報文送到Device A;時而以Device B上行接口的MAC地址來封裝報文,將報文送到Device B,從而影響業務的正常運行。
在HA網絡環境中,為了解決上述NAT部署的問題,必須將NAT與VRRP備份組綁定。
圖1-13 NAT未綁定VRRP備份組示意圖
將NAT與VRRP備份組綁定後,若NAT設備接收到的ARP報文請求的目標IP地址與NAT接口的IP地址在同一網段,則隻能由VRRP備份組中Master設備使用VRRP備份組的虛擬MAC地址響應此ARP請求。
如圖1-14所示,在HA組網環境中配置動態NAT功能後,NAT與VRRP備份組綁定的情況下,內網訪問外網的報文被處理的流程如下:
(1) 當內網訪問外網的報文到達Device A後,報文的源地址會被轉換成NAT地址池中的IP地址,然後被Device A轉發給Router。
(2) 若NAT地址池中的IP地址與Device A的上行接口VRRP備份組1的虛擬IP地址在同一網段,則外網返回的報文到達Router後,因為目的IP地址是直連路由所以Router會廣播ARP報文請求NAT地址池中IP地址對應的MAC地址,而不是請求VRRP備份組1虛擬IP地址對應的MAC地址。
(3) 當Device A和Device B接收到此ARP請求報文後,隻有VRRP備份組中Master設備(Device A)使用VRRP備份組1的虛擬MAC地址響應此ARP請求給Router。
(4) 在這種情況下,Router隻會收到Master設備(Device A)響應的ARP報文,Router就會以VRRP備份組1的虛擬MAC地址來封裝報文,將報文送到Device A,從而可以保證業務的正常運行。
圖1-14 NAT綁定VRRP備份組示意圖
有關動態NAT、內部服務器NAT、端口塊NAT和靜態NAT與VRRP備份組綁定的相關命令和詳細使用說明,請參見“NAT配置指導”中的“NAT”。
在HA組網環境中,SSL VPN的用戶數據、表項信息和配置信息通過HA通道進行備份。有關SSL VPN功能的詳細介紹,請參見“VPN配置指導”中的“SSL VPN”。
SSL VPN功能僅支持在HA+VRRP方式的主備模式下進行高可靠性部署,不支持在HA的其他模式下進行可靠性部署。
在HA雙主部署場景下的非對稱路徑中,需要使用DPI業務時,必須開啟DPI支持HA功能。否則,可能會出現DPI業務無法準確識別和處理報文的問題。有關DPI功能和DPI支持HA功能的詳細介紹,請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
HA技術能夠滿足多Context環境的高可靠性部署需求。僅需要在缺省Context中配置HA功能即可完成所有非缺省Context的高可靠性部署,無需在非缺省Context中配置HA功能。
所有非缺省Context統一使用缺省Context創建的HA通道進行配置信息備份、業務表項信息備份和透傳業務報文,保證各自非缺省Context中主備設備上配置信息和業務表項信息的一致。
所有非缺省Context統一使用缺省Context的檢測機製進行主備設備保活性檢測和配置信息一致性檢測。當任意Context中設備的主備運行角色發生切換時,其他所有Context中設備的主備運行角色也都會進行切換。
HA支持如下幾種部署方式:
· 三層主備直路部署
· 三層雙主直路部署
· 透明主備直路部署
· 透明雙主直路部署
如圖1-15所示,HA三層主備直路部署方式的適用場景為:需要將Device A與Device B串聯部署在上下行設備之間,Device的上、下行業務接口均為三層接口,所有業務流量都必須經過Device。正常情況下隻有一台設備處理業務流量,當主設備或鏈路故障時,可以將業務流量平滑遷移到備設備進行處理。
僅以HA與VRRP聯動的方案為舉例,介紹此種HA部署方式的部署思路,具體如下:
· 兩台Device上下行分別連接二層交換機,Device的上下行接口工作在三層模式。
· 兩台Device之間建立一條HA通道。
· 兩台Device上下行分別配置一個VRRP備份組,並與HA關聯。Device A上下行業務接口的VRRP備份組1和2加入Active group;Device B上下行業務接口的VRRP備份組1和2加入Standby group。
· 兩台Device上需要將去往Internet路由的下一跳指定為Router連接Device的接口IP地址(此示例中為2.1.1.15)。
· Router上需要將去往Host網段路由的下一跳指定為VRRP備份組1的虛擬IP地址(此示例中為2.1.1.3)。
· Host上需要設置默認網關IP地址為VRRP備份組2的虛擬IP地址(此示例中為10.1.1.3)。
· Switch A需要將連接Device和Router的接口加入相同的VLAN。
· Switch B需要將連接Device和Host的接口加入相同的VLAN。
圖1-15 HA三層主備直路部署示意圖
如圖1-15所示,HA三層主備直路部署完成後,以Host訪問Internet流量為例,分析報文在此網絡中的傳輸過程如下:
(1) Host判斷目的IP地址與本機IP地址不在同一網段,因此Host將查找默認網關IP地址的ARP表項進行MAC地址封裝發送報文,假設Host上還沒有默認網關IP地址的ARP表項。
(2) Host將ARP請求報文(用於請求Host網關地址對應的MAC地址)發送給Switch B。Switch B在網絡中廣播此ARP請求報文。此時,Switch B會記錄Host的MAC地址與接口的對應關係。
(3) 當VRRP備份組2中的兩台Device接收到ARP請求報文後,隻能由Master設備響應此ARP請求,且ARP應答報文中填寫的MAC地址為VRRP備份組2的虛擬MAC地址。
(4) Switch B接收到此ARP應答報文後會記錄VRRP備份組2的虛擬MAC地址與接口的對應關係,然後Switch B根據之前學習到的MAC地址表項將ARP響應報文發送給Host。
(5) Host接收到ARP響應報文後,將業務報文的目的MAC地址封裝為VRRP備份組2的虛擬MAC地址,並發送給Switch B。
(6) Switch B根據已學習到的MAC地址表項,將報文轉給Master設備(Device A)。至此,內網Host發出的流量就都會通過Master設備轉發,並在Master設備上進行相關安全業務的處理。
(7) 假設Master設備沒有去往Internet下一跳IP地址的ARP表項。Master設備將ARP請求報文發送給Switch A,ARP請求報文的源MAC地址為VRRP備份組1的虛擬MAC地址。在此ARP學習過程中Switch A會學習到去往Master設備和Router的MAC地址表項。其ARP的學習過程和後續的報文轉發流程與上麵描述的類似,此處不再贅述。
(8) Internet主動訪問內網Host流量的處理過程與Host主動訪問Internet流程的處理過程一樣,此處不再贅述。
如圖1-16所示,HA三層雙主直路部署方式的適用場景為:需要將Device A與Device B串聯部署在上下行設備之間,Device的上、下行業務接口均為三層接口,所有業務流量都必須經過Device。正常情況下兩台設備都需要處理業務流量,當其中一台設備或鏈路故障時,可以將業務流量平滑遷移到另一設備進行處理。
僅以HA與VRRP聯動的方案為舉例,介紹此種HA部署方式的部署思路,具體如下:
· 兩台Device上下行分別接入二層交換機,Device的上下行接口工作在三層模式。
· 兩台Device之間建立一條HA通道。
· 兩台Device上下行分別配置兩個VRRP備份組,並與HA關聯,具體如下:
¡ Device A上下行業務接口的VRRP備份組1和3加入Active group;Device A上下行業務接口的VRRP備份組2和4加入Standby group。
¡ Device B上下行業務接口的VRRP備份組1和3加入Standby group;Device B上下行業務接口的VRRP備份組2和4加入Active group。
· 兩台Device上需要將去往Internet路由的下一跳指定為Router連接Device的接口IP地址(此示例中為2.1.1.15)。
· Router上需要將去往Host A路由的下一跳指定為VRRP備份組1的虛擬IP地址(此示例中為2.1.1.3)。
· Router上需要將去往Host B路由的下一跳指定為VRRP備份組2的虛擬IP地址(此示例中為2.1.1.4)。
· Host A上需要設置默認網關IP地址為VRRP備份組3的虛擬IP地址(此示例中為10.1.1.3)。
· Host B上需要設置默認網關IP地址為VRRP備份組4的虛擬IP地址(此示例中為10.1.1.4)。
· Switch A需要將連接Device和Router的接口加入相同的VLAN。
· Switch B需要將連接Device和Host的接口加入相同的VLAN。
圖1-16 HA三層雙主直路部署示意圖
如圖1-16所示,HA三層雙主直路部署完成後,Host A的業務流量會轉發給Device A處理,Host B的業務流量會轉發給Device B處理,形成負載分擔的效果。Host訪問Internet流量的具體處理過程與主備部署方式類似,這裏不再單獨介紹。
設備作為二層設備,上下行連接二層交換機的組網方式僅支持主備組網,不支持雙主組網,否則二層網絡中會出現網絡環路。
如圖1-17所示,HA二層主備直路部署方式的適用場景為:需要將Device A與Device B作為二層設備串聯部署在上下行二層網絡之間,Device的上、下行業務接口均為二層接口,所有業務流量都必須經過Device。正常情況下隻有一台設備處理業務流量,當主設備或鏈路故障時,可以將業務流量平滑遷移到備設備進行處理。
此種HA部署方式的部署思路如下:
· 兩台Device上下行分別連接二層交換機,Device的上下行接口工作在二層模式。
· 兩台Device上下行接口加入相同VLAN。
· 兩台Device之間建立一條HA通道。
· 配置HA監控功能,保證Device上下行接口狀態統一切換。以下HA監控功能僅能二選其一。
¡ 配置HA監控VLAN狀態:此種方式下隻需要將Device配置為HA主備工作模式即可,Device的上下行二層交換機無需開啟生成樹協議,HA可以保證無環路。
¡ 配置HA監控上下行接口狀態:此種方式下Device的上下行二層交換機上必須開啟生成樹協議保證無環路。
· Switch A需要將連接Device和Router的接口加入相同的VLAN。
· Switch B需要將連接Device和Host的接口加入相同的VLAN。
圖1-17 HA透明主備直路部署示意圖
如圖1-18所示,HA二層雙主直路部署方式的適用場景為:需要將Device A與Device B作為二層設備串聯部署在上下行三層網絡之間,Device的上、下行業務接口均為二層接口,所有業務流量都必須經過Device。正常情況下兩台設備都需要處理業務流量,當其中一台設備或鏈路故障時,可以將業務流量平滑遷移到另一設備進行處理。
此種HA部署方式的部署思路如下:
· 兩台Device上下行分別連接三層網絡設備,Device的上下行接口工作在二層模式。
· 兩台Device上下行接口加入相同VLAN。
· 兩台Device之間建立一條HA通道。
· 配置HA監控接口狀態功能,保證Device上下行接口狀態統一切換。
· 上、下行連接的Router上通過配置開銷值相同的OSPF協議實現流量的負載分擔,並配置等價路由基於報文逐流進行負載分擔,以保證報文傳輸路徑的穩定性。
圖1-18 HA透明雙主直路部署示意圖
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後HA的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 HA顯示和維護
|
操作 |
命令 |
|
顯示HA的狀態信息 |
display remote-backup-group status |
|
顯示HA關鍵配置信息的一致性檢查結果 |
display remote-backup-group sync-check |
如圖1-19所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-19 HA聯動VRRP三層主備組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往內網流量的下一跳IPv4地址為VRRP備份組1的虛擬IPv4地址2.1.1.3,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許VRRP協議報文通過。當HA通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
[DeviceA-security-policy-ip] rule name vrrp1
[DeviceA-security-policy-ip-4-vrrp1] source-zone trust
[DeviceA-security-policy-ip-4-vrrp1] destination-zone local
[DeviceA-security-policy-ip-4-vrrp1] service vrrp
[DeviceA-security-policy-ip-4-vrrp1] action pass
[DeviceA-security-policy-ip-4-vrrp1] quit
[DeviceA-security-policy-ip] rule name vrrp2
[DeviceA-security-policy-ip-5-vrrp2] source-zone local
[DeviceA-security-policy-ip-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ip-5-vrrp2] service vrrp
[DeviceA-security-policy-ip-5-vrrp2] action pass
[DeviceA-security-policy-ip-5-vrrp2] quit
[DeviceA-security-policy-ip] rule name vrrp3
[DeviceA-security-policy-ip-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ip-6-vrrp3] destination-zone local
[DeviceA-security-policy-ip-6-vrrp3] service vrrp
[DeviceA-security-policy-ip-6-vrrp3] action pass
[DeviceA-security-policy-ip-6-vrrp3] quit
[DeviceA-security-policy-ip] rule name vrrp4
[DeviceA-security-policy-ip-7-vrrp4] source-zone local
[DeviceA-security-policy-ip-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ip-7-vrrp4] service vrrp
[DeviceA-security-policy-ip-7-vrrp4] action pass
[DeviceA-security-policy-ip-7-vrrp4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置Host的默認網關為VRRP備份組2的虛擬IPv4地址10.1.1.3。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置是否生效,HA通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None 2.1.1.3
GE1/0/2 2 Master 100 100 None 10.1.1.3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置是否生效,HA通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Backup
VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None 2.1.1.3
GE1/0/2 2 Backup 100 100 None 10.1.1.3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖1-20所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,同時需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-20 HA聯動VRRP三層雙主組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往一部分內網流量(如Host 1)的下一跳IPv4地址為VRRP備份組1的虛擬IPv4地址2.1.1.3,去往另一部分內網流量(如Host 3)的下一跳IPv4地址為VRRP備份組2的虛擬IPv4地址2.1.1.4,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置名稱為vrrp的安全策略規則,允許VRRP協議報文通過。當HA通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
[DeviceA-security-policy-ip] rule name vrrp1
[DeviceA-security-policy-ip-4-vrrp1] source-zone trust
[DeviceA-security-policy-ip-4-vrrp1] destination-zone local
[DeviceA-security-policy-ip-4-vrrp1] service vrrp
[DeviceA-security-policy-ip-4-vrrp1] action pass
[DeviceA-security-policy-ip-4-vrrp1] quit
[DeviceA-security-policy-ip] rule name vrrp2
[DeviceA-security-policy-ip-5-vrrp2] source-zone local
[DeviceA-security-policy-ip-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ip-5-vrrp2] service vrrp
[DeviceA-security-policy-ip-5-vrrp2] action pass
[DeviceA-security-policy-ip-5-vrrp2] quit
[DeviceA-security-policy-ip] rule name vrrp3
[DeviceA-security-policy-ip-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ip-6-vrrp3] destination-zone local
[DeviceA-security-policy-ip-6-vrrp3] service vrrp
[DeviceA-security-policy-ip-6-vrrp3] action pass
[DeviceA-security-policy-ip-6-vrrp3] quit
[DeviceA-security-policy-ip] rule name vrrp4
[DeviceA-security-policy-ip-7-vrrp4] source-zone local
[DeviceA-security-policy-ip-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ip-7-vrrp4] service vrrp
[DeviceA-security-policy-ip-7-vrrp4] action pass
[DeviceA-security-policy-ip-7-vrrp4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置一部分Host(如Host 1)的默認網關為VRRP備份組3的虛擬IPv4地址10.1.1.3,配置另一部分Host(如Host 3)的默認網關為VRRP備份組4的虛擬IPv4地址10.1.1.4。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置是否生效,HA通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None 2.1.1.3
GE1/0/1 2 Backup 100 100 None 2.1.1.4
GE1/0/2 3 Master 100 100 None 10.1.1.3
GE1/0/2 4 Backup 100 100 None 10.1.1.4
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host 1、Host 2與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。當內Host 3與Internet之間有流量經過時,Device B上會有日誌生成,而Device A上沒有日誌生成。
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置是否生效,HA通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None 2.1.1.3
GE1/0/1 2 Master 100 100 None 2.1.1.4
GE1/0/2 3 Backup 100 100 None 10.1.1.3
GE1/0/2 4 Master 100 100 None 10.1.1.4
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host 1、Host 2與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。當內Host 3與Internet之間有流量經過時,Device B上會有日誌生成,而Device A上沒有日誌生成。
如圖1-21所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPF協議。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-21 HA聯動路由三層主備直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為2.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址為10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為10.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
(4) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使20.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone local
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone local
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] rule name ospf3
[DeviceA-security-policy-ip-6-ospf3] source-zone untrust
[DeviceA-security-policy-ip-6-ospf3] destination-zone local
[DeviceA-security-policy-ip-6-ospf3] service ospf
[DeviceA-security-policy-ip-6-ospf3] action pass
[DeviceA-security-policy-ip-6-ospf3] quit
[DeviceA-security-policy-ip] rule name ospf4
[DeviceA-security-policy-ip-7-ospf4] source-zone local
[DeviceA-security-policy-ip-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ip-7-ospf4] service ospf
[DeviceA-security-policy-ip-7-ospf4] action pass
[DeviceA-security-policy-ip-7-ospf4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 開啟HA調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA與序號為1和2的Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 開啟HA調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為20.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device A的OSPF路由信息,可看到Device A的Cost值小於Device B,上下行流量經過Device A轉發。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成後,通過查看Device B的OSPF路由信息,可看到Device A的Cost值小於Device B,上下行流量不經過Device B轉發。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 6000 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 6000 1 10.1.10.2 10.1.10.1
如圖1-22所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPF協議。為提高業務穩定性,使用兩台Device進行HA組網,同時需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-22 HA聯動路由三層雙主直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為2.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址為10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為10.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(4) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使20.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone local
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone local
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] rule name ospf3
[DeviceA-security-policy-ip-6-ospf3] source-zone untrust
[DeviceA-security-policy-ip-6-ospf3] destination-zone local
[DeviceA-security-policy-ip-6-ospf3] service ospf
[DeviceA-security-policy-ip-6-ospf3] action pass
[DeviceA-security-policy-ip-6-ospf3] quit
[DeviceA-security-policy-ip] rule name ospf4
[DeviceA-security-policy-ip-7-ospf4] source-zone local
[DeviceA-security-policy-ip-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ip-7-ospf4] service ospf
[DeviceA-security-policy-ip-7-ospf4] action pass
[DeviceA-security-policy-ip-7-ospf4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 開啟HA調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA與序號為1和2的Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 開啟HA調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為20.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device A的OSPF路由信息,可看到Device A的Cost值與Device B相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device B的OSPF路由信息,可看到Device B的Cost值與Device A相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 1 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 1 1 10.1.10.2 10.1.10.1
如圖1-23所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet,Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-23 HA透明主備直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Device A
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 1/0/1
[DeviceA-vlan10] port gigabitethernet 1/0/2
[DeviceA-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceA-security-zone-Trust] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 配置HA監控VLAN 10的狀態。
RBM_P[DeviceA-remote-backup-group] track vlan 10
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceB-if-range] port link-mode bridge
[DeviceB-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/1
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceB-security-zone-Trust] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置HA監控VLAN 10的狀態。
RBM_S[DeviceB-remote-backup-group] track vlan 10
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為10.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
如圖1-24所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet,Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行HA組網,同時需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-24 HA透明雙主直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 在Router A上配置OSPF功能使流量可以到達Internet和內網主機,同時保證Router A到達內網主機的流量可以在兩條鏈路上進行負載分擔。
(3) 配置Router B
# 在Router B上配置OSPF功能使流量可以到達Internet和內網主機,同時保證Router B到達Internet的流量可以在兩條鏈路上進行負載分擔。
(4) 配置Device A
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 1/0/1
[DeviceA-vlan10] port gigabitethernet 1/0/2
[DeviceA-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceA-security-zone-Trust] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone untrust
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone untrust
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 配置HA監控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的狀態。
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceB-if-range] port link-mode bridge
[DeviceB-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/1
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceB-security-zone-Trust] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置HA監控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的狀態。
RBM_S[DeviceB-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_S[DeviceB-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為10.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
如圖1-25所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。同時需要在Device上配置動態NAT功能保證內網用戶可以訪問Internet,該公司擁有2.1.1.1到2.1.1.10十個外網IPv4地址。
圖1-25 HA聯動VRRP主備模式中接口NAT功能組網圖
(1) 配置主備模式的HA組網環境
# 將Device A和Device B組建成主備模式的HA環境,其具體配置步驟請參見“1.23.1 HA聯動VRRP三層主備組網典型配置舉例”中的相關內容,本舉例不再贅述。
(2) 配置動態NAT
在此配置舉例中,僅需要在主管理設備Device A上配置NAT的相關配置,Device A上的NAT配置會自動同步到從管理設備Device B。
# 配置NAT地址組1,其地址成員範圍為2.1.1.5到2.1.1.10,並與VRRP備份組1綁定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.10
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 在接口上配置出方向動態地址轉換,允許使用地址組1中的地址進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
# 以上配置完成後,內網主機能夠訪問Internet。在Device A設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.10/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如圖1-26所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
同時需要在Device上配置動態NAT功能保證內網用戶可以訪問Internet,該公司擁有2.1.1.1到2.1.1.10十個外網IPv4地址。
圖1-26 HA聯動VRRP雙主模式中接口NAT功能組網圖
(1) 配置雙主模式的HA組網環境
# 將Device A和Device B組建成雙主模式的HA環境,其具體配置步驟請參見“1.23.2 HA聯動VRRP三層雙主組網典型配置舉例”中的相關內容,本舉例不再贅述。
(2) 配置動態NAT
在此配置舉例中,僅需要在主管理設備Device A上配置NAT的相關配置,Device A上的NAT配置會自動同步到從管理設備Device B。
# 配置NAT地址組1,其地址成員範圍為2.1.1.5到2.1.1.7,並與VRRP備份組1綁定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.7
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 配置NAT地址組2,其地址成員範圍為2.1.1.8到2.1.1.10,並與VRRP備份組2綁定。
RBM_P[DeviceA] nat address-group 2
RBM_P[DeviceA-address-group-2] address 2.1.1.8 2.1.1.10
RBM_P[DeviceA-address-group-2] vrrp vrid 2
RBM_P[DeviceA-address-group-2] quit
# 配置ACL 3000,僅允許10.1.1.1/25網段的報文通過;配置ACL 3001,僅允許10.1.1.129/25網段的報文通過。
RBM_P[DeviceA] acl advanced 3000
RBM_P[DeviceA-ipv4-adv-3000] rule permit ip source 10.1.1.1 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3000] quit
RBM_P[DeviceA] acl advanced 3001
RBM_P[DeviceA-ipv4-adv-3001] rule permit ip source 10.1.1.129 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3001] quit
# 在接口上配置出方向動態地址轉換,允許使用地址組1中的IPv4地址對匹配ACL 3000的報文進行源地址轉換,並在轉換過程中使用端口信息;允許使用地址組2中的IPv4地址對匹配ACL 3001的報文進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3000 address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3001 address-group 2
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
# 以上配置完成後,內網主機Host 1能夠通過Device A訪問Internet。在Device A設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.100/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
# 以上配置完成後,內網主機Host 3能夠通過Device B訪問Internet。在Device B設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_S[DeviceB] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.200/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.8/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:17:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如圖1-27所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。同時需要在Device上配置動態NAT功能保證內網用戶可以訪問Internet,該公司擁有2.1.1.1到2.1.1.10十個外網IPv4地址。
圖1-27 HA聯動VRRP主備模式中全局NAT功能組網圖
(1) 配置主備模式的HA組網環境
# 將Device A和Device B組建成主備模式的HA環境,其具體配置步驟請參見“1.23.1 HA聯動VRRP三層主備組網典型配置舉例”中的相關內容,本舉例不再贅述。
(2) 配置全局NAT
在此配置舉例中,僅需要在主管理設備Device A上進行NAT的相關配置,Device A上的NAT配置會自動同步到從管理設備Device B。
# 配置NAT地址組1,其地址成員範圍為2.1.1.5到2.1.1.10,並與VRRP備份組1綁定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.10
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 創建全局NAT規則,使用地址組1中的地址對內網用戶訪問Internet的流量進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA] nat global-policy
RBM_P[DeviceA-nat-global-policy] rule name rule1
RBM_P[DeviceA-nat-global-policy-rule1] source-zone Trust
RBM_P[DeviceA-nat-global-policy-rule1] destination-zone Untrust
RBM_P[DeviceA-nat-global-policy-rule1] source-ip subnet 10.1.1.0 24
RBM_P[DeviceA-nat-global-policy-rule1] action snat address-group 1 vrrp 1
RBM_P[DeviceA-nat-global-policy-rule1] quit
RBM_P[DeviceA-nat-global-policy] quit
# 以上配置完成後,內網主機能夠訪問Internet。在Device A設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.10/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如圖1-28所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
同時需要在Device上配置動態NAT功能保證內網用戶可以訪問Internet,該公司擁有2.1.1.1到2.1.1.10十個外網IPv4地址。
圖1-28 HA聯動VRRP雙主模式中全局NAT功能組網圖
(1) 配置雙主模式的HA組網環境
# 將Device A和Device B組建成雙主模式的HA環境,其具體配置步驟請參見“1.23.2 HA聯動VRRP三層雙主組網典型配置舉例”中的相關內容,本舉例不再贅述。
(2) 配置全局NAT
在此配置舉例中,僅需要在主管理設備Device A上進行NAT的相關配置,Device A上的NAT配置會自動同步到從管理設備Device B。
# 配置NAT地址組1,其地址成員範圍為2.1.1.5到2.1.1.7,並與VRRP備份組1綁定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.7
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 配置NAT地址組2,其地址成員範圍為2.1.1.8到2.1.1.10,並與VRRP備份組2綁定。
RBM_P[DeviceA] nat address-group 2
RBM_P[DeviceA-address-group-2] address 2.1.1.8 2.1.1.10
RBM_P[DeviceA-address-group-2] vrrp vrid 2
RBM_P[DeviceA-address-group-2] quit
# 創建全局NAT規則rule1,使用地址組1中的地址對10.1.1.1/25網段用戶訪問Internet的流量進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA] nat global-policy
RBM_P[DeviceA-nat-global-policy] rule name rule1
RBM_P[DeviceA-nat-global-policy-rule1] source-zone Trust
RBM_P[DeviceA-nat-global-policy-rule1] destination-zone Untrust
RBM_P[DeviceA-nat-global-policy-rule1] source-ip subnet 10.1.1.1 25
RBM_P[DeviceA-nat-global-policy-rule1] action snat address-group 1 vrrp 1
RBM_P[DeviceA-nat-global-policy-rule1] quit
# 創建全局NAT規則rule2,使用地址組2中的地址對10.1.1.129/25網段用戶訪問Internet的流量進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA-nat-global-policy] rule name rule2
RBM_P[DeviceA-nat-global-policy-rule2] source-zone Trust
RBM_P[DeviceA-nat-global-policy-rule2] destination-zone Untrust
RBM_P[DeviceA-nat-global-policy-rule2] source-ip subnet 10.1.1.129 25
RBM_P[DeviceA-nat-global-policy-rule2] action snat address-group 2 vrrp 2
RBM_P[DeviceA-nat-global-policy-rule2] quit
RBM_P[DeviceA-nat-global-policy] quit
# 以上配置完成後,內網主機Host 1能夠通過Device A訪問Internet。在Device A設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.100/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
# 以上配置完成後,內網主機Host 3能夠通過Device B訪問Internet。在Device B設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_S[DeviceB] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.200/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.8/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:17:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如圖1-29所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-29 HA聯動VRRP三層直連主備組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv6地址為3003::15/64。
# 配置路由信息,去往內網流量的下一跳IPv6地址為VRRP備份組1的虛擬IPv6地址3003::3/64,去往Internet流量的下一跳IPv6地址為出接口對端的IPv6地址。
(5) 配置Device A
a. 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0/1] ipv6 address fe80::3:1 link-local
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ipv6 address 3001::1/64
[DeviceA-GigabitEthernet1/0/2] ipv6 address fe80::1:1 link-local
[DeviceA-GigabitEthernet1/0/2] undo ipv6 nd ra halt
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ipv6 address 3005::1/64
[DeviceA-GigabitEthernet1/0/3] ipv6 address auto link-local
[DeviceA-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv6地址為3003::15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ipv6 route-static 0::0 0 3003::15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 3001::0 64
[DeviceA-security-policy-ipv6-3-trust-untrust] action pass
[DeviceA-security-policy-ipv6-3-trust-untrust] quit
# 配置安全策略規則,允許VRRP協議報文通過。當HA通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
[DeviceA-security-policy-ipv6] rule name vrrp1
[DeviceA-security-policy-ipv6-4-vrrp1] source-zone trust
[DeviceA-security-policy-ipv6-4-vrrp1] destination-zone local
[DeviceA-security-policy-ipv6-4-vrrp1] service vrrp
[DeviceA-security-policy-ipv6-4-vrrp1] action pass
[DeviceA-security-policy-ipv6-4-vrrp1] quit
[DeviceA-security-policy-ipv6] rule name vrrp2
[DeviceA-security-policy-ipv6-5-vrrp2] source-zone local
[DeviceA-security-policy-ipv6-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ipv6-5-vrrp2] service vrrp
[DeviceA-security-policy-ipv6-5-vrrp2] action pass
[DeviceA-security-policy-ipv6-5-vrrp2] quit
[DeviceA-security-policy-ipv6] rule name vrrp3
[DeviceA-security-policy-ipv6-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ipv6-6-vrrp3] destination-zone local
[DeviceA-security-policy-ipv6-6-vrrp3] service vrrp
[DeviceA-security-policy-ipv6-6-vrrp3] action pass
[DeviceA-security-policy-ipv6-6-vrrp3] quit
[DeviceA-security-policy-ipv6] rule name vrrp4
[DeviceA-security-policy-ipv6-7-vrrp4] source-zone local
[DeviceA-security-policy-ipv6-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ipv6-7-vrrp4] service vrrp
[DeviceA-security-policy-ipv6-7-vrrp4] action pass
[DeviceA-security-policy-ipv6-7-vrrp4] quit
[DeviceA-security-policy-ipv6] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。配置IPv6 VRRP備份組時配置的第一個虛擬IPv6地址必須是鏈路本地地址。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local active
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local active
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 3003::2/64
[DeviceB-GigabitEthernet1/0/1] ipv6 address fe80::3:2 link-local
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ipv6 address 3001::2/64
[DeviceB-GigabitEthernet1/0/2] ipv6 address fe80::1:2 link-local
[DeviceB-GigabitEthernet1/0/2] undo ipv6 nd ra halt
[DeviceB-GigabitEthernet1/0/2] quit
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ipv6 address 3005::2/64
[DeviceB-GigabitEthernet1/0/3] ipv6 address auto link-local
[DeviceB-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv6地址為3003::15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ipv6 route-static 0::0 0 3003::15
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行HA組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP備份組,並與HA關聯。實現HA對VRRP備份組的統一管理和流量引導。配置IPv6 VRRP備份組時配置的第一個虛擬IPv6地址必須是鏈路本地地址。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local standby
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local standby
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置Host的默認網關為VRRP備份組2的虛擬IPv6地址3001::3。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置是否生效,HA通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_P[DeviceA] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Master
IPv6 VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None FE80::3:3
GE1/0/2 2 Master 100 100 None FE80::1:3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置是否生效,HA通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_S[DeviceB] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Backup
IPv6 VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None FE80::3:3
GE1/0/2 2 Backup 100 100 None FE80::1:3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖1-30所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPFv3協議。為提高業務穩定性,使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-30 HA聯動路由三層雙主直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置HA功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv6地址為3003::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址為3004::2/64。
# 配置OSPFv3路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv6地址為3001::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址為3002::2/64。
# 配置OSPFv3路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(4) 配置Device A
a. 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0/1] ipv6 address auto link-local
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPFv3,保證路由可達
# 配置設備上的OSPFv3功能,OSPFv3協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceA] ospfv3 1
[DeviceA-ospfv3-1] router-id 2.1.1.1
[DeviceA-ospfv3-1] quit
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ospfv3 1 area 0
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ospfv3 1 area 0
[DeviceA-GigabitEthernet1/0/2] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,HA組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使20.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 2001::0 64
[DeviceA-security-policy-ipv6-3-trust-untrust] action pass
[DeviceA-security-policy-ipv6-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ipv6] rule name ospf1
[DeviceA-security-policy-ipv6-4-ospf1] source-zone trust
[DeviceA-security-policy-ipv6-4-ospf1] destination-zone local
[DeviceA-security-policy-ipv6-4-ospf1] service ospf
[DeviceA-security-policy-ipv6-4-ospf1] action pass
[DeviceA-security-policy-ipv6-4-ospf1] quit
[DeviceA-security-policy-ipv6] rule name ospf2
[DeviceA-security-policy-ipv6-5-ospf2] source-zone local
[DeviceA-security-policy-ipv6-5-ospf2] destination-zone trust
[DeviceA-security-policy-ipv6-5-ospf2] service ospf
[DeviceA-security-policy-ipv6-5-ospf2] action pass
[DeviceA-security-policy-ipv6-5-ospf2] quit
[DeviceA-security-policy-ipv6] rule name ospf3
[DeviceA-security-policy-ipv6-6-ospf3] source-zone untrust
[DeviceA-security-policy-ipv6-6-ospf3] destination-zone local
[DeviceA-security-policy-ipv6-6-ospf3] service ospf
[DeviceA-security-policy-ipv6-6-ospf3] action pass
[DeviceA-security-policy-ipv6-6-ospf3] quit
[DeviceA-security-policy-ipv6] rule name ospf4
[DeviceA-security-policy-ipv6-7-ospf4] source-zone local
[DeviceA-security-policy-ipv6-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ipv6-7-ospf4] service ospf
[DeviceA-security-policy-ipv6-7-ospf4] action pass
[DeviceA-security-policy-ipv6-7-ospf4] quit
[DeviceA-security-policy-ipv6] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 開啟HA調整備設備上動態路由協議OSPFv3的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置HA與序號為1和2的Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關HA的配置部署完成後,可以配置各種安全業務。對於HA支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置接口IPv6地址
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 3004::1/64
[DeviceB-GigabitEthernet1/0/1] ipv6 address auto link-local
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPFv3,保證路由可達
# 配置設備上的OSPFv3功能,OSPFv3協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceB] ospfv3 1
[DeviceB-ospfv3-1] router-id 3.1.1.1
[DeviceB-ospfv3-1] quit
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ospfv3 1 area 0
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ospfv3 1 area 0
[DeviceB-GigabitEthernet1/0/2] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行HA組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 開啟HA調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置HA與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為2002::1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device A的OSPFv3路由信息,可看到Device A的Cost值與Device B相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_P[DeviceA] display ospfv3 interface
OSPFv3 Process 1 with Router ID 2.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 2.1.1.1 1.1.1.1 0 GE1/0/1
3 BDR 1 1 4.1.1.1 2.1.1.1 0 GE1/0/2
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device B的OSPFv3路由信息,可看到Device B的Cost值與Device A相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_S[DeviceB] display ospfv3 interface
OSPFv3 Process 1 with Router ID 3.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 3.1.1.1 1.1.1.1 0 GE1/0/1
3 BDR 1 1 4.1.1.1 3.1.1.1 0 GE1/0/2
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
