- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-雙機熱備(RBM)配置
本章節下載: 02-雙機熱備(RBM)配置 (1.61 MB)
雙機熱備(RBM)是一種通過本公司私有的RBM(Remote Backup Management,遠端備份管理)協議,實現設備級的高可靠性(High Availability,簡稱HA)的技術。此技術能夠在通信線路或設備產生故障時提供備用方案,當其中一個網絡節點發生故障時,另一個網絡節點可以接替故障節點繼續工作。
下文中使用的HA概念無特殊說明的情況下均指雙機熱備(RBM)技術。
RBM通過RBM協議管理多個VRRP備份組狀態的統一切換或者調整動態路由協議的開銷值等,選舉出RBM係統中每台設備的主備狀態,及其主備狀態的動態切換。同時通過RBM協議備份設備間的關鍵配置信息和業務表項等,從而保證用戶業務數據的不間斷傳輸。需要兩台軟硬件環境完全相同的設備進行RBM組網。
隨著互聯網以及各行各業數字化轉型的蓬勃發展,網絡承載的業務越來越多,越來越重要。如何保證網絡的可靠性、業務的不間斷傳輸成為網絡建設中必須要解決的問題。
如圖1-1中的左圖所示,Device部署在網絡的出口,內、外網之間的業務均會通過Device處理和轉發。如果Device出現故障,便會導致內、外網之間的業務全部中斷。由此可見,在這種網絡關鍵位置上如果隻使用一台設備的情況下,無論其可靠性多高,都會存在因設備單點故障而導致網絡中斷的風險。
因此,通常會在網絡的關鍵位置部署兩台設備,以提升網絡的可靠性。如圖1-1中的右圖所示,當Device A出現故障時,流量會通過Device B轉發,保證內、外網之間業務不間斷運行。
圖1-1 RBM部署提升網絡可靠性示意圖
對於傳統的網絡設備(如交換機、路由器),隻需要做好二層網絡的冗餘和路由表項的備份就可以保證業務的不間斷傳輸。但是,對於需要對報文進行狀態檢測和策略處理的設備(如防火牆、入侵防禦、網頁防火牆、上網行為審計等),它會對一條流量的首包進行合法性檢測,並建立會話來記錄報文的狀態信息(包括報文的源IP、源端口、目的IP、目的端口、協議等)。而這條流量的後續報文隻有匹配會話才會在此類設備上進行處理並完成報文轉發,如果後續報文不能匹配到會話則會被丟棄。所以當此類設備進行RBM部署時還需要保證兩台設備之間的業務表項信息和關鍵配置信息的一致性,隻有如此才能保證業務的不間斷傳輸。
RBM功能可以解決以上問題。如圖1-1中的右圖所示,RBM功能提供一條專用備份通道,用於兩台Device之間進行會話等狀態信息和配置信息的備份。
雙機熱備技術包含的基本概念如下:
· 主、從管理設備:在控製層麵RBM係統中的設備分為主、從兩種管理角色(也可以稱作主、從管理狀態),用於控製設備之間關鍵配置信息的同步。RBM控製通道建立成功後,隻能在主管理設備上配置相關業務功能(支持配置信息同步的命令),從管理設備上不能配置。係統會在命令行提示符前增加前綴信息,以便標識設備的主、從管理角色。RBM_P前綴信息表示主管理角色,如RBM_P<Sysname>;RBM_S前綴信息表示從管理角色,如RBM_S<Sysname>。
· 主、備設備:在數據層麵RBM係統中包含主、備兩種業務角色(也可以稱作主、備業務狀態)。主設備處理業務,並向備設備實時備份業務表項信息;備設備除接收主設備的業務表項備份信息外,在主設備發生故障後,備設備會轉換成主設備,繼續處理業務流量,保證業務不中斷。
· RBM通道:用於兩台設備之間交互RBM係統的運行狀態信息,關鍵配置信息和業務表信息。
· 雙機熱備工作模式:支持主備、鏡像和雙主三種工作模式。主備模式下,僅由主設備處理業務,備設備處於待命狀態;鏡像模式下,兩台設備的接口(鏡像模式管理接口和RBM通道接口除外)使用相同的IP地址,同樣由主設備處理業務,備設備處於待命狀態;雙主模式下,兩台設備同時處理業務,充分利用設備資源,提高係統負載分擔能力。
· RBM報文:RBM報文使用RBM協議承載兩台設備之間需要交互的信息。其使用TCP作為傳輸層協議,TCP連接建立後,主管理設備和從管理設備通過RBM通道交互RBM報文。
雙機熱備支持主備、鏡像和雙主三種工作模式,具體介紹如下。
如圖1-2所示,主備模式下,正常情況僅由主設備處理業務,備設備處於待命狀態;當主設備接口、鏈路或整機故障時,備設備立即切換為主設備,接替原主設備處理業務。
圖1-2 主備模式的雙機熱備示意圖
鏡像模式是一種特殊的主備模式,部署方式與主備模式相同。在鏡像模式下,兩台設備的接口(鏡像模式管理接口和RBM通道接口除外)使用相同的IP地址,正常情況下同樣由主設備處理業務,備設備處於待命狀態;當主設備接口、鏈路或整機故障時,備設備立即切換為主設備,接替原主設備處理業務。
此組網環境中RBM必須關聯Track項,否則上下行鏈路或接口故障時,雙機熱備不能主備切換。
如圖1-3所示,雙主模式下,兩台設備同時處理業務,充分利用設備資源,提高係統負載能力,此模式通過互為主備方法實現。並且當其中一台設備發生故障時,另外一台設備會立即承擔其業務,保證業務不中斷。
圖1-3 雙主模式的雙機熱備示意圖
如圖1-4所示,RBM業務角色選舉條件的優先級從高到底依次為鏈路狀態、Context狀態、健康值、工作模式。
雙機熱備組網中,設備之間具體選舉過程如下:
(1) 首先比較設備的業務接口鏈路狀態,可通過track、track interface、track vlan等命令監測業務接口的鏈路狀態。此時會有以下三種情況:
¡ 一台設備業務接口鏈路狀態全為UP,另一台設備存在DOWN的接口:業務接口鏈路狀態全為UP的設備會當選為主設備,另一台為備設備。
¡ 兩台設備業務接口鏈路狀態全為UP:進行下一步選舉。
¡ 兩台設備都存在業務接口鏈路狀態為DOWN的接口:進行下一步選舉。
(2) 當無法比較設備的業務接口鏈路狀態時,則比較設備之間的Context狀態,擁有更多處於active狀態Context的設備將當選為主設備,另一台設備為備設備。RBM隻比較兩端編號相同的非缺省Context的狀態。
(3) 當Context狀態相同時,則比較設備的健康值(管理員可通過display system health命令查看設備健康值),健康值小的設備會當選為主設備,另一台設備則為備設備。
(4) 當以上條件都相同時,則根據設備的工作模式來選擇業務角色。雙主模式下,兩台設備都為主設備。主備和鏡像模式下,由主管理設備作為主設備,從管理設備作為備設備。當設備的管理角色配置為自動選擇時,雙機熱備會選舉控製通道本端IP地址小的一方為主管理設備,此時該設備是主設備,另一台設備為備設備。
RBM報文包括如下:
· 心跳報文(Keepalive報文):兩台設備通過定期互相發送心跳報文來檢測對端設備是否存活。
· 控製報文:根據設備的運行狀態來控製設備的主備狀態切換。
· 配置信息和表項備份報文:用於兩台設備之間進行配置信息和業務表項的備份。
· 配置一致性檢查報文:用於設備之間檢測配置信息,以確保兩台設備的關鍵配置一致。
· 透傳報文:用於設備間非對稱路徑業務報文的透傳或複製。
RBM通道用於兩台設備之間進行RBM運行狀態、關鍵配置和業務表項等信息的傳輸,包括以下三種類型的通道:
· 控製通道:可傳輸的報文類型包括RBM的心跳報文、運行狀態報文、一致性檢查報文和同步配置信息的報文等。
· 數據通道:可傳輸的報文類型包括熱備報文和透傳報文。數據通道的報文傳輸模式支持使用二層或三層。
控製通道基於TCP協議來監測鏈路的連通性。控製通道建立後,設備會周期性向對端設備發送Keepalive報文,如果達到最大發送次數後仍然沒有收到對端的回應,則RBM通道斷開,RBM失效。
RBM能夠將主設備上生成的業務表項信息實時備份到備設備,避免了主備設備切換時因備設備上缺失業務表項而造成的業務中斷問題。
需要對報文進行狀態檢測的設備,對於每個動態生成的連接,都有一個會話表項與之對應。主設備在處理業務的過程中創建了很多會話表項;而備設備沒有報文經過,因此也就沒有創建會話表項。通過RBM的業務表項實時備份功能,主設備會實時將會話表項備份到備設備,當主備切換後,已有連接的後續業務報文可以通過匹配備份來的會話表項來保持業務不中斷。
目前RBM支持熱備的業務表項包括:IPsec隧道相關的信息表項、域名解析相關的表項、NAT端口塊表項、AFT端口塊表項、會話表項、會話關聯表項和各個安全業務模塊自身生成的業務表項。
此處列舉了雙機熱備支持熱備的所有業務表項,其中部分業務表項本產品可能不支持,請以設備的實際情況為準。
RBM可以將主管理設備上的關鍵配置信息備份到從管理設備,避免了主備設備切換時因對端設備缺失對應的配置信息而造成的業務中斷問題。
RBM中主從管理設備之間的關鍵配置信息備份原理分如下兩種:
· 兩台設備均正常運行情況下,配置信息隻能從“主管理設備”同步到“從管理設備”,並覆蓋從管理設備上對應的配置信息,因此建議僅在主管理設備上配置相關功能,不建議在從管理設備上進行配置。
· 兩台設備的任意一台重啟情況下,重啟後的設備向未重啟的設備獲取關鍵配置信息,並覆蓋本設備上對應的配置信息。
RBM支持自動和手動兩種方式進行配置信息備份。
此處列舉了雙機熱備支持配置信息同步的所有業務模塊以及對應的命令,其中部分業務模塊或命令本產品可能不支持,請以設備的實際情況為準。
目前雙機熱備主備、鏡像和雙主模式下均支持配置信息同步的業務模塊如下:
表1-1 雙機熱備主備、鏡像和雙主模式下均支持配置信息同步的業務模塊
|
模塊 |
支持情況 |
說明 |
|
RBAC |
部分支持 |
僅role feature-group、feature、vpn-instance policy deny、permit vpn-instance命令支持同步 |
|
接口管理分冊 |
部分支持 |
除shutdown外所有在接口視圖下配置的命令支持同步 |
|
VLAN |
全部支持 |
- |
|
IPoE |
全部支持 |
- |
|
域名解析 |
部分支持 |
DDNS中命令不支持同步 |
|
NAT |
全部支持 |
- |
|
AFT |
全部支持 |
- |
|
VPN實例 |
全部支持 |
- |
|
ACL |
部分支持 |
除acl copy命令外的其他命令支持同步 |
|
時間段 |
全部支持 |
- |
|
安全域 |
全部支持 |
- |
|
AAA |
部分支持 |
本地用戶配置命令中配置網絡接入類本地用戶屬性的命令都支持同步 RADIUS配置命令中的radius dynamic-author server、port、client、attribute translate、attribute convert (RADIUS DAE server view)、attribute reject (RADIUS DAE server view)命令支持同步 RADIUS服務器配置命令中的radius-server client、radius-server activate、radius-server deactivate、radius-server ldap-scheme、radius-server eap-profile命令支持同步 HWTACACS配置命令中除hwtacacs nas-ip、nas-ip (HWTACACS scheme view)外的其他命令 |
|
Password Control |
全部支持 |
- |
|
IPsec |
部分支持 |
僅IKEv1、IKEv2和IPsec安全策略相關功能支持配置信息同步,其他IPsec功能不支持配置信息同步 |
|
SSL VPN |
全部支持 |
- |
|
ASPF |
全部支持 |
- |
|
APR |
全部支持 |
- |
|
會話管理 |
全部支持 |
- |
|
連接數限製 |
全部支持 |
- |
|
對象組 |
全部支持 |
- |
|
安全策略 |
全部支持 |
- |
|
攻擊檢測與防範 |
全部支持 |
- |
|
雲平台連接 |
全部支持 |
- |
|
NQA |
部分支持 |
係統視圖下的nqa agent enable命令支持同步 NQA模板視圖下,除了destination ipv6、destination ip、next-hop ip、next-hop ipv6、proxy-url、source ip、source ipv6、source port、url命令外的其他命令支持同步 |
|
快速日誌輸出 |
全部支持 |
- |
|
Flow日誌 |
全部支持 |
- |
|
信息中心 |
部分支持 |
info-center loghost source命令不支持同步 |
|
應用層檢測引擎 |
全部支持 |
- |
|
IPS |
全部支持 |
- |
|
URL過濾 |
全部支持 |
- |
|
數據過濾 |
全部支持 |
- |
|
文件過濾 |
全部支持 |
- |
|
防病毒 |
全部支持 |
- |
|
數據分析中心 |
全部支持 |
- |
|
代理策略 |
全部支持 |
- |
|
WAF |
全部支持 |
- |
|
APT防禦 |
全部支持 |
- |
|
帶寬管理 |
全部支持 |
- |
|
應用審計與管理 |
全部支持 |
- |
|
共享上網管理 |
全部支持 |
- |
|
負載均衡 |
全部支持 |
- |
|
全局負載均衡 |
部分支持 |
loadbalance default-syncgroup member命令不支持同步 |
在鏡像模式下除上述模塊支持配置信息同步外,還有以下模塊支持配置信息同步:
表1-2 僅鏡像模式支持配置信息同步的模塊
|
模塊 |
支持情況 |
說明 |
|
登錄設備 |
部分支持 |
用戶線視圖下的命令支持同步 |
|
配置文件管理 |
部分支持 |
配置文件保存的相關命令支持同步 |
|
設備管理 |
部分支持 |
clock datetime、clock summer-time、clock timezone命令支持同步 |
|
MAC地址表配置 |
部分支持 |
除mac-address blackhole、mac-address static命令外的其他命令支持同步 |
|
VLAN終結 |
全部支持 |
- |
|
二層轉發 |
部分支持 |
mac fast-forwarding check-vlan-id、bridge fast-forwarding check-vlan-id命令支持同步 |
|
ARP |
部分支持 |
除arp multiport命令外的其他命令支持同步 |
|
IP地址 |
部分支持 |
僅ip address命令支持同步 |
|
DHCP |
部分支持 |
DHCP公共命令、DHCP服務器配置命令、DHCP客戶端配置命令支持同步 |
|
IP轉發基礎 |
全部支持 |
- |
|
快速轉發 |
部分支持 |
除hardware fast-forwarding enable命令外的其他命令都支持同步 |
|
多CPU報文負載分擔 |
全部支持 |
- |
|
IP性能優化 |
部分支持 |
配置IP報文功能相關命令以及tcp mss、tcp auto-adjust-mss命令支持同步 |
|
IPv6基礎 |
部分支持 |
ipv6 address、ipv6 mtu及IPv6鄰居發現相關命令支持同步 |
|
DHCPv6 |
部分支持 |
DHCPv6公共命令、DHCPv6服務器配置命令、DHCPv6客戶端配置命令支持同步 |
|
IPv6快速轉發 |
全部支持 |
- |
|
隧道 |
部分支持 |
interface tunnel number [ mode { gre [ ipv6 ] | ipv4-ipv6 | ipv6-ipv4 [ 6rd | 6to4 | auto-tunnel | isatap ] | mgre } ]命令支持同步 |
|
GRE |
部分支持 |
gre key、gre checksum命令支持同步 |
|
IP路由基礎 |
全部支持 |
- |
|
靜態路由 |
全部支持 |
- |
|
RIP |
全部支持 |
- |
|
OSPF |
全部支持 |
- |
|
BGP |
全部支持 |
- |
|
IPv6靜態路由 |
全部支持 |
- |
|
RIPng |
全部支持 |
- |
|
OSPFv3 |
全部支持 |
- |
|
路由策略 |
全部支持 |
- |
|
MPLS L3VPN |
部分支持 |
除BGP相關視圖下的命令支持同步 |
|
QOS |
全部支持 |
- |
|
AAA |
部分支持 |
本地用戶配置命令中配置設備管理類本地用戶屬性的命令都支持同步 |
|
Keychain |
全部支持 |
- |
|
PKI |
部分支持 |
私鑰、本地證書、CA證書、CRL、證書過濾相關的命令支持同步 |
|
SSH |
部分支持 |
除dsa local-key-pair create、rsa local-key-pair create和ecc local-key-pair create命令外的其他命令支持同步 |
|
ARP攻擊防禦 |
全部支持 |
- |
|
MFF |
全部支持 |
- |
|
BFD |
全部支持 |
- |
|
EVI |
部分支持 |
僅evi arp-suppression enable命令支持同步 |
|
VXLAN |
部分支持 |
僅arp distributed-gateway dynamic-entry synchronize命令支持同步 |
RBM通過交互一致性檢查報文來檢測兩台設備的配置信息是否一致,用於防止由於兩台設備配置信息不一致,而導致主備切換後業務不通的情況。當配置信息不一致時,設備會發送日誌信息,以提示管理員進行配置信息的手動同步。
RBM配置信息一致性檢查的過程如下:
(1) 主管理設備發送一致性檢查請求報文給從管理設備,同時收集自身相關模塊配置信息的摘要。
(2) 從管理設備收到一致性檢查請求後,會收集自身相關模塊配置信息的摘要,然後封裝到一致性檢查報文返回給主管理設備。
(3) 主管理設備收到從管理設備返回的一致性檢查報文後,將自身配置信息的摘要與從管理設備配置信息的摘要進行對比,如果對比結果不一致,則主管理設備輸出日誌信息。
雙機熱備的主、從管理狀態由配置指定,不會動態切換;雙機熱備的主、備運行狀態由RBM選舉決定,可動態切換。
如圖1-5所示,在RBM控製通道未建立的情況下,控製層麵兩台設備都是主管理狀態,數據層麵兩台設備也都是主業務狀態,但是此時並不是正常的RBM狀態,RBM組建還未完成。
圖1-5 RBM控製通道未建立的情況
如圖1-6所示,在RBM控製通道建立成功且兩台設備均運行正常的情況下,控製層麵兩台設備的管理狀態由配置信息決定。數據層麵,在主備工作模式下,兩台設備的運行狀態與管理狀態保持一致,即主管理設備就是業務主,從管理設備就是業務備;在雙主工作模式下,兩台設備都是業務主。
圖1-6 RBM控製通道建立成功且兩台設備均運行正常的情況,主備工作模式舉例
如圖1-7所示,當上下行業務鏈路故障時,隻會導致數據層麵的主、備業務狀態發生切換,使流量切換到正常設備上進行處理,這種情況不會導致控製層麵的主、從管理狀態發生切換。
如圖1-8所示,隻有主管理設備整機故障或重啟(相當於RBM控製通道未建立的情況)才會導致控製層麵的主、從管理狀態和數據層麵的主、備業務狀態一起發生切換。從管理設備會臨時搶占為主管理狀態;當主管理設備故障恢複後(相當於RBM控製通道建立的情況),從管理設備變為從管理狀態。
在設備運行過程中,故障事件可能會導致業務中斷。因此需要設備設定不同的觸發事件來監控故障事件。當設備監測到故障事件發生時,會自動觸發主備切換機製,從而保證業務的連續性和穩定性。
觸發主備切換的事件可分為RBM通道正常和RBM通道斷開兩種。
由於RBM通道斷開而觸發主備切換的事件主要有以下幾種:
· 兩台設備正常運行情況下,當控製通道斷開後會進行主備切換。這時兩台設備都變為主設備,進行業務處理,但是兩台設備不再是RBM狀態,對後續的非對稱流量會有影響。
· 主設備整機故障,備設備升為主設備進行業務處理。
當RBM通道正常時,觸發主備切換的事件主要有以下幾種:
· 主設備上RBM監控的接口故障(如track、track interface、track vlan等)。
主設備上RBM監控的接口故障會觸發主備切換,當兩台設備上都存在故障的接口時,主備工作模式中,業務主就是主管理設備,業務備就是從管理設備;雙主工作模式中,兩台設備都將變為業務主。
· 主設備上關閉與備設備編號相同的非缺省Context。
主設備上關閉與備設備編號相同的非缺省Context會觸發業務主備競選。競選過程中當兩台設備上編號相同且處於active狀態的非缺省Context數量一樣時,主備工作模式中,業務主就是主管理設備,業務備就是從管理設備;雙主工作模式中,兩台設備都是業務主。當兩台設備上編號相同且處於active狀態的非缺省Context數量不一樣時,任何工作模式中,都是active狀態的非缺省Context數量多的一方競選為業務主,少的一方競選為業務備。
· 主設備的健康值變化。
主設備的健康值變化會觸發主備競選。競選過程中當兩台設備的健康值相同時,主備工作模式中,業務主就是主管理設備,業務備就是從管理設備;雙主工作模式中,兩台設備都是業務主。當兩台設備的健康值不一樣時,任何工作模式中,都是健康值小的一方競選為業務主,大的一方競選為業務備。
主設備切換備時,RBM通過對其他模塊進行如下聯動,將流量引流到新的主設備:
· RBM與VRRP聯動時,RBM將故障設備上的VRRP備份組狀態都切為Backup狀態。
· RBM與動態路由聯動時,RBM將故障設備上的路由開銷值調大。
在RBM與VRRP聯動的組網環境中,RBM將會控製設備在多個VRRP備份組中Master和Backup狀態的統一切換。此功能可以使設備的上下行流量同時切換到新的主設備,保證業務不中斷。
此處以主備模式為例,介紹RBM與VRRP的聯動組網情況,具體如下。
· 如圖1-9左圖所示,當VRRP鏈路故障時會導致上、下行VRRP備份組中的Master設備不在同一台設備,造成流量中斷。
· 如圖1-9右圖所示,將RBM和VRRP關聯後可以解決以上問題。RBM控製通道建立後,VRRP備份組內的設備狀態將由RBM決定,VRRP自身的主備選擇機製不再生效。當RBM的控製通道斷開後,VRRP自身的主備選擇機製將會重新生效。
圖1-9 RBM聯動VRRP示意圖
VRRP active組和VRRP standby組:用於將RBM與VRRP進行關聯,實現RBM對多個VRRP備份組狀態進行統一管理的目的。
VRRP active/standby組分別有兩種狀態:Master狀態和Backup狀態。VRRP成員設備在VRRP備份組中的狀態與所屬VRRP active/standby組的狀態保持一致。例如,VRRP active備份組的狀態是Master,則該組中所有設備在VRRP備份組中的狀態均為Master。
VRRP active/standby組的初始狀態與RBM的工作模式有關,具體如下:
· 主備模式下:主管理設備上VRRP active組和VRRP standby組的初始狀態均為Master;從管理設備上VRRP active組和VRRP standby組的初始狀態均為Backup。
· 雙主模式下:VRRP active/standby組的狀態與主從管理設備角色無關,VRRP active組的初始狀態為Master;VRRP standby組的初始狀態為Backup。
將RBM與VRRP關聯成功後,VRRP備份組中Master/Backup狀態的變化機製如下:
(1) 正常情況下,Device A(假設其是主管理設備)上VRRP active組的狀態是Master,所以Device A在VRRP備份組1和VRRP備份組2中的狀態是Master設備。Device B(假設其是從管理設備)上VRRP standby組的狀態是Backup,所以Device B在VRRP備份組1和VRRP備份組2中的狀態是Backup設備。
(2) 當Device A的下行接口Interface A2故障後,RBM會收到接口故障事件。然後RBM發送VRRP active/standby組狀態信息變更報文給Device B,通知Device B將其VRRP standby組的狀態變更為Master。
(3) Device B收到VRRP active/standby組狀態信息變更報文後,會將自身VRRP standby組的狀態變更為Master,同時將Device B在VRRP備份組1和VRRP備份組2中的狀態變為Master設備。變更完成後給Device A發送應答報文。
(4) Device A收到Device B的VRRP standby組狀態變更成功應答報文後,將自己VRRP active組的狀態變更為Backup,同時將Device A在VRRP備份組1和VRRP備份組2中的狀態變更為Backup。
當Device A的下行接口Interface A2故障恢複後,流量會進行回切,VRRP備份組中Master/Backup狀態的變化與接口故障時的變化過程類似,不再重複介紹。
當VRRP備份組中的設備接收到虛擬IP地址的ARP請求報文後,隻能由Master設備使用VRRP備份組的虛擬MAC地址響應此ARP請求,與此同時ARP報文傳輸路徑上的二層設備也就學習到了此虛擬MAC地址的MAC地址表項。
在雲場景中往往存在眾多的租戶,每個租戶都需要具有獨立的網絡(IP地址)。傳統RBM聯動VRRP的可靠性方式每一組VRRP備份組都需要三個IP地址,這種可靠性方式在雲場景下會出現IP地址不夠用的情況。這時,使用RBM聯動虛擬地址方式可以有效解決以上問題。
RBM聯動虛擬地址功能是指,在兩台設備的相同編號的業務接口上配置虛擬IP地址(也叫浮動IP地址)後,這些業務接口上的虛擬地址將與RBM進行關聯,並受RBM的統一管理和控製。具體為,RBM的業務主設備將會使用業務接口的虛擬IP地址和虛擬MAC地址響應ARP請求,但是,RBM的業務備設備將不會進行ARP請求的應答。這樣就可以保證上下行流量始終都可以被引流到RBM的業務主設備進行業務處理。
此組網環境中RBM必須關聯Track項,否則上下行鏈路或接口故障時,RBM不能主備切換。
如圖1-10所示,RBM聯動虛擬地址後,內網訪問外網的報文被處理的流程如下:
(1) 當內網Host訪問外網時,在Host發送業務請求報文前,首先會廣播ARP請求報文,學習網關虛擬IP地址10.1.1.1對應的MAC地址。
(2) 當Device A和Device B接收到此ARP請求報文後,隻有RBM中的業務主設備(Device A)使用業務接口的虛擬MAC地址響應此ARP請求給Host。
(3) 在此ARP學習過程中,中間的交換機Switch B也學習到了有關此虛擬MAC的MAC地址表項,用於指導後續報文的轉發。
(4) 最後,Host隻會收到RBM中的業務主設備(Device A)響應的ARP報文,Host就會以學習到的此虛擬MAC地址來封裝報文,將報文送到Device A,從而可以保證業務的正常運行。
(5) 來自外網的響應報文在整個網絡中的處理過程與上麵所描述的過程相同,此處不再贅述。
圖1-10 RBM聯動虛地址示意圖
在RBM與動態路由聯動的組網環境中,RBM將會調整備設備上動態路由協議對外通告的鏈路開銷值。這樣即能保證主備切換時能使設備的上下行流量同時切換到新的主設備,保證業務不中斷。
此組網環境中RBM必須關聯Track項,否則上下行鏈路或接口故障時,RBM不能主備切換。
此處以RBM與OSPF聯動的主備模式為例,介紹RBM與動態路由的聯動情況,具體如下。
· 如圖1-11左圖所示,正常情況下,Device A(主設備)根據OSPF的配置正常通告鏈路開銷值(如1),而Device B(備設備)通告的鏈路開銷值是被RBM調整後的值(如65500)。這樣可以使內外網之間的流量都走Device A轉發。
· 如圖1-11右圖所示,當Device A的下行接口Interface A2故障後,Device A和Device B將進行主備切換。之後,Device B(主設備)根據OSPF的配置正常通告鏈路開銷值(如1),而Device A(備設備)通告的鏈路開銷值是被RBM調整後的值(如65500)。這樣可以使內外網之間的流量都切換到Device B轉發。
圖1-11 RBM聯動路由示意圖
在RBM透明組網環境中,可通過track vlan或track interface命令將上下行接口的狀態進行聯動。當其中一個接口故障後,另一個接口也會失去報文轉發能力,從而使設備的上下行流量同時切換到新的主設備,保證業務不中斷。
RBM的track vlan或track interface功能可以保證所監控對象之間的狀態相互聯動並保持一致,使其同時具備或同時不具備報文轉發能力。
此處以RBM的track vlan功能為例,介紹RBM透明組網的情況,具體如下。
· 如圖1-12左圖所示,正常情況下,Device A(主設備)上RBM將監控的VLAN10設置為Active狀態,Device B(備設備)上RBM將監控的VLAN10設置為Inactive狀態。這樣可以使內外網之間的流量走Device A轉發。
· 如圖1-12右圖所示,當Device A的下行接口Port A2故障後,Device A和Device B將進行主備切換。之後,Device B(主設備)上RBM將監控的VLAN10設置為Active狀態,而Device A(備設備)上RBM將監控的VLAN10設置為Inactive狀態。這樣可以使內外網之間的流量走Device B轉發。
圖1-12 RBM透明組網示意圖
虛擬MAC地址是一種獨特的MAC地址,它不是由硬件所固定產生,而是由軟件程序創建,用於模擬網絡中真實設備的MAC地址。在雙機熱備鏡像模式、RBM聯動VRRP、RBM聯動虛擬地址三種組網場景中都需要使用虛擬MAC地址,不同組網場景下對於虛擬MAC的使用方式不同。
在RBM聯動VRRP的組網場景下,RBM成員設備的業務接口上配置了VRRP備份組並與RBM關聯。每個VRRP備份組都會產生一個虛擬MAC地址,並根據配置來決定發送報文時使用物理MAC地址還是虛擬MAC地址。
圖1-13 RBM聯動VRRP組網下MAC地址使用規則
|
報文類別 |
缺省配置 |
係統視圖配置ip send-packet source-mac prefer virtual-mac |
係統視圖配置undo vrrp virtual-mac enable |
|
RBM主設備接收針對虛擬IP的ARP請求發送虛擬IP的應答 |
以太網封裝源MAC是虛擬MAC,ARP應答MAC也是虛擬MAC |
無影響 |
以太網封裝源MAC是物理MAC,ARP應答MAC也是物理MAC |
|
RBM主設備主動發送虛擬IP的免費ARP |
以太網封裝源MAC是虛擬MAC,ARP公告MAC也是虛擬MAC |
無影響 |
以太網封裝源MAC是物理MAC,ARP公告MAC也是物理MAC |
|
RBM主設備轉發IP報文 |
以太網封裝源MAC是物理MAC |
以太網封裝源MAC是虛擬MAC |
無影響 |
|
RBM主設備本機發送IP報文 |
以太網封裝源MAC是物理MAC |
如果源IP是虛擬IP,以太網封裝源MAC是虛擬MAC,如果源IP不是虛擬IP,以太網封裝源MAC是物理MAC |
無影響 |
|
RBM備設備轉發IP報文 |
以太網封裝源MAC是物理MAC |
以太網封裝源MAC是物理MAC |
無影響 |
|
RBM備設備本機發送IP報文 |
以太網封裝源MAC是物理MAC |
以太網封裝源MAC是物理MAC |
無影響 |
在RBM聯動虛擬地址的組網場景下,RBM成員設備的業務接口上配置虛擬IP(浮動IP)地址後,設備上的虛擬MAC地址就會生效,並根據配置來決定發送報文時使用物理MAC地址還是虛擬MAC地址。
圖1-14 RBM聯動虛擬地址組網下MAC地址使用規則
|
報文類別 |
缺省配置 |
係統視圖配置ip send-packet source-mac prefer virtual-mac |
|
RBM主設備接收針對虛擬IP的ARP請求發送虛擬IP的應答 |
以太網封裝源MAC是虛擬MAC,ARP應答MAC也是虛擬MAC |
無影響 |
|
RBM主設備主動發送虛擬IP的免費ARP |
以太網封裝源MAC是虛擬MAC,ARP公告MAC也是虛擬MAC |
無影響 |
|
RBM主設備轉發IP報文 |
以太網封裝源MAC是物理MAC |
以太網封裝源MAC是虛擬MAC |
|
RBM主設備本機發送IP報文 |
以太網封裝源MAC是物理MAC |
如果源IP是虛擬IP,以太網封裝源MAC是虛擬MAC,如果源IP不是虛擬IP,以太網封裝源MAC是物理MAC |
|
RBM備設備轉發IP報文 |
以太網封裝源MAC是物理MAC |
以太網封裝源MAC是物理MAC |
|
RBM備設備本機發送IP報文 |
以太網封裝源MAC是物理MAC |
以太網封裝源MAC是物理MAC |
在雙機熱備鏡像模式的組網場景下,當運行模式為鏡像模式時RBM成員設備的業務接口上的虛擬MAC地址就會生效,並發送報文時使用虛擬MAC地址。
圖1-15 雙機熱備鏡像模式MAC地址使用規則
|
報文類別 |
缺省配置 |
|
RBM主設備接收針對虛擬IP的ARP請求發送虛擬IP的應答 |
以太網封裝源MAC是虛擬MAC,ARP應答MAC也是虛擬MAC |
|
RBM主設備主動發送虛擬IP的免費ARP |
以太網封裝源MAC是虛擬MAC,ARP公告MAC也是虛擬MAC |
|
RBM主設備轉發IP報文 |
以太網封裝源MAC是虛擬MAC |
|
RBM主設備本機發送IP報文 |
以太網封裝源MAC是虛擬MAC |
在RBM聯動VRRP、RBM聯動虛擬地址組網場景中,RBM成員設備的業務接口在發送ARP報文時會使用虛擬MAC地址,但業務主設備發送的其他報文會使用接口的物理MAC地址對報文進行封裝,此時可能會出現問題。例如,RBM成員設備的上下行設備使用嚴格型uRPF檢查,此時報文可能會被丟棄從而導致業務中斷。此時有以下兩種解決方法:
· 管理員可以在RBM主管理設備上開啟接口發送報文的源MAC地址優先使用虛擬MAC功能使業務主設備發送的報文也使用虛擬MAC地址來封裝。
· 在RBM聯動VRRP的組網場景中,管理員也可以通過配置undo vrrp virtual-mac enable命令使ARP報文使用物理MAC地址來避免業務中斷,兩個功能不能同時配置。
有關vrrp virtual-mac enable命令的詳細介紹,請參見“高可靠性命令參考”中的“VRRP命令”。
僅支持兩台設備進行RBM組網。
因為一台設備故障時另一台設備需要承擔兩台設備的流量,所以建議在正常情況下每台設備隻負載各自實際能力50%的流量。
對於RBM支持配置信息同步的業務模塊隻需要在主管理設備上配置相關功能即可,對於不支持配置信息同步的模塊需要在雙機熱備係統的所有設備上均配置相關功能。有關RBM具體支持哪些業務模塊的配置信息同步,請參見配置信息備份中的詳細介紹。
RBM管理視圖下的配置命令都不支持同步,需要在兩端同時配置。
對於資源文件類型的相關功能或者文件(比如:公鑰信息、ISP地址庫文件、特征庫文件等),需要RBM中的所有設備上均導入相同內容的文件。
對於需要進行License授權的特性或特征庫等,需要對主、備設備分別進行購買和激活License授權。
設備上承載業務流量的接口都必須加入安全域,否則接口間流量不能互通,並配置安全策略控製接口間報文的轉發。
RBM不能與DHCP Client等自動獲取IP地址的特性結合使用,因為此種組網中業務接口的IP地址必須固定。
當業務接口工作在二層模式時,兩台設備的上、下行業務接口需要加入同一VLAN。
在RBM控製通道已建立且開啟配置信息自動備份功能的情況下,從管理設備上不能創建虛擬接口(如子接口、VLAN接口等),隻能進入已經存在接口的接口視圖。從管理設備上的這些虛擬接口隻能先在主管理設備上創建完成後,再同步到從管理設備。
當使用track、track interface、track vlan命令監控聚合接口時,設備僅關注聚合接口的狀態,不關注聚合成員接口的狀態。當使用track、track interface、track vlan命令監控聚合成員接口時,設備僅關注聚合成員接口的狀態,不關注聚合接口的狀態。
針對一些設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
RBM通道通過心跳線進行連接,心跳線可以直連,也可以通過中間設備連接。其中F1000-C-G5、F1000-C-G5-LI、F1000-E-XI、F100-E-G5設備由於架構設計和其他設備有區別,在和中間交換機連接時,在RBM通道傳輸數據時會打上VLAN tag 2044的標簽,故需要在中間交換機與兩台設備連接的接口上配置port trunk permit vlan 2044命令。
有關RBM控製通道和數據通道接口的其他相關限製和指導如下:
· 接口隻支持物理口和聚合口,不支持子接口及成員口。
· 接口不支持與指定VPN實例關聯,不支持配置從IP地址。
· RBM通道接口可以支持同速率同介質的接口聚合使用。
· 當接口以獨占或共享方式分配給非缺省Context時,無法使用該接口作為RBM通道接口,非缺省Context下的信息可以通過缺省Context的RBM通道進行同步。
· RBM的控製通道和數據通道建議使用同一個物理或邏輯通道,不建議分開。其接口的MTU值請使用缺省值,勿修改。
配置信息批量備份期間,不能進行主備倒換、插拔板卡或配置變更等任何操作,可通過display remote-backup-group status命令查看配置信息的批量備份狀態。
在非對稱流量的RBM網絡環境中,建議使用session aging-time state fin命令將TCP協議FIN-WAIT狀態的會話老化時間設置為15秒左右。這樣在TCP鏈接斷開的過程中可以加快會話表項的老化速度,以減少此類會話表項對係統資源的占用。有關session aging-time state命令的詳細介紹,請參見“安全命令參考”中的“會話管理”。
不同RBM組網對主備部署和雙主部署的支持情況不同,推薦配置和組網限製也不相同。因此,部署RBM前,請先了解如下組網相關的限製和指導。
此組網環境中,主備模式和雙主模式均可使用。
此組網環境使用動態路由協議時,需要配置RBM調整動態路由協議開銷值功能(即adjust-cost enable命令)來保證主備或者雙主組網,並配置RBM與Track項聯動監控上下行接口狀態。
此組網環境使用靜態路由時,需要通過track interface命令監控上下行三層以太網接口的狀態,並將這些接口的狀態進行聯動。
此組網環境中,主備模式、鏡像模式和雙主模式均可使用。
在主備模式中,此組網環境中需要配置RBM聯動VRRP功能或RBM聯動虛擬地址;雙主模式中,此組網環境中需要配置RBM聯動VRRP功能;鏡像模式中可以直接使用。
當使用RBM聯動虛擬地址組網時,需要通過track命令監控上下行三層以太網接口的狀態,並將這些接口的狀態進行聯動。
此組網環境中,主備模式和雙主模式均可使用。
此組網環境中需要配置RBM的track interface功能監控上下行二層以太網接口的狀態,並將這些接口的狀態進行聯動。
此組網環境中,僅支持主備模式。
此組網環境中需要配置RBM的track vlan功能監控上下行接口的狀態,並將這些接口的狀態進行聯動。
此處列舉了雙機熱備相關的所有業務模塊,其中部分業務模塊本產品可能不支持,請以設備的實際情況為準。
RBM功能僅支持在缺省Context中配置,且配置完成後,就能完成所有非缺省Context的高可靠性部署。
當任意Context中設備的主備運行角色發生切換時,其他所有Context中設備的主備運行角色也都進行切換。因此在高可靠性主備組網中,建議所有Context的主運行設備都在同一台物理設備上。
在非缺省Context中使用RBM功能時,必須以共享方式將業務接口分配給非缺省Context使用,不能使用獨占方式分配。由於RBM隻比較兩端編號相同的非缺省Context的狀態,在非缺省Context中使用RBM功能時,在兩台設備上都需要使用編號相同的非缺省Context。
RBM聯動虛擬地址組網不支持在非缺省Context中使用。
在RBM與NAT結合的組網環境中,對NAT功能有如下限製:
· 不支持NAT地址池探測功能和Easy IP模式。
· NAT地址池不允許包含兩台設備上接口的IP地址。如果NAT地址池包含接口的IP地址,上行設備請求該地址池IP的ARP時,主、備兩台設備都會回應,導致ARP衝突。
· NAT策略中的源或目的地址不允許包含RBM通道的接口IP地址,以免心跳報文被NAT轉換引發心跳鏈路通信異常。
· 如果同一個五元組無法保證同一單向報文隻在一台設備處理時,必須使用端口拆分功能(即nat remote-backup port-alloc { primary | secondary }命令)。
· 配置端口塊大小時,必須大於等於4,在配置端口拆分功能後,通過display nat port-block命令查詢NAT端口範圍時隻會顯示實際可用的。
在RBM的雙主工作模式與NAT結合的組網環境中,對NAT功能有如下限製:
· 地址池不支持EIM模式。
· 當NAT方式是PAT模式時,必須在一台上配置nat remote-backup port-alloc primary命令,另外一台上配置nat remote-backup port-alloc secondary命令,將地址池中地址的端口分為前後兩端,保證NAT地址池端口不衝突。
· 當NAT方式是NAT NO-PAT模式時,必須使用兩個地址池,如果使用一個地址池會導致資源分配衝突。
在RBM聯動VRRP的高可靠性組網中開啟AFT功能時,AFT策略中的地址不允許包含RBM通道的接口IP地址,以免心跳報文被AFT轉換引發心跳鏈路通信異常。
在RBM環境中,當設備需要處理多通道協議(如FTP、SIP協議等)時,必須保證多通道協議的控製報文和數據報文在同一台設備上進行處理。
在RBM環境中,當設備需要處理基於SCTP協議的流量時,必須保證同一條流量的正反向報文在同一台設備上進行處理。
在高可靠性組網環境中,執行configuration replace file命令配置回滾完成後,需要在主管理設備上執行configuration manual-sync命令將主管理設備上的配置信息手工批量備份到從管理設備,以保證主備設備的配置信息一致。有關配置回滾功能的詳細介紹,請參見“基礎配置指導”中的“配置文件管理”。
部署RBM前,請先保證主/備設備硬件環境的一致性,具體要求如下:
· 主/備設備的型號必須一致。
· 主/備設備上管理接口、鏡像模式管理接口、業務接口、RBM通道接口需要分別使用相互獨立的接口,且所使用的接口編號和類型必須一致。
· 主/備設備上硬盤的位置、數量和類型建議一致。未安裝硬盤的設備日誌存儲量將遠低於安裝了硬盤的設備,而且部分日誌和報表功能不可用。
部署RBM前,請先保證主/備設備軟件環境的一致性,具體要求如下:
· 主/備設備的係統軟件環境及其版本必須一致,如:Boot包、System包、Feature包和補丁包等等。
· 主/備設備的係統時間一致。
· 主/備設備上被授權的特征庫和特性環境必須一致,如:特征庫的種類,每類特征庫的版本、授權時間範圍、授權的資源數等等。
· 主/備設備上的資源文件必須一致,比如:公鑰信息、ISP地址庫文件等。
· 主/備設備的接口編號必須一致。
· 主/備設備之間建立RBM通道的接口類型、速率和編號等信息必須一致,推薦使用聚合接口。
· 主/備設備上聚合接口的編號、成員接口編號必須一致。引擎聚合組及對應引擎聚合接口相關配置也必須相同
· 主/備設備相同位置的接口必須加入到相同的安全域。
· 主/備設備的HASH選擇CPU模式以及HASH因子都必須相同(即forwarding policy命令)。
配置安全策略保證路由協議等基礎報文可以正常交互。其配置思路為:業務接口所在安全域與Local安全域之間建議僅允許動態路由協議(如OSPF協議)等基礎報文放行。
設備默認放行RBM通道上的RBM報文,管理員無需配置相關的安全策略。
對於兩台設備之間不能進行配置信息同步的模塊(例如接口和路由等)需要提前配置完成,確保網絡路由可達。RBM具體支持同步哪些模塊的配置信息,請參見“配置信息備份”。
· 請使用初始狀態(未配置雙機熱備且無業務運行)的兩台設備組成鏡像模式雙機熱備。如果設備已在運行業務,請勿直接將非鏡像模式切換成鏡像模式,必須將設備恢複到初始狀態後再切換成鏡像模式,否則有可能會導致業務異常。
· 基於鏡像模式實現雙機熱備時,兩台設備上編號相同的接口使用相同的IP地址。此處的接口是指除鏡像模式管理接口和RBM通道接口以外的接口。
· 基於鏡像模式實現IPv6雙機熱備時,兩台設備上編號相同的業務接口使用相同的IPv6地址和IPv6鏈路本地地址。請手工配置IPv6鏈路本地地址,不要為接口配置自動生成的鏈路本地地址,以免產生不一致。
· 啟用鏡像模式後,兩台設備之間支持備份的配置增多。例如,接口IP地址配置命令在未啟用鏡像模式時不支持備份,啟用鏡像模式後支持備份。有關鏡像模式具體支持哪些業務模塊的配置信息同步,請參見配置信息備份中的詳細介紹。
· 啟用鏡像模式後,設備能根據業務運行角色調整業務接口的狀態。主設備上的業務接口正常收發報文,備設備上的業務接口隻能收發三層以下的報文,如LLDP、LACP等。
· 鏡像模式下,RBM無法聯動VRRP或虛地址。如果設備上有VRRP或虛地址配置,則不能啟用鏡像模式。啟用鏡像模式後,設備上不能再進行VRRP或虛地址配置。
· 鏡像模式下請勿配置track interface、track vlan命令。
· 退出鏡像模式時需要按照“先退出備設備鏡像模式,再退出主設備鏡像模式”的順序進行。
· 設備與上下行設備之間的路由僅支持靜態路由,不支持動態路由和智能選路。以動態路由為例,因為鏡像模式下的備設備不會發送和接收路由協商報文,與上下行設備的動態路由鄰居關係無法建立。主備切換時,新的主用設備需要和上下行設備重新協商路由,這將導致主備切換時業務中斷時間較長。因此,在兩台設備的業務接口工作在三層、上下行連接路由器、與路由器之間運行動態路由協議的組網下,不支持使用鏡像模式雙機熱備。
· 啟用鏡像模式後,設備不支持通過BFD或NQA監控遠端接口故障。以BFD為例,因為鏡像模式下的備設備不發送BFD探測報文,備設備的BFD狀態始終是Down的。如果配置了雙機熱備與Track項聯動且Track項和BFD會話之間建立了關聯,則備設備的RBM處於故障狀態。這樣,主設備的BFD Down或者某一個接口Down時,雙機熱備的運行狀態不會切換。
· 鏡像模式當前暫不支持VPN隧道同步,如:IPsec相關隧道、GRE相關隧道、L2TP相關隧道等。
雙機熱備的基本配置思路如下圖所示。
圖1-16 雙機熱備配置思路圖
(1) 配置雙機熱備為主備模式
(2) 配置設備管理角色
(3) 配置RBM信息同步
a. 配置RBM控製通道
b. 配置RBM數據通道
d. (可選)開啟運行數據自動備份功能
e. 配置RBM備份配置信息
f. (可選)配置RBM同步靜態路由配置信息功能
(4) (可選)開啟RBM流量回切功能
(5) 配置RBM聯動方式
請選擇以下一項任務進行配置
(1) 配置雙機熱備為鏡像模式
(2) 配置設備管理角色
(3) 配置RBM信息同步
a. 配置RBM控製通道
b. 配置RBM數據通道
d. (可選)開啟運行數據自動備份功能
e. 配置RBM備份配置信息
(4) 配置鏡像模式管理接口
(5) (可選)開啟RBM流量回切功能
(1) 配置雙機熱備為雙主模式
(2) 配置設備管理角色
(3) 配置RBM信息同步
a. 配置RBM控製通道
b. 配置RBM數據通道
d. (可選)開啟運行數據自動備份功能
e. 配置RBM備份配置信息
(4) 開啟RBM流量回切功能
(5) 配置RBM聯動方式
請選擇以下一項任務進行配置
(1) (可選)配置RBM與Track項聯動
(2) (可選)手工觸發RBM主備倒換
(3) (可選)開啟RBM在設備間透傳業務流量功能
(4) (可選)配置MAD檢測功能
(5) (可選)將本端設備的會話表項手工批量備份到對端設備
(6) (可選)配置接口等待恢複時間
(7) (可選)配置RBM與其他特性配合使用
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備在雙機熱備中的模式為主備模式。
undo backup-mode
缺省情況下,設備在雙機熱備中的模式為主備模式。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備在雙機熱備中的模式為鏡像模式。
backup-mode mirror
缺省情況下,設備在雙機熱備中的模式為主備模式。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備在雙機熱備中的模式為雙主模式。
backup-mode dual-active
缺省情況下,設備在雙機熱備中的模式為主備模式。
為了保證備設備可以平滑地接替主設備的工作,RBM必須能夠將主設備的相關業務模塊的配置信息備份到備設備。尤其在雙主組網環境中,兩台設備都是主設備。如果允許兩台主設備之間能夠相互備份配置信息,那麼就會造成兩台設備上配置信息相互覆蓋或衝突的問題。所以為了方便管理員對兩台設備的配置信息進行統一管理,又能避免配置信息的混亂,雙機熱備係統中引入了主管理設備和從管理設備角色的概念。
RBM中設備的管理角色有手工配置和自動選擇兩種方式,具體內容如下:
· 手工配置:此方式需要通過命令手工指定設備的管理角色,一旦指定後設備的管理角色將固定不變。如需更改,則通過執行命令手工更改。此方式適用於使用獨立的管理用以太網口進行設備管理的網絡環境,此方式僅支持在雙機熱備的主備和雙主工作模式下使用,不能在鏡像工作模式下使用。
· 自動選擇:此方式下設備的管理角色根據運行角色進行自動選擇,管理角色與運行角色始終保持一致,即業務主是主管理設備,業務備是從管理設備。此方式適用於複用業務接口進行設備管理的網絡環境,此方式僅支持在雙機熱備的主備和鏡像工作模式下使用,不能在雙主工作模式下使用。
配置完設備的管理角色後,係統將會在命令行提示符前增加前綴信息,以便標識設備的主、從管理角色。這樣在後續業務配置中能夠更加友好醒目地提示管理員設備當前的管理角色是什麼。
主備和雙主模式中具體標識方法如下:
· 主管理設備:將在命令行提示符前麵增加RBM_P前綴信息,如:RBM_P<Sysname>。
· 從管理設備:將在命令行提示符前麵增加RBM_S前綴信息,如:RBM_S<Sysname>。
鏡像模式中具體標識方法如下:
· 主管理設備:將在命令行提示符前麵增加RBM_MIRROR_P前綴信息,如:RBM_MIRROR_P<Sysname>。
· 從管理設備:將在命令行提示符前麵增加RBM_MIRROR_S前綴信息,如:RBM_MIRROR_S<Sysname>。
在RBM控製通道建立成功前,係統不關心配置的設備管理角色是什麼,其都認為自己是主管理角色,這時命令行提示符前綴總是RBM_P/RBM_MIRROR_P。在RBM控製通道建立成功後,係統將按照實際配置的管理角色顯示命令行提示符前綴信息。
在雙機熱備組網中必須將其中一台設備配置為主管理設備,另一台設備配置為從管理設備。
建議僅在主管理設備上配置相關業務功能,不建議在從管理設備上進行配置。
在使用業務接口進行設備管理的組網環境或雙機熱備鏡像模式組網環境中,當設備的主備運行角色切換後,管理員隻能遠程登錄當前的業務主進行管理。如果此時業務主恰好是從管理設備,則管理員在當前設備上進行的配置更改將無法同步到對端設備,導致主備設備配置信息不一致。為解決以上問題,可使用自動方式進行設備管理角色的選舉。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備的管理角色。
¡ 主備模式下配置設備的管理角色
device-role { auto | primary | secondary }
缺省情況下,未配置設備的管理角色。
¡ 鏡像模式下配置設備的管理角色
device-role auto
缺省情況下,未配置設備的管理角色。
¡ 雙主模式下配置設備的管理角色
device-role { primary | secondary }
缺省情況下,未配置設備的管理角色。
創建RBM控製通道時,設備會將配置的本端IP地址與對端IP地址進行比較,IP地址較大的設備將作為Server,IP地址較小的設備將作為Client。Client向Server發起TCP連接請求來建立RBM控製通道。
在Server端配置的對端端口號,表示設備使用此端口號作為服務端口為Client提供服務;在Client端配置此端口號,表示設備使用此端口號作為目的端口與Server建立TCP連接。Client上的源端口號隨機生成。
在RBM組網中的主備設備上僅支持分別配置一個對端IP地址,且配置的端口號必須相同。端口號也不能與已有的TCP監聽服務使用的端口號相同。
RBM控製通道的本端IP地址與對端IP地址不能相同。RBM控製通道的對端IP地址為對端RBM成員設備的本端IP地址。
RBM控製通道的IPv4地址和IPv6地址不能同時配置。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置RBM的控製通道。請選擇其中一項進行配置。
¡ 配置RBM控製通道的IPv4地址。
- 配置RBM控製通道的對端IPv4地址。
remote-ip ipv4-address [ port port-number ]
缺省情況下,未配置RBM控製通道對端IPv4地址。
- 配置RBM控製通道的本端IPv4地址。
local-ip ipv4-address
缺省情況下,未配置RBM控製通道的本端IPv4地址。
¡ 配置RBM控製通道的IPv6地址。
- 配置RBM控製通道的對端IPv6地址。
remote-ipv6 ipv6-address [ port port-number ]
缺省情況下,未配置RBM控製通道的對端IPv6地址。
- 配置RBM控製通道的本端IPv6地址。
local-ipv6 ipv6-address
缺省情況下,未配置RBM控製通道的本端IPv6地址。
(4) 配置設備發送Keepalive報文的時間間隔。
keepalive interval interval
缺省情況下,設備發送Keepalive報文的時間間隔為1秒。
(5) 配置設備發送Keepalive報文的最大次數。
keepalive count counts
缺省情況下,設備發送Keepalive報文的最大次數為10。
(6) (可選)開啟RBM批量備份數據時的CRC校檢功能。
crc enable
缺省情況下,未開啟RBM批量備份數據時的CRC校檢功能。
在無法使用二層通道作為數據通道進行報文傳輸的組網環境下,可以通過本功能將RBM數據通道的報文傳輸模式配置為三層模式,例如:使用虛擬化設備進行RBM組網。
RBM數據通道通過心跳線進行連接,心跳線可以直連,也可以通過中間設備連接。當使用中間設備連接時根據報文傳輸模式不同,可使用的中間設備不同:
· 當報文傳輸模式為二層模式時,支持中間跨越二層交換機,但不可以跨越三層設備。
· 當報文傳輸模式為三層模式時,二三層設備都可以跨越。
當數據通道的報文傳輸模式為三層模式時,有以下限製:
· RBM數據通道接口中的IP地址與對端接口的IP地址不能相同。
· RBM數據通道接口的IPv4地址和IPv6地址可以同時配置,設備會基於RBM控製通道的本端IP地址類型獲取數據通道接口中的IP地址,並與對端進行連接。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置RBM數據通道。
data-channel interface interface-type interface-number
缺省情況下,RBM中不存在數據通道。
(4) (可選)配置RBM數據通道的報文傳輸模式。
data-channel mode { layer2 | layer3 }
缺省情況下,RBM數據通道的報文傳輸模式為二層模式。
開啟RBM熱備業務表項功能後,RBM中主設備上的業務表項信息會實時備份到備設備上。
RBM熱備份應用協議創建的會話表項功能的應用場景建議如下:
· 在非對稱路徑的雙機熱備網絡環境中,需要開啟此功能,以保證同一條流量的正反向報文在兩台設備上能夠被正常處理;若不開啟此功能,則會因為兩台設備上的會話表項不一致,導致同一條流量的正反向報文在兩台設備上不能被正常處理,從而可能會出現網絡不通等異常情況。
· 在雙機熱備主備、鏡像模式或對稱路徑的雙機熱備網絡環境中,關閉此功能後,可減少設備性能的消耗;但是設備間流量平滑的時效性將受到一些影響。因此,請管理員根據實際業務情況來判斷是否需要關閉此功能。
因為對於DNS和HTTP類型的應用協議,通常在很少的報文交互之後就會斷開連接,當發生主備切換造成當前連接中斷時,客戶端會立即重新發起請求,用戶通常感知不到連接異常。所以可以關閉這兩個協議觸發創建會話的備份功能。
在雙機熱備係統穩定運行且正在處理流量的情況下,請勿清除會話表項(即執行reset session table命令),否則會導致流量中斷或業務主、備設備上的會話表項不一致。有關會話管理功能的詳細介紹,請參見“安全配置指導”中的“會話管理”。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟RBM熱備業務表項功能。
hot-backup enable
缺省情況下,RBM熱備業務表項功能處於開啟狀態。
(4) 開啟RBM熱備份應用協議創建的會話表項功能。
hot-backup protocol { dns | http } * enable
缺省情況下,RBM熱備份應用協議創建的會話表項功能處於開啟狀態。
除了DNS和HTTP應用協議,其它應用協議創建的會話不受本功能控製,隻要RBM熱備業務表項功能處於開啟狀態,就會進行這些會話表項備份。
RBM成員設備在處理報文時會產生相應的運行數據,並基於這些運行數據對報文進行檢測和轉發。為了保證故障切換後業務不中斷,組成雙機熱備的兩台成員設備之間需要備份運行數據。雙機熱備主備和鏡像組網中,隻有主設備會處理業務,主設備向備設備同步運行數據。雙主組網中,兩台成員設備都會處理業務,都會生成運行數據並向對端設備備份。
目前RBM支持同步的動態運行數據包括:DNS表項、ARP表項、負載均衡業務就近性表項、負載均衡業務運行數據以及IPsec、IKE、IKEv2相關的運行數據。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟運行數據自動備份功能。
running-data auto-sync enable
缺省情況下,運行數據自動備份功能處於開啟狀態。
RBM備份配置信息支持實時備份和批量備份兩種方式,具體如下:
· 實時備份:主管理設備上新增、刪除或修改的配置信息將實時備份到從管理設備,保證這些變化的配置信息在主從管理設備上的一致。
· 批量備份:主管理設備上的關鍵配置信息全部備份到從管理設備,從管理設備上會刪除與主管理設備上不一致的配置,保證關鍵配置信息在主從管理設備上的完全一致。
僅配置信息自動備份功能處於開啟狀態且RBM控製通道建立成功的情況下,RBM才會進行實時備份或者批量備份。
僅如下幾種情況才會觸發設備之間進行配置信息的批量備份:
· RBM中的設備正常運行後,RBM控製通道是第一次成功建立且配置信息自動備份功能也是第一次開啟時(包括默認開啟的情況),主管理設備會將自己當前的所有關鍵配置信息批量備份到從管理設備進行覆蓋。設備正常運行後,隻要進行過一次批量備份,即使再反複開啟配置信息自動備份功能或RBM控製通道反複建立也不會再觸發配置信息的批量備份。
· 設備重啟或者RBM進程重啟,並且這期間未重啟設備上的配置信息自動備份功能一致處於開啟狀態的情況下。當重啟完成且RBM控製通道再次建立後,未重啟的設備會將自己當前的所有關鍵配置信息批量備份到重啟過的設備進行覆蓋。
當RBM控製通道第一次成功建立且配置信息自動備份功能也第一次開啟後,請不要隨意關閉配置信息自動備份功能。否則會導致設備不能觸發配置信息的批量備份,近而可能會導致主、從管理設備的配置信息不一致,最終影響業務的正常處理。
配置信息很多的時候批量備份時間會很長,可能耗時一到兩個小時。為了減少批量備份時間,有如下兩種操作建議:
· 在初始規劃網絡配置時,建議先開啟配置信息自動備份功能,可減少後續配置信息批量備份的時間。
· 在初始規劃網絡配置時,也可以先通過複製配置文件到從管理設備的方式進行網絡的初始部署。然後開啟配置信息一致性檢查功能,檢查兩台設備的相關配置信息是否一致。
當RBM控製通道建立成功,並開啟配置信息自動備份功能的情況下,隻能在主管理設備上配置相關業務功能,從管理設備上不能配置。
當RBM控製通道未建立或關閉配置信息自動備份功能的情況下,主管理設備和從管理設備上均可以配置業務功能。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟配置信息自動備份功能。
configuration auto-sync enable
缺省情況下,配置信息自動備份功能處於開啟狀態。
(4) 開啟配置信息一致性檢查功能。
configuration sync-check [ interval interval | { daily | weekly { fri | mon | sat | sun | thu | tue | wed } } time ]
缺省情況下,配置信息一致性檢查功能處於開啟狀態並且配置信息一致性檢查的周期為24小時。
(5) (可選)手工觸發配置信息一致性檢查。
configuration manual-sync-check
此功能僅在主管理設備上執行才有效,在從管理設備上執行無效。
(6) (可選)將主管理設備上的配置信息手工批量備份到從管理設備。
configuration manual-sync
此功能僅在主管理設備上執行才有效,在從管理設備上執行無效。
開啟本功能後,當RBM的主管理設備向從管理設備自動或者手工同步配置信息時,會將設備上已配置的靜態路由同步到從管理設備。
本功能隻能在開啟配置信息自動備份功能後才會生效。當開啟配置信息自動備份功能後開啟本功能,後續新增的靜態路由可以進行自動同步,之前的需要執行configuration manual-sync命令進行手工批量備份。
僅需要在RBM聯動虛擬地址的組網場景或雙機熱備的鏡像模式中使用此功能,其他RBM組網場景中請勿開啟此功能。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟RBM同步靜態路由配置信息功能。
configuration auto-sync enable route-static
缺省情況下,RBM同步靜態路由配置信息功能處於關閉狀態。
在RBM鏡像模式下,主管理設備上的接口配置(RBM通道接口除外)會同步到從管理設備,兩台設備上用於連接網管設備和日誌主機的接口擁有相同的IP地址。此時隻有主設備可以連接網管設備和日誌主機,備設備無法連接。為避免上述問題,管理員可配置鏡像模式管理接口,管理接口下的IP地址不會進行同步。
隻有在RBM鏡像模式下才能配置鏡像模式管理接口。當設備關閉鏡像模式時,鏡像模式管理接口會恢複到缺省情況。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置設備在雙機熱備中的模式為鏡像模式。
backup-mode mirror
缺省情況下,設備在雙機熱備中的模式為主備模式。
(4) 配置鏡像模式管理接口。
mirror mgt-interface interface-type interface-number
缺省情況下,未配置鏡像模式管理接口。
當RBM組網中的主設備切換為備設備時,流量自動切換到對端設備進行處理。缺省情況下,當原主設備恢複正常時,流量不回切。這時如果需要流量再次回到原主設備進行處理,可以開啟RBM流量回切功能,並設置延遲切換時間保證業務能夠平滑切回。
在雙機熱備的雙主模式下,必須開啟此功能,否則當一條鏈路故障又恢複後流量無法實現回切,這時不能實現兩台設備雙主工作。
在回切定時器倒計時的過程中,如果修改delay-time的值,則本次回切仍然按照之前的回切時間進行處理,後續回切會按照修改後的回切時間進行處理;如果關閉本功能,則不進行回切。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟RBM流量回切功能。
delay-time delay-time
缺省情況下,RBM流量回切功能處於關閉狀態,流量不回切。
RBM僅支持與VRRP的標準模式配合使用,不支持與VRRP的負載均衡模式配合使用。
當設備采用基於VRRP的RBM組網方式時,設備僅支持直連部署在網絡中,且上下必須連接二層設備。建議主管理設備綁定VRRP active組,從管理設備綁定VRRP standby組。
關聯RBM的IPv6 VRRP備份組和IPv4 VRRP備份組中可以配置多個虛IP地址,但備份組中不能存在IP地址擁有者。
在RBM聯動VRRP組網環境中,當設備使用子接口進行組網時,需要先在主設備的子接口上配置vlan-type dot1q vid命令,之後再配置VRRP備份組,然後在備設備的子接口上按照相同順序進行配置。
track interface所監控的接口與配置VRRP功能的接口不能相同。
IPv6 VRRP備份組中必須配置一個鏈路本地地址的虛擬IPv6地址和一個全球單播的虛擬IPv6地址,VRRP備份組才能正常工作。IPv6 VRRP備份組的第一個虛擬IPv6地址必須是鏈路本地地址,鏈路本地地址必須最後刪除。一個VRRP備份組中隻允許有一個鏈路本地地址。
在RBM聯動IPv6 VRRP的組網中,需要先配置IPv6地址,等待1s後再配置VRRP備份組。
在RBM聯動VRRP組網環境中,如果要刪除接口下的配置,需要先刪除VRRP備份組再刪除IPv4/IPv6地址。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置RBM聯動VRRP。請至少選擇其中一項進行配置。
¡ 創建IPv4 VRRP備份組,並與RBM關聯。
vrrp vrid virtual-router-id virtual-ip virtual-address [ mask | mask-length ] { active | standby }
缺省情況下,不存在IPv4 VRRP備份組。
¡ 創建IPv6 VRRP備份組,配置IPv6鏈路本地地址並與RBM關聯,配置IPv6全球單播地址用於業務通信。
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address [ prefix-length ] link-local { active | standby }
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address
缺省情況下,不存在IPv6 VRRP備份組。
有關vrrp vrid命令和vrrp ipv6 vrid命令的詳細介紹,請參見“高可靠性命令參考”中的“VRRP命令”。
在RBM組網環境中,當兩台設備的相同編號的業務接口上配置虛擬IP地址(也叫浮動IP地址)時,這些業務接口上的虛擬地址將與RBM進行關聯,並受RBM的統一管理和控製。從而保證上下行流量始終都可以被引流到RBM的業務主設備進行業務處理。
RBM聯動虛擬地址僅支持在主備模式中使用,不支持在鏡像模式和雙主模式下使用。
在RBM聯動虛擬地址+NAT場景下,虛擬地址和VRRP功能不能共用。
RBM聯動虛擬地址的組網環境中,由於備設備不會發送和接收路由協商報文,與上下行設備的動態路由鄰居關係無法建立。主備切換時,新的主用設備需要和上下行設備重新協商路由,這將導致主備切換時業務中斷時間較長。因此RBM聯動虛擬地址的組網環境中不建議使用動態路由協議。
在RBM聯動虛擬地址組網場景中,管理員可以根據需求使用正常IP地址或浮動IP地址對RBM成員設備進行管理:
· 當設備管理角色為手工配置時,由於主管理設備與運行主設備可能不相同,此時僅能使用正常IP地址對設備進行管理。
· 當設備管理角色為自動選擇時,如果單純使用浮動IP地址管理,RBM狀態異常時管理員將無法對設備進行管理。因此建議管理員使用正常IP地址與浮動IP地址相互配合的方式對RBM成員設備進行管理。
當一個接口以獨占方式分配給非缺省Context時,用戶可以登錄該非缺省Context,並在該非缺省Context的接口視圖下執行本命令修改接口的虛擬MAC地址。
當一個接口以共享方式分配給非缺省Context時,用戶無法在該非缺省Context的接口視圖下執行本命令修改接口的虛擬MAC地址。共享給非缺省Context的接口的虛擬MAC地址由係統自動計算生成。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置浮動IP地址。請至少選擇其中一項進行配置。
¡ 創建IPv4浮動地址。
ip address { ip-address { mask-length | mask } | ip-address/mask-length } [ sub ] float
缺省情況下,接口上未配置浮動IP地址。
¡ 創建IPv6浮動地址。
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } float
缺省情況下,接口上未配置浮動IPv6全球單播地址。
(4) (可選)修改接口的虛擬MAC地址。
mac-address virtual mac-address
缺省情況下,接口的虛擬MAC地址由設備自動分配,且主、從管理設備為相同編號的接口分配的虛擬MAC地址相同。
正常情況下由係統自動分配MAC地址即可。
在RBM組網環境中,正常情況下,主、備設備上的動態路由協議均依據自身的運行機製對外通告鏈路的開銷值。開啟RBM調整備設備上動態路由協議開銷值功能後,備設備上對外通告的路由協議鏈路開銷值將是被RBM調整後的值;主設備對外通告的鏈路開銷值仍然是路由協議自身設置的值。RBM調整備設備上動態路由協議開銷值有如下幾種方式:
· 絕對值方式:設備將使用配置的絕對值對外通告。
· 增量值方式:設備將在原有開銷值基礎上累加配置的增量值後對外通告。
此功能僅調整備設備上動態路由協議對外通告的開銷值,對主設備沒有影響。
建議在運行相同路由協議的雙機熱備場景中使用此功能。
在RBM與動態路由協議聯動的組網環境中,需要在主、備設備上同時開啟此功能,並設置相同的參數。
silent-backup-interface命令與adjust-cost enable命令不能同時使用。
在RBM聯動路由的雙主組網中,建議上下行設備上配置IP轉發模式為逐流的負載分擔方式。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟RBM調整備設備上動態路由協議開銷值功能。
adjust-cost { bgp | isis | ospf | ospfv3 } enable { absolute [ absolute-cost ] | increment [ increment-cost ] }
缺省情況下,RBM調整備設備上動態路由協議開銷值功能處於關閉狀態。
如下圖所示,在使用不同路由協議的RBM場景中,因為不同的路由協議存在缺省優先級。當Device A的下行鏈路故障時,即使RBM可以將Device A對外通告的OSPF鏈路開銷值調高。但是,因為OSPF的缺省路由優先級高於IBGP的缺省路由優先級,所以從Router A去往內網的流量仍然會被轉發到Device A所在的故障鏈路,而不能被轉發到Device B所在的正常鏈路。
圖1-17 使用不同路由協議的雙機熱備場景圖
為了解決以上問題,可通過執行silent-backup-interface命令禁止備設備上的接口收發路由協議報文,使鄰居關係斷開。同時主設備上的接口還可以繼續正常收發路由協議報文,保證上下行流量均能在主設備上被正常處理。
建議在運行不相同路由協議的RBM組網場景中使用此功能。
在RBM與動態路由協議聯動的組網環境中,需要在主、備設備上同時配置RBM禁止備設備收發動態路由協議報文功能。
silent-backup-interface命令與adjust-cost enable命令不能同時使用。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置RBM禁止備設備上的接口收發動態路由協議報文。
silent-backup-interface { ospf | ospfv3 }
缺省情況下,備設備上的接口允許收發動態路由協議報文。
在RBM透明組網或RBM聯動靜態路由組網環境中,通過RBM監控連接上、下行設備的接口,實現所監控接口的狀態相互聯動並保持一致。這些接口將同時具備或同時不具備報文傳輸能力。隻有RBM所監控接口的狀態均為UP時,這些接口才能轉發報文。否則,RBM監控的所有接口均不能轉發報文。
track interface與track命令可以同時配置,但是所監控的接口不能相同。
track interface所監控的接口與配置VRRP功能的接口不能相同。
track vlan與track interface命令互斥,不可同時配置。
不能監控聚合接口的成員接口。
本功能僅適用於RBM透明組網和RBM聯動靜態路由組網環境中,其他組網環境請勿使用本功能。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置RBM監控接口狀態。
track interface interface-type interface-number
缺省情況下,RBM不監控任何接口的狀態。
此功能支持對二層以太網接口和三層以太網接口的狀態進行監控。
在RBM透明組網環境中,通過RBM監控連接上、下行設備的VLAN,實現所監控VLAN成員端口狀態的相互聯動並保持一致。此VLAN中的成員端口將同時具備或同時不具備報文傳輸能力。隻有VLAN中的所有成員端口狀態均為UP時,此VLAN的狀態才為Active,所有成員端口可以轉發報文。否則,此VLAN的狀態為Inactive,所有成員端口均不能轉發報文。
此功能一般用於監控RBM組網環境中用於連接上、下行設備的VLAN。
在雙機熱備的不同工作模式下,設備上VLAN成員端口對報文的轉發控製策略有所不同,具體如下所示:
· 當雙機熱備工作在主備模式時,正常情況下,主設備上RBM所監控VLAN的狀態為Active,備設備上RBM所監控VLAN的狀態為Inactive。
· 在雙機熱備工作在雙主模式時,正常情況下,因為兩台設備均為主設備,所以兩台設備上RBM所監控VLAN的狀態均為Active。
track vlan與track interface命令互斥,不可同時配置。
基於RBM監控VLAN的運行機製,請勿配置track vlan 1。因為設備上所有Access端口缺省屬於VLAN 1,當VLAN 1中有端口未被使用時其接口狀態為Down,所以會導致VLAN 1中正常使用的端口也無法轉發報文。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置RBM監控VLAN的狀態。
track vlan vlan-id
缺省情況下,RBM不監控任何VLAN的狀態。
配置此功能後,當RBM聯動的其中一個Track項的狀態為Negative狀態時,RBM將進行設備的主備切換,將上下行流量同時切換到新的主設備,保證業務不中斷。有關Track的詳細介紹,請參見“ 網絡管理和監控配置指導”中的“Track”。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置RBM與Track項聯動。
track track-entry-number
缺省情況下,RBM未與Track項聯動。
管理員可通過本功能觸發主備倒換或其中一台設備的升主、降備,引導業務流量切換到相應的主設備上,以便更換備設備上的部件或升級軟件等。
不同工作模式下,執行此功能的效果不同:
· switchover request:在主備和鏡像組網中,在主設備或備設備上執行此功能均會觸發主備倒換。
· switchover active:在雙主組網中,正常情況下兩台設備均為主設備,可在其中一台設備上執行此功能使其保持不變仍為主設備,另外一台設備將自動成為備設備。
· switchover standby:在雙主組網中,正常情況下兩台設備均為主設備,可在其中一台設備上執行此功能使其成為備設備,另外一台設備仍為主設備。
· switchover reset:在主設備或備設備上執行此功能均會觸發RBM對設備的業務角色進行重新選舉。
本功能需要在RBM組網中兩台設備狀態正常的情況下執行,當RBM運行狀態異常時,執行本功能無效。例如,當主設備的業務接口故障導致業務角色切換為備設備時,此時執行switchover request命令無法將備設備再切換為主設備。
在RBM與VRRP配合使用的組網中,當使用此功能進行主備倒換時,可能會導致短暫的VRRP虛擬IP地址衝突,屬於正常現象。有關VRRP的詳細介紹,請參見“高可靠性配置指導”中的“VRRP”。
為保證RBM穩定運行,您將無法在1分鍾內重複執行本功能。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 手工觸發RBM主備倒換。
switchover { active | request | reset | standby }
此功能僅適用於RBM雙主組網中存在非對稱流量的場景,請謹慎使用。
在RBM雙主組網場景中,當存在非對稱流量時,同一條流量的正反向報文可能會被送到不同的設備,這時將會影響部分功能模塊(如NBAR、DPI、負載均衡等功能)處理報文的能力,例如可能會降低NBAR業務對報文的識別率等。開啟此透傳功能後,同一條流量的正反向報文最終會被送到同一台設備,可以提升這些功能模塊處理報文的能力。但是,透傳功能可能會消耗設備的大量資源,影響設備性能。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 開啟RBM在設備間透傳業務流量功能。
transparent-transmit enable
缺省情況下,RBM在設備間透傳業務流量功能處於開啟狀態。
在雙機熱備組網中,RBM通道斷開會導致RBM失效。這時兩台設備都變為主設備,進行業務處理,但是兩台設備不再是RBM狀態,對後續的非對稱流量會有影響。為了提高係統的可用性,當RBM通道斷開時就需要一種機製,能夠進行相應的處理,盡量降低RBM通道斷開對業務的影響。MAD(Multi-Active Detection,多Active檢測)就是這樣一種檢測和處理機製。
配置MAD檢測功能後,當RBM通道斷開時,設備會通過MAD檢測功能來維持RBM狀態,但RBM成員設備之間無法進行配置信息同步、業務表項同步和報文透傳。如果RBM的工作模式是主備或鏡像模式,此時會保持不變;如果是雙主模式,此時會切換為主備模式。
VLAN 1不能用於MAD檢測,因此,不能在VLAN接口1下開啟MAD檢測功能。
執行本功能時,係統會要求用戶輸入域編號,域編號不影響MAD檢測功能。如果繼續使用當前編號,則直接按回車即可。
域編號是一個全局變量,在RBM成員設備上使用mad arp enable、mad nd enable命令均可修改全局域編號,最新的配置生效。
MAD檢測功能需要在RBM通道斷開前配置。
(1) 進入係統視圖。
system-view
(2) 創建一個新VLAN專用於ARP MAD檢測。
vlan vlan-id
缺省情況下,設備上隻存在VLAN 1。
VLAN 1不能用於ARP MAD檢測。
如果使用中間設備,中間設備上也需要進行此項配置。
(3) 退回係統視圖。
quit
(4) 進入以太網接口視圖。
interface interface-type interface-number
(5) 將端口加入ARP MAD檢測專用VLAN。
¡ 將Access端口加入ARP MAD檢測專用VLAN。
port access vlan vlan-id
¡ 將Trunk端口加入ARP MAD檢測專用VLAN。
port trunk permit vlan vlan-id
¡ 將Hybrid端口加入ARP MAD檢測專用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ARP MAD檢測對檢測端口的鏈路類型沒有要求,不需要刻意修改端口的當前鏈路類型。缺省情況下,端口的鏈路類型為Access。
如果使用中間設備,中間設備上也需要進行此項配置。
(6) 退回係統視圖。
quit
(7) 進入VLAN接口視圖。
interface vlan-interface interface-number
(8) 配置IP地址。
ip address ip-address { mask | mask-length }
缺省情況下,未配置VLAN接口的IP地址。
(9) 開啟ARP MAD檢測功能。
mad arp enable
缺省情況下,ARP MAD檢測功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 創建一個新VLAN專用於ND MAD檢測。
vlan vlan-id
缺省情況下,設備上隻存在VLAN 1。
VLAN 1不能用於ND MAD檢測。
如果使用中間設備,中間設備上也需要進行此項配置。
(3) 退回係統視圖。
quit
(4) 進入以太網接口視圖。
interface interface-type interface-number
(5) 端口加入ND MAD檢測專用VLAN。
¡ 將Access端口加入ND MAD檢測專用VLAN。
port access vlan vlan-id
¡ 將Trunk端口加入ND MAD檢測專用VLAN。
port trunk permit vlan vlan-id
¡ 將Hybrid端口加入ND MAD檢測專用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ND MAD檢測對檢測端口的鏈路類型沒有要求,不需要刻意修改端口的當前鏈路類型。缺省情況下,端口的鏈路類型為Access。
如果使用中間設備,中間設備上也需要進行此項配置。
(6) 退回係統視圖。
quit
(7) 進入VLAN接口視圖。
interface vlan-interface interface-number
(8) 配置IPv6地址。
ipv6 address { ipv6-address/pre-length | ipv6 address pre-length }
缺省情況下,未配置VLAN接口的IPv6地址。
(9) 開啟ND MAD檢測功能。
mad nd enable
缺省情況下,ND MAD檢測功能處於關閉狀態。
在雙機熱備組網中,當兩台設備間的會話表項不一致時,可通過本功能,將本端設備的會話表項手工批量備份到對端設備。
在配置信息批量備份或者業務表項批量備份過程中開啟本功能無效。可通過display remote-backup-group status命令查看設備是否在進行配置信息批量備份或者業務表項批量備份。該命令在一分鍾之內不可連續執行。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 將本端設備的會話表項手工批量備份到對端設備。
session manual-sync [ slot slot-number [ cpu cpu-number ] ]
在RBM組網場景中,當使用track interface命令或track vlan命令監控上下行業務接口時,所監控接口的狀態相互聯動,保持一致。如果主設備上監控的接口出現故障,導致主備切換,那麼原主設備上其他被監控的接口也將無法進行報文傳輸。當接口故障恢複後,如果管理員配置了流量回切功能,並且已經到達流量回切延遲時間,流量會切換回原主設備,其他被監控的接口也會恢複正常。
為了避免其他被監控的接口恢複時間過長,導致流量再次切換,管理員可以配置接口等待恢複時間。隻有當接口等待恢複時間結束後,接口仍未恢複或仍存在監控接口故障問題,流量才會切換到對端設備。
需要注意的是,當流量回切延遲時間內出現監控接口故障時,流量仍然會切換到故障設備,從而造成業務中斷,直到接口等待恢複時間結束後才會進行切換。因此,建議管理員在設置接口等待恢複時間時,在確保其他被監控的接口能夠恢複的基礎上,盡量縮短接口等待恢複時間。
本命令僅建議在使用track interface命令或track vlan命令監控上下行業務接口的組網中使用,其他組網場景不需要配置。
(1) 進入係統視圖。
system-view
(2) 進入RBM管理視圖。
remote-backup group
(3) 配置接口等待恢複時間。
wait-interface-up delay-time time-value
缺省情況下,接口等待恢複時間為32秒。
此處列舉了與雙機熱備配合使用的所有特性,其中部分特性本產品可能不支持,請以設備的實際情況為準。
在RBM組網環境中,當需要在設備上使用NAT功能時,必須將NAT相關配置與VRRP備份組進行綁定,否則NAT無法正常工作。例如使用動態NAT、內部服務器NAT、端口塊NAT和靜態NAT時,必須將這些NAT方式與VRRP備份組綁定。有關NAT的詳細介紹,請參見“NAT配置指導”中的“NAT”。
本節內容僅以雙機熱備主備模式中的動態NAT為例,其他方式的NAT及其雙機熱備雙主模式中的NAT與此類似。
缺省情況下,若NAT設備接收到的ARP報文請求的目標IP地址與NAT接口的IP地址在同一網段,則NAT設備使用NAT接口的物理MAC地址應答此ARP請求報文。
如圖1-18所示,在RBM組網環境中配置動態NAT功能後,NAT與VRRP備份組沒有綁定的情況下,內網訪問外網的報文被處理的流程如下:
(1) 當內網訪問外網的報文到達Device A後,報文的源地址會被轉換成NAT地址池中的IP地址,然後被Device A轉發給Router。
(2) 若NAT地址池中的IP地址與Device A的上行接口VRRP備份組1的虛擬IP地址在同一網段,則外網返回的報文到達Router後,因為目的IP地址是直連路由所以Router會廣播ARP報文請求NAT地址池中IP地址對應的MAC地址,而不是請求VRRP備份組1虛擬IP地址對應的MAC地址。
(3) 當Device A和Device B接收到此ARP請求報文後,因為兩台Device上有相同的NAT地址池配置,所以兩台Device都會將自身上行接口的物理MAC地址應答給Router。
(4) 在這種情況下,Router就會時而以Device A上行接口的MAC地址來封裝報文,將報文送到Device A;時而以Device B上行接口的MAC地址來封裝報文,將報文送到Device B,從而影響業務的正常運行。
在RBM組網環境中,為了解決上述NAT部署的問題,必須將NAT與VRRP備份組綁定。
圖1-18 NAT未綁定VRRP備份組示意圖
將NAT與VRRP備份組綁定後,若NAT設備接收到的ARP報文請求的目標IP地址與NAT接口的IP地址在同一網段,則隻能由VRRP備份組中Master設備使用VRRP備份組的虛擬MAC地址響應此ARP請求。
如圖1-19所示,在RBM組網環境中配置動態NAT功能後,NAT與VRRP備份組綁定的情況下,內網訪問外網的報文被處理的流程如下:
(1) 當內網訪問外網的報文到達Device A後,報文的源地址會被轉換成NAT地址池中的IP地址,然後被Device A轉發給Router。
(2) 若NAT地址池中的IP地址與Device A的上行接口VRRP備份組1的虛擬IP地址在同一網段,則外網返回的報文到達Router後,因為目的IP地址是直連路由所以Router會廣播ARP報文請求NAT地址池中IP地址對應的MAC地址,而不是請求VRRP備份組1虛擬IP地址對應的MAC地址。
(3) 當Device A和Device B接收到此ARP請求報文後,因為NAT與VRRP備份組進行了綁定,所以隻有VRRP備份組中Master設備(Device A)使用VRRP備份組1的虛擬MAC地址響應此ARP請求給Router。
(4) 在這種情況下,Router隻會收到Master設備(Device A)響應的ARP報文,Router就會以VRRP備份組1的虛擬MAC地址來封裝報文,將報文送到Device A,從而可以保證業務的正常運行。
圖1-19 NAT綁定VRRP備份組示意圖
有關動態NAT、內部服務器NAT、端口塊NAT和靜態NAT與VRRP備份組綁定的相關命令和詳細使用說明,請參見“NAT配置指導”中的“NAT”。
在RBM組網環境中,SSL VPN的用戶數據、表項信息和配置信息通過RBM通道進行備份。有關SSL VPN功能的詳細介紹,請參見“VPN配置指導”中的“SSL VPN”。
SSL VPN功能僅支持在RBM+VRRP方式的主備模式下進行高可靠性部署,不支持在雙機熱備的其他模式下進行可靠性部署。
在RBM組網環境中,IPsec配置信息和已建立的IPsec隧道相關的信息表項,可以通過RBM通道進行備份。有關IPsec功能的詳細介紹,請參見“安全配置指導”中的“IPsec”。
僅IPsec安全策略使用IKEv1創建的IPsec隧道支持RBM,即RBM的運行主、備切換時可以保證IPsec業務不中斷。其他方式創建的IPsec隧道(比如IPsec安全框架、IKEv2和手工方式創建的IPsec隧道等)不支持RBM。
在RBM雙主部署場景下的非對稱路徑中,需要使用DPI業務時,必須開啟DPI支持RBM功能。否則,可能會出現DPI業務無法準確識別和處理報文的問題。有關DPI功能和DPI支持RBM功能的詳細介紹,請參見“DPI深度安全配置指導”中的“應用層檢測引擎”。
RBM技術能夠滿足多Context環境的高可靠性部署需求。僅需要在缺省Context中配置RBM功能即可完成所有非缺省Context的高可靠性部署,無需在非缺省Context中配置RBM功能。
所有非缺省Context統一使用缺省Context創建的RBM通道進行配置信息備份、業務表項信息備份和透傳業務報文,保證各自非缺省Context中主備設備上配置信息和業務表項信息的一致。
所有非缺省Context統一使用缺省Context的檢測機製進行主備設備保活性檢測和配置信息一致性檢測。當任意Context中設備的主備運行角色發生切換時,其他所有Context中設備的主備運行角色也都會進行切換。
RBM常用部署方式有以下幾種:
· 三層主備直路部署
· 三層雙主直路部署
· 透明主備直路部署
· 透明雙主直路部署
如圖1-20所示,RBM三層主備直路部署方式的適用場景為:需要將Device A與Device B串聯部署在上下行設備之間,Device的上、下行業務接口均為三層接口,所有業務流量都必須經過Device。正常情況下隻有一台設備處理業務流量,當主設備或鏈路故障時,可以將業務流量平滑遷移到備設備進行處理。
僅以RBM與VRRP聯動的方案為舉例,介紹此種RBM部署方式的部署思路,具體如下:
· 兩台Device上下行分別連接二層交換機,Device的上下行接口工作在三層模式。
· 兩台Device之間建立一條RBM通道。
· 兩台Device上下行分別配置一個VRRP備份組,並與RBM關聯。Device A上下行業務接口的VRRP備份組1和2加入Active group;Device B上下行業務接口的VRRP備份組1和2加入Standby group。
· 兩台Device上需要將去往Internet路由的下一跳指定為Router連接Device的接口IP地址(此示例中為2.1.1.15)。
· Router上需要將去往Host網段路由的下一跳指定為VRRP備份組1的虛擬IP地址(此示例中為2.1.1.3)。
· Host上需要設置默認網關IP地址為VRRP備份組2的虛擬IP地址(此示例中為10.1.1.3)。
· Switch A需要將連接Device和Router的接口加入相同的VLAN。
· Switch B需要將連接Device和Host的接口加入相同的VLAN。
圖1-20 RBM三層主備直路部署示意圖
如圖1-20所示,RBM三層主備直路部署完成後,以Host訪問Internet流量為例,分析報文在此網絡中的傳輸過程如下:
(2) Host判斷目的IP地址與本機IP地址不在同一網段,因此Host將查找默認網關IP地址的ARP表項進行MAC地址封裝發送報文,假設Host上還沒有默認網關IP地址的ARP表項。
(3) Host將ARP請求報文(用於請求Host網關地址對應的MAC地址)發送給Switch B。Switch B在網絡中廣播此ARP請求報文。此時,Switch B會記錄Host的MAC地址與接口的對應關係。
(4) 當VRRP備份組2中的兩台Device接收到ARP請求報文後,隻能由Master設備響應此ARP請求,且ARP應答報文中填寫的MAC地址為VRRP備份組2的虛擬MAC地址。
(5) Switch B接收到此ARP應答報文後會記錄VRRP備份組2的虛擬MAC地址與接口的對應關係,然後Switch B根據之前學習到的MAC地址表項將ARP響應報文發送給Host。
(6) Host接收到ARP響應報文後,將業務報文的目的MAC地址封裝為VRRP備份組2的虛擬MAC地址,並發送給Switch B。
(7) Switch B根據已學習到的MAC地址表項,將報文轉給Master設備(Device A)。至此,內網Host發出的流量就都會通過Master設備轉發,並在Master設備上進行相關安全業務的處理。
(8) 假設Master設備沒有去往Internet下一跳IP地址的ARP表項。Master設備將ARP請求報文發送給Switch A,ARP請求報文的源MAC地址為VRRP備份組1的虛擬MAC地址。在此ARP學習過程中Switch A會學習到去往Master設備和Router的MAC地址表項。其ARP的學習過程和後續的報文轉發流程與上麵描述的類似,此處不再贅述。
(9) Internet主動訪問內網Host流量的處理過程與Host主動訪問Internet流程的處理過程一樣,此處不再贅述。
如圖1-21所示,RBM三層雙主直路部署方式的適用場景為:需要將Device A與Device B串聯部署在上下行設備之間,Device的上、下行業務接口均為三層接口,所有業務流量都必須經過Device。正常情況下兩台設備都需要處理業務流量,當其中一台設備或鏈路故障時,可以將業務流量平滑遷移到另一設備進行處理。
僅以RBM與VRRP聯動的方案為舉例,介紹此種RBM部署方式的部署思路,具體如下:
· 兩台Device上下行分別接入二層交換機,Device的上下行接口工作在三層模式。
· 兩台Device之間建立一條RBM通道。
· 兩台Device上下行分別配置兩個VRRP備份組,並與RBM關聯,具體如下:
¡ Device A上下行業務接口的VRRP備份組1和3加入Active group;Device A上下行業務接口的VRRP備份組2和4加入Standby group。
¡ Device B上下行業務接口的VRRP備份組1和3加入Standby group;Device B上下行業務接口的VRRP備份組2和4加入Active group。
· 兩台Device上需要將去往Internet路由的下一跳指定為Router連接Device的接口IP地址(此示例中為2.1.1.15)。
· Router上需要將去往Host A路由的下一跳指定為VRRP備份組1的虛擬IP地址(此示例中為2.1.1.3)。
· Router上需要將去往Host B路由的下一跳指定為VRRP備份組2的虛擬IP地址(此示例中為2.1.1.4)。
· Host A上需要設置默認網關IP地址為VRRP備份組3的虛擬IP地址(此示例中為10.1.1.3)。
· Host B上需要設置默認網關IP地址為VRRP備份組4的虛擬IP地址(此示例中為10.1.1.4)。
· Switch A需要將連接Device和Router的接口加入相同的VLAN。
· Switch B需要將連接Device和Host的接口加入相同的VLAN。
圖1-21 RBM三層雙主直路部署示意圖
如圖1-21所示,RBM三層雙主直路部署完成後,Host A的業務流量會轉發給Device A處理,Host B的業務流量會轉發給Device B處理,形成負載分擔的效果。Host訪問Internet流量的具體處理過程與主備部署方式類似,這裏不再單獨介紹。
設備作為二層設備,上下行連接二層交換機的組網方式僅支持主備組網,不支持雙主組網,否則二層網絡中會出現網絡環路。
如圖1-22所示,RBM二層主備直路部署方式的適用場景為:需要將Device A與Device B作為二層設備串聯部署在上下行二層網絡之間,Device的上、下行業務接口均為二層接口,所有業務流量都必須經過Device。正常情況下隻有一台設備處理業務流量,當主設備或鏈路故障時,可以將業務流量平滑遷移到備設備進行處理。
此種RBM部署方式的部署思路如下:
· 兩台Device上下行分別連接二層交換機,Device的上下行接口工作在二層模式。
· 兩台Device上下行接口加入相同VLAN。
· 兩台Device之間建立一條RBM通道。
· 配置RBM監控功能,保證Device上下行接口狀態統一切換。以下RBM監控功能僅能二選其一。
¡ 配置RBM監控VLAN狀態:此種方式下隻需要將Device配置為RBM主備工作模式即可,Device的上下行二層交換機無需開啟生成樹協議,RBM可以保證無環路。
¡ 配置RBM監控上下行接口狀態:此種方式下Device的上下行二層交換機上必須開啟生成樹協議保證無環路。
· Switch A需要將連接Device和Router的接口加入相同的VLAN。
· Switch B需要將連接Device和Host的接口加入相同的VLAN。
圖1-22 RBM透明主備直路部署示意圖
如圖1-23所示,RBM二層雙主直路部署方式的適用場景為:需要將Device A與Device B作為二層設備串聯部署在上下行三層網絡之間,Device的上、下行業務接口均為二層接口,所有業務流量都必須經過Device。正常情況下兩台設備都需要處理業務流量,當其中一台設備或鏈路故障時,可以將業務流量平滑遷移到另一設備進行處理。
此種RBM部署方式的部署思路如下:
· 兩台Device上下行分別連接三層網絡設備,Device的上下行接口工作在二層模式。
· 兩台Device上下行接口加入相同VLAN。
· 兩台Device之間建立一條RBM通道。
· 配置RBM監控接口狀態功能,保證Device上下行接口狀態統一切換。
· 上、下行連接的Router上通過配置開銷值相同的OSPF協議實現流量的負載分擔,並配置等價路由基於報文逐流進行負載分擔,以保證報文傳輸路徑的穩定性。
圖1-23 RBM透明雙主直路部署示意圖
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後RBM的運行情況,通過查看顯示信息驗證配置的效果。
表1-3 RBM顯示和維護
|
操作 |
命令 |
|
顯示虛擬MAC地址信息 |
display mac-address virtual [ mac-address | interface interface-type interface-number ] |
|
顯示MAD配置信息 |
display mad [ verbose ] |
|
顯示RBM本端設備當前的選舉參數 |
display remote-backup-group local element-weight |
|
顯示RBM的狀態信息 |
display remote-backup-group status |
|
顯示RBM關鍵配置信息的一致性檢查結果 |
display remote-backup-group sync-check |
|
顯示RBM數據通道傳輸的鏡像模式特有的數據統計信息 |
display remote-backup-group trans-data |
|
清除RBM數據通道傳輸的鏡像模式特有的數據統計信息 |
reset remote-backup-group trans-data |
如圖1-24所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-24 RBM聯動VRRP三層主備組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往內網流量的下一跳IPv4地址為VRRP備份組1的虛擬IPv4地址2.1.1.3,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許VRRP協議報文通過。當RBM通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
[DeviceA-security-policy-ip] rule name vrrp1
[DeviceA-security-policy-ip-4-vrrp1] source-zone trust
[DeviceA-security-policy-ip-4-vrrp1] destination-zone local
[DeviceA-security-policy-ip-4-vrrp1] service vrrp
[DeviceA-security-policy-ip-4-vrrp1] action pass
[DeviceA-security-policy-ip-4-vrrp1] quit
[DeviceA-security-policy-ip] rule name vrrp2
[DeviceA-security-policy-ip-5-vrrp2] source-zone local
[DeviceA-security-policy-ip-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ip-5-vrrp2] service vrrp
[DeviceA-security-policy-ip-5-vrrp2] action pass
[DeviceA-security-policy-ip-5-vrrp2] quit
[DeviceA-security-policy-ip] rule name vrrp3
[DeviceA-security-policy-ip-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ip-6-vrrp3] destination-zone local
[DeviceA-security-policy-ip-6-vrrp3] service vrrp
[DeviceA-security-policy-ip-6-vrrp3] action pass
[DeviceA-security-policy-ip-6-vrrp3] quit
[DeviceA-security-policy-ip] rule name vrrp4
[DeviceA-security-policy-ip-7-vrrp4] source-zone local
[DeviceA-security-policy-ip-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ip-7-vrrp4] service vrrp
[DeviceA-security-policy-ip-7-vrrp4] action pass
[DeviceA-security-policy-ip-7-vrrp4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP備份組,並與RBM關聯。實現RBM對VRRP備份組的統一管理和流量引導。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP備份組,並與RBM關聯。實現RBM對VRRP備份組的統一管理和流量引導。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置Host的默認網關為VRRP備份組2的虛擬IPv4地址10.1.1.3。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None 2.1.1.3
GE1/0/2 2 Master 100 100 None 10.1.1.3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Backup
VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None 2.1.1.3
GE1/0/2 2 Backup 100 100 None 10.1.1.3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖1-25所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行RBM組網,同時需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-25 RBM聯動VRRP三層雙主組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往一部分內網流量(如Host 1)的下一跳IPv4地址為VRRP備份組1的虛擬IPv4地址2.1.1.3,去往另一部分內網流量(如Host 3)的下一跳IPv4地址為VRRP備份組2的虛擬IPv4地址2.1.1.4,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置名稱為vrrp的安全策略規則,允許VRRP協議報文通過。當RBM通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
[DeviceA-security-policy-ip] rule name vrrp1
[DeviceA-security-policy-ip-4-vrrp1] source-zone trust
[DeviceA-security-policy-ip-4-vrrp1] destination-zone local
[DeviceA-security-policy-ip-4-vrrp1] service vrrp
[DeviceA-security-policy-ip-4-vrrp1] action pass
[DeviceA-security-policy-ip-4-vrrp1] quit
[DeviceA-security-policy-ip] rule name vrrp2
[DeviceA-security-policy-ip-5-vrrp2] source-zone local
[DeviceA-security-policy-ip-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ip-5-vrrp2] service vrrp
[DeviceA-security-policy-ip-5-vrrp2] action pass
[DeviceA-security-policy-ip-5-vrrp2] quit
[DeviceA-security-policy-ip] rule name vrrp3
[DeviceA-security-policy-ip-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ip-6-vrrp3] destination-zone local
[DeviceA-security-policy-ip-6-vrrp3] service vrrp
[DeviceA-security-policy-ip-6-vrrp3] action pass
[DeviceA-security-policy-ip-6-vrrp3] quit
[DeviceA-security-policy-ip] rule name vrrp4
[DeviceA-security-policy-ip-7-vrrp4] source-zone local
[DeviceA-security-policy-ip-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ip-7-vrrp4] service vrrp
[DeviceA-security-policy-ip-7-vrrp4] action pass
[DeviceA-security-policy-ip-7-vrrp4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP備份組,並與RBM關聯。實現RBM對VRRP備份組的統一管理和流量引導。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP備份組,並與RBM關聯。實現RBM對VRRP備份組的統一管理和流量引導。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置一部分Host(如Host 1)的默認網關為VRRP備份組3的虛擬IPv4地址10.1.1.3,配置另一部分Host(如Host 3)的默認網關為VRRP備份組4的虛擬IPv4地址10.1.1.4。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None 2.1.1.3
GE1/0/1 2 Backup 100 100 None 2.1.1.4
GE1/0/2 3 Master 100 100 None 10.1.1.3
GE1/0/2 4 Backup 100 100 None 10.1.1.4
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host 1、Host 2與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。當內Host 3與Internet之間有流量經過時,Device B上會有日誌生成,而Device A上沒有日誌生成。
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None 2.1.1.3
GE1/0/1 2 Master 100 100 None 2.1.1.4
GE1/0/2 3 Backup 100 100 None 10.1.1.3
GE1/0/2 4 Master 100 100 None 10.1.1.4
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host 1、Host 2與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。當內Host 3與Internet之間有流量經過時,Device B上會有日誌生成,而Device A上沒有日誌生成。
如圖1-26所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。在兩台Device的相同編號的業務接口上配置相同的虛擬IP地址(也叫浮動IP地址)後,這些業務接口上的虛擬地址將與RBM進行關聯,並受RBM的統一管理和控製。同時使用MAD檢測線路來避免當雙機熱備通道斷開後兩台Device之間出現地址衝突。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-26 RBM聯動虛擬地址三層主備組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往內網流量的下一跳IPv4地址為虛擬IPv4地址2.1.1.1,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址(設備上下行業務接口GigabitEthernet1/0/1和GigabitEthernet1/0/2使用浮動地址方式),具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0 float
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 255.255.255.0 float
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable route-static
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 配置RBM與序號為1和2的Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置ARP MAD檢測,避免RBM通道斷開後因為兩端都有相同的虛擬地址而引起地址衝突
# 創建VLAN 20,並將Device A上的端口GigabitEthernet1/0/4加入VLAN 20中。
RBM_P[DeviceA] vlan 20
RBM_P[DeviceA-vlan20] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/4
RBM_P[DeviceA-GigabitEthernet1/0/4] port link-mode bridge
RBM_P[DeviceA-GigabitEthernet1/0/4] port access vlan 20
RBM_P[DeviceA-GigabitEthernet1/0/4] quit
# 創建VLAN-interface20,並在該接口下配置IP地址,開啟ARP MAD功能。
RBM_P[DeviceA] interface vlan-interface 20
RBM_P[DeviceA-Vlan-interface20] ip address 10.3.1.1 24
RBM_P[DeviceA-Vlan-interface20] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
g. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址(浮動地址會自動同步到備設備,不需要配置),具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable route-static
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置RBM與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
d. 配置ARP MAD檢測
# 創建VLAN 20,並將Device B上的端口GigabitEthernet1/0/4加入VLAN 20中。
RBM_S[DeviceB] vlan 20
RBM_S[DeviceB-vlan20] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/4
RBM_S[DeviceB-GigabitEthernet1/0/4] port link-mode bridge
RBM_S[DeviceB-GigabitEthernet1/0/4] port access vlan 20
RBM_S[DeviceB-GigabitEthernet1/0/4] quit
# 創建VLAN-interface20,並在該接口下配置IP地址,開啟ARP MAD功能。
RBM_S[DeviceB] interface vlan-interface 20
RBM_S[DeviceB-Vlan-interface20] ip address 10.3.1.2 24
RBM_S[DeviceB-Vlan-interface20] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
(7) 配置Host
# 配置Host的默認網關為虛擬IPv4地址10.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Data channel interface current state: Up
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Data channel interface current state: Up
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
如圖1-27所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPF協議。為提高業務穩定性,使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-27 RBM聯動路由三層主備直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為2.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址為10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為10.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
(4) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使20.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone local
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone local
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] rule name ospf3
[DeviceA-security-policy-ip-6-ospf3] source-zone untrust
[DeviceA-security-policy-ip-6-ospf3] destination-zone local
[DeviceA-security-policy-ip-6-ospf3] service ospf
[DeviceA-security-policy-ip-6-ospf3] action pass
[DeviceA-security-policy-ip-6-ospf3] quit
[DeviceA-security-policy-ip] rule name ospf4
[DeviceA-security-policy-ip-7-ospf4] source-zone local
[DeviceA-security-policy-ip-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ip-7-ospf4] service ospf
[DeviceA-security-policy-ip-7-ospf4] action pass
[DeviceA-security-policy-ip-7-ospf4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 開啟RBM調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM與序號為1和2的Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 開啟RBM調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為20.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device A的OSPF路由信息,可看到Device A的Cost值小於Device B,上下行流量經過Device A轉發。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成後,通過查看Device B的OSPF路由信息,可看到Device A的Cost值小於Device B,上下行流量不經過Device B轉發。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 6000 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 6000 1 10.1.10.2 10.1.10.1
如圖1-28所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPF協議。為提高業務穩定性,使用兩台Device進行RBM組網,同時需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-28 RBM聯動路由三層雙主直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為2.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址為10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址為10.1.10.2/24。
# 配置OSPF路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(4) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使20.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone local
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone local
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] rule name ospf3
[DeviceA-security-policy-ip-6-ospf3] source-zone untrust
[DeviceA-security-policy-ip-6-ospf3] destination-zone local
[DeviceA-security-policy-ip-6-ospf3] service ospf
[DeviceA-security-policy-ip-6-ospf3] action pass
[DeviceA-security-policy-ip-6-ospf3] quit
[DeviceA-security-policy-ip] rule name ospf4
[DeviceA-security-policy-ip-7-ospf4] source-zone local
[DeviceA-security-policy-ip-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ip-7-ospf4] service ospf
[DeviceA-security-policy-ip-7-ospf4] action pass
[DeviceA-security-policy-ip-7-ospf4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 開啟RBM調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM與序號為1和2的Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPF,保證路由可達
# 配置設備上的OSPF功能,OSPF協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 開啟RBM調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置RBM與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為20.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device A的OSPF路由信息,可看到Device A的Cost值與Device B相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device B的OSPF路由信息,可看到Device B的Cost值與Device A相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 1 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 1 1 10.1.10.2 10.1.10.1
如圖1-29所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet,Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-29 RBM透明主備直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Device A
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 1/0/1
[DeviceA-vlan10] port gigabitethernet 1/0/2
[DeviceA-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceA-security-zone-Trust] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 配置RBM監控VLAN 10的狀態。
RBM_P[DeviceA-remote-backup-group] track vlan 10
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceB-if-range] port link-mode bridge
[DeviceB-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/1
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceB-security-zone-Trust] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置RBM監控VLAN 10的狀態。
RBM_S[DeviceB-remote-backup-group] track vlan 10
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為10.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
如圖1-30所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet,Device的上、下行業務接口均為二層接口。為提高業務穩定性,使用兩台Device進行RBM組網,同時需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-30 RBM透明雙主直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 在Router A上配置OSPF功能使流量可以到達Internet和內網主機,同時保證Router A到達內網主機的流量可以在兩條鏈路上進行負載分擔。
(3) 配置Router B
# 在Router B上配置OSPF功能使流量可以到達Internet和內網主機,同時保證Router B到達Internet的流量可以在兩條鏈路上進行負載分擔。
(4) 配置Device A
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 1/0/1
[DeviceA-vlan10] port gigabitethernet 1/0/2
[DeviceA-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceA-security-zone-Trust] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone untrust
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone untrust
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 配置RBM監控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的狀態。
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二層模式,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceB-if-range] port link-mode bridge
[DeviceB-if-range] quit
# 根據組網圖中規劃的信息,創建VLAN 10,並將接口加入VLAN,具體配置步驟如下。
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/1
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
b. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceB-security-zone-Trust] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置RBM監控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的狀態。
RBM_S[DeviceB-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_S[DeviceB-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為10.1.1.1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
如圖1-31所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。同時需要在Device上配置動態NAT功能保證內網用戶可以訪問Internet,該公司擁有2.1.1.1到2.1.1.10十個外網IPv4地址。
圖1-31 RBM聯動VRRP主備模式中NAT功能組網圖
(1) 配置主備模式的RBM組網環境
# 將Device A和Device B組建成主備模式的RBM環境,其具體配置步驟請參見“RBM聯動VRRP三層主備組網配置舉例”中的相關內容,本舉例不再贅述。
(2) 配置動態NAT
在此配置舉例中,僅需要在主管理設備Device A上配置NAT的相關配置,Device A上的NAT配置會自動同步到從管理設備Device B。
# 配置NAT地址組1,其地址成員範圍為2.1.1.5到2.1.1.10,並與VRRP備份組1綁定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.10
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 在接口上配置出方向動態地址轉換,允許使用地址組1中的地址進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
# 以上配置完成後,內網主機能夠訪問Internet。在Device A設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.10/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如圖1-32所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
同時需要在Device上配置動態NAT功能保證內網用戶可以訪問Internet,該公司擁有2.1.1.1到2.1.1.10十個外網IPv4地址。
圖1-32 RBM聯動VRRP雙主模式中NAT功能組網圖
(1) 配置雙主模式的RBM組網環境
# 將Device A和Device B組建成雙主模式的RBM環境,其具體配置步驟請參見“RBM聯動VRRP三層雙主組網配置舉例”中的相關內容,本舉例不再贅述。
(2) 配置動態NAT
在此配置舉例中,僅需要在主管理設備Device A上配置NAT的相關配置,Device A上的NAT配置會自動同步到從管理設備Device B。
# 配置NAT地址組1,其地址成員範圍為2.1.1.5到2.1.1.7,並與VRRP備份組1綁定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.7
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 配置NAT地址組2,其地址成員範圍為2.1.1.8到2.1.1.10,並與VRRP備份組2綁定。
RBM_P[DeviceA] nat address-group 2
RBM_P[DeviceA-address-group-2] address 2.1.1.8 2.1.1.10
RBM_P[DeviceA-address-group-2] vrrp vrid 2
RBM_P[DeviceA-address-group-2] quit
# 配置ACL 3000,僅允許10.1.1.1/25網段的報文通過;配置ACL 3001,僅允許10.1.1.129/25網段的報文通過。
RBM_P[DeviceA] acl advanced 3000
RBM_P[DeviceA-ipv4-adv-3000] rule permit ip source 10.1.1.1 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3000] quit
RBM_P[DeviceA] acl advanced 3001
RBM_P[DeviceA-ipv4-adv-3001] rule permit ip source 10.1.1.129 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3001] quit
# 在接口上配置出方向動態地址轉換,允許使用地址組1中的IPv4地址對匹配ACL 3000的報文進行源地址轉換,並在轉換過程中使用端口信息;允許使用地址組2中的IPv4地址對匹配ACL 3001的報文進行源地址轉換,並在轉換過程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3000 address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3001 address-group 2
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
# 以上配置完成後,內網主機Host 1能夠通過Device A訪問Internet。在Device A設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.100/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
# 以上配置完成後,內網主機Host 3能夠通過Device B訪問Internet。在Device B設備上查看如下顯示信息,可以看到內網主機訪問外網時生成的NAT會話信息。
RBM_S[DeviceB] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.200/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.8/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:17:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如圖1-33所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,兩台Device工作在鏡像模式,此時兩台Device上相同編號的業務接口IP地址相同,Device A作為主設備,Device B作為備設備。同時使用MAD檢測線路來避免當雙機熱備通道斷開後兩台Device之間出現地址衝突。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-33 RBM的鏡像模式組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址為2.1.1.15/24。
# 配置路由信息,去往內網流量的下一跳IPv4地址為IPv4地址2.1.1.1,去往Internet流量的下一跳IPv4地址為出接口對端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
[DeviceA] interface gigabitethernet 1/0/5
[DeviceA-GigabitEthernet1/0/5] ip address 10.4.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/5] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
[DeviceA] security-zone name dmz
[DeviceA-security-zone-DMZ] import interface gigabitethernet 1/0/5
[DeviceA-security-zone-DMZ] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv4地址為2.1.1.15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置名稱為loglocalout的安全策略規則,使Device可以向日誌主機發送快速日誌信息,具體配置步驟如下。
[DeviceA-security-policy-ip] rule name loglocalout
[DeviceA-security-policy-ip-4-loglocalout] source-zone local
[DeviceA-security-policy-ip-4-loglocalout] destination-zone dmz
[DeviceA-security-policy-ip-4-loglocalout] action pass
[DeviceA-security-policy-ip-4-loglocalout] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] backup-mode mirror
[DeviceA-remote-backup-group] device-role auto
RBM_MIRROR_P[DeviceA-remote-backup-group] hot-backup enable
RBM_MIRROR_P[DeviceA-remote-backup-group] configuration auto-sync enable route-static
RBM_MIRROR_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_MIRROR_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 配置鏡像模式管理接口用於連接網管設備、日誌主機。
RBM_MIRROR_P[DeviceA-remote-backup-group] mirror mgt-interface gigabitethernet 1/0/5
# 配置RBM與序號為1和2的Track項聯動。
RBM_MIRROR_P[DeviceA-remote-backup-group] track 1
RBM_MIRROR_P[DeviceA-remote-backup-group] track 2
RBM_MIRROR_P[DeviceA-remote-backup-group] quit
f. 配置ARP MAD檢測,避免RBM通道斷開後因為兩端都有相同的地址而引起地址衝突
# 創建VLAN 20,並將Device A上的端口GigabitEthernet1/0/4加入VLAN 20中。
RBM_MIRROR_P[DeviceA] vlan 20
RBM_MIRROR_P[DeviceA-vlan20] quit
RBM_MIRROR_P[DeviceA] interface gigabitethernet 1/0/4
RBM_MIRROR_P[DeviceA-GigabitEthernet1/0/4] port link-mode bridge
RBM_MIRROR_P[DeviceA-GigabitEthernet1/0/4] port access vlan 20
RBM_MIRROR_P[DeviceA-GigabitEthernet1/0/4] quit
# 創建VLAN-interface20,並在該接口下配置IP地址,開啟ARP MAD功能。
RBM_MIRROR_P[DeviceA] interface vlan-interface 20
RBM_MIRROR_P[DeviceA-Vlan-interface20] ip address 10.3.1.1 24
RBM_MIRROR_P[DeviceA-Vlan-interface20] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
g. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根據組網圖中規劃的信息,配置各接口的IPv4地址(除鏡像模式管理接口和RBM通道接口外的接口IP地址會自動同步到備設備,不需要配置),具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
[DeviceB] interface gigabitethernet 1/0/5
[DeviceB-GigabitEthernet1/0/5] ip address 10.4.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/5] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
[DeviceB] security-zone name dmz
[DeviceB-security-zone-DMZ] import interface gigabitethernet 1/0/5
[DeviceB-security-zone-DMZ] quit
c. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] backup-mode mirror
[DeviceB-remote-backup-group] device-role auto
RBM_MIRROR_S[DeviceB-remote-backup-group] hot-backup enable
RBM_MIRROR_S[DeviceB-remote-backup-group] configuration auto-sync enable route-static
RBM_MIRROR_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_MIRROR_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置鏡像模式管理接口用於連接網管設備、日誌主機或進行MAD檢測。
RBM_MIRROR_S[DeviceB-remote-backup-group] mirror mgt-interface gigabitethernet 1/0/5
# 配置RBM與序號為1和2的Track項聯動。
RBM_MIRROR_S[DeviceB-remote-backup-group] track 1
RBM_MIRROR_S[DeviceB-remote-backup-group] track 2
RBM_MIRROR_S[DeviceB-remote-backup-group] quit
d. 配置ARP MAD檢測
# 創建VLAN 20,並將Device B上的端口GigabitEthernet1/0/4加入VLAN 20中。
RBM_MIRROR_S[DeviceB] vlan 20
RBM_MIRROR_S[DeviceB-vlan20] quit
RBM_MIRROR_S[DeviceB] interface gigabitethernet 1/0/4
RBM_MIRROR_S[DeviceB-GigabitEthernet1/0/4] port link-mode bridge
RBM_MIRROR_S[DeviceB-GigabitEthernet1/0/4] port access vlan 20
RBM_MIRROR_S[DeviceB-GigabitEthernet1/0/4] quit
# 創建VLAN-interface20,並開啟ARP MAD功能(由於鏡像模式下接口IP地址會同步,此處不需要配置IP地址)。
RBM_MIRROR_S[DeviceB] interface vlan-interface 20
RBM_MIRROR_S[DeviceB-Vlan-interface20] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
(7) 配置Host
# 配置Host的默認網關為虛擬IPv4地址10.1.1.1。
(8) 連接線路
# 請在所有設備配置完成後再連接線路。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Mirroring
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Data channel interface current state: Up
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Mirroring
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Data channel interface current state: Up
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
如圖1-34所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。為提高業務穩定性,使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
圖1-34 RBM聯動VRRP三層直連主備組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Switch A
# 在Switch A上創建VLAN 10,並將連接Device A、Device B和Router的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上創建VLAN 10,並將連接Device A、Device B和Host的接口設置成工作在二層模式,接口鏈路類型為Access,並將此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv6地址為3003::15/64。
# 配置路由信息,去往內網流量的下一跳IPv6地址為VRRP備份組1的虛擬IPv6地址3003::3/64,去往Internet流量的下一跳IPv6地址為出接口對端的IPv6地址。
(5) 配置Device A
a. 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0/1] ipv6 address fe80::3:1 link-local
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ipv6 address 3001::1/64
[DeviceA-GigabitEthernet1/0/2] ipv6 address fe80::1:1 link-local
[DeviceA-GigabitEthernet1/0/2] undo ipv6 nd ra halt
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ipv6 address 3005::1/64
[DeviceA-GigabitEthernet1/0/3] ipv6 address auto link-local
[DeviceA-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv6地址為3003::15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceA] ipv6 route-static 0::0 0 3003::15
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使10.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 3001::0 64
[DeviceA-security-policy-ipv6-3-trust-untrust] action pass
[DeviceA-security-policy-ipv6-3-trust-untrust] quit
# 配置安全策略規則,允許VRRP協議報文通過。當RBM通道斷開時,使Device A與Device B之間可以交換VRRP報文,進行VRRP角色競選,保證網絡互通。
[DeviceA-security-policy-ipv6] rule name vrrp1
[DeviceA-security-policy-ipv6-4-vrrp1] source-zone trust
[DeviceA-security-policy-ipv6-4-vrrp1] destination-zone local
[DeviceA-security-policy-ipv6-4-vrrp1] service vrrp
[DeviceA-security-policy-ipv6-4-vrrp1] action pass
[DeviceA-security-policy-ipv6-4-vrrp1] quit
[DeviceA-security-policy-ipv6] rule name vrrp2
[DeviceA-security-policy-ipv6-5-vrrp2] source-zone local
[DeviceA-security-policy-ipv6-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ipv6-5-vrrp2] service vrrp
[DeviceA-security-policy-ipv6-5-vrrp2] action pass
[DeviceA-security-policy-ipv6-5-vrrp2] quit
[DeviceA-security-policy-ipv6] rule name vrrp3
[DeviceA-security-policy-ipv6-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ipv6-6-vrrp3] destination-zone local
[DeviceA-security-policy-ipv6-6-vrrp3] service vrrp
[DeviceA-security-policy-ipv6-6-vrrp3] action pass
[DeviceA-security-policy-ipv6-6-vrrp3] quit
[DeviceA-security-policy-ipv6] rule name vrrp4
[DeviceA-security-policy-ipv6-7-vrrp4] source-zone local
[DeviceA-security-policy-ipv6-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ipv6-7-vrrp4] service vrrp
[DeviceA-security-policy-ipv6-7-vrrp4] action pass
[DeviceA-security-policy-ipv6-7-vrrp4] quit
[DeviceA-security-policy-ipv6] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP備份組,並與RBM關聯。實現RBM對VRRP備份組的統一管理和流量引導。配置IPv6 VRRP備份組時配置的第一個虛擬IPv6地址必須是鏈路本地地址。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local active
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local active
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(6) 配置Device B
a. 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 3003::2/64
[DeviceB-GigabitEthernet1/0/1] ipv6 address fe80::3:2 link-local
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ipv6 address 3001::2/64
[DeviceB-GigabitEthernet1/0/2] ipv6 address fe80::1:2 link-local
[DeviceB-GigabitEthernet1/0/2] undo ipv6 nd ra halt
[DeviceB-GigabitEthernet1/0/2] quit
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ipv6 address 3005::2/64
[DeviceB-GigabitEthernet1/0/3] ipv6 address auto link-local
[DeviceB-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置靜態路由,保證路由可達
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由使設備與內外網之間路由可達。本舉例假設到達外網的下一跳IPv6地址為3003::15,實際環境中請以具體組網情況為準,具體配置步驟如下。
[DeviceB] ipv6 route-static 0::0 0 3003::15
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 使用兩台Device進行RBM組網,Device A作為主設備,Device B作為備設備。當Device A或其鏈路發生故障時,由Device B接替Device A繼續工作,保證業務不中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP備份組,並與RBM關聯。實現RBM對VRRP備份組的統一管理和流量引導。配置IPv6 VRRP備份組時配置的第一個虛擬IPv6地址必須是鏈路本地地址。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local standby
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local standby
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置Host的默認網關為VRRP備份組2的虛擬IPv6地址3001::3。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_P[DeviceA] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Master
IPv6 VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None FE80::3:3
GE1/0/2 2 Master 100 100 None FE80::1:3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置是否生效,RBM通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成後,通過執行以下顯示命令可查看VRRP備份組的狀態信息。
RBM_S[DeviceB] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Backup
IPv6 VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None FE80::3:3
GE1/0/2 2 Backup 100 100 None FE80::1:3
# 在安全域Trust與Untrust的安全策略上開啟記錄日誌功能後,當內網Host與Internet之間有流量經過時,Device A上會有日誌生成,而Device B上沒有日誌生成。
如圖1-35所示,某公司以Device作為網絡邊界安全防護設備,連接公司內部網絡和Internet。Device的上、下行業務接口均為三層接口,上下行連接路由器,Device與路由器之間運行OSPFv3協議。為提高業務穩定性,使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
圖1-35 RBM聯動路由三層雙主直路組網圖
(1) 確保主備設備的軟硬件環境一致
# 在配置RBM功能之前,請先保證主/備設備的硬件環境和軟件環境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv6地址為3003::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址為3004::2/64。
# 配置OSPFv3路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv6地址為3001::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址為3002::2/64。
# 配置OSPFv3路由協議,保證路由可達,具體步驟略。
# 配置IP轉發模式為逐流的負載分擔方式。
(4) 配置Device A
a. 配置接口IPv6地址
# 根據組網圖中規劃的信息,配置各接口的IPv6地址,具體配置步驟如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0/1] ipv6 address auto link-local
[DeviceA-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPFv3,保證路由可達
# 配置設備上的OSPFv3功能,OSPFv3協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceA] ospfv3 1
[DeviceA-ospfv3-1] router-id 2.1.1.1
[DeviceA-ospfv3-1] quit
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ospfv3 1 area 0
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ospfv3 1 area 0
[DeviceA-GigabitEthernet1/0/2] quit
d. 配置安全策略,允許所需的業務報文通過
此部分安全策略隻需在主管理設備配置,RBM組網完成後,從管理設備會自動同步這些安全策略配置信息。
# 配置名稱為trust-untrust的安全策略規則,使20.1.1.0/24網段的內網用戶可以主動訪問Internet,但是Internet上的用戶不能訪問內網,具體配置步驟如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 2001::0 64
[DeviceA-security-policy-ipv6-3-trust-untrust] action pass
[DeviceA-security-policy-ipv6-3-trust-untrust] quit
# 配置安全策略規則,允許OSPF協議報文通過,保證OSPF鄰居的建立和路由的學習。
[DeviceA-security-policy-ipv6] rule name ospf1
[DeviceA-security-policy-ipv6-4-ospf1] source-zone trust
[DeviceA-security-policy-ipv6-4-ospf1] destination-zone local
[DeviceA-security-policy-ipv6-4-ospf1] service ospf
[DeviceA-security-policy-ipv6-4-ospf1] action pass
[DeviceA-security-policy-ipv6-4-ospf1] quit
[DeviceA-security-policy-ipv6] rule name ospf2
[DeviceA-security-policy-ipv6-5-ospf2] source-zone local
[DeviceA-security-policy-ipv6-5-ospf2] destination-zone trust
[DeviceA-security-policy-ipv6-5-ospf2] service ospf
[DeviceA-security-policy-ipv6-5-ospf2] action pass
[DeviceA-security-policy-ipv6-5-ospf2] quit
[DeviceA-security-policy-ipv6] rule name ospf3
[DeviceA-security-policy-ipv6-6-ospf3] source-zone untrust
[DeviceA-security-policy-ipv6-6-ospf3] destination-zone local
[DeviceA-security-policy-ipv6-6-ospf3] service ospf
[DeviceA-security-policy-ipv6-6-ospf3] action pass
[DeviceA-security-policy-ipv6-6-ospf3] quit
[DeviceA-security-policy-ipv6] rule name ospf4
[DeviceA-security-policy-ipv6-7-ospf4] source-zone local
[DeviceA-security-policy-ipv6-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ipv6-7-ospf4] service ospf
[DeviceA-security-policy-ipv6-7-ospf4] action pass
[DeviceA-security-policy-ipv6-7-ospf4] quit
[DeviceA-security-policy-ipv6] quit
e. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 開啟RBM調整備設備上動態路由協議OSPFv3的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置RBM與序號為1和2的Track項聯動。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全業務
# 以上有關RBM的配置部署完成後,可以配置各種安全業務。對於RBM支持配置信息備份的功能模塊僅需要在此主管理設備上(Device A)進行配置即可。
(5) 配置Device B
a. 配置接口IPv6地址
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 3004::1/64
[DeviceB-GigabitEthernet1/0/1] ipv6 address auto link-local
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 配置接口加入安全域。
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPFv3,保證路由可達
# 配置設備上的OSPFv3功能,OSPFv3協議自身的鏈路開銷值建議保持默認配置即可。
[DeviceB] ospfv3 1
[DeviceB-ospfv3-1] router-id 3.1.1.1
[DeviceB-ospfv3-1] quit
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ospfv3 1 area 0
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ospfv3 1 area 0
[DeviceB-GigabitEthernet1/0/2] quit
d. 配置高可靠性
本舉例僅用以太網接口作為控製通道和數據通道接口使用。對於設備同時擁有HA接口和以太網接口的情況,建議使用HA接口作為控製通道和數據通道接口使用,這樣能夠更好地保護設備的安全性和穩定性。HA接口不能作為業務接口使用。
# 配置Track項監控接口狀態。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用兩台Device進行RBM組網,需要兩台Device同時處理業務,提高業務處理能力。但是當Device A或其鏈路發生故障時,Device B可以接替Device A繼續工作,保證業務不會中斷。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 開啟RBM調整備設備上動態路由協議OSPF的開銷值功能,並以絕對方式對外通告開銷值,絕對值為6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置RBM與序號為1和2的Track項聯動。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默認網關為2001::1。
(1) Device A
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device A的OSPFv3路由信息,可看到Device A的Cost值與Device B相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_P[DeviceA] display ospfv3 interface
OSPFv3 Process 1 with Router ID 2.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 2.1.1.1 1.1.1.1 0 GE1/0/1
3 BDR 1 1 4.1.1.1 2.1.1.1 0 GE1/0/2
(2) Device B
# 以上配置完成後,通過執行以下顯示命令可查看RBM配置已生效,RBM通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成後,通過查看Device B的OSPFv3路由信息,可看到Device B的Cost值與Device A相同,上下行流量會在Device A和Device B之間進行負載分擔。
RBM_S[DeviceB] display ospfv3 interface
OSPFv3 Process 1 with Router ID 3.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 3.1.1.1 1.1.1.1 0 GE1/0/1
3 BDR 1 1 4.1.1.1 3.1.1.1 0 GE1/0/2
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
