标签归档:HA

深信服AC增加备HA口的配置方案

一、现有情况

目前有两台深信服AC使用eth2口作为HA口,使用一根网线互联。

二、本次需求

再增加一根心跳线,启用备HA口,以实现两台AC之间有两根心跳线。

三、实现步骤

操作前备份AC配置!

1、在AC主机A上修改部署模式,将eth3口加入到DMZ口,配置IP地址9.9.9.1/24,然后提交,此时A会重启, B由备机切换成主机,A重启完成后,此时B仍然是主机,A是备机;

2、修改B的部署模式,将eth3口加入到DMZ口,配置IP地址9.9.9.2/24,然后提交,此时B重启,A由备机切换成主机,B重启完成后,仍然是备机;

3、修改A的高可用性配置,将eth3口加入到备HA口,修改HA口的配置会提交重启高可用的进程,一旦进程重启时没有检测到备机,就会切换,一般设置的间隔时间是5秒钟,一般是不会引起主备切换,但是仍有一定几率会引起主备切换,B由备机切换成主机;

4、修改B的高可用性配置,将eth3口加入到备HA口,修改HA口的配置有一定几率会引起主备切换,A由备机切换成主机;

5、将A的eth3口与B的eth3口连接网线,整个过程完成。

四、影响范围

整个过程会发生4次主备切换,每次切换预计30秒左右,会短暂影响业务。

五、回退措施

如果配置后,HA状态异常或者业务中断,则优先恢复业务,回退本次修改的配置,并处理相关问题。

两台深信服防火墙主备部署在出口,前置两台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:

用户为了防止单台接入交换机故障,所以增加一台接入交换机,并且这两台接入交换机做堆叠。

交换机1的1口接电信线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的1口,3口连接备防火墙的1口。交换机2的1口接联通线路,2口和3口做聚合,配置trunk,仅允许vlan100、vlan200通过,2口连接主防火墙的5口,3口连备防火墙的5口。

主防火墙的1口和5口配置聚合口,二层透明口,新建vlan100配置电信公网IP地址,vlan200配置联通公网IP地址。2口、3口做聚合分别接下面两台核心交换机,4口为HA口连接备防火墙,备防火墙也做相同的连线方法。

下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由,第一条电信走电信,第二条联通走联通,第三条轮询,也可再配置一条走电信的默认路由,以防止策略路由失效。再配置代理上网,做放通策略,再配置用户防护策略和业务防护策略,再开启相关日志。

两台深信服防火墙主备部署在出口,前置一台运营商线路接入交换机场景的配置方法

现有两台深信服防火墙,部署在公网出口,做HA,有电信、联通两条运营商线路,拓扑大概如下:

接入交换机上1口接电信线路,2口接联通线路,3口接主防火墙的1口,4口接主防火墙的2口,5口接备防火墙的1口,6口接备防火墙的2口。交换机的1口、3口、5口属于vlan100,2口、4口、6口属于vlan200。

主防火墙1口配置电信公网IP,2口配置联通公网IP,3口和4口做聚合,分别接下面两台交换机,5口为HA口连接备防火墙,备防火墙的网口也做相同的接线方法。

下面两台核心交换机做堆叠,聚合模式要与防火墙的接口聚合模式一致。

防火墙上配置策略路由,也可再配置一条走电信的默认路由,以防止策略路由失效。

深信服防火墙路由模式HA配置说明

防火墙路由模式一般只能配置成主备,无法配置成主主。

除了两台防火墙的HA口配置为-HA,即不同步,一般其他网口都不需要加-HA,且都要放在双机监视网口中,每组监视网口中的所有网口都断开则会切换,比如防火墙有2个WAN口,1个LAN,如果把每个WAN口和LAN口都放在独立的网口监视组中,那么当2个WAN口和1个LAN口有任意一个网口断开都会切换,但是如果把2个WAN口放到同一个网口监视组中,那么只有当2个WAN口都断开才会主备切换。

如果两台防火墙除了WAN口和LAN口还要接带外管理口,那么可以为带外管理口加-HA,即两台使用不同的管理口地址,可以同时管理主备两台防火墙,如果管理口上还需要跑路由,那么就不能加-HA,且一定要加到双机热备的网口监视中,如果不加到网口监视,那么该带外管理口的地址会在两台防火墙上造成地址冲突,即使用该管理口地址会随机登录到主备其中一台且会频繁注销。

另外如果做端口聚合,下接交换机是静态聚合时,深信服防火墙上配置工作模式负载均衡-hash,如果有问题可以都配置成动态聚合。

另外截止深信服防火墙的8.0.26版本,防火墙上最多只能配置256个VLAN,DHCP地址池的地址总数只能有1万个,超过1万会不生效。

以下是两台防火墙路由模式配置HA的截图,主机:

HA配置:

备机只需要将eth4口配置成-HA的心跳口地址,备机HA配置:

深信服防火墙网桥模式HA配置说明

对于两台深信服防火墙,如果配置网桥模式,一般拓扑是口字型,此时可以配置为主主,即两台都在使用,网桥地址可以加-HA,即都可以同时管理,双机热备处不要配置,基本信息及配置同步正常配置。

如果配置成主备模式,即备机静默不发包,备机上下联设备看不到备机的arp信息,此时基本信息、双机热备、配置同步都要正常。

山石防火墙部署HA模式,保证业务不中断

本示例介绍如何配置HA Active-Passive工作模式,以提高网络可靠性,保证业务不中断。

如下图所示,组建HA AP模式的两台设备分别为Device A和Device B。配置后,Device A将被选举为主设备,进行流量转发;Device B为备份设备。Device A会将其配置信息以及状态数据同步到备份设备Device B。当主设备Device A出现故障不能正常转发流量时,备份设备Device B会在不影响用户通信的状态下切换为主设备,继续转发流量。

步骤一: 配置Device A的监测对象。监控主设备ethernet0/0的工作状态,一旦发现接口工作失败,则进行主备切换。
选择“对象 > 监测对象”,并点击“新建”。   名称:track1 警戒值:255 监测类型:选择<接口>单选按钮,并点击“添加”按钮。在弹出的<添加监测对象>对话框,指定接口为“ethernet0/0”,权值为“255”
步骤二: 配置HA组。 
Device A   选择“系统 > HA”,在<组0>处配置。 优先级:10 监测对象:track1
Device B   选择“系统 > HA”,在<组0>处配置。 优先级:100
步骤三: 配置Device A的接口及策略。 
选择”网络 > 接口”,双击ethernet0/0。   绑定安全域:三层安全域 安全域:untrust 类型:静态IP IP地址:100.1.1.4 网络掩码:29
选择”网络 > 接口”,双击ethernet0/1。   绑定安全域:三层安全域 安全域:trust 类型:静态IP IP地址:192.168.1.4 网络掩码:29
选择“策略 > 安全策略”,并点击“新建”按钮创建一条策略规则。   名称:policy 源信息 安全域:trust 地址:Any 目的信息 安全域:untrust 地址:Any 其他信息 服务/服务组:Any 行为:允许
步骤四:配置HA控制连接接口,并开启HA功能。 
Device A   选择“系统 > HA”。 HA控制连接接口1:ethernet0/4 HA控制连接接口2:ethernet0/8 IP地址:1.1.1.1/24 HA簇ID:1
Device B   选择“系统 > HA”。 HA控制连接接口1:ethernet0/4 HA控制连接接口2:ethernet0/8 IP地址:1.1.1.2/24 HA簇ID:1
步骤五:主备同步完成后,配置主设备与备份设备的管理IP。
Device A   选择”网络 > 接口”,双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。 管理IP IP地址:192.168.1.253
Device B   选择”网络 > 接口”,双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。 管理IP IP地址:192.168.1.254
步骤六:验证结果。 
配置完成后,点击“系统 > 系统信息”,两台设备的HA状态分别如下显示:   Device A HA状态:Master Device B HA状态:Backup Device A:   Device B:
当Device A出现故障不能正常转发流量或Device A的ethernet0/0接口断开时,Device B会在不影响用户通信的状态下切换为主设备,继续转发流量。   点击“系统 > 系统信息”,两台设备的HA状态分别如下显示: Device A HA状态:Monitor Failed Device B HA状态:Master Device A:   Device B:

山石防火墙HA配置说明

使用高可靠性功能,用户需要按照以下步骤进行配置:

  1. 配置HA组的接口。
  2. 配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。
    对于X系列其他平台,仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口,其他模块卡接口不支持该功能。
  3. 配置HA簇。为设备指定HA簇ID,并且开启设备的HA功能。
  4. 配置HA组。HA组的配置包括指定设备优先级(选举使用)以及设备HA报文相关参数等。

配置HA功能,必须配置HA数据连接接口;且HA组0和组1接口不能配置为HA数据连接接口,只能配置为HA控制连接接口。

配置HA,请按照以下步骤进行操作:

1、选择“系统 > HA”,进入HA配置页面。

null

说明
HA控制连接接口1
指定HA控制连接接口的名称。控制连接同步两台设备间的所有数据。
HA控制连接接口2
指定HA控制连接接口的名称(备份设备)。
HA辅助链路接口
指定HA辅助链路接口的名称。在Active-Passive(A/P)模式中,为了避免当HA连接发生故障时HA设备的主备状态出现异常,用户可以指定HA辅助链路接口,通过配置的HA辅助链路接收和发送心跳报文(Hello报文),以确保HA设备维持正常的主备状态。
说明
在HA连接恢复正常之前,HA辅助链路只能接收和发送心跳报文,不能同步数据报文信息,因此建议用户不要修改当前设备配置信息,在HA连接恢复后,进行手动同步会话信息。
HA辅助链路接口必须使用除HA连接接口以外的接口,并且已绑定到安全域。
HA主备设备需将相同的接口指定为HA辅助链路接口,并确保两端设备的该接口属于同一个VLAN。
HA数据连接接口
指定HA数据连接接口的名称。数据连接仅同步数据报文信息,如会话信息。指定后,会话信息将通过HA数据连接接口同步完成。目前仅支持将物理接口和集聚接口配置为数据连接的接口。用户最多可以指定1个HA数据连接接口。
IP地址
指定HA连接接口的IP地址及网络掩码。
HA簇ID
指定HA簇ID。取值范围为1~8。当选择HA簇ID为无时表示关闭设备的HA功能。
节点ID
开启HA功能后,用户需为设备指定节点ID(HA Node),两台设备需指定不同的节点ID。范围是0到1。如不指定该参数,设备将通过自动协商获取节点ID。
Peer-mode
勾选启用复选框开启 HA Peer模式,并标识该设备在HA簇中的角色。范围是0到1。默认情况下,HA 节点ID为0的设备上的组0为主动状态,节点ID为1的设备上的组0为禁用状态。
对称路由
若指定该参数,设备将工作在对称路由模式下。
HA同步配置
在某些特殊情况下,可能出现主备配置信息不同步现象。此时,需要用户手动同步主备设备的配置信息。点击“HA同步配置”按钮,完成配置信息同步。
HA同步会话
默认情况下,HA设备之间会自动同步会话信息。同步会话会产生一定流量,在高负载情况下可能会对设备性能造成影响。用户可以根据设备负载情况使用HA会话自动同步功能,以确保设备的稳定性。点击“HA同步会话”按钮,启用HA会话自动同步功能。
新建
默认情况下,指定HA簇ID后,系统自动创建组0。点击“新建”按钮, 可创建组1并对其进行配置。
删除
若已创建HA组1,用户可点击“删除”按钮将组1配置删除。
优先级
指定当前设备在HA组中的优先级。优先级高(数字小)的会被选举为主设备。
抢占时间
指定当前设备是否开启抢占模式以及抢占延迟时间。如果将设备配置为抢占模式,一旦设备发现自己的优先级高于主设备,就会将自己升级为主设备,而原先的主设备将变为备份设备。如果输入0,则表示不开启抢占模式;即使设备的优先级高于主设备,它也只能在主设备故障时代替主设备工作。
Hello报文间隔
输入HA设备向HA组中的其它设备发送Hello报文的时间间隔。同一个HA组的设备的Hello报文间隔时间必须相同。
Hello报文警戒值
输入HA组对应的Hello报文的警戒值,即如果设备没有收到对方设备的该命令指定个数的Hello报文,就判断对方无心跳。
免费ARP包个数
指定当前设备选举为主设备后,发送ARP请求包的个数。当备份设备升级为主设备时,新主设备需要向网络中发送ARP请求包,通知相关网络设备更新其ARP表。
监测对象
指定已配置的监测对象的名称。系统利用监测对象监控设备的工作状态。一旦发现设备不能正常工作,立即采取相应措施。
描述
指定该HA组的描述信息。

2、点击“发送”按钮,完成配置。