H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6612 E6453)-6W106

54-HA

1 HA

1.1 概述

1.1.1 HA简介

HA是High Availability的缩写，即高可用性，可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断，保证网络服务的连续性和安全强度。

随着网络的快速普及和应用的日益深入，各种增值业务（如 IPTV、视频会议等）得到了广泛部署，网络中断可能影响大量业务、造成重大损失。因此，作为业务承载主体的基础网络，其可靠性日益成为受关注的焦点。

在实际网络中，总避免不了各种非技术因素造成的网络故障和服务中断。因此，提高系统容错能力、提高故障恢复速度、降低故障对业务的影响，是提高系统可靠性的有效途径。

本产品通过双机热备来实现HA。

进行HA的两台设备，要求为同一个硬件型号，并且选择同样的接口作为HA接口。这两台设备之间通过HA接口直连，HA接口可以是任何以太网接口，也可以是AGG接口（聚合接口）。

1.1.2 HA组网模式

目前产品支持两台网关设备以主-备或主主模式运行。

主备模式是指实现HA的两台设备中，一台作为主设备，另外一台作为备设备。主设备在进行业务的同时，将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时，备用设备成为主设备，接管原主设备的工作，实现网络业务的无缝切换。如图1-1所示。

图1-1 主备模式

在主备模式下，主设备响应各类报文请求，并且转发网络流量；备用设备不响应报文请求，也不转发网络流量。主备设备之间通过HA心跳线同步状态信息，配置信息以及特征库文件。

在主主模式下，两台设备都配置成主动，使两台设备同时运行各自的工作，且相互监测对方的情况。当其中一台设备发生故障时，另外一台设备运行其自身的工作并且接管故障设备的工作，以保证整体业务不间断。兼具故障备份和负载均衡。如图1-2所示。

图1-2 主主模式

主备模式和主主模式均支持路由模式和透明模式。

· 路由模式：设备接口配置IP地址，通过路由转发数据，上下游设备的接口IP地址处于不用网段。

· 透明模式：设备接口配置加入桥中，只有桥接口配置IP地址，通过桥转发数据，上下游设备的接口IP地址处于同一网段，不知道设备的存在。

HA的主主模式的路由部署方式中——HA设备的上下行可以在不同的网段。但是由于一台出现故障，另一台需要代理故障设备的流量发送免费ARP更新上下游的ARP表项。所以需要HA设备的上下联接口网段和与之相连的其它设备网络相同。

1.1.3 HA工作状态

HA主备模式的工作状态主要有两种，主模式和备模式。

· 主模式是指在设备HA主备模式中，实际参与工作。

· 备模式是指设备是指在HA主备模式中，作为主设备备份，不参与实际工作。只有当主设备失效，才转换为主设备，接替其工作。

HA主主的工作状态有三种：Master模式、Master（N）模式、Master（A）模式。

· Master模式：两台设备都处于流量转发状态。

· Master（N）模式：本端设备出现故障。

· Master（A）模式：本端设备代理故障设备和自己原来的所有流量。

1.1.4 接口概念

HA中，主要有两种接口概念。

· HA接口：连接两台HA设备的接口，不参与报文的转发，只用于HA设备直接心跳报文和同步报文发送。

· 监控接口：HA必须重点关注的设备接口，如果此接口状态为down，表明网络状态发生故障，需要切换主备设备来修复故障。

1.1.5 抢占模式

· 非抢占方式：如果备份组中的设备工作在非抢占方式下，则只要主设备没有出现故障，备设备不会主动成为主设备。

· 抢占模式：抢占模式时指用户可以根据需要，指定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常，即使当前设备为备状态，也要“抢占”成主设备。

· HA的两台设备在主备模式下：抢占模式必须匹配，或者全部配置成非抢占模式，或者一个配置成抢占为主，一个配置成抢占为备，否则HA无法正确协商。

· HA的主主模式两台设备没有抢占的概念。

1.1.6 抢占延时定时器

在HA主备模式下：为了避免HA设备频繁进行主备状态转换，备设备在网络状态恢复为正常状态后，也不会马上抢占为主，而是在流表等信息同步完成后，等待一定时间。只有在这段时间内，设备依然正常，才会通知备设备，抢占成主。

在HA主主模式下，没有抢占的概念。

1.1.7 心跳报文

HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文，可以认定HA邻居已经失效。

1.1.8 HA管理地址

处于备状态的HA设备不会参与网络转发，因此无法通过其接口配置的IP地址访问。为了解决这一问题，可以在设备上配置管理地址，用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。

在HA主备和主主模式下，建议两台设备都配置管理地址。目的是防止当其中一台设备故障不转发数据的情况下，依然可以通过管理地址进行管理。

1.1.9 HA状态同步

HA作为热备份，为了在状态切换的过程中，尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种：session信息、设备配置、特征库。

· Session信息：包括设备连接表、FBD、用户信息、PKI。

· 设备配置：同步的设备配置中不包含HA配置信息，以及一些特殊的配置。

· 特征库：特征库包括APP特征库以及URL特征库。

HA主主模式下，同步内容有2种：运行状态同步、监控接口地址同步。

· Session信息：包括设备连接表、FBD、用户信息、PKI。

· 监控接口地址同步：当其中一台HA主主设备发生故障，那么另一台会代理这台故障设备的IP地址。

1.1.10 HA状态切换

· 当设备启用HA主备模式后，设备进入init（初始化状态）。在这个状态，设备不参与报文转发，只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文，设备会进入备状态。如果没有收到keepalive报文，设备会进入主状态。

· 如果设备成为主状态后，会向外发送免费arp报文，用来更新上下游设备的arp表（工作在路由模式），或者向外发送特殊的报文刷新上下游交换机的FBD信息（工作在桥模式）。

· 如果设备成为备设备，设备会清除自己的FBD表（如果工作在桥模式），并且向主设备请求状态信息。

· HA主主的两台设备，默认都是Master的状态，两台设备同时在转发流量。

· HA主主的两台设备，其中一台发生故障，故障设备的状态机会变成Master（N），不再转发数据；另外一台设备的状态机变成Master（A），开始代理这台设备的全部流量。

· 如果设备工作在桥模式，为了防止形成环路，在刚刚成为主设备的一秒内，桥不转发报文。

· 如果设备工作在桥模式，在成为备设备后，设备会将加入桥的接口关闭打开一次，用来刷新上下游交换机的FBD表。

· 设备刚变成备状态，会从主设备获取配置信息，但是不会立刻加载。如果主备设备的信息不一致。需要重启备设备。

1.2 配置HA

1.2.1 配置概述

HA配置的推荐步骤如表1-1所示。

表1-1 HA配置的推荐步骤

配置任务	说明	详细配置
HA全局配置	必选	· 1.2.2
HA状态查看和维护	可选	· 1.2.3
配置管理地址	可选	· 1.2.4

1.2.2 HA全局配置

在导航栏中选择“系统管理 > 系统设定 > 高可用性 > HA全局配置”，进入HA的配置页面，如图1-3所示。

图1-3 HA全局配置页面

页面的详细说明如表1-2。

表1-2 HA全局配置的详细说明

项目	说明
工作模式	HA的工作模式，有不启用、主备模式、主主模式三个选项。
配置同步	是否启用HA配置同步。
运行状态同步	是否配置HA运行状态同步。
库同步	是否配置HA库同步。
抢占模式	是否配置HA抢占模式。
模式	HA的抢占模式，有主和备两个选项。
延时时间	HA抢占延时时间。
HA通讯接口	HA 的通讯接口，只能选择物理接口和聚合接口。
被监控接口	HA监控的接口。
地址探测	选择引用地址探测对象。地址探测出接口需配置管理IP且到探测IP可达，非共享网络地址探测不建议配置地址探测。

选中左边的接口列表中的接口，点击<添加>按钮，可以将选中接口配置成到监控接口。

选中右边的监控接口列表中的接口，点击<删除>按钮，可以将选中接口从监控接口列表中删除。

输入完毕后，点击<提交>按钮，应用配置。

· HA主备模式下，如果开启地址探测，地址探测出接口需配置管理IP且到探测IP可达。主机使用接口主地址发包进行探测，备机是使用HA接口管理地址发包进行探测，因此，备机上需要配置HA接口管理地址，否则备机无法探测成功，主备无法进行切换。当主备切换后，原来的主机切换为新的备机，同理，原来的主机也需要配置HA接口管理地址，否则新的备机无法进行地址探测。

· HA主主模式下，如果开启地址探测，探测接口需要配置管理IP，在主状态下地址探测是用主地址发包，但是发生状态切换变成master(N)状态后，地址探测就会用管理地址发包了。

· 开启地址探测功能后，在配置源NAT时，要将管理IP的地址排除，避免管理地址过出接口时做源NAT导致探测报文发不出去，因为在HA 备状态下，备机是使用HA接口管理地址发包进行探测，探测报文源地址为管理IP时才会发送，否则探测报文无法发送，如果不将管理IP的地址排除，源NAT会改变探测报文源地址，导致探测报文发不出去。

1.2.3 HA状态显示和维护

在导航栏中选择“系统管理 > 系统设定 > 高可用性 > HA全局配置”，点击页面上方的“HA监控”标签，进入HA监控页面，如图1-4所示。

图1-4 HA监控页面

页面的详细说明如表1-3。

表1-3 HA监控的详细说明

项目	说明
设备名称	本地设备和HA邻居设备的设备名称。
主备状态	本地设备和HA邻居设备的HA状态。
系统配置	本地设备和HA邻居设备的配置是否同步。
IPS库	本地设备和HA邻居设备的IPS特征库是否同步。
AV库	本地设备和HA邻居设备的AV特征库是否同步。
APP库	本地设备和HA邻居设备的APP特征库是否同步。

点击<同步配置>按钮，可以将主设备的配置同步给备设备，并且重启备设备。

点击<主备切换>按钮，可以手动切换主备设备的HA状态。

· 如果系统配置已经相同，无需再次同步，<同步配置>按钮无法点击。

· 如果配置了抢占模式，无法进行手动切换状态，<主备切换>按钮无法点击。

1.2.4 配置管理地址

在导航栏中选择“系统管理 > 系统设定 > 高可用性 > HA全局配置”，点击页面上方的“HA接口管理地址”标签，进入HA接口管理地址配置页面，如图1-5所示。

图1-5 HA接口管理地址页面

页面的详细说明如表1-4。

表1-4 HA接口管理地址的详细说明

项目	说明
接口名称	配置管理地址接口名称。
管理地址	接口配置的管理地址。
操作	对管理地址可进行的操作。

点击<新建>按钮，进入HA接口管理地址的新建页面，如图1-6所示。

图1-6 HA接口管理地址新建页面

页面的详细说明如表1-5。

表1-5 HA接口管理地址的详细说明

项目	说明
接口名称	配置管理地址接口名称，只包含物理接口，桥接口和三层子接口。
管理地址	接口配置的管理地址，仅支持IPv4地址。

输入完毕后，点击<提交>按钮，应用配置。

在HA接口管理地址显示页面，可以点击管理地址右边的<删除>按钮，删除对应的管理地址。

1.3 HA配置举例

1.3.1 HA主备模式配置举例

1. 组网需求

· 设备 A配置为主设备，设备 B配置成为备设备。

· 设备 A的ge2接口作为HA接口和设备 B的ge2接口相连。

· 设备A配置为抢占主模式，设备B配置成抢占备模式。

· 设备A和设备B的keepalive间隔设置为1秒，重试次数为3次。

· 设备A和设备B配置ge0和ge1为监控接口。

· 设备A和设备B配置自动同步session，配置特征库。

2. 组网图

图1-7 HA主备模式组网图

3. 配置思路

· 配置设备A为主设备，设备B为备设备。

· 设备A监控自己的ge0和ge1接口，当ge0或者ge1 down后，设备A切换成备状态，设备B切换成主状态。

· 设备B监控设备A的状态，当B收不到A的心跳报文，认为设备A已经失效，设备B变成主状态。

· 当设备A的状态恢复正常后，设备A会抢回自己的主状态。设备A变成主设备，设备B变成备设备。

4. 配置步骤

(1) 配置设备A的HA全局配置。

图1-8 设备A的HA全局配置

(2) 在设备A的ge0接口配置管理地址1.1.1.100/24。

图1-9 配置设备A的管理地址

(3) 配置设备B的HA全局配置。

图1-10 设备B的HA全局配置

(4) 在设备B的ge0接口配置管理地址1.1.1.101/24。

图1-11 配置设备B的管理地址

(5) 点击设备A的HA监控页面的配置同步按钮，同步配置。

图1-12 设备A的HA监控页面

5. 验证配置

(1) 通过管理地址1.1.1.100/24访问设备A，查看HA监控页面。

图1-13 设备A的HA监控页面显示

(2) 通过管理地址1.1.1.101/24访问设备B，查看HA监控页面。

图1-14 设备B的HA监控页面显示