01-双机热备
本章节下载: 01-双机热备 (565.79 KB)
本帮助主要介绍以下内容:
· 特性简介
○ 基本概念
○ 运行模式
○ 双机热备通道
○ 业务表项备份
○ 配置信息备份
○ 双机热备联动路由
○ 双机热备透明组网
· 配置指南
双机热备功能可以在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作,从而实现设备的双机热备(High Availability,高可靠性)部署。
双机热备通过RBM(Remote Backup Management,远端备份管理)协议管理多个VRRP备份组状态的切换或者调整动态路由协议的开销值等,选举出双机热备中每台设备的主备业务状态。双机热备通过RBM协议备份设备间的关键配置信息和业务表项等,从而保证用户业务数据的不间断传输。需要两台软硬件环境完全相同的设备进行双机热备组网。
双机热备技术包含的基本概念如下:
· 主、从管理设备:双机热备中的设备分为主、从两种管理角色,用于控制设备之间关键配置信息的同步。配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置信息。
· 主、备业务设备:双机热备中包含主、备两种设备,其中主设备对应VRRP备份组中的Master设备;备设备对应VRRP备份组中的Backup设备。主设备为业务提供支持,转发业务流量,并向备设备实时备份业务表项信息;备设备除接收主设备的业务表项备份信息外,在主设备发生故障后,备设备会转换成主设备,继续转发业务流量,保证业务不中断。
· VRRP active组和VRRP standby组:用于将双机热备与VRRP进行关联,实现双机热备对多个VRRP备份组状态进行统一管理的目的。
· 双机热备通道:两台设备之间交互双机热备的运行状态信息,关键配置信息和业务表信息的传输通道。
· 双机热备运行模式:支持主备和双主两种运行模式。主备模式下,仅由主设备处理业务,备设备处于空闲状态,实时待命;双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载分担能力。
· 双机热备报文:双机热备使用TCP作为其传输层协议,TCP连接建立后,主管理设备和从管理设备通过双机热备通道交互双机热备报文。
双机热备支持主备和双主两种运行模式,具体介绍如下。
如图-1所示,主备模式下,正常情况仅由主设备处理业务,备设备处于待命状态;当主设备接口、链路或整机故障时,备设备立即切换为主设备,接替原主设备处理业务。
图-1 主备模式的双机热备示意图
如图-2所示,双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载能力,此模式通过互为主备方法实现。并且当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证业务不中断。
图-2 双主模式的双机热备示意图
双机热备通道用于两台设备之间交互双机热备的运行状态、关键配置和业务表项等信息,包括以下两种类型的通道:
· 控制通道:用来同步设备之间的所有数据,包括双机热备的运行状态报文、一致性检查报文、业务表项的热备报文、数据透传报文和同步配置信息的报文等。
· 数据通道:仅用于传输设备之间的热备报文和透传报文,不用于传输双机热备的其他报文。数据通道直接使用底层驱动进行数据传输,因此仅支持二层转发。
控制通道基于TCP协议来监测链路的连通性。其使用TCP方式进行创建,在创建过程中,使用IP地址较大的设备作为Server建立TCP监听,而IP地址较小的设备作为Client向对端设备发起建立TCP连接请求。
控制通道建立后,设备会周期性向对端设备发送Keepalive报文,如果达到最大发送次数后仍然没有收到对端的回应,则双机热备通道断开,双机热备失效。
双机热备可以将主设备上生成的业务表项信息实时备份到备设备,避免了主备设备切换时因备设备上缺失业务表项而造成的业务中断问题。
需要对报文进行状态检测的设备(如防火墙等),对于每个动态生成的连接,都有一个会话表项与之对应。主设备在处理业务的过程中创建了很多会话表项;而备设备没有报文经过,因此也就没有创建会话表项。通过双机热备的业务表项实时备份功能,主设备会将会话表项备份到备设备,当主备切换后,已有连接的后续业务报文就可以通过匹配备份来的会话表项而保持业务不中断。
目前双机热备支持热备的业务表项包括:会话表项、会话关联表项、NAT端口块表项、AFT端口块表项和各个安全业务模块自身生成的业务表项。
此处仅是列出双机热备所支持热备份表项的所有业务模块,但是不同产品对这些表项的支持情况不同,请以设备对相关功能的实际支持情况为准。
双机热备可以将主管理设备上的关键配置信息备份到从管理设备,避免了主备设备切换时因对端设备缺失对应的配置信息而造成的业务中断问题。
为了保证备设备可以平滑地接替主设备的工作,双机热备必须能够将主设备的相关配置信息备份到备设备。尤其在双主组网环境中,两台设备都是主设备。如果允许两台主设备之间能够相互备份配置信息,那么就会造成两台设备上配置信息相互覆盖或冲突的问题。所以为了方便管理员对两台设备的配置信息进行统一管理,又能避免配置信息的混乱,我们引入了主管理设备和从管理设备的概念。主从管理设备角色只能静态配置,不能动态选举。
配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置,保证主从管理设备的配置信息一致。因此建议仅在主管理设备上配置相关功能,不建议在从管理设备上进行配置。
双机热备支持自动和手动两种方式进行配置信息备份。
目前双机热备支持配置信息同步的业务模块如下:
· 资源类:VPN实例、ACL、对象组、时间段、安全域、会话管理、APR、AAA。
· DPI相关模块:应用层检测引擎、IPS、URL过滤、数据过滤、文件过滤、防病毒、数据分析中心、WAF。
· 策略类:对象策略、安全策略、ASPF、攻击检测与防范、连接数限制、NAT、AFT、负载均衡、带宽管理、应用审计与管理、共享上网管理、代理策略。
· 日志类:快速日志输出、Flow日志。
· VPN类:SSL VPN。
· 其他类:VLAN、信息中心。
此处仅是列出双机热备支持配置信息同步的所有业务模块,但是不同产品对这些业务模块的支持情况不同,请以设备实际情况为准。
双机热备通过交互一致性检查报文来检测两台设备的配置信息是否一致,用于防止由于两台设备配置信息不一致,而导致主备切换后业务不通的情况。当配置信息不一致时,设备会发送日志信息,以提示管理员进行配置信息的手动同步。
在双机热备与VRRP联动的组网环境中,双机热备将会控制设备在多个VRRP备份组中Master和Backup状态的统一切换。此功能可以使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此处以主备模式为例,介绍双机热备与VRRP的联动组网情况,具体如下。
· 如图-3的左图所示,在仅有VRRP的组网环境中,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不是同一台设备,造成流量中断。
· 如图-3的右图所示,将双机热备和VRRP关联后可以解决以上问题。双机热备控制通道建立后,VRRP备份组内的设备状态将由双机热备决定,VRRP自身的主备选择机制不再生效。当双机热备的控制通道断开后,VRRP自身的主备选择机制将会重新生效。
VRRP active组和VRRP standby组:用于将双机热备与VRRP进行关联,实现双机热备对多个VRRP备份组状态进行统一管理的目的。
VRRP active/standby组分别有两种状态:Master和Backup。VRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master。
VRRP active/standby组初始状态的实现机制如下:
· 主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup。
· 双主模式下:此种模式下VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为Master;VRRP standby组的初始状态均为Backup。
如图-3的右图所示,将双机热备与VRRP关联成功后,VRRP备份组中Master/Backup状态的变化机制如下:
1. 正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device A在VRRP备份组1和VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device B在VRRP备份组1和VRRP备份组2中的状态是Backup。
2. 当Device A的下行接口Interface A2故障后,双机热备会收到接口故障事件。然后双机热备发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master。
3. Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device B在VRRP备份组1和VRRP备份组2中的状态变为Master。变更完成后给Device A发送应答报文。
4. Device A收到Device B的VRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device A在VRRP备份组1和VRRP备份组2中的状态变更为Backup。
当Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。
当VRRP备份组中的设备接收到虚拟IP地址的ARP请求报文后,只能由Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求,与此同时ARP报文传输路径上的二层设备也就学习到了此虚拟MAC地址的MAC地址表项。
在双机热备与动态路由联动的组网环境中,双机热备将会调整备设备上动态路由协议对外通告的链路开销值。这样可以保证主备切换时使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此组网环境中双机热备必须关联Track项,否则,上下行链路或者接口故障双机热备不能进行主备切换。
此处以双机热备联动OSPF为例,介绍双机热备与动态路由的联动情况,具体如下。
· 如图-4左图所示,正常情况下,Device A(主设备)按照OSPF的配置正常通告链路开销值(如1),而Device B(备设备)通告的链路开销值是被双机热备调整后的值(如65500)。这样可以使内外网之间的流量走Device A转发。
· 如图-4右图所示,当Device A的下行接口Interface A2故障后,Device A和Device B将进行主备切换。之后,Device B(主设备)按照OSPF的配置正常通告链路开销值(如1),而Device A(备设备)通告的链路开销值是被双机热备调整后的值(如65500)。这样可以使内外网之间的流量走Device B转发。
双机热备调整备设备上动态路由协议开销值有如下两种方式:
· 绝对值方式:设备将使用配置的绝对值对外通告。
· 增量值方式:设备将在原有开销值上增加配置的增量值后对外通告。
此功能仅调整备设备上动态路由协议对外通告的开销值,对主设备没有影响。
需要在主备设备上同时开启此功能,并设置相同的参数。
在双机热备透明组网环境中,可通过双机热备的监控接口或监控VLAN功能将上下行接口的状态进行联动。当其中一个接口故障后,另一个接口也会失去报文转发能力,从而使设备的上下行流量同时切换到新的主设备,保证业务不中断。
双机热备的监控接口或监控VLAN功能可以保证所监控对象之间的状态相互联动、保持一致,使其同时具备或同时不具备报文转发能力。
此处以双机热备监控VLAN功能为例,介绍双机热备透明组网的情况,具体如下。
· 如图-5左图所示,正常情况下,Device A(主设备)上双机热备将监控的VLAN10设置为Active状态,Device B(备设备)上双机热备将监控的VLAN10设置为Inactive状态。这样可以使内外网之间的流量走Device A转发。
· 如图-5右图所示,当Device A的下行接口Port A2故障后,Device A和Device B将进行主备切换。之后,Device B(主设备)上双机热备将监控的VLAN10设置为Active状态,而Device A(备设备)上双机热备将监控的VLAN10设置为Inactive状态。这样可以使内外网之间的流量走Device B转发。
· 双机热备仅支持与VRRP的标准模式配合使用,不支持与VRRP的负载均衡模式配合使用。
· 监控VLAN与监控接口两个功能互斥,不可同时配置;监控VLAN与联动Track项目两个功能互斥,不可同时配置;监控接口与联动Track项目两个功能可以同时配置,但是两者监控的接口不能相同。
在双机热备功能之前,请先保证主/备设备的硬件环境和软件环境的一致性,具体要求如下:
· 主/备设备的型号必须一致
· 主/备设备的软件版本必须一致。
· 主/备设备的接口编号必须一致。
· 主/备设备之间建立控制通道的接口必须一致。
· 主/备设备之间建立数据通道的接口必须一致。
· 主/备设备对应位置的接口必须加入到相同的安全域。
双机热备功能的配置思路如下图所示:
图-6 双机热备配置思路图
双机热备的具体配置步骤如下:
1. 选择“系统 > 高可靠性 > 双机热备”。
2. 在“双机热备”页面单击<配置>按钮,进入“配置双机热备”页面,配置双机热备,具体配置内容如下表所示:
表-1 双机热备配置参数表
参数 |
说明 |
双机热备开关 |
高可靠性开关包括两种状态:开启和关闭 |
RBM运行模式 |
运行模式包括如下两种: · 主备模式:正常情况下仅由主设备处理业务,备设备处于空闲状态,实时待命 · 双主模式:两台设备同时处理业务,充分利用设备资源,提高系统负载能力,此模式通过“互为主备”方法实现 |
管理角色 |
双机热备中的设备分为主、从两种管理角色,用于控制设备之间关键配置信息的同步。配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置信息 |
本端IP地址 |
配置用于建立控制通道的本端IP地址,Server端将使用此Local IP提供TCP监听服务。支持IPv4和IPv6两种类型,但不能同时配置 |
对端IP地址 |
配置用于建立控制通道的对端IP地址。支持IPv4和IPv6两种类型,但不能同时配置 |
对端端口号 |
配置用于建立控制通道的对端端口号,在主备设备上配置的对端端口号必须一致 |
数据通道 |
主/备设备使用此功能配置的接口建立双机热备的数据通道,此数据通道仅用于传输设备之间的热备报文和透传报文,不用于传输主/备设备之间的其他报文 |
心跳间隔 |
双机热备通道建立后,设备会以配置的心跳间隔为周期向对端设备发送双机热备 Keepalive报文,以探测双机热备通道的连通性 |
心跳失效阈值 |
双机热备通道建立后,如果设备发送Keepalive报文的次数达到心跳失效阈值后仍然没有收到对端的回应,则双机热备通道断开,双机热备失效 |
主动抢占 |
双机热备组网中的主设备发生故障后,流量自动切换到对端设备。开启此功能后,当原来的主设备再次恢复为主设备后,流量会回切 |
流量回切延迟时间 |
由于业务表项在主/备设备之间进行备份需要一定的时间。为了保证业务能够平滑切换,所以需要延迟流量的回切 |
备份会话表项 |
开启此功能后,主设备会将其生成的业务表项实时备份到备设备,当主设备发生故障时备设备可以平滑地接替主设备的工作,保证业务不中断 |
备份HTTP协议 备份DNS协议 |
配置此功能后,设备将会把DNS协议或HTTP协议报文触发创建的会话表项实时备份到备设备 除了DNS和HTTP应用协议,其它应用协议创建的会话不受本功能控制,只要双机热备热备业务表项功能处于开启状态,就会进行这些会话表项备份 此功能的应用场景建议如下: · 在非对称路径的双机热备网络环境中,需要开启此功能,以保证同一条流量的正反向报文在两台设备上能够被正常处理 · 在双机热备主备模式或对称路径的双机热备网络环境中,关闭此功能后,可减少设备性能的消耗;但是设备间流量平滑的时效性将受到一些影响。因此,请管理员根据实际业务情况来判断是否需要关闭此功能。因为对于DNS和HTTP类型的应用协议,通常在很少的报文交互之后就会断开连接,当发生主备切换造成当前连接中断时,客户端会立即重新发起请求,用户通常感知不到连接异常。所以可以关闭这两个协议触发创建会话的备份功能 |
配置信息一致性检查 |
此功能用于检测双机热备状态下的两台设备的配置信息是否一致,用于防止发生两台设备配置信息不一致,导致主备切换后业务不通的情况。当配置信息不一致时,会发送日志信息,以提示管理员进行配置信息的手动同步 |
自动同步配置信息 |
开启此功能前,主管理设备上已经配置信息,将会在开启此功能后进行一次批量备份,之后新增的配置信息将实时备份到从管理设备 配置信息很多时,批量备份时间会很长可能需要一到两个小时。因此在初始规划网络配置时,建议先开启此功能,以减少后面配置信息进行批量备份的时间 |
3. 在“配置双机热备”页面中配置双机热备联动Track项,具体配置内容如下表所示:
表-2 双机热备联动Track项配置参数表
参数 |
说明 |
联动Track项 |
配置此功能后,当双机热备联动的其中一个Track项的状态为Negative状态时,双机热备将进行设备的主备切换,将上下行流量同时切换到新的主设备,保证业务不中断 |
4. 在“配置双机热备”页面,单击<确定>按钮完成双机热备的配置。
5. 在“双机热备”页面,单击<手工一致性检查>按钮或<手工同步配置信息>按钮,可以进行手工检查配置信息的一致性和同步配置信息。
表-3 手工检查配置信息的一致性和同步配置信息
参数 |
说明 |
手工一致性检查 |
当需要确认主从管理设备上配置信息是否一致时,可以通过单击此按钮即时触发配置信息一致性检查。若配置信息不一致,则系统会发送日志信息,以提示管理员进行配置信息的手动同步 |
手工同步配置信息 |
单击此按钮后,主管理设备上的配置信息将同步到从管理设备 |
6. 在“双机热备”页面,单击<状态切换>按钮,可以手工进行主备业务状态切换。
表-4 手工进行主备业务状态切换
参数 |
说明 |
状态切换 |
当双机热备中主备设备无故障,在主设备上可通过此按钮触发主备倒换,将业务切换到对端设备上进行处理,以便管理员可以更换主设备上的部件或升级软件等 此功能仅支持在双机热备的主备运行环境中使用,且仅在主设备上配置此功能才生效 在双机热备联动VRRP的双机热备组网中,当使用此功能进行主备运行状态倒换时,可能会导致短暂的VRRP虚拟IP地址冲突,属于正常现象 |
请在VRRP中将VRRP与高可靠性关联,具体配置步骤,请参见“VRRP联机帮助”。
双机热备联动路由的具体配置步骤如下:
1. 选择“系统 > 高可靠性 > 双机热备”。
2. 在“双机热备”页面单击<配置>按钮,进入“配置双机热备”页面,配置双机热备的路由联动功能,具体配置内容如下表所示:
表-5 双机热备联动路由的配置参数表
参数 |
说明 |
OSPF |
表示双机热备调整备设备上OSPF协议的开销值 |
IS-IS |
表示双机热备调整备设备上IS-IS协议的开销值 |
BGP |
表示双机热备调整备设备上BGP协议的开销值 |
OSPFv3 |
表示双机热备调整备设备上OSPFv3协议的开销值 |
调整cost绝对值 |
表示备设备以绝对值的形式对外通告动态路由协议的开销值,即设备直接对外通告此绝对值 |
调整cost增量值 |
表示备设备以增量值的形式对外通告动态路由协议的开销值,即设备在原有开销值上增加此增量值后对外通告 |
3. 在“配置双机热备”页面,单击<确定>按钮完成双机热备的配置。
双机热备透明组网的具体配置步骤如下:
1. 选择“系统 > 高可靠性 > 双机热备”。
2. 在“双机热备”页面单击<配置>按钮,进入“配置双机热备”页面,配置双机热备透明组网的相关配置,具体配置内容如下表所示:
表-6 双机热备透明组网的配置参数表
参数 |
说明 |
接口 |
配置此功能后,双机热备监控的所有接口的状态将相互联动并保持一致,这些接口将同时都具备或都不具备报文传输能力。只有双机热备监控接口的状态均为UP时,这些接口才能转发报文。否则,双机热备监控的所有接口均不能转发报文 使用监控接口功能时,不能监控聚合接口的成员接口 |
VLAN |
配置此功能后,双机热备会监控VLAN成员端口的状态,并将成员端口的状态相互联动并保持一致,此VLAN中的成员端口将同时都具备或都不具备报文传输能力。只有VLAN所有成员端口状态均为UP时,此VLAN的成员端口才能转发报文。否则,此VLAN的所有成员端口均不能转发报文 基于以上双机热备监控VLAN的运行原理,请勿配置监控 VLAN 1。因为设备上所有Access端口缺省都属于VLAN 1,所以当VLAN 1中有端口未被使用时其接口状态为Down,这时也会导致VLAN 1中正常使用的端口无法转发报文 |
3. 在“配置双机热备”页面,单击<确定>按钮完成双机热备透明组网的配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!