01-双机热备(RBM)配置
本章节下载: 01-双机热备(RBM)配置 (1.49 MB)
目 录
1.17.2 配置HA禁止备设备上的接口收发动态路由协议报文功能
1.28.8 HA联动VRRP主备模式中NAT功能典型配置举例
1.28.9 HA联动VRRP双主模式中NAT功能典型配置举例
双机热备(RBM)是一种通过私有的RBM(Remote Backup Management,远端备份管理)协议,实现设备级的高可靠性(High Availability,简称HA)的技术。此技术能够在通信线路或设备产生故障时提供备用方案,当其中一个网络节点发生故障时,另一个网络节点可以接替故障节点继续工作。
下文中使用的HA概念无特殊说明的情况下均指双机热备(RBM)技术。
HA通过RBM协议管理多个VRRP备份组状态的统一切换或者调整动态路由协议的开销值等,选举出HA中每台设备的主备状态,及其主备状态的动态切换。HA通过RBM协议备份设备间的关键配置信息和业务表项等,从而保证用户业务数据的不间断传输。需要两台软硬件环境完全相同的设备进行HA组网。
随着互联网以及各行各业数字化转型的蓬勃发展,网络承载的业务越来越多,越来越重要。如何保证网络的可靠性、业务的不间断传输成为网络建设中必须要解决的问题。
如图1-1中的左图所示,Device部署在网络的出口,内、外网之间的业务均会通过Device处理和转发。如果Device出现故障,便会导致内、外网之间的业务全部中断。由此可见,在这种网络关键位置上如果只使用一台设备的情况下,无论其可靠性多高,都会存在因设备单点故障而导致网络中断的风险。
因此,通常会在网络的关键位置部署两台设备,以提升网络的可靠性。如图1-1中的右图所示,当Device A出现故障时,流量会通过Device B转发,保证内、外网之间业务不间断运行。
图1-1 HA部署提升网络可靠性示意图
对于传统的网络设备(如交换机、路由器),只需要做好二层网络的冗余和路由表项的备份就可以保证业务的不间断传输。但是,对于需要对报文进行状态检测和策略处理的设备(如防火墙、入侵防御、网页防火墙、上网行为审计等),它会对一条流量的首包进行合法性检测,并建立会话来记录报文的状态信息(包括报文的源IP、源端口、目的IP、目的端口、协议等)。而这条流量的后续报文只有匹配会话才会在此类设备上进行处理并完成报文转发,如果后续报文不能匹配到会话则会被丢弃。所以当此类设备进行HA部署时还需要保证两台设备之间的业务表项信息和关键配置信息的一致性,只有如此才能保证业务的不间断传输。
HA功能可以解决以上问题。如图1-1中的右图所示,HA功能提供一条专用备份通道,用于两台Device之间进行会话等状态信息和配置信息的备份。
HA技术包含的基本概念如下:
· 主、从管理设备:在控制层面HA中的设备分为主、从两种管理角色(也可以称作主、从管理状态),用于控制设备之间关键配置信息的同步。HA控制通道建立成功后,只能在主管理设备上配置相关业务功能(支持配置信息同步的命令),从管理设备上不能配置。系统会在命令行提示符前增加前缀信息,以便标识设备的主、从管理角色。RBM_P前缀信息表示主管理角色,如RBM_P<Sysname>;RBM_S前缀信息表示从管理角色,如RBM_S<Sysname>。
· 主、备设备:在数据层面HA中包含主、备两种业务角色(也可以称作主、备业务状态)。主设备处理业务,并向备设备实时备份业务表项信息;备设备除接收主设备的业务表项备份信息外,在主设备发生故障后,备设备会转换成主设备,继续处理业务流量,保证业务不中断。
· HA通道:用于两台设备之间交互HA的运行状态信息,关键配置信息和业务表信息。
· HA工作模式:支持主备和双主两种工作模式。主备模式下,仅由主设备处理业务,备设备处于待命状态;双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载分担能力。
· HA报文:HA报文使用RBM协议承载两台设备之间需要交互的信息。其使用TCP作为传输层协议,TCP连接建立后,主管理设备和从管理设备通过HA通道交互HA报文。
HA支持主备和双主两种工作模式,具体介绍如下。
如图1-2所示,主备模式下,正常情况仅由主设备处理业务,备设备处于待命状态;当主设备接口、链路或整机故障时,备设备立即切换为主设备,接替原主设备处理业务。
图1-2 主备模式的HA示意图
如图1-3所示,双主模式下,两台设备同时处理业务,充分利用设备资源,提高系统负载能力,此模式通过互为主备方法实现。并且当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证业务不中断。
图1-3 双主模式的HA示意图
如图1-4所示,HA业务角色选举条件的优先级从高到底依次为链路状态、Context状态、健康值、工作模式。
HA组网中,设备之间具体选举过程如下:
(2) 首先比较设备的业务接口链路状态,可通过track、track interface、track vlan等命令监测业务接口的链路状态。此时会有以下三种情况:
· 一台设备业务接口链路状态全为UP,另一台设备存在DOWN的接口:业务接口链路状态全为UP的设备会当选为主设备,另一台为备设备。
· 两台设备业务接口链路状态全为UP:进行下一步选举。
· 两台设备都存在业务接口链路状态为DOWN的接口:进行下一步选举。
(3) 当无法比较设备的业务接口链路状态时,则比较设备之间的Context状态,拥有更多处于active状态Context的设备将当选为主设备,另一台设备为备设备。HA只比较两端编号相同的非缺省Context的状态。
(4) 当Context状态相同时,则比较设备的健康值(管理员可通过display system health命令查看设备健康值),健康值小的设备会当选为主设备,另一台设备则为备设备。
(5) 当以上条件都相同时,则根据设备的工作模式来选择业务角色。双主模式下,两台设备都为主设备。主备模式下,由主管理设备作为主设备,从管理设备作为备设备。当设备的管理角色配置为自动选择时,双机热备会选举控制通道本端IP地址小的一方为主管理设备,此时该设备是主设备,另一台设备为备设备。
HA报文包括如下:
· 心跳报文(Keepalive报文):两台设备通过定期互相发送心跳报文来检测对端设备是否存活。
· 控制报文:根据设备的运行状态来控制设备的主备状态切换。
· 配置信息和表项备份报文:用于两台设备之间进行配置信息和业务表项的备份。
· 配置一致性检查报文:用于检测两台设备的关键配置是否一致。
· 透传报文:用于设备间非对称路径业务报文的透传或复制。
HA通道用于两台设备之间进行HA运行状态、关键配置和业务表项等信息的传输,包括以下两种类型的通道:
· 控制通道:可传输的报文类型包括HA的运行状态报文、一致性检查报文和同步配置信息的报文等。
· 数据通道:可传输的报文类型包括热备报文和透传报文。数据通道直接使用底层驱动进行数据传输,因此仅支持二层转发。
控制通道基于TCP协议来监测链路的连通性。控制通道建立后,设备会周期性向对端设备发送Keepalive报文,如果达到最大发送次数后仍然没有收到对端的回应,则HA通道断开,HA失效。
HA能够将主设备上生成的业务表项信息实时备份到备设备,避免了主备设备切换时因备设备上缺失业务表项而造成的业务中断问题。
需要对报文进行状态检测的设备,对于每个动态生成的连接,都有一个会话表项与之对应。主设备在处理业务的过程中创建了很多会话表项;而备设备没有报文经过,因此也就没有创建会话表项。通过HA的业务表项实时备份功能,主设备会实时将会话表项备份到备设备,当主备切换后,已有连接的后续业务报文可以通过匹配备份来的会话表项来保持业务不中断。
目前HA支持热备的业务表项包括:IPsec隧道相关的信息表项、域名解析相关的表项、NAT端口块表项、AFT端口块表项、会话表项、会话关联表项和各个安全业务模块自身生成的业务表项。
HA可以将主管理设备上的关键配置信息备份到从管理设备,避免了主备设备切换时因对端设备缺失对应的配置信息而造成的业务中断问题。
HA中主从管理设备之间的关键配置信息备份原理分如下两种:
· 两台设备均正常运行情况下,配置信息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上对应的配置信息,因此建议仅在主管理设备上配置相关功能,不建议在从管理设备上进行配置。
· 两台设备的任意一台重启情况下,重启后的设备向未重启的设备获取关键配置信息,并覆盖本设备上对应的配置信息。
HA支持自动和手动两种方式进行配置信息备份。
目前HA支持配置信息同步的业务模块如下:
· 资源类:VPN实例、ACL(acl copy命令不支持同步)、对象组、时间段、安全域、会话管理、APR、AAA、域名解析(DDNS中命令不支持同步)。
· DPI相关模块:应用层检测引擎、IPS、URL过滤、数据过滤、文件过滤、防病毒、数据分析中心、WAF。
· 策略类:安全策略、ASPF、攻击检测与防范、连接数限制、NAT、AFT、负载均衡、全局负载均衡(loadbalance default-syncgroup member命令不支持同步)、带宽管理、应用审计与管理、共享上网管理、代理策略。
· 日志类:快速日志输出(customlog host source命令不支持同步)、Flow日志(userlog flow export source-ip命令不支持同步)。
· VPN类:SSL VPN、IPsec(仅IKEv1、IKEv2和IPsec安全策略相关功能支持配置信息同步,其他IPsec功能不支持配置信息同步)。
· 其他类:VLAN、信息中心(info-center loghost source命令不支持同步)、云平台连接、IPoE。
HA通过交互一致性检查报文来检测两台设备的配置信息是否一致,用于防止由于两台设备配置信息不一致,而导致主备切换后业务不通的情况。当配置信息不一致时,设备会发送日志信息,以提示管理员进行配置信息的手动同步。
HA配置信息一致性检查的过程如下:
(1) 主管理设备发送一致性检查请求报文给从管理设备,同时收集自身相关模块配置信息的摘要。
(2) 从管理设备收到一致性检查请求后,会收集自身相关模块配置信息的摘要,然后封装到一致性检查报文返回给主管理设备。
(3) 主管理设备收到从管理设备返回的一致性检查报文后,将自身配置信息的摘要与从管理设备配置信息的摘要进行对比,如果对比结果不一致,则主管理设备输出日志信息。
HA的主、从管理状态由配置指定,不会动态切换;HA的主、备运行状态由HA选举决定,可动态切换。
如图1-5所示,在HA控制通道未建立的情况下,控制层面两台设备都是主管理状态,数据层面两台设备也都是主业务状态,但是此时并不是正常的HA状态,HA组建还未完成。
图1-5 HA控制通道未建立的情况
如图1-6所示,在HA控制通道建立成功且两台设备均运行正常的情况下,控制层面两台设备的管理状态由配置信息决定。数据层面,在主备工作模式下,两台设备的运行状态与管理状态保持一致,即主管理设备就是业务主,从管理设备就是业务备;在双主工作模式下,两台设备都是业务主。
图1-6 HA控制通道建立成功且两台设备均运行正常的情况,主备工作模式举例
如图1-7所示,当上下行业务链路故障时,只会导致数据层面的主、备业务状态发生切换,使流量切换到正常设备上进行处理,这种情况不会导致控制层面的主、从管理状态发生切换。
如图1-8所示,只有主管理设备整机故障或重启(相当于HA控制通道未建立的情况)才会导致控制层面的主、从管理状态和数据层面的主、备业务状态一起发生切换。从管理设备会临时抢占为主管理状态;当主管理设备故障恢复后(相当于HA控制通道建立的情况),从管理设备变为从管理状态。
主备切换是指HA中的一台设备或其链路等发生故障,另一台设备接替故障设备处理业务。设备通过设定不同的触发条件,对不同的故障事件进行监控,当故障发生时,能及时触发主备切换,保证业务不中断。
触发主备切换的事件可分为RBM通道正常和RBM通道断开两种。
由于RBM通道断开而触发主备切换的事件主要有以下几种:
· 两台设备正常运行情况下,当控制通道断开后会进行主备切换。这时两台设备都变为主设备,进行业务处理,但是两台设备不再是HA状态,对后续的非对称流量会有影响。
· 主设备整机故障,备设备升为主设备进行业务处理。
当RBM通道正常时,触发主备切换的事件主要有以下几种:
· 主设备上HA监控的接口故障(如track、track interface、track vlan等)。
主设备上HA监控的接口故障会触发主备切换,当两台设备上都存在故障的接口时,主备工作模式中,业务主就是主管理设备,业务备就是从管理设备;双主工作模式中,两台设备都将变为业务主。
· 主设备上关闭与备设备编号相同的非缺省Context。
主设备上关闭与备设备编号相同的非缺省Context会触发业务主备竞选。竞选过程中当两台设备上编号相同且处于active状态的非缺省Context数量一样时,主备工作模式中,业务主就是主管理设备,业务备就是从管理设备;双主工作模式中,两台设备都是业务主。当两台设备上编号相同且处于active状态的非缺省Context数量不一样时,任何工作模式中,都是active状态的非缺省Context数量多的一方竞选为业务主,少的一方竞选为业务备。
· 主设备的健康值变化。
主设备的健康值变化会触发主备竞选。竞选过程中当两台设备的健康值相同时,主备工作模式中,业务主就是主管理设备,业务备就是从管理设备;双主工作模式中,两台设备都是业务主。当两台设备的健康值不一样时,任何工作模式中,都是健康值小的一方竞选为业务主,大的一方竞选为业务备。
主设备切换备时,HA通过对其他模块进行如下联动,将流量引流到新的主设备:
· HA与VRRP联动时,HA将故障设备上的VRRP备份组状态都切为Backup状态。
· HA与动态路由联动时,HA将故障设备上的路由开销值调大。
在HA与VRRP联动的组网环境中,HA将会控制设备在多个VRRP备份组中Master和Backup状态的统一切换。此功能可以使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此处以主备模式为例,介绍HA与VRRP的联动组网情况,具体如下。
· 如图1-9左图所示,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不在同一台设备,造成流量中断。
· 如图1-9右图所示,将HA和VRRP关联后可以解决以上问题。HA控制通道建立后,VRRP备份组内的设备状态将由HA决定,VRRP自身的主备选择机制不再生效。当HA的控制通道断开后,VRRP自身的主备选择机制将会重新生效。
图1-9 HA联动VRRP示意图
VRRP active组和VRRP standby组:用于将HA与VRRP进行关联,实现HA对多个VRRP备份组状态进行统一管理的目的。
VRRP active/standby组分别有两种状态:Master状态和Backup状态。VRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master。
VRRP active/standby组的初始状态与HA的工作模式有关,具体如下:
· 主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup。
· 双主模式下:VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为Master;VRRP standby组的初始状态为Backup。
如图1-9的右图所示,将HA与VRRP关联成功后,VRRP备份组中Master/Backup状态的变化机制如下:
(1) 正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device A在VRRP备份组1和VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device B在VRRP备份组1和VRRP备份组2中的状态是Backup设备。
(2) 当Device A的下行接口Interface A2故障后,HA会收到接口故障事件。然后HA发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master。
(3) Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device B在VRRP备份组1和VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。
(4) Device A收到Device B的VRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device A在VRRP备份组1和VRRP备份组2中的状态变更为Backup。
当Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。
当VRRP备份组中的设备接收到虚拟IP地址的ARP请求报文后,只能由Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求,与此同时ARP报文传输路径上的二层设备也就学习到了此虚拟MAC地址的MAC地址表项。
在云场景中往往存在众多的租户,每个租户都需要具有独立的网络(IP地址)。传统HA联动VRRP的可靠性方式每一组VRRP备份组都需要三个IP地址,这种可靠性方式在云场景下会出现IP地址不够用的情况。这时,使用HA联动虚拟地址方式可以有效解决以上问题。
HA联动虚拟地址功能是指,在两台设备的相同编号的业务接口上配置虚拟IP地址(也叫浮动IP地址)后,这些业务接口上的虚拟地址将与RBM进行关联,并受RBM的统一管理和控制。具体为,HA的业务主设备将会使用业务接口的虚拟IP地址和虚拟MAC地址响应ARP请求,但是,HA的业务备设备将不会进行ARP请求的应答。这样就可以保证上下行流量始终都可以被引流到HA的业务主设备进行业务处理。
此组网环境中HA必须关联Track项,否则上下行链路或接口故障时,HA不能主备切换。
如图1-10所示,HA联动虚拟地址后,内网访问外网的报文被处理的流程如下:
(1) 当内网Host访问外网时,在Host发送业务请求报文前,首先会广播ARP请求报文,学习网关虚拟IP地址10.1.1.1对应的MAC地址。
(2) 当Device A和Device B接收到此ARP请求报文后,只有HA中的业务主设备(Device A)使用业务接口的虚拟MAC地址响应此ARP请求给Host。
(3) 在此ARP学习过程中,中间的交换机Switch B也学习到了有关此虚拟MAC的MAC地址表项,用于指导后续报文的转发。
(4) 最后,Host只会收到HA中的业务主设备(Device A)响应的ARP报文,Host就会以学习到的此虚拟MAC地址来封装报文,将报文送到Device A,从而可以保证业务的正常运行。
(5) 来自外网的响应报文在整个网络中的处理过程与上面所描述的过程相同,此处不再赘述。
图1-10 HA联动虚拟地址示意图
在HA与动态路由联动的组网环境中,HA将会调整备设备上动态路由协议对外通告的链路开销值。这样即能保证主备切换时能使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此组网环境中HA必须关联Track项,否则上下行链路或接口故障时,HA不能主备切换。
此处以HA与OSPF联动的主备模式为例,介绍HA与动态路由的联动情况,具体如下。
· 如图1-11左图所示,正常情况下,Device A(主设备)根据OSPF的配置正常通告链路开销值(如1),而Device B(备设备)通告的链路开销值是被HA调整后的值(如65500)。这样可以使内外网之间的流量都走Device A转发。
· 如图1-11右图所示,当Device A的下行接口Interface A2故障后,Device A和Device B将进行主备切换。之后,Device B(主设备)根据OSPF的配置正常通告链路开销值(如1),而Device A(备设备)通告的链路开销值是被HA调整后的值(如65500)。这样可以使内外网之间的流量都切换到Device B转发。
图1-11 HA联动路由示意图
在HA透明组网环境中,可通过track vlan或track interface命令将上下行接口的状态进行联动。当其中一个接口故障后,另一个接口也会失去报文转发能力,从而使设备的上下行流量同时切换到新的主设备,保证业务不中断。
HA的track vlan或track interface功能可以保证所监控对象之间的状态相互联动并保持一致,使其同时具备或同时不具备报文转发能力。
此处以HA的track vlan功能为例,介绍HA透明组网的情况,具体如下。
· 如图1-12左图所示,正常情况下,Device A(主设备)上HA将监控的VLAN10设置为Active状态,Device B(备设备)上HA将监控的VLAN10设置为Inactive状态。这样可以使内外网之间的流量走Device A转发。
· 如图1-12右图所示,当Device A的下行接口Port A2故障后,Device A和Device B将进行主备切换。之后,Device B(主设备)上HA将监控的VLAN10设置为Active状态,而Device A(备设备)上HA将监控的VLAN10设置为Inactive状态。这样可以使内外网之间的流量走Device B转发。
图1-12 HA透明组网示意图
仅支持两台设备进行HA组网。
因为一台设备故障时另一台设备需要承担两台设备的流量,所以建议在正常情况下每台设备只负载各自实际能力50%的流量。
对于HA支持配置信息同步的业务模块只需要在主管理设备上配置相关功能即可,对于不支持配置信息同步的模块需要在HA的所有设备上均配置相关功能。有关HA具体支持哪些业务模块的配置信息同步,请参见配置信息备份小节中的详细介绍。RBM视图下的配置命令都不支持同步,需要在两端同时配置。
对于资源文件类型的相关功能或者文件(比如:公钥信息、ISP地址库文件、特征库文件等),需要HA中的所有设备上均导入相同内容的文件。
对于需要进行License授权的特性或特征库等,需要对主、备设备分别进行购买和激活License授权。
· 设备上承载业务流量的接口都必须加入安全域,否则接口间流量不能互通,并配置安全策略控制接口间报文的转发。
· HA不能与DHCP Client等自动获取IP地址的特性结合使用,因为此种组网中业务接口的IP地址必须固定。
· 当业务接口工作在二层模式时,上、下行业务接口需要加入同一VLAN。
· 在HA控制通道已建立且开启配置信息自动备份功能的情况下,从管理设备上不能创建虚拟接口(如子接口、VLAN接口等),只能进入已经存在接口的接口视图。从管理设备上的这些虚拟接口只能先在主管理设备上创建完成后,再同步到从管理设备。
· 当使用track、track interface、track vlan命令监控聚合接口时,设备仅关注聚合接口的状态,不关注聚合成员接口的状态。当使用track、track interface、track vlan命令监控聚合成员接口时,设备仅关注聚合成员接口的状态,不关注聚合接口的状态。
· 针对一些设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
· 在RBM组网环境中,不能将配置了Bypass功能或面板标识了Bypass功能的接口作为上、下行业务接口。
HA通道通过心跳线进行连接,心跳线可以直连,也可以通过交换机连接,但不可以跨三层通信。其中F1000-C-G5、F1000-C-G5-LI、F1000-E-XI、F100-E-G5设备由于架构设计和其他设备有区别,在和中间交换机连接时,在RBM通道传输数据时会打上VLAN tag 2044的标签,故需要在中间交换机与两台设备连接的接口上配置port trunk permit vlan 2044命令。
有关HA控制通道和数据通道接口的其他相关限制和指导如下:
· 接口只支持物理口和聚合口,不支持子接口及成员口。
· 当接口以独占或共享方式分配给非缺省Context时,无法使用该接口作为HA通道接口,非缺省Context下的信息可以通过缺省Context的HA通道进行同步。
· HA的控制通道和数据通道建议使用同一个物理或逻辑通道,不建议分开。其接口的MTU值请使用缺省值,勿修改。
配置信息批量备份期间,不能进行主备倒换、插拔板卡或配置变更等任何操作,可通过display remote-backup-group status命令查看配置信息的批量备份状态。
在非对称流量的HA网络环境中,建议使用session aging-time state fin命令将TCP协议FIN-WAIT状态的会话老化时间设置为15秒左右。这样在TCP链接断开的过程中可以加快会话表项的老化速度,以减少此类会话表项对系统资源的占用。有关session aging-time state命令的详细介绍,请参见“安全命令参考”中的“会话管理”。
不同HA组网对主备部署和双主部署的支持情况不同,推荐配置和组网限制也不相同。因此,部署HA前,请先了解如下组网相关的限制和指导。
此组网环境中,主备模式和双主模式均可使用。
此组网环境使用动态路由协议时,需要配置HA调整动态路由协议开销值功能(即adjust-cost enable命令)来保证主备或者双主组网,并配置HA与Track项联动监控上下行接口状态。
此组网环境使用静态路由时,需要通过track interface命令监控上下行三层以太网接口的状态,并将这些接口的状态进行联动。
此组网环境中需要配置HA与VRRP功能配合使用或HA与虚拟地址功能配合使用。
当使用HA联动VRRP组网时,主备模式和双主模式均可使用。
当使用HA联动虚拟地址组网时,仅支持主备模式,且需要通过track命令监控上下行三层以太网接口的状态,并将这些接口的状态进行联动。
此组网环境中,主备模式和双主模式均可使用。
此组网环境中需要配置HA的track interface功能监控上下行二层以太网接口的状态,并将这些接口的状态进行联动。
此组网环境中,仅支持主备模式。
此组网环境中需要配置HA的track vlan功能监控上下行接口的状态,并将这些接口的状态进行联动。
HA功能仅支持在缺省Context中配置,且配置完成后,就能完成所有非缺省Context的高可靠性部署。
当任意Context中设备的主备运行角色发生切换时,其他所有Context中设备的主备运行角色也都进行切换。因此在高可靠性主备组网中,建议所有Context的主运行设备都在同一台物理设备上。
在非缺省Context中使用HA功能时,必须以共享方式将业务接口分配给非缺省Context使用,不能使用独占方式分配。HA联动虚拟地址组网不支持在非缺省Context中使用。
在HA与NAT结合的组网环境中,对NAT功能有如下限制:
· 不支持NAT地址池探测功能和Easy IP模式。
· NAT地址池不允许包含两台设备上接口的IP地址。如果NAT地址池包含接口的IP地址,上行设备请求该地址池IP的ARP时,主、备两台设备都会回应,导致ARP冲突。
· NAT策略中的源或目的地址不允许包含HA通道的接口IP地址,以免心跳报文被NAT转换引发心跳链路通信异常。
· 如果同一个五元组无法保证同一单向报文只在一台设备处理时,必须使用端口拆分功能(即nat remote-backup port-alloc { primary | secondary }命令)。
在HA的双主工作模式与NAT结合的组网环境中,对NAT功能有如下限制:
· 地址池不支持EIM模式。
· 当NAT方式是PAT模式时,必须在一台上配置nat remote-backup port-alloc primary命令,另外一台上配置nat remote-backup port-alloc secondary命令,将地址池中地址的端口分为前后两端,保证NAT地址池端口不冲突。
· 当NAT方式是NAT NO-PAT模式时,必须使用两个地址池,如果使用一个地址池会导致资源分配冲突。
在HA联动VRRP的高可靠性组网中开启AFT功能时,AFT策略中的地址不允许包含HA通道的接口IP地址,以免心跳报文被AFT转换引发心跳链路通信异常。
在HA环境中,当设备需要处理多通道协议(如FTP、SIP协议等)时,必须保证多通道协议的控制报文和数据报文在同一台设备上进行处理。
在HA环境中,当设备需要处理基于SCTP协议的流量时,必须保证同一条流量的正反向报文在同一台设备上进行处理。
在高可靠性组网环境中,执行configuration replace file命令配置回滚完成后,需要在主管理设备上执行configuration manual-sync命令将主管理设备上的配置信息手工批量备份到从管理设备,以保证主备设备的配置信息一致。有关配置回滚功能的详细介绍,请参见“基础配置指导”中的“配置文件管理”。
部署HA前,请先保证主/备设备硬件环境的一致性,具体要求如下:
· 主/备设备的型号必须一致。
· 主/备设备上管理接口、业务接口、HA通道接口需要分别使用相互独立的接口,且所使用的接口编号和类型必须一致。
· 主/备设备上硬盘的位置、数量和类型建议一致。未安装硬盘的设备日志存储量将远低于安装了硬盘的设备,而且部分日志和报表功能不可用。
部署HA前,请先保证主/备设备软件环境的一致性,具体要求如下:
· 主/备设备的系统软件环境及其版本必须一致,如:Boot包、System包、Feature包和补丁包等等。
· 主/备设备的系统时间一致。
· 主/备设备上被授权的特征库和特性环境必须一致,如:特征库的种类,每类特征库的版本、授权时间范围、授权的资源数等等。
· 主/备设备上资源文件类型的相关功能或者文件(比如:公钥信息、ISP地址库文件等)必须一致。
· 主/备设备的接口编号必须一致。
· 主/备设备之间建立HA通道的接口类型、速率和编号等信息必须一致,推荐使用聚合接口。
· 主/备设备上聚合接口的编号、成员接口编号必须一致。
· 主/备设备相同位置的接口必须加入到相同的安全域。
· 主/备设备的HASH选择CPU模式以及HASH因子都必须相同(即forwarding policy命令)。
配置安全策略保证路由协议等基础报文可以正常交互。其配置思路为:业务接口所在安全域与Local安全域之间建议仅允许动态路由协议(如OSPF协议)等基础报文放行。
设备默认放行HA通道上的HA报文,管理员无需配置相关的安全策略。
对于两台设备之间不能进行配置信息同步的模块(例如接口和路由等)需要提前配置完成,确保网络路由可达。HA具体支持同步哪些模块的配置信息,请参见“1.1.5 4. 配置信息备份”。
HA的基本配置思路如下图所示。
图1-13 HA配置思路图
HA配置任务如下:
(1) 配置设备管理角色
(2) 配置HA信息同步
a. 配置HA控制通道
b. 配置HA数据通道
c. 开启HA热备业务表项功能
d. (可选)开启运行数据自动备份功能
e. 配置HA备份配置信息
f. (可选)配置HA同步静态路由配置信息功能
(3) 开启HA流量回切功能
(4) 配置HA工作模式
请选择以下一项任务进行配置
(5) 配置HA联动方式
请选择以下一项任务进行配置
¡ 配置HA联动路由
¡ 配置HA透明组网
(6) (可选)配置HA与Track项联动
(7) (可选)手工触发HA主备倒换
(8) (可选)开启HA在设备间透传业务流量功能
(9) (可选)配置MAD检测功能
(10) (可选)配置接口等待恢复时间
(11) (可选)开启备份上一跳功能
(12) (可选)配置HA与其他特性配合使用
为了保证备设备可以平滑地接替主设备的工作,HA必须能够将主设备的相关业务模块的配置信息备份到备设备。尤其在双主组网环境中,两台设备都是主设备。如果允许两台主设备之间能够相互备份配置信息,那么就会造成两台设备上配置信息相互覆盖或冲突的问题。所以为了方便管理员对两台设备的配置信息进行统一管理,又能避免配置信息的混乱,双机热备系统中引入了主管理设备和从管理设备角色的概念。
HA中设备的管理角色有手工配置和自动选举两种方式,具体内容如下:
· 手工配置:此方式需要通过命令手工指定设备的管理角色,一旦指定后设备的管理角色将固定不变。如需更改,则通过执行命令手工更改。此方式适用于使用独立的管理用以太网口进行设备管理的网络环境,此方式在HA的主备和双主工作模式下均可使用。
· 自动选举:此方式下设备的管理角色根据运行角色进行自动选举,管理角色与运行角色始终保持一致,即业务主是主管理设备,业务备是从管理设备。此方式适用于复用业务接口进行设备管理的网络环境,此方式仅支持在HA的主备工作模式下使用,不能在双主工作模式下使用。
配置完设备的管理角色后,系统将会在命令行提示符前增加前缀信息,以便标识设备的主、从管理角色。这样在后续业务配置中能够更加友好醒目地提示管理员设备当前的管理角色是什么。具体标识方法如下:
· 主管理设备:将在命令行提示符前面增加RBM_P前缀信息,如:RBM_P<Sysname>。
· 从管理设备:将在命令行提示符前面增加RBM_S前缀信息,如:RBM_S<Sysname>。
在HA控制通道建立成功前,系统不关心配置的设备管理角色是什么,其都认为自己是主管理角色,这时命令行提示符前缀总是RBM_P。在HA控制通道建立成功后,系统将按照实际配置的管理角色显示命令行提示符前缀信息。
在HA组网中必须将其中一台设备配置为主管理设备,另一台设备配置为从管理设备。
建议仅在主管理设备上配置相关业务功能,不建议在从管理设备上进行配置。
在使用业务接口进行设备管理的组网环境中,当设备的主备运行角色切换后,管理员只能远程登录当前的业务主进行管理。如果此时业务主恰好是从管理设备,则管理员在当前设备上进行的配置更改将无法同步到对端设备,导致主备设备配置信息不一致。为解决以上问题,可使用自动方式进行设备管理角色的选举。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备的管理角色。
device-role { auto | primary | secondary }
缺省情况下,未配置设备的管理角色。
创建HA控制通道时,设备会将配置的本端IP地址与对端IP地址进行比较,IP地址较大的设备将作为Server,IP地址较小的设备将作为Client。Client向Server发起TCP连接请求来建立HA控制通道。
在Server端配置的对端端口号,表示设备使用此端口号作为服务端口为Client提供服务;在Client端配置此端口号,表示设备使用此端口号作为目的端口与Server建立TCP连接。Client上的源端口号随机生成。
在HA组网中的主备设备上仅支持分别配置一个对端IP地址,且配置的端口号必须相同。端口号也不能与已有的TCP监听服务使用的端口号相同。
HA控制通道的本端IP地址与对端IP地址不能相同。
HA控制通道的IPv4地址和IPv6地址不能同时配置。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置HA的控制通道。请选择其中一项进行配置。
¡ 配置HA控制通道的IPv4地址。
- 配置HA控制通道的对端IPv4地址。
remote-ip ipv4-address [ port port-number ]
缺省情况下,未配置HA控制通道对端IPv4地址。
- 配置HA控制通道的本端IPv4地址。
local-ip ipv4-address
缺省情况下,未配置HA控制通道的本端IPv4地址。
¡ 配置HA控制通道的IPv6地址。
- 配置HA控制通道的对端IPv6地址。
remote-ipv6 ipv6-address [ port port-number ]
缺省情况下,未配置HA控制通道的对端IPv6地址。
- 配置HA控制通道的本端IPv6地址。
local-ipv6 ipv6-address
缺省情况下,未配置HA控制通道的本端IPv6地址。
(4) 配置设备发送Keepalive报文的时间间隔。
keepalive interval interval
缺省情况下,设备发送Keepalive报文的时间间隔为1秒。
(5) 配置设备发送Keepalive报文的最大次数。
keepalive count counts
缺省情况下,设备发送Keepalive报文的最大次数为10。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置HA数据通道。
data-channel interface interface-type interface-number
缺省情况下,HA中不存在数据通道。
开启HA热备业务表项功能后,HA中主设备上的业务表项信息会实时备份到备设备上。
HA热备份应用协议创建的会话表项功能的应用场景建议如下:
· 在非对称路径的HA网络环境中,需要开启此功能,以保证同一条流量的正反向报文在两台设备上能够被正常处理;若不开启此功能,则会因为两台设备上的会话表项不一致,导致同一条流量的正反向报文在两台设备上不能被正常处理,从而可能会出现网络不通等异常情况。
· 在HA主备模式或对称路径的HA网络环境中,关闭此功能后,可减少设备性能的消耗;但是设备间流量平滑的时效性将受到一些影响。因此,请管理员根据实际业务情况来判断是否需要关闭此功能。
因为对于DNS和HTTP类型的应用协议,通常在很少的报文交互之后就会断开连接,当发生主备切换造成当前连接中断时,客户端会立即重新发起请求,用户通常感知不到连接异常。所以可以关闭这两个协议触发创建会话的备份功能。
在高可靠性系统稳定运行且正在处理流量的情况下,请勿清除会话表项(即执行reset session table命令),否则会导致流量中断或业务主、备设备上的会话表项不一致。有关会话管理功能的详细介绍,请参见“安全配置指导”中的“会话管理”。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启HA热备业务表项功能。
hot-backup enable
缺省情况下,HA热备业务表项功能处于开启状态。
(4) 开启HA热备份应用协议创建的会话表项功能。
hot-backup protocol { dns | http } * enable
缺省情况下,HA热备份应用协议创建的会话表项功能处于开启状态。
除了DNS和HTTP应用协议,其它应用协议创建的会话不受本功能控制,只要HA热备业务表项功能处于开启状态,就会进行这些会话表项备份。
RBM成员设备在处理报文时会产生相应的运行数据,并基于这些运行数据对报文进行检测和转发。为了保证故障切换后业务不中断,组成双机热备的两台成员设备之间需要备份运行数据。双机热备主备和镜像组网中,只有主设备会处理业务,主设备向备设备同步运行数据。双主组网中,两台成员设备都会处理业务,都会生成运行数据并向对端设备备份。
目前RBM支持同步的动态运行数据包括:DNS表项、动态ARP表项、local-user命令和本地用户登录的运行数据、全局负载均衡缺省同步组成员之间的同步内容和负载均衡业务运行数据以及IPsec、IKE、IKEv2相关的运行数据。
运行数据自动备份功能关闭时,以下业务会收到影响,因此非必要情况请勿关闭本功能:
· DNS:业务角色切换后,如果DNS动态表项无法同步到对端设备,对端设备将无法放行业务流量。
· ARP:业务角色切换后,如果动态ARP表项无法同步到对端设备,对端设备需要重新进行ARP学习。ARP请求过多时可能会丢包,导致ARP学习时间过长。
· AAA:local-user命令和本地用户登录的运行数据无法同步,备设备无法进行用户登录。
· 负载均衡:业务角色切换后,如果缺省同步组成员之间的同步内容、负载均衡业务运行数据无法同步到对端设备,业务会断流。
· IPsec:业务角色切换后,如果IPsec、IKE、IKEv2相关的运行数据无法同步到对端设备,IPsec的协商和SA的建立会受到影响,业务会断流。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启运行数据自动备份功能。
running-data auto-sync enable
缺省情况下,运行数据自动备份功能处于开启状态。
HA备份配置信息支持实时备份和批量备份两种方式,具体如下:
· 实时备份:主管理设备上新增、删除或修改的配置信息将实时备份到从管理设备,保证这些变化的配置信息在主从管理设备上的一致。
· 批量备份:主管理设备上的关键配置信息全部备份到从管理设备,从管理设备上会删除与主管理设备上不一致的配置,保证关键配置信息在主从管理设备上的完全一致。
仅配置信息自动备份功能处于开启状态且HA控制通道建立成功的情况下,HA才会进行实时备份或者批量备份。
仅如下几种情况才会触发设备之间进行配置信息的批量备份:
· HA中的设备正常运行后,HA控制通道是第一次成功建立且配置信息自动备份功能也是第一次开启时(包括默认开启的情况),主管理设备会将自己当前的所有关键配置信息批量备份到从管理设备进行覆盖。设备正常运行后,只要进行过一次批量备份,即使再反复开启配置信息自动备份功能或HA控制通道反复建立也不会再触发配置信息的批量备份。
· 设备重启或者HA进程(即RBM进程)重启,并且这期间未重启设备上的配置信息自动备份功能一致处于开启状态的情况下。当重启完成且HA控制通道再次建立后,未重启的设备会将自己当前的所有关键配置信息批量备份到重启过的设备进行覆盖。
当HA控制通道第一次成功建立且配置信息自动备份功能也第一次开启后,请不要随意关闭配置信息自动备份功能。否则会导致设备不能触发配置信息的批量备份,近而可能会导致主、从管理设备的配置信息不一致,最终影响业务的正常处理。
配置信息很多的时候批量备份时间会很长,可能耗时一到两个小时。为了减少批量备份时间,有如下两种操作建议:
· 在初始规划网络配置时,建议先开启配置信息自动备份功能,可减少后续配置信息批量备份的时间。
· 在初始规划网络配置时,也可以先通过复制配置文件到从管理设备的方式进行网络的初始部署。然后开启配置信息一致性检查功能,检查两台设备的相关配置信息是否一致。
当HA控制通道建立成功,并开启配置信息自动备份功能的情况下,只能在主管理设备上配置相关业务功能,从管理设备上不能配置。
当HA控制通道未建立或关闭配置信息自动备份功能的情况下,主管理设备和从管理设备上均可以配置业务功能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启配置信息自动备份功能。
configuration auto-sync enable
缺省情况下,配置信息自动备份功能处于开启状态。
(4) 开启配置信息一致性检查功能。
configuration sync-check [ interval interval ]
缺省情况下,配置信息一致性检查功能处于开启状态。
(5) (可选)手工触发配置信息一致性检查。
configuration manual-sync-check
此功能仅在主管理设备上执行才有效,在从管理设备上执行无效。
(6) (可选)将主管理设备上的配置信息手工批量备份到从管理设备。
configuration manual-sync
此功能仅在主管理设备上执行才有效,在从管理设备上执行无效。
开启本功能后,当HA的主管理设备向从管理设备自动或者手工同步配置信息时,会将设备上已配置的静态路由同步到从管理设备。
本功能只能在开启配置信息自动备份功能后才会生效。当开启配置信息自动备份功能后开启本功能,后续新增的静态路由可以进行自动同步,之前的需要执行configuration manual-sync命令进行手工批量备份。
仅需要在HA联动虚拟地址的组网场景中使用此功能,其他HA组网场景中请勿开启此功能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启HA同步静态路由配置信息功能。
configuration auto-sync enable route-static
缺省情况下,HA同步静态路由配置信息功能处于关闭状态。
当HA组网中的主设备切换为备设备时,流量自动切换到对端设备进行处理。缺省情况下,当原主设备恢复正常时,流量不回切。这时如果需要流量再次回到原主设备进行处理,可以开启HA流量回切功能,并设置延迟切换时间保证业务能够平滑切回。
在HA的双主模式下,必须开启此功能,否则当一条链路故障又恢复后流量无法实现回切,这时不能实现两台设备双主工作。
在回切定时器倒计时的过程中,如果修改delay-time的值,则本次回切仍然按照之前的回切时间进行处理,后续回切会按照修改后的回切时间进行处理;如果关闭本功能,则不进行回切。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启HA流量回切功能。
delay-time delay-time
缺省情况下,HA流量回切功能处于关闭状态,流量不回切。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备在HA中的模式为主备模式。
undo backup-mode
缺省情况下,设备在HA中的模式为主备模式。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置设备在HA中的模式为双主模式。
backup-mode dual-active
缺省情况下,设备在HA中的模式为主备模式。
HA仅支持与VRRP的标准模式配合使用,不支持与VRRP的负载均衡模式配合使用。
当设备采用基于VRRP的HA组网方式时,设备仅支持直连部署在网络中,且上下必须连接二层设备。建议主管理设备绑定VRRP active组,从管理设备绑定VRRP standby组。
关联HA的IPv6 VRRP备份组和IPv4 VRRP备份组中可以配置多个虚IP地址,但备份组中不能存在IP地址拥有者。
在HA联动VRRP组网环境中,当设备使用子接口进行组网时,需要先在主设备的子接口上配置vlan-type dot1q vid命令,之后再配置VRRP备份组,然后在备设备的子接口上按照相同顺序进行配置。
track interface所监控的接口与配置VRRP功能的接口不能相同。
IPv6 VRRP备份组中必须配置一个链路本地地址的虚拟IPv6地址和一个全球单播的虚拟IPv6地址,VRRP备份组才能正常工作。IPv6 VRRP备份组的第一个虚拟IPv6地址必须是链路本地地址,链路本地地址必须最后删除。一个VRRP备份组中只允许有一个链路本地地址。
在HA联动IPv6 VRRP的组网中,需要先配置IPv6地址,等待1s后再配置VRRP备份组。
在HA联动VRRP组网环境中,如果要删除接口下的配置,需要先删除VRRP备份组再删除IPv4/IPv6地址。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置HA联动VRRP。请至少选择其中一项进行配置。
¡ 创建IPv4 VRRP备份组,并与HA关联。
vrrp vrid virtual-router-id virtual-ip virtual-address [ mask | mask-length ] { active | standby }
缺省情况下,不存在IPv4 VRRP备份组。
¡ 创建IPv6 VRRP备份组,配置IPv6链路本地地址并与HA关联,配置IPv6全球单播地址用于业务通信。
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address [ prefix-length ] link-local { active | standby }
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address
缺省情况下,不存在IPv6 VRRP备份组。
有关vrrp vrid命令和vrrp ipv6 vrid命令的详细介绍,请参见“高可靠性命令参考”中的“VRRP命令”。
在HA组网环境中,当两台设备的相同编号的业务接口上配置虚拟IP地址(也叫浮动IP地址)时,这些业务接口上的虚拟地址将与RBM进行关联,并受RBM的统一管理和控制。从而保证上下行流量始终都可以被引流到HA的业务主设备进行业务处理。
HA联动虚拟地址仅支持在主备模式中使用,不支持在双主模式下使用。
在HA联动虚拟地址+NAT场景下,虚拟地址和VRRP功能不能共用。
当一个接口以独占方式分配给非缺省Context时,用户可以登录该非缺省Context,并在该非缺省Context的接口视图下执行本命令修改接口的虚拟MAC地址。
当一个接口以共享方式分配给非缺省Context时,用户无法在该非缺省Context的接口视图下执行本命令修改接口的虚拟MAC地址。共享给非缺省Context的接口的虚拟MAC地址由系统自动计算生成。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置浮动IP地址。请至少选择其中一项进行配置。
¡ 创建IPv4浮动地址。
ip address ip-address { mask-length | mask } [ sub ] float
缺省情况下,接口上未配置浮动IP地址。
¡ 创建IPv6浮动地址。
ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } float
缺省情况下,接口上未配置浮动IPv6全球单播地址。
(4) (可选)修改接口的虚拟MAC地址。
mac-address virtual mac-address
缺省情况下,接口的虚拟MAC地址由设备自动分配,且主、从管理设备为相同编号的接口分配的虚拟MAC地址相同。
正常情况下由系统自动分配MAC地址即可。
在HA组网环境中,正常情况下,主、备设备上的动态路由协议均依据自身的运行机制对外通告链路的开销值。开启RBM调整备设备上动态路由协议开销值功能后,备设备上对外通告的路由协议链路开销值将是被HA调整后的值;主设备对外通告的链路开销值仍然是路由协议自身设置的值。HA调整备设备上动态路由协议开销值有如下几种方式:
· 绝对值方式:设备将使用配置的绝对值对外通告。
· 增量值方式:设备将在原有开销值基础上累加配置的增量值后对外通告。
此功能仅调整备设备上动态路由协议对外通告的开销值,对主设备没有影响。
建议在运行相同路由协议的双机热备场景中使用此功能。
在HA与动态路由协议联动的组网环境中,需要在主、备设备上同时开启此功能,并设置相同的参数。
silent-backup-interface命令与adjust-cost enable命令不能同时使用。
在HA联动路由的双主组网中,建议上下行设备上配置IP转发模式为逐流的负载分担方式。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启HA调整备设备上动态路由协议开销值功能。
adjust-cost { bgp | isis | ospf | ospfv3 } enable { absolute [ absolute-cost ] | increment [ increment-cost ] }
缺省情况下,HA调整备设备上动态路由协议开销值功能处于关闭状态。
如图1-14所示,在使用不同路由协议的HA场景中,因为不同的路由协议存在缺省优先级。当Device A的下行链路故障时,即使HA可以将Device A对外通告的OSPF链路开销值调高。但是,因为OSPF的缺省路由优先级高于IBGP的缺省路由优先级,所以从Router A去往内网的流量仍然会被转发到Device A所在的故障链路,而不能被转发到Device B所在的正常链路。
为了解决以上问题,可通过执行silent-backup-interface命令禁止备设备上的接口收发路由协议报文,使邻居关系断开。同时主设备上的接口还可以继续正常收发路由协议报文,保证上下行流量均能在主设备上被正常处理。
建议在运行不相同路由协议的HA组网场景中使用此功能。
在HA与动态路由协议联动的组网环境中,需要在主、备设备上同时配置HA禁止备设备收发动态路由协议报文功能。
silent-backup-interface命令与adjust-cost enable命令不能同时使用。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置HA禁止备设备上的接口收发动态路由协议报文。
silent-backup-interface { ospf | ospfv3 }
缺省情况下,备设备上的接口允许收发动态路由协议报文。
在HA透明组网环境中,通过HA监控连接上、下行设备的接口,实现所监控接口的状态相互联动并保持一致。这些接口将同时具备或同时不具备报文传输能力。只有HA所监控接口的状态均为UP时,这些接口才能转发报文。否则,HA监控的所有接口均不能转发报文。
track interface与track命令可以同时配置,但是所监控的接口不能相同。
track interface所监控的接口与配置VRRP功能的接口不能相同。
track vlan与track interface命令互斥,不可同时配置。
不能监控聚合接口的成员接口。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置HA监控接口状态。
track interface interface-type interface-number
缺省情况下,HA不监控任何接口的状态。
此功能支持对二层以太网接口和三层以太网接口的状态进行监控。
在HA透明组网环境中,通过HA监控连接上、下行设备的VLAN,实现所监控VLAN成员端口状态的相互联动并保持一致。此VLAN中的成员端口将同时具备或同时不具备报文传输能力。只有VLAN中的所有成员端口状态均为UP时,此VLAN的状态才为Active,所有成员端口可以转发报文。否则,此VLAN的状态为Inactive,所有成员端口均不能转发报文。
此功能一般用于监控HA组网环境中用于连接上、下行设备的VLAN。
在HA的不同工作模式下,设备上VLAN成员端口对报文的转发控制策略有所不同,具体如下所示:
· 当HA工作在主备模式时,正常情况下,主设备上HA所监控VLAN的状态为Active,备设备上HA所监控VLAN的状态为Inactive。
· 在HA工作在双主模式时,正常情况下,因为两台设备均为主设备,所以两台设备上HA所监控VLAN的状态均为Active。
track vlan与track interface命令互斥,不可同时配置。
基于HA监控VLAN的运行机制,请勿配置track vlan 1。因为设备上所有Access端口缺省属于VLAN 1,当VLAN 1中有端口未被使用时其接口状态为Down,所以会导致VLAN 1中正常使用的端口也无法转发报文。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置HA监控VLAN的状态。
track vlan vlan-id
缺省情况下,HA不监控任何VLAN的状态。
配置此功能后,当HA联动的其中一个Track项的状态为Negative状态时,HA将进行设备的主备切换,将上下行流量同时切换到新的主设备,保证业务不中断。有关Track的详细介绍,请参见“ 网络管理和监控配置指导”中的“Track”。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置HA与Track项联动。
track track-entry-number
缺省情况下,HA未与Track项联动。
当HA中主备设备无故障,业务运行在主设备时,可通过此命令触发主备倒换,以便管理员可以更换主设备上的部件或升级软件等。
配置此命令时有以下情况:
· 当在主设备上执行此命令时,主设备会切换成备设备,业务流量会在对端处理;
· 当在备设备上执行此命令时,备设备会升级为主设备,业务流量在本端处理。
此功能仅支持在HA主备模式下的主设备和备设备上执行。
在HA与VRRP配合使用的组网中,当使用此功能进行主备倒换时,可能会导致短暂的VRRP虚拟IP地址冲突,属于正常现象。
为保证HA稳定运行,系统不允许1分钟内重复执行此功能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 手工触发HA主备倒换。
switchover request
此功能仅适用于HA双主组网中存在非对称流量的场景,请谨慎使用。
在HA双主组网场景中,当存在非对称流量时,同一条流量的正反向报文可能会被送到不同的设备,这时将会影响部分功能模块(如NBAR、DPI、负载均衡等功能)处理报文的能力,例如可能会降低NBAR业务对报文的识别率等。开启此透传功能后,同一条流量的正反向报文最终会被送到同一台设备,可以提升这些功能模块处理报文的能力。但是,透传功能可能会消耗设备的大量资源,影响设备性能。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 开启HA在设备间透传业务流量功能。
transparent-transmit enable
缺省情况下,HA在设备间透传业务流量功能处于开启状态。
在双机热备组网中,HA通道断开会导致RBM失效。这时两台设备都变为主设备,进行业务处理,但是两台设备不再是HA状态,对后续的非对称流量会有影响。为了提高系统的可用性,当HA通道断开时就需要一种机制,能够进行相应的处理,尽量降低HA通道断开对业务的影响。MAD(Multi-Active Detection,多Active检测)就是这样一种检测和处理机制。
配置MAD检测功能后,当HA通道断开时,设备会通过MAD检测功能来维持HA状态,但RBM成员设备之间无法进行配置信息同步、业务表项同步和报文透传。如果HA的工作模式是主备模式,此时会保持不变;如果是双主模式,此时会切换为主备模式。
VLAN 1不能用于MAD检测,因此,不能在VLAN接口1下开启MAD检测功能。
执行mad nd enable命令时,系统会要求用户输入域编号,域编号不影响MAD检测功能。如果继续使用当前编号,则直接按回车即可。
域编号是一个全局变量,在RBM成员设备上使用mad arp enable、mad nd enable命令均可修改全局域编号,最新的配置生效。
MAD检测功能需要在HA通道断开前配置。
在RBM成员设备上使用context功能时,在任意context上都可以执行mad nd enable修改全局域编号,配置在所有context生效。
(1) 进入系统视图。
system-view
(2) 创建一个新VLAN专用于ARP MAD检测。
vlan vlan-id
缺省情况下,设备上只存在VLAN 1。
VLAN 1不能用于ARP MAD检测。
如果使用中间设备,中间设备上也需要进行此项配置。
(3) 退回系统视图。
quit
(4) 进入以太网接口视图。
interface interface-type interface-number
(5) 将端口加入ARP MAD检测专用VLAN。
¡ 将Access端口加入ARP MAD检测专用VLAN。
port access vlan vlan-id
¡ 将Trunk端口加入ARP MAD检测专用VLAN。
port trunk permit vlan vlan-id
¡ 将Hybrid端口加入ARP MAD检测专用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ARP MAD检测对检测端口的链路类型没有要求,不需要刻意修改端口的当前链路类型。缺省情况下,端口的链路类型为Access。
如果使用中间设备,中间设备上也需要进行此项配置。
(6) 退回系统视图。
quit
(7) 进入VLAN接口视图。
interface vlan-interface interface-number
(8) 配置IP地址。
ip address ip-address { mask | mask-length }
缺省情况下,未配置VLAN接口的IP地址。
(9) 开启ARP MAD检测功能。
mad arp enable
缺省情况下,ARP MAD检测功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 创建一个新VLAN专用于ND MAD检测。
vlan vlan-id
缺省情况下,设备上只存在VLAN 1。
VLAN 1不能用于ND MAD检测。
如果使用中间设备,中间设备上也需要进行此项配置。
(3) 退回系统视图。
quit
(4) 进入以太网接口视图。
interface interface-type interface-number
(5) 端口加入ND MAD检测专用VLAN。
¡ 将Access端口加入ND MAD检测专用VLAN。
port access vlan vlan-id
¡ 将Trunk端口加入ND MAD检测专用VLAN。
port trunk permit vlan vlan-id
¡ 将Hybrid端口加入ND MAD检测专用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ND MAD检测对检测端口的链路类型没有要求,不需要刻意修改端口的当前链路类型。缺省情况下,端口的链路类型为Access。
如果使用中间设备,中间设备上也需要进行此项配置。
(6) 退回系统视图。
quit
(7) 进入VLAN接口视图。
interface vlan-interface interface-number
(8) 配置IPv6地址。
ipv6 address { ipv6-address/pre-length | ipv6 address pre-length }
缺省情况下,未配置VLAN接口的IPv6地址。
(9) 开启ND MAD检测功能。
mad nd enable
缺省情况下,ND MAD检测功能处于关闭状态。
在RBM组网场景中,当使用track interface命令或track vlan命令监控上下行业务接口时,所监控接口的状态相互联动,保持一致。如果主设备上监控的接口出现故障,导致主备切换,那么原主设备上其他被监控的接口也将无法进行报文传输。当接口故障恢复后,如果管理员配置了流量回切功能,并且已经到达流量回切延迟时间,流量会切换回原主设备,其他被监控的接口也会恢复正常。
为了避免其他被监控的接口恢复时间过长,导致流量再次切换,管理员可以配置接口等待恢复时间。只有当接口等待恢复时间结束后,接口仍未恢复或仍存在监控接口故障问题,流量才会切换到对端设备。
需要注意的是,当流量回切延迟时间内出现监控接口故障时,流量仍然会切换到故障设备,从而造成业务中断,直到接口等待恢复时间结束后才会进行切换。因此,建议管理员在设置接口等待恢复时间时,在确保其他被监控的接口能够恢复的基础上,尽量缩短接口等待恢复时间。
本命令仅建议在使用track interface命令或track vlan命令监控上下行业务接口的组网中使用,其他组网场景不需要配置。
(1) 进入系统视图。
system-view
(2) 进入RBM管理视图。
remote-backup group
(3) 配置接口等待恢复时间。
wait-interface-up delay-time time-value
缺省情况下,接口等待恢复时间为32秒。
在HA的主备工作模式下,为了使对端设备到本端设备的正向流量和本端设备到对端设备的反向流量走相同的路径,可以在主设备的业务接口上开启转发保持上一跳功能,并开启备份上一跳功能和HA热备业务表项功能,当该接口接收到正向流量的第一个IP报文,会保存上一跳信息,同时将该上一跳信息备份到备设备,当反向流量报文到达备设备上时可以直接通过该上一跳信息进行转发。关于转发保持上一跳功能的详细介绍请参见“三层技术-IP业务命令参考”中的“IP转发基础”。
本功能仅支持在HA联动VRRP的主备组网和HA联动虚地址的组网场景中使用,其他组网场景中请勿开启本功能。
(1) 进入系统视图。
system-view
(2) 开启备份上一跳功能。
last-hop backup enable
缺省情况下,备份上一跳功能处于开启状态。
有关last-hop backup enable命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IP转发基础”
在HA组网环境中,当需要在设备上使用NAT功能时,必须将NAT相关配置与VRRP备份组进行绑定,否则NAT无法正常工作。例如使用动态NAT、内部服务器NAT、端口块NAT和静态NAT时,必须将这些NAT方式与VRRP备份组绑定。有关NAT的详细介绍,请参见“NAT配置指导”中的“NAT”。
本节内容仅以HA主备模式中的动态NAT为例,其他方式的NAT及其HA双主模式中的NAT与此类似。
缺省情况下,若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段,则NAT设备使用NAT接口的物理MAC地址应答此ARP请求报文。
如图1-15所示,在HA组网环境中配置动态NAT功能后,NAT与VRRP备份组没有绑定的情况下,内网访问外网的报文被处理的流程如下:
(1) 当内网访问外网的报文到达Device A后,报文的源地址会被转换成NAT地址池中的IP地址,然后被Device A转发给Router。
(2) 若NAT地址池中的IP地址与Device A的上行接口VRRP备份组1的虚拟IP地址在同一网段,则外网返回的报文到达Router后,因为目的IP地址是直连路由所以Router会广播ARP报文请求NAT地址池中IP地址对应的MAC地址,而不是请求VRRP备份组1虚拟IP地址对应的MAC地址。
(3) 当Device A和Device B接收到此ARP请求报文后,因为两台Device上有相同的NAT地址池配置,所以两台Device都会将自身上行接口的物理MAC地址应答给Router。
(4) 在这种情况下,Router就会时而以Device A上行接口的MAC地址来封装报文,将报文送到Device A;时而以Device B上行接口的MAC地址来封装报文,将报文送到Device B,从而影响业务的正常运行。
在HA网络环境中,为了解决上述NAT部署的问题,必须将NAT与VRRP备份组绑定。
图1-15 NAT未绑定VRRP备份组示意图
将NAT与VRRP备份组绑定后,若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段,则只能由VRRP备份组中Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求。
如图1-16所示,在HA组网环境中配置动态NAT功能后,NAT与VRRP备份组绑定的情况下,内网访问外网的报文被处理的流程如下:
(1) 当内网访问外网的报文到达Device A后,报文的源地址会被转换成NAT地址池中的IP地址,然后被Device A转发给Router。
(2) 若NAT地址池中的IP地址与Device A的上行接口VRRP备份组1的虚拟IP地址在同一网段,则外网返回的报文到达Router后,因为目的IP地址是直连路由所以Router会广播ARP报文请求NAT地址池中IP地址对应的MAC地址,而不是请求VRRP备份组1虚拟IP地址对应的MAC地址。
(3) 当Device A和Device B接收到此ARP请求报文后,因为NAT与VRRP备份组进行了绑定,所以只有VRRP备份组中Master设备(Device A)使用VRRP备份组1的虚拟MAC地址响应此ARP请求给Router。
(4) 在这种情况下,Router只会收到Master设备(Device A)响应的ARP报文,Router就会以VRRP备份组1的虚拟MAC地址来封装报文,将报文送到Device A,从而可以保证业务的正常运行。
图1-16 NAT绑定VRRP备份组示意图
有关动态NAT、内部服务器NAT、端口块NAT和静态NAT与VRRP备份组绑定的相关命令和详细使用说明,请参见“NAT配置指导”中的“NAT”。
在HA组网环境中,SSL VPN的用户数据、表项信息和配置信息通过HA通道进行备份。有关SSL VPN功能的详细介绍,请参见“VPN配置指导”中的“SSL VPN”。
SSL VPN功能仅支持在HA+VRRP方式的主备模式下进行高可靠性部署,不支持在HA的其他模式下进行可靠性部署。
在HA组网环境中,IPsec配置信息和已建立的IPsec隧道相关的信息表项,可以通过HA通道进行备份。有关IPsec功能的详细介绍,请参见“安全配置指导”中的“IPsec”。
仅IPsec安全策略使用IKEv1创建的IPsec隧道支持HA,即HA的运行主、备切换时可以保证IPsec业务不中断。其他方式创建的IPsec隧道(比如IPsec安全框架、IKEv2和手工方式创建的IPsec隧道等)不支持HA。
在HA双主部署场景下的非对称路径中,需要使用DPI业务时,必须开启DPI支持HA功能。否则,可能会出现DPI业务无法准确识别和处理报文的问题。有关DPI功能和DPI支持HA功能的详细介绍,请参见“DPI深度安全配置指导”中的“应用层检测引擎”。
HA技术能够满足多Context环境的高可靠性部署需求。仅需要在缺省Context中配置HA功能即可完成所有非缺省Context的高可靠性部署,无需在非缺省Context中配置HA功能。
所有非缺省Context统一使用缺省Context创建的HA通道进行配置信息备份、业务表项信息备份和透传业务报文,保证各自非缺省Context中主备设备上配置信息和业务表项信息的一致。
所有非缺省Context统一使用缺省Context的检测机制进行主备设备保活性检测和配置信息一致性检测。当任意Context中设备的主备运行角色发生切换时,其他所有Context中设备的主备运行角色也都会进行切换。
HA支持如下几种部署方式:
· 三层主备直路部署
· 三层双主直路部署
· 透明主备直路部署
· 透明双主直路部署
如图1-17所示,HA三层主备直路部署方式的适用场景为:需要将Device A与Device B串联部署在上下行设备之间,Device的上、下行业务接口均为三层接口,所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量,当主设备或链路故障时,可以将业务流量平滑迁移到备设备进行处理。
仅以HA与VRRP联动的方案为举例,介绍此种HA部署方式的部署思路,具体如下:
· 两台Device上下行分别连接二层交换机,Device的上下行接口工作在三层模式。
· 两台Device之间建立一条HA通道。
· 两台Device上下行分别配置一个VRRP备份组,并与HA关联。Device A上下行业务接口的VRRP备份组1和2加入Active group;Device B上下行业务接口的VRRP备份组1和2加入Standby group。
· 两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址(此示例中为2.1.1.15)。
· Router上需要将去往Host网段路由的下一跳指定为VRRP备份组1的虚拟IP地址(此示例中为2.1.1.3)。
· Host上需要设置默认网关IP地址为VRRP备份组2的虚拟IP地址(此示例中为10.1.1.3)。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
图1-17 HA三层主备直路部署示意图
如图1-17所示,HA三层主备直路部署完成后,以Host访问Internet流量为例,分析报文在此网络中的传输过程如下:
(1) Host判断目的IP地址与本机IP地址不在同一网段,因此Host将查找默认网关IP地址的ARP表项进行MAC地址封装发送报文,假设Host上还没有默认网关IP地址的ARP表项。
(2) Host将ARP请求报文(用于请求Host网关地址对应的MAC地址)发送给Switch B。Switch B在网络中广播此ARP请求报文。此时,Switch B会记录Host的MAC地址与接口的对应关系。
(3) 当VRRP备份组2中的两台Device接收到ARP请求报文后,只能由Master设备响应此ARP请求,且ARP应答报文中填写的MAC地址为VRRP备份组2的虚拟MAC地址。
(4) Switch B接收到此ARP应答报文后会记录VRRP备份组2的虚拟MAC地址与接口的对应关系,然后Switch B根据之前学习到的MAC地址表项将ARP响应报文发送给Host。
(5) Host接收到ARP响应报文后,将业务报文的目的MAC地址封装为VRRP备份组2的虚拟MAC地址,并发送给Switch B。
(6) Switch B根据已学习到的MAC地址表项,将报文转给Master设备(Device A)。至此,内网Host发出的流量就都会通过Master设备转发,并在Master设备上进行相关安全业务的处理。
(7) 假设Master设备没有去往Internet下一跳IP地址的ARP表项。Master设备将ARP请求报文发送给Switch A,ARP请求报文的源MAC地址为VRRP备份组1的虚拟MAC地址。在此ARP学习过程中Switch A会学习到去往Master设备和Router的MAC地址表项。其ARP的学习过程和后续的报文转发流程与上面描述的类似,此处不再赘述。
(8) Internet主动访问内网Host流量的处理过程与Host主动访问Internet流程的处理过程一样,此处不再赘述。
如图1-18所示,HA三层双主直路部署方式的适用场景为:需要将Device A与Device B串联部署在上下行设备之间,Device的上、下行业务接口均为三层接口,所有业务流量都必须经过Device。正常情况下两台设备都需要处理业务流量,当其中一台设备或链路故障时,可以将业务流量平滑迁移到另一设备进行处理。
仅以HA与VRRP联动的方案为举例,介绍此种HA部署方式的部署思路,具体如下:
· 两台Device上下行分别接入二层交换机,Device的上下行接口工作在三层模式。
· 两台Device之间建立一条HA通道。
· 两台Device上下行分别配置两个VRRP备份组,并与HA关联,具体如下:
¡ Device A上下行业务接口的VRRP备份组1和3加入Active group;Device A上下行业务接口的VRRP备份组2和4加入Standby group。
¡ Device B上下行业务接口的VRRP备份组1和3加入Standby group;Device B上下行业务接口的VRRP备份组2和4加入Active group。
· 两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址(此示例中为2.1.1.15)。
· Router上需要将去往Host A路由的下一跳指定为VRRP备份组1的虚拟IP地址(此示例中为2.1.1.3)。
· Router上需要将去往Host B路由的下一跳指定为VRRP备份组2的虚拟IP地址(此示例中为2.1.1.4)。
· Host A上需要设置默认网关IP地址为VRRP备份组3的虚拟IP地址(此示例中为10.1.1.3)。
· Host B上需要设置默认网关IP地址为VRRP备份组4的虚拟IP地址(此示例中为10.1.1.4)。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
图1-18 HA三层双主直路部署示意图
如图1-18所示,HA三层双主直路部署完成后,Host A的业务流量会转发给Device A处理,Host B的业务流量会转发给Device B处理,形成负载分担的效果。Host访问Internet流量的具体处理过程与主备部署方式类似,这里不再单独介绍。
设备作为二层设备,上下行连接二层交换机的组网方式仅支持主备组网,不支持双主组网,否则二层网络中会出现网络环路。
如图1-19所示,HA二层主备直路部署方式的适用场景为:需要将Device A与Device B作为二层设备串联部署在上下行二层网络之间,Device的上、下行业务接口均为二层接口,所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量,当主设备或链路故障时,可以将业务流量平滑迁移到备设备进行处理。
此种HA部署方式的部署思路如下:
· 两台Device上下行分别连接二层交换机,Device的上下行接口工作在二层模式。
· 两台Device上下行接口加入相同VLAN。
· 两台Device之间建立一条HA通道。
· 配置HA监控功能,保证Device上下行接口状态统一切换。以下HA监控功能仅能二选其一。
¡ 配置HA监控VLAN状态:此种方式下只需要将Device配置为HA主备工作模式即可,Device的上下行二层交换机无需开启生成树协议,HA可以保证无环路。
¡ 配置HA监控上下行接口状态:此种方式下Device的上下行二层交换机上必须开启生成树协议保证无环路。
· Switch A需要将连接Device和Router的接口加入相同的VLAN。
· Switch B需要将连接Device和Host的接口加入相同的VLAN。
图1-19 HA透明主备直路部署示意图
如图1-20所示,HA二层双主直路部署方式的适用场景为:需要将Device A与Device B作为二层设备串联部署在上下行三层网络之间,Device的上、下行业务接口均为二层接口,所有业务流量都必须经过Device。正常情况下两台设备都需要处理业务流量,当其中一台设备或链路故障时,可以将业务流量平滑迁移到另一设备进行处理。
此种HA部署方式的部署思路如下:
· 两台Device上下行分别连接三层网络设备,Device的上下行接口工作在二层模式。
· 两台Device上下行接口加入相同VLAN。
· 两台Device之间建立一条HA通道。
· 配置HA监控接口状态功能,保证Device上下行接口状态统一切换。
· 上、下行连接的Router上通过配置开销值相同的OSPF协议实现流量的负载分担,并配置等价路由基于报文逐流进行负载分担,以保证报文传输路径的稳定性。
图1-20 HA透明双主直路部署示意图
在完成上述配置后,在任意视图下执行display命令可以显示配置后HA的运行情况,通过查看显示信息验证配置的效果。
表1-1 HA显示和维护
操作 |
命令 |
显示虚拟MAC地址信息 |
display mac-address virtual [ mac-address | interface interface-type interface-number ] |
显示MAD配置信息 |
display mad [ verbose ] |
显示HA的状态信息 |
display remote-backup-group status |
显示HA关键配置信息的一致性检查结果 |
display remote-backup-group sync-check |
如图1-21所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-21 HA联动VRRP三层主备组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.15/24。
# 配置路由信息,去往内网流量的下一跳IPv4地址为VRRP备份组1的虚拟IPv4地址2.1.1.3,去往Internet流量的下一跳IPv4地址为出接口对端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使10.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略规则,允许VRRP协议报文通过。当HA通道断开时,使Device A与Device B之间可以交换VRRP报文,进行VRRP角色竞选,保证网络互通。
[DeviceA-security-policy-ip] rule name vrrp1
[DeviceA-security-policy-ip-4-vrrp1] source-zone trust
[DeviceA-security-policy-ip-4-vrrp1] destination-zone local
[DeviceA-security-policy-ip-4-vrrp1] service vrrp
[DeviceA-security-policy-ip-4-vrrp1] action pass
[DeviceA-security-policy-ip-4-vrrp1] quit
[DeviceA-security-policy-ip] rule name vrrp2
[DeviceA-security-policy-ip-5-vrrp2] source-zone local
[DeviceA-security-policy-ip-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ip-5-vrrp2] service vrrp
[DeviceA-security-policy-ip-5-vrrp2] action pass
[DeviceA-security-policy-ip-5-vrrp2] quit
[DeviceA-security-policy-ip] rule name vrrp3
[DeviceA-security-policy-ip-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ip-6-vrrp3] destination-zone local
[DeviceA-security-policy-ip-6-vrrp3] service vrrp
[DeviceA-security-policy-ip-6-vrrp3] action pass
[DeviceA-security-policy-ip-6-vrrp3] quit
[DeviceA-security-policy-ip] rule name vrrp4
[DeviceA-security-policy-ip-7-vrrp4] source-zone local
[DeviceA-security-policy-ip-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ip-7-vrrp4] service vrrp
[DeviceA-security-policy-ip-7-vrrp4] action pass
[DeviceA-security-policy-ip-7-vrrp4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP备份组,并与HA关联。实现HA对VRRP备份组的统一管理和流量引导。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP备份组,并与HA关联。实现HA对VRRP备份组的统一管理和流量引导。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置Host的默认网关为VRRP备份组2的虚拟IPv4地址10.1.1.3。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None 2.1.1.3
GE1/0/2 2 Master 100 100 None 10.1.1.3
# 在安全域Trust与Untrust的安全策略上开启记录日志功能后,当内网Host与Internet之间有流量经过时,Device A上会有日志生成,而Device B上没有日志生成。
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Backup
VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None 2.1.1.3
GE1/0/2 2 Backup 100 100 None 10.1.1.3
# 在安全域Trust与Untrust的安全策略上开启记录日志功能后,当内网Host与Internet之间有流量经过时,Device A上会有日志生成,而Device B上没有日志生成。
如图1-22所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,同时需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-22 HA联动VRRP三层双主组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.15/24。
# 配置路由信息,去往一部分内网流量(如Host 1)的下一跳IPv4地址为VRRP备份组1的虚拟IPv4地址2.1.1.3,去往另一部分内网流量(如Host 3)的下一跳IPv4地址为VRRP备份组2的虚拟IPv4地址2.1.1.4,去往Internet流量的下一跳IPv4地址为出接口对端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使10.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置名称为vrrp的安全策略规则,允许VRRP协议报文通过。当HA通道断开时,使Device A与Device B之间可以交换VRRP报文,进行VRRP角色竞选,保证网络互通。
[DeviceA-security-policy-ip] rule name vrrp1
[DeviceA-security-policy-ip-4-vrrp1] source-zone trust
[DeviceA-security-policy-ip-4-vrrp1] destination-zone local
[DeviceA-security-policy-ip-4-vrrp1] service vrrp
[DeviceA-security-policy-ip-4-vrrp1] action pass
[DeviceA-security-policy-ip-4-vrrp1] quit
[DeviceA-security-policy-ip] rule name vrrp2
[DeviceA-security-policy-ip-5-vrrp2] source-zone local
[DeviceA-security-policy-ip-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ip-5-vrrp2] service vrrp
[DeviceA-security-policy-ip-5-vrrp2] action pass
[DeviceA-security-policy-ip-5-vrrp2] quit
[DeviceA-security-policy-ip] rule name vrrp3
[DeviceA-security-policy-ip-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ip-6-vrrp3] destination-zone local
[DeviceA-security-policy-ip-6-vrrp3] service vrrp
[DeviceA-security-policy-ip-6-vrrp3] action pass
[DeviceA-security-policy-ip-6-vrrp3] quit
[DeviceA-security-policy-ip] rule name vrrp4
[DeviceA-security-policy-ip-7-vrrp4] source-zone local
[DeviceA-security-policy-ip-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ip-7-vrrp4] service vrrp
[DeviceA-security-policy-ip-7-vrrp4] action pass
[DeviceA-security-policy-ip-7-vrrp4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP备份组,并与HA关联。实现HA对VRRP备份组的统一管理和流量引导。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 active
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 standby
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceB] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP备份组,并与HA关联。实现HA对VRRP备份组的统一管理和流量引导。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 2.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 3 virtual-ip 10.1.1.3 standby
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp vrid 4 virtual-ip 10.1.1.4 active
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置一部分Host(如Host 1)的默认网关为VRRP备份组3的虚拟IPv4地址10.1.1.3,配置另一部分Host(如Host 3)的默认网关为VRRP备份组4的虚拟IPv4地址10.1.1.4。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_P[DeviceA] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None 2.1.1.3
GE1/0/1 2 Backup 100 100 None 2.1.1.4
GE1/0/2 3 Master 100 100 None 10.1.1.3
GE1/0/2 4 Backup 100 100 None 10.1.1.4
# 在安全域Trust与Untrust的安全策略上开启记录日志功能后,当内网Host 1、Host 2与Internet之间有流量经过时,Device A上会有日志生成,而Device B上没有日志生成。当内Host 3与Internet之间有流量经过时,Device B上会有日志生成,而Device A上没有日志生成。
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_S[DeviceB] display vrrp
IPv4 Virtual Router Information:
Running mode : Standard
RBM control channel is established
VRRP active group status : Master
VRRP standby group status: Backup
Total number of virtual routers : 4
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None 2.1.1.3
GE1/0/1 2 Master 100 100 None 2.1.1.4
GE1/0/2 3 Backup 100 100 None 10.1.1.3
GE1/0/2 4 Master 100 100 None 10.1.1.4
# 在安全域Trust与Untrust的安全策略上开启记录日志功能后,当内网Host 1、Host 2与Internet之间有流量经过时,Device A上会有日志生成,而Device B上没有日志生成。当内Host 3与Internet之间有流量经过时,Device B上会有日志生成,而Device A上没有日志生成。
如图1-23所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。在两台Device的相同编号的业务接口上配置相同的虚拟IP地址(也叫浮动IP地址)后,这些业务接口上的虚拟地址将与RBM进行关联,并受RBM的统一管理和控制。同时使用MAD检测线路来避免当双机热备通道断开后两台Device之间出现地址冲突。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-23 HA联动虚拟地址三层主备组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.15/24。
# 配置路由信息,去往内网流量的下一跳IPv4地址为虚拟IPv4地址2.1.1.1,去往Internet流量的下一跳IPv4地址为出接口对端的IPv4地址。
(5) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址(设备上下行业务接口GigabitEthernet1/0/1和GigabitEthernet1/0/2使用浮动地址方式),具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0 float
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip address 10.1.1.1 255.255.255.0 float
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv4地址为2.1.1.15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 2.1.1.15
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使10.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable route-static
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 配置HA与序号为1和2的Track项联动。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置ARP MAD检测,避免HA通道断开后因为两端都有相同的虚拟地址而引起地址冲突
# 创建VLAN 20,并将Device A上的端口GigabitEthernet1/0/4加入VLAN 20中。
RBM_P[DeviceA] vlan 20
RBM_P[DeviceA-vlan20] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/4
RBM_P[DeviceA-GigabitEthernet1/0/4] port link-mode bridge
RBM_P[DeviceA-GigabitEthernet1/0/4] port access vlan 20
RBM_P[DeviceA-GigabitEthernet1/0/4] quit
# 创建VLAN-interface20,并在该接口下配置IP地址,开启ARP MAD功能。
RBM_P[DeviceA] interface vlan-interface 20
RBM_P[DeviceA-Vlan-interface20] ip address 10.3.1.1 24
RBM_P[DeviceA-Vlan-interface20] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
g. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(6) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址(浮动地址会自动同步到备设备,不需要配置),具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable route-static
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置HA与序号为1和2的Track项联动。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
d. 配置ARP MAD检测
# 创建VLAN 20,并将Device B上的端口GigabitEthernet1/0/4加入VLAN 20中。
RBM_S[DeviceB] vlan 20
RBM_S[DeviceB-vlan20] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/4
RBM_S[DeviceB-GigabitEthernet1/0/4] port link-mode bridge
RBM_S[DeviceB-GigabitEthernet1/0/4] port access vlan 20
RBM_S[DeviceB-GigabitEthernet1/0/4] quit
# 创建VLAN-interface20,并在该接口下配置IP地址,开启ARP MAD功能。
RBM_S[DeviceB] interface vlan-interface 20
RBM_S[DeviceB-Vlan-interface20] ip address 10.3.1.2 24
RBM_S[DeviceB-Vlan-interface20] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
(7) 配置Host
# 配置Host的默认网关为虚拟IPv4地址10.1.1.1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Data channel interface current state: Up
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Data channel interface current state: Up
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
如图1-24所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。Device的上、下行业务接口均为三层接口,上下行连接路由器,Device与路由器之间运行OSPF协议。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-24 HA联动路由三层主备直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为2.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址为10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为10.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
(4) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使20.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略规则,允许OSPF协议报文通过,保证OSPF邻居的建立和路由的学习。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone local
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone local
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] rule name ospf3
[DeviceA-security-policy-ip-6-ospf3] source-zone untrust
[DeviceA-security-policy-ip-6-ospf3] destination-zone local
[DeviceA-security-policy-ip-6-ospf3] service ospf
[DeviceA-security-policy-ip-6-ospf3] action pass
[DeviceA-security-policy-ip-6-ospf3] quit
[DeviceA-security-policy-ip] rule name ospf4
[DeviceA-security-policy-ip-7-ospf4] source-zone local
[DeviceA-security-policy-ip-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ip-7-ospf4] service ospf
[DeviceA-security-policy-ip-7-ospf4] action pass
[DeviceA-security-policy-ip-7-ospf4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 开启HA调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA与序号为1和2的Track项联动。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 开启HA调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA与序号为1和2的Track项联动。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为20.1.1.1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device A的OSPF路由信息,可看到Device A的Cost值小于Device B,上下行流量经过Device A转发。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成后,通过查看Device B的OSPF路由信息,可看到Device A的Cost值小于Device B,上下行流量不经过Device B转发。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 6000 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 6000 1 10.1.10.2 10.1.10.1
如图1-25所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。Device的上、下行业务接口均为三层接口,上下行连接路由器,Device与路由器之间运行OSPF协议。为提高业务稳定性,使用两台Device进行HA组网,同时需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-25 HA联动路由三层双主直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv4地址为2.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为2.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv4地址为10.1.1.2/24。
# 配置接口GigabitEthernet1/0/8的IPv4地址为10.1.10.2/24。
# 配置OSPF路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(4) 配置Device A
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceA] router id 2.1.1.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 2.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使20.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 20.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略规则,允许OSPF协议报文通过,保证OSPF邻居的建立和路由的学习。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone local
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone local
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] rule name ospf3
[DeviceA-security-policy-ip-6-ospf3] source-zone untrust
[DeviceA-security-policy-ip-6-ospf3] destination-zone local
[DeviceA-security-policy-ip-6-ospf3] service ospf
[DeviceA-security-policy-ip-6-ospf3] action pass
[DeviceA-security-policy-ip-6-ospf3] quit
[DeviceA-security-policy-ip] rule name ospf4
[DeviceA-security-policy-ip-7-ospf4] source-zone local
[DeviceA-security-policy-ip-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ip-7-ospf4] service ospf
[DeviceA-security-policy-ip-7-ospf4] action pass
[DeviceA-security-policy-ip-7-ospf4] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 开启HA调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA与序号为1和2的Track项联动。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 2.1.10.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPF,保证路由可达
# 配置设备上的OSPF功能,OSPF协议自身的链路开销值建议保持默认配置即可。
[DeviceB] router id 2.1.10.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 2.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.10.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 开启HA调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospf enable absolute 6000
# 配置HA与序号为1和2的Track项联动。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为20.1.1.1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device A的OSPF路由信息,可看到Device A的Cost值与Device B相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_P[DeviceA] display ospf interface
OSPF Process 1 with Router ID 2.1.1.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.1.1 Broadcast BDR 1 1 2.1.1.2 2.1.1.1
10.1.1.1 Broadcast DR 1 1 10.1.1.1 10.1.1.2
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device B的OSPF路由信息,可看到Device B的Cost值与Device A相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_S[DeviceB] display ospf interface
OSPF Process 1 with Router ID 2.1.10.1
Interfaces
Area: 0.0.0.0
IP Address Type State Cost Pri DR BDR
2.1.10.1 Broadcast BDR 1 1 2.1.10.2 2.1.10.1
10.1.10.1 Broadcast BDR 1 1 10.1.10.2 10.1.10.1
如图1-26所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet,Device的上、下行业务接口均为二层接口。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-26 HA透明主备直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Device A
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二层模式,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 根据组网图中规划的信息,创建VLAN 10,并将接口加入VLAN,具体配置步骤如下。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 1/0/1
[DeviceA-vlan10] port gigabitethernet 1/0/2
[DeviceA-vlan10] quit
b. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceA-security-zone-Trust] quit
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使10.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
# 配置HA监控VLAN 10的状态。
RBM_P[DeviceA-remote-backup-group] track vlan 10
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二层模式,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceB-if-range] port link-mode bridge
[DeviceB-if-range] quit
# 根据组网图中规划的信息,创建VLAN 10,并将接口加入VLAN,具体配置步骤如下。
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/1
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
b. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceB-security-zone-Trust] quit
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置HA监控VLAN 10的状态。
RBM_S[DeviceB-remote-backup-group] track vlan 10
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为10.1.1.1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
如图1-27所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet,Device的上、下行业务接口均为二层接口。为提高业务稳定性,使用两台Device进行HA组网,同时需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-27 HA透明双主直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Router A
# 在Router A上配置OSPF功能使流量可以到达Internet和内网主机,同时保证Router A到达内网主机的流量可以在两条链路上进行负载分担。
(3) 配置Router B
# 在Router B上配置OSPF功能使流量可以到达Internet和内网主机,同时保证Router B到达Internet的流量可以在两条链路上进行负载分担。
(4) 配置Device A
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二层模式,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceA-if-range] port link-mode bridge
[DeviceA-if-range] quit
# 根据组网图中规划的信息,创建VLAN 10,并将接口加入VLAN,具体配置步骤如下。
[DeviceA] vlan 10
[DeviceA-vlan10] port gigabitethernet 1/0/1
[DeviceA-vlan10] port gigabitethernet 1/0/2
[DeviceA-vlan10] quit
b. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ip address 10.2.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceA-security-zone-Trust] quit
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使10.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-3-trust-untrust] source-ip-subnet 10.1.1.0 24
[DeviceA-security-policy-ip-3-trust-untrust] action pass
[DeviceA-security-policy-ip-3-trust-untrust] quit
# 配置安全策略规则,允许OSPF协议报文通过,保证OSPF邻居的建立和路由的学习。
[DeviceA-security-policy-ip] rule name ospf1
[DeviceA-security-policy-ip-4-ospf1] source-zone trust
[DeviceA-security-policy-ip-4-ospf1] destination-zone untrust
[DeviceA-security-policy-ip-4-ospf1] service ospf
[DeviceA-security-policy-ip-4-ospf1] action pass
[DeviceA-security-policy-ip-4-ospf1] quit
[DeviceA-security-policy-ip] rule name ospf2
[DeviceA-security-policy-ip-5-ospf2] source-zone untrust
[DeviceA-security-policy-ip-5-ospf2] destination-zone trust
[DeviceA-security-policy-ip-5-ospf2] service ospf
[DeviceA-security-policy-ip-5-ospf2] action pass
[DeviceA-security-policy-ip-5-ospf2] quit
[DeviceA-security-policy-ip] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ip 10.2.1.2
[DeviceA-remote-backup-group] local-ip 10.2.1.1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 配置HA监控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的状态。
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_P[DeviceA-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置VLAN
# 使接口GigabitEthernet1/0/1和GigabitEthernet1/0/2工作在二层模式,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface range gigabitethernet 1/0/1 to gigabitethernet 1/0/2
[DeviceB-if-range] port link-mode bridge
[DeviceB-if-range] quit
# 根据组网图中规划的信息,创建VLAN 10,并将接口加入VLAN,具体配置步骤如下。
[DeviceB] vlan 10
[DeviceB-vlan10] port gigabitethernet 1/0/1
[DeviceB-vlan10] port gigabitethernet 1/0/2
[DeviceB-vlan10] quit
b. 配置接口IPv4地址
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ip address 10.2.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/3] quit
c. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1 vlan 10
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2 vlan 10
[DeviceB-security-zone-Trust] quit
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ip 10.2.1.1
[DeviceB-remote-backup-group] local-ip 10.2.1.2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] delay-time 1
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
# 配置HA监控接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的状态。
RBM_S[DeviceB-remote-backup-group] track interface gigabitethernet 1/0/1
RBM_S[DeviceB-remote-backup-group] track interface gigabitethernet 1/0/2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为10.1.1.1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.1
Remote IP: 10.2.1.2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IP: 10.2.1.2
Remote IP: 10.2.1.1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
如图1-28所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。同时需要在Device上配置动态NAT功能保证内网用户可以访问Internet,该公司拥有2.1.1.1到2.1.1.10十个外网IPv4地址。
图1-28 HA联动VRRP主备模式中NAT功能组网图
(1) 配置主备模式的HA组网环境
# 将Device A和Device B组建成主备模式的HA环境,其具体配置步骤请参见“1.28.1 HA联动VRRP三层主备组网典型配置举例”中的相关内容,本举例不再赘述。
(2) 配置动态NAT
在此配置举例中,仅需要在主管理设备Device A上配置NAT的相关配置,Device A上的NAT配置会自动同步到从管理设备Device B。
# 配置NAT地址组1,其地址成员范围为2.1.1.5到2.1.1.10,并与VRRP备份组1绑定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.10
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 在接口上配置出方向动态地址转换,允许使用地址组1中的地址进行源地址转换,并在转换过程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
# 以上配置完成后,内网主机能够访问Internet。在Device A设备上查看如下显示信息,可以看到内网主机访问外网时生成的NAT会话信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.10/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如图1-29所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
同时需要在Device上配置动态NAT功能保证内网用户可以访问Internet,该公司拥有2.1.1.1到2.1.1.10十个外网IPv4地址。
图1-29 HA联动VRRP双主模式中NAT功能组网图
(1) 配置双主模式的HA组网环境
# 将Device A和Device B组建成双主模式的HA环境,其具体配置步骤请参见“1.28.2 HA联动VRRP三层双主组网典型配置举例”中的相关内容,本举例不再赘述。
(2) 配置动态NAT
在此配置举例中,仅需要在主管理设备Device A上配置NAT的相关配置,Device A上的NAT配置会自动同步到从管理设备Device B。
# 配置NAT地址组1,其地址成员范围为2.1.1.5到2.1.1.7,并与VRRP备份组1绑定。
RBM_P<DeviceA> system-view
RBM_P[DeviceA] nat address-group 1
RBM_P[DeviceA-address-group-1] address 2.1.1.5 2.1.1.7
RBM_P[DeviceA-address-group-1] vrrp vrid 1
RBM_P[DeviceA-address-group-1] quit
# 配置NAT地址组2,其地址成员范围为2.1.1.8到2.1.1.10,并与VRRP备份组2绑定。
RBM_P[DeviceA] nat address-group 2
RBM_P[DeviceA-address-group-2] address 2.1.1.8 2.1.1.10
RBM_P[DeviceA-address-group-2] vrrp vrid 2
RBM_P[DeviceA-address-group-2] quit
# 配置ACL 3000,仅允许10.1.1.1/25网段的报文通过;配置ACL 3001,仅允许10.1.1.129/25网段的报文通过。
RBM_P[DeviceA] acl advanced 3000
RBM_P[DeviceA-ipv4-adv-3000] rule permit ip source 10.1.1.1 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3000] quit
RBM_P[DeviceA] acl advanced 3001
RBM_P[DeviceA-ipv4-adv-3001] rule permit ip source 10.1.1.129 0.0.0.127
RBM_P[DeviceA-ipv4-adv-3001] quit
# 在接口上配置出方向动态地址转换,允许使用地址组1中的IPv4地址对匹配ACL 3000的报文进行源地址转换,并在转换过程中使用端口信息;允许使用地址组2中的IPv4地址对匹配ACL 3001的报文进行源地址转换,并在转换过程中使用端口信息。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3000 address-group 1
RBM_P[DeviceA-GigabitEthernet1/0/1] nat outbound 3001 address-group 2
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
# 以上配置完成后,内网主机Host 1能够通过Device A访问Internet。在Device A设备上查看如下显示信息,可以看到内网主机访问外网时生成的NAT会话信息。
RBM_P[DeviceA] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.100/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.5/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
# 以上配置完成后,内网主机Host 3能够通过Device B访问Internet。在Device B设备上查看如下显示信息,可以看到内网主机访问外网时生成的NAT会话信息。
RBM_S[DeviceB] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.200/52082
Destination IP/port: 202.38.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.10/80
Destination IP/port: 2.1.1.8/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface:
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2019-1-29 16:17:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
如图1-30所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
图1-30 HA联动VRRP三层直连主备组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Switch A
# 在Switch A上创建VLAN 10,并将连接Device A、Device B和Router的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(3) 配置Switch B
# 在Switch B上创建VLAN 10,并将连接Device A、Device B和Host的接口设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Router
# 配置接口GigabitEthernet1/0/7的IPv6地址为3003::15/64。
# 配置路由信息,去往内网流量的下一跳IPv6地址为VRRP备份组1的虚拟IPv6地址3003::3/64,去往Internet流量的下一跳IPv6地址为出接口对端的IPv6地址。
(5) 配置Device A
a. 配置接口IPv6地址
# 根据组网图中规划的信息,配置各接口的IPv6地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0/1] ipv6 address fe80::3:1 link-local
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ipv6 address 3001::1/64
[DeviceA-GigabitEthernet1/0/2] ipv6 address fe80::1:1 link-local
[DeviceA-GigabitEthernet1/0/2] undo ipv6 nd ra halt
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] ipv6 address 3005::1/64
[DeviceA-GigabitEthernet1/0/3] ipv6 address auto link-local
[DeviceA-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv6地址为3003::15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceA] ipv6 route-static 0::0 0 3003::15
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使10.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 3001::0 64
[DeviceA-security-policy-ipv6-3-trust-untrust] action pass
[DeviceA-security-policy-ipv6-3-trust-untrust] quit
# 配置安全策略规则,允许VRRP协议报文通过。当HA通道断开时,使Device A与Device B之间可以交换VRRP报文,进行VRRP角色竞选,保证网络互通。
[DeviceA-security-policy-ipv6] rule name vrrp1
[DeviceA-security-policy-ipv6-4-vrrp1] source-zone trust
[DeviceA-security-policy-ipv6-4-vrrp1] destination-zone local
[DeviceA-security-policy-ipv6-4-vrrp1] service vrrp
[DeviceA-security-policy-ipv6-4-vrrp1] action pass
[DeviceA-security-policy-ipv6-4-vrrp1] quit
[DeviceA-security-policy-ipv6] rule name vrrp2
[DeviceA-security-policy-ipv6-5-vrrp2] source-zone local
[DeviceA-security-policy-ipv6-5-vrrp2] destination-zone trust
[DeviceA-security-policy-ipv6-5-vrrp2] service vrrp
[DeviceA-security-policy-ipv6-5-vrrp2] action pass
[DeviceA-security-policy-ipv6-5-vrrp2] quit
[DeviceA-security-policy-ipv6] rule name vrrp3
[DeviceA-security-policy-ipv6-6-vrrp3] source-zone untrust
[DeviceA-security-policy-ipv6-6-vrrp3] destination-zone local
[DeviceA-security-policy-ipv6-6-vrrp3] service vrrp
[DeviceA-security-policy-ipv6-6-vrrp3] action pass
[DeviceA-security-policy-ipv6-6-vrrp3] quit
[DeviceA-security-policy-ipv6] rule name vrrp4
[DeviceA-security-policy-ipv6-7-vrrp4] source-zone local
[DeviceA-security-policy-ipv6-7-vrrp4] destination-zone untrust
[DeviceA-security-policy-ipv6-7-vrrp4] service vrrp
[DeviceA-security-policy-ipv6-7-vrrp4] action pass
[DeviceA-security-policy-ipv6-7-vrrp4] quit
[DeviceA-security-policy-ipv6] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceA-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] undo backup-mode
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] quit
# 配置VRRP备份组,并与HA关联。实现HA对VRRP备份组的统一管理和流量引导。配置IPv6 VRRP备份组时配置的第一个虚拟IPv6地址必须是链路本地地址。
RBM_P[DeviceA] interface gigabitethernet 1/0/1
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local active
RBM_P[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_P[DeviceA-GigabitEthernet1/0/1] quit
RBM_P[DeviceA] interface gigabitethernet 1/0/2
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local active
RBM_P[DeviceA-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_P[DeviceA-GigabitEthernet1/0/2] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(6) 配置Device B
a. 配置接口IPv6地址
# 根据组网图中规划的信息,配置各接口的IPv6地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 3003::2/64
[DeviceB-GigabitEthernet1/0/1] ipv6 address fe80::3:2 link-local
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] ipv6 address 3001::2/64
[DeviceB-GigabitEthernet1/0/2] ipv6 address fe80::1:2 link-local
[DeviceB-GigabitEthernet1/0/2] undo ipv6 nd ra halt
[DeviceB-GigabitEthernet1/0/2] quit
[DeviceB] interface gigabitethernet 1/0/3
[DeviceB-GigabitEthernet1/0/3] ipv6 address 3005::2/64
[DeviceB-GigabitEthernet1/0/3] ipv6 address auto link-local
[DeviceB-GigabitEthernet1/0/3] quit
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置静态路由,保证路由可达
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由使设备与内外网之间路由可达。本举例假设到达外网的下一跳IPv6地址为3003::15,实际环境中请以具体组网情况为准,具体配置步骤如下。
[DeviceB] ipv6 route-static 0::0 0 3003::15
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 使用两台Device进行HA组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] undo backup-mode
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] quit
# 配置VRRP备份组,并与HA关联。实现HA对VRRP备份组的统一管理和流量引导。配置IPv6 VRRP备份组时配置的第一个虚拟IPv6地址必须是链路本地地址。
RBM_S[DeviceB] interface gigabitethernet 1/0/1
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::3:3 link-local standby
RBM_S[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 3003::3
RBM_S[DeviceB-GigabitEthernet1/0/1] quit
RBM_S[DeviceB] interface gigabitethernet 1/0/2
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip fe80::1:3 link-local standby
RBM_S[DeviceB-GigabitEthernet1/0/2] vrrp ipv6 vrid 2 virtual-ip 3001::3
RBM_S[DeviceB-GigabitEthernet1/0/2] quit
(7) 配置Host
# 配置Host的默认网关为VRRP备份组2的虚拟IPv6地址3001::3。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_P[DeviceA] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Master
IPv6 VRRP standby group status: Master
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Master 100 100 None FE80::3:3
GE1/0/2 2 Master 100 100 None FE80::1:3
# 在安全域Trust与Untrust的安全策略上开启记录日志功能后,当内网Host与Internet之间有流量经过时,Device A上会有日志生成,而Device B上没有日志生成。
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置是否生效,HA通道是否建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Active/standby
Device management role: Secondary
Device running status: Standby
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Standby Interface status changed
# 以上配置完成后,通过执行以下显示命令可查看VRRP备份组的状态信息。
RBM_S[DeviceB] display vrrp ipv6
IPv6 Virtual Router Information:
Running mode : Standard
RBM control channel is established
IPv6 VRRP active group status : Backup
IPv6 VRRP standby group status: Backup
Total number of virtual routers : 2
Interface VRID State Running Adver Auth Virtual
Pri Timer Type IP
---------------------------------------------------------------------
GE1/0/1 1 Backup 100 100 None FE80::3:3
GE1/0/2 2 Backup 100 100 None FE80::1:3
# 在安全域Trust与Untrust的安全策略上开启记录日志功能后,当内网Host与Internet之间有流量经过时,Device A上会有日志生成,而Device B上没有日志生成。
如图1-31所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。Device的上、下行业务接口均为三层接口,上下行连接路由器,Device与路由器之间运行OSPFv3协议。为提高业务稳定性,使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-31 HA联动路由三层双主直路组网图
(1) 确保主备设备的软硬件环境一致
# 在配置HA功能之前,请先保证主/备设备的硬件环境和软件环境的一致性。
(2) 配置Router A
# 配置接口GigabitEthernet1/0/7的IPv6地址为3003::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址为3004::2/64。
# 配置OSPFv3路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(3) 配置Router B
# 配置接口GigabitEthernet1/0/7的IPv6地址为3001::2/64。
# 配置接口GigabitEthernet1/0/8的IPv6地址为3002::2/64。
# 配置OSPFv3路由协议,保证路由可达,具体步骤略。
# 配置IP转发模式为逐流的负载分担方式。
(4) 配置Device A
a. 配置接口IPv6地址
# 根据组网图中规划的信息,配置各接口的IPv6地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ipv6 address 3003::1/64
[DeviceA-GigabitEthernet1/0/1] ipv6 address auto link-local
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
c. 配置OSPFv3,保证路由可达
# 配置设备上的OSPFv3功能,OSPFv3协议自身的链路开销值建议保持默认配置即可。
[DeviceA] ospfv3 1
[DeviceA-ospfv3-1] router-id 2.1.1.1
[DeviceA-ospfv3-1] quit
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ospfv3 1 area 0
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface GigabitEthernet1/0/2
[DeviceA-GigabitEthernet1/0/2] ospfv3 1 area 0
[DeviceA-GigabitEthernet1/0/2] quit
d. 配置安全策略,允许所需的业务报文通过
此部分安全策略只需在主管理设备配置,HA组网完成后,从管理设备会自动同步这些安全策略配置信息。
# 配置名称为trust-untrust的安全策略规则,使20.1.1.0/24网段的内网用户可以主动访问Internet,但是Internet上的用户不能访问内网,具体配置步骤如下。
[DeviceA] security-policy ipv6
[DeviceA-security-policy-ipv6] rule name trust-untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-zone trust
[DeviceA-security-policy-ipv6-3-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ipv6-3-trust-untrust] source-ip-subnet 2001::0 64
[DeviceA-security-policy-ipv6-3-trust-untrust] action pass
[DeviceA-security-policy-ipv6-3-trust-untrust] quit
# 配置安全策略规则,允许OSPF协议报文通过,保证OSPF邻居的建立和路由的学习。
[DeviceA-security-policy-ipv6] rule name ospf1
[DeviceA-security-policy-ipv6-4-ospf1] source-zone trust
[DeviceA-security-policy-ipv6-4-ospf1] destination-zone local
[DeviceA-security-policy-ipv6-4-ospf1] service ospf
[DeviceA-security-policy-ipv6-4-ospf1] action pass
[DeviceA-security-policy-ipv6-4-ospf1] quit
[DeviceA-security-policy-ipv6] rule name ospf2
[DeviceA-security-policy-ipv6-5-ospf2] source-zone local
[DeviceA-security-policy-ipv6-5-ospf2] destination-zone trust
[DeviceA-security-policy-ipv6-5-ospf2] service ospf
[DeviceA-security-policy-ipv6-5-ospf2] action pass
[DeviceA-security-policy-ipv6-5-ospf2] quit
[DeviceA-security-policy-ipv6] rule name ospf3
[DeviceA-security-policy-ipv6-6-ospf3] source-zone untrust
[DeviceA-security-policy-ipv6-6-ospf3] destination-zone local
[DeviceA-security-policy-ipv6-6-ospf3] service ospf
[DeviceA-security-policy-ipv6-6-ospf3] action pass
[DeviceA-security-policy-ipv6-6-ospf3] quit
[DeviceA-security-policy-ipv6] rule name ospf4
[DeviceA-security-policy-ipv6-7-ospf4] source-zone local
[DeviceA-security-policy-ipv6-7-ospf4] destination-zone untrust
[DeviceA-security-policy-ipv6-7-ospf4] service ospf
[DeviceA-security-policy-ipv6-7-ospf4] action pass
[DeviceA-security-policy-ipv6-7-ospf4] quit
[DeviceA-security-policy-ipv6] quit
e. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceA] remote-backup group
[DeviceA-remote-backup-group] remote-ipv6 3005::2
[DeviceA-remote-backup-group] local-ipv6 3005::1
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceA-remote-backup-group] device-role primary
RBM_P[DeviceA-remote-backup-group] backup-mode dual-active
RBM_P[DeviceA-remote-backup-group] hot-backup enable
RBM_P[DeviceA-remote-backup-group] configuration auto-sync enable
RBM_P[DeviceA-remote-backup-group] configuration sync-check interval 12
RBM_P[DeviceA-remote-backup-group] delay-time 1
# 开启HA调整备设备上动态路由协议OSPFv3的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_P[DeviceA-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置HA与序号为1和2的Track项联动。
RBM_P[DeviceA-remote-backup-group] track 1
RBM_P[DeviceA-remote-backup-group] track 2
RBM_P[DeviceA-remote-backup-group] quit
f. 配置安全业务
# 以上有关HA的配置部署完成后,可以配置各种安全业务。对于HA支持配置信息备份的功能模块仅需要在此主管理设备上(Device A)进行配置即可。
(5) 配置Device B
a. 配置接口IPv6地址
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ipv6 address 3004::1/64
[DeviceB-GigabitEthernet1/0/1] ipv6 address auto link-local
[DeviceB-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
b. 配置接口加入安全域。
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
c. 配置OSPFv3,保证路由可达
# 配置设备上的OSPFv3功能,OSPFv3协议自身的链路开销值建议保持默认配置即可。
[DeviceB] ospfv3 1
[DeviceB-ospfv3-1] router-id 3.1.1.1
[DeviceB-ospfv3-1] quit
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ospfv3 1 area 0
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ospfv3 1 area 0
[DeviceB-GigabitEthernet1/0/2] quit
d. 配置高可靠性
本举例仅用以太网接口作为控制通道和数据通道接口使用。对于设备同时拥有HA接口和以太网接口的情况,建议使用HA接口作为控制通道和数据通道接口使用,这样能够更好地保护设备的安全性和稳定性。HA接口不能作为业务接口使用。
# 配置Track项监控接口状态。
[DeviceB] track 1 interface gigabitethernet 1/0/1
[DeviceB-track-1] quit
[DeviceB] track 2 interface gigabitethernet 1/0/2
[DeviceB-track-2] quit
# 使用两台Device进行HA组网,需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
[DeviceB] remote-backup group
[DeviceB-remote-backup-group] remote-ipv6 3005::1
[DeviceB-remote-backup-group] local-ipv6 3005::2
[DeviceB-remote-backup-group] data-channel interface gigabitethernet 1/0/3
[DeviceB-remote-backup-group] device-role secondary
RBM_S[DeviceB-remote-backup-group] backup-mode dual-active
RBM_S[DeviceB-remote-backup-group] hot-backup enable
RBM_S[DeviceB-remote-backup-group] configuration auto-sync enable
RBM_S[DeviceB-remote-backup-group] configuration sync-check interval 12
RBM_S[DeviceB-remote-backup-group] delay-time 1
# 开启HA调整备设备上动态路由协议OSPF的开销值功能,并以绝对方式对外通告开销值,绝对值为6000。
RBM_S[DeviceB-remote-backup-group] adjust-cost ospfv3 enable absolute 6000
# 配置HA与序号为1和2的Track项联动。
RBM_S[DeviceB-remote-backup-group] track 1
RBM_S[DeviceB-remote-backup-group] track 2
RBM_S[DeviceB-remote-backup-group] quit
(6) 配置Host
# 配置Host的默认网关为2002::1。
(1) Device A
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_P[DeviceA] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Primary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::1
Remote IPv6: 3005::2 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device A的OSPFv3路由信息,可看到Device A的Cost值与Device B相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_P[DeviceA] display ospfv3 interface
OSPFv3 Process 1 with Router ID 2.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 2.1.1.1 1.1.1.1 0 GE1/0/1
3 BDR 1 1 4.1.1.1 2.1.1.1 0 GE1/0/2
(2) Device B
# 以上配置完成后,通过执行以下显示命令可查看HA配置已生效,HA通道已建立。
RBM_S[DeviceB] display remote-backup-group status
Remote backup group information:
Backup mode: Dual-active
Device management role: Secondary
Device running status: Active
Data channel interface: GigabitEthernet1/0/3
Local IPv6: 3005::2
Remote IPv6: 3005::1 Destination port: 60064
Control channel status: Connected
Keepalive interval: 1s
Keepalive count: 10
Configuration consistency check interval: 12 hour
Configuration consistency check result: Not Performed
Configuration backup status: Auto sync enabled
Session backup status: Hot backup enabled
Delay-time: 1 min
Uptime since last switchover: 0 days, 3 hours, 11 minutes
Switchover records:
Time Status change Cause
2021-06-22 13:33:33 Initial to Active Interface status changed
# 以上配置完成后,通过查看Device B的OSPFv3路由信息,可看到Device B的Cost值与Device A相同,上下行流量会在Device A和Device B之间进行负载分担。
RBM_S[DeviceB] display ospfv3 interface
OSPFv3 Process 1 with Router ID 3.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
ID State Cost Pri DR BDR Ins Name
2 DR 1 1 3.1.1.1 1.1.1.1 0 GE1/0/1
3 BDR 1 1 4.1.1.1 3.1.1.1 0 GE1/0/2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!