15雙機(jī)HA冗余協(xié)議_第1頁
15雙機(jī)HA冗余協(xié)議_第2頁
15雙機(jī)HA冗余協(xié)議_第3頁
15雙機(jī)HA冗余協(xié)議_第4頁
15雙機(jī)HA冗余協(xié)議_第5頁
已閱讀5頁,還剩24頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、雙機(jī)ha冗余協(xié)議講解人:朱建英 2010、07 通過完成此章節(jié)課程,您將可以: - 理解hcmp協(xié)議 - 配置ha集群 雙機(jī)ha基本概念 配置ha 高可靠性(high availablity),簡稱ha,能夠在通信線路或者設(shè)備產(chǎn)生故障時(shí)提供備用方案,從而保證數(shù)據(jù)通信的暢通,有效增強(qiáng)網(wǎng)絡(luò)的可靠性。 實(shí)現(xiàn)ha功能,用戶需要配置兩臺(tái)設(shè)備型號(hào)軟件版本、vrouter、功能許可證以及功能狀態(tài)配置均相同的安全設(shè)備,組成ha簇 ha簇 ha簇是實(shí)現(xiàn)ha功能的設(shè)備組合。對(duì)于外部網(wǎng)絡(luò)設(shè)備而言一個(gè)ha簇是一個(gè)單一的設(shè)備,處理網(wǎng)絡(luò)流量和提供安全服務(wù)。ha簇通過簇id進(jìn)行標(biāo)識(shí)。為設(shè)備指定ha簇id后,設(shè)備進(jìn)入ha狀態(tài)

2、,執(zhí)行ha功能。 ha組 系統(tǒng)會(huì)對(duì)ha簇中共相同ha組id的設(shè)備,按照hcmp協(xié)議,根據(jù)設(shè)備的ha配置,進(jìn)行主備選舉。主設(shè)備處于活動(dòng)狀態(tài)處理網(wǎng)絡(luò)流量,而主設(shè)備出現(xiàn)故障時(shí),其他設(shè)備代替主設(shè)備繼續(xù)工作。當(dāng)為安全設(shè)備設(shè)置簇id時(shí),組id為0的ha組會(huì)自動(dòng)創(chuàng)建,在active-passive(a/p)模式中,設(shè)備僅具有ha組0。在active-active(a/a)模式中,目前的版本支持用戶創(chuàng)建2個(gè)ha組,組0和組1。神州數(shù)碼多核防火墻支持ha的兩種工作模式:active-passive(a/p)模式和active-active(a/a)模式: active-passive(a/p)模式:)模式:在h

3、a簇中配置兩臺(tái)設(shè)備組成一個(gè)ha組,組內(nèi)只有一臺(tái)主設(shè)備。主設(shè)備處于活動(dòng)狀態(tài),轉(zhuǎn)發(fā)報(bào)文,同時(shí)將所有網(wǎng)絡(luò)和配置信息以及當(dāng)前會(huì)話信息傳遞給備份設(shè)備。當(dāng)主設(shè)備出現(xiàn)故障時(shí),備份設(shè)備接替主設(shè)備工作,轉(zhuǎn)發(fā)報(bào)文。這種a/p模式具有較強(qiáng)冗余性,而且其網(wǎng)絡(luò)結(jié)構(gòu)簡單,便于維護(hù)管理。 active-active(a/a)模式:)模式:當(dāng)安全設(shè)備處于nat模式、路由模式或兩者的組合時(shí),可以將ha簇中的兩臺(tái)設(shè)備都配置成主動(dòng),使兩臺(tái)設(shè)備同時(shí)運(yùn)行各自的工作,且相互監(jiān)測對(duì)方的情況。當(dāng)其中一臺(tái)設(shè)備發(fā)生故障時(shí),另外一臺(tái)設(shè)備運(yùn)行其自身的工作并接管故障設(shè)備的工作,以保證工作不間斷,該模式稱為active-active模式。這種a/a模式

4、具有高性能以及負(fù)載均衡的優(yōu)點(diǎn)。 如下圖所示,設(shè)備a充當(dāng)ha組0的主設(shè)備和ha組1的備份設(shè)備。設(shè)備b充當(dāng)ha組1的主設(shè)備和ha組0的備份設(shè)備,如其中一臺(tái)設(shè)備出現(xiàn)故障,另一臺(tái)設(shè)備同時(shí)接管兩個(gè)ha組。 ha組接口(vfi)和虛擬mac(vmac) 在ha環(huán)境中,每個(gè)ha組具有接口,流量通過接口進(jìn)行傳輸。每個(gè)ha組的主設(shè)備維護(hù)對(duì)應(yīng)接口的虛擬mac(vmac)地址,流量通過這些具有vmac地址的接口進(jìn)行轉(zhuǎn)發(fā)。ha簇中不同ha組之間不相互轉(zhuǎn)發(fā)數(shù)據(jù)。vmac地址有簇id、ha組id以及物理接口索引確定。 ha選舉 ha簇中,擁有同樣ha組id的具有高優(yōu)先級(jí)的設(shè)備會(huì)被選舉為ha組的主設(shè)備。 ha同步 為保證備

5、份設(shè)備能夠在主設(shè)備失效時(shí)代替主設(shè)備工作,主設(shè)備需要與備用設(shè)備進(jìn)行同步。同步的信息類型有三種:配置信息、文件以及rdo(runtime dynamic object)。 rdo的具有內(nèi)容主要包括: 會(huì)話信息(以下類型會(huì)話信息不會(huì)同步:to self到設(shè)備本身的會(huì)話、tunnel隧道會(huì)話、deny session、icmp會(huì)話以及tentative會(huì)話) ipsec vpn信息 scvpn信息 dns緩存映射條目 arp表 pki信息 dhcp信息 mac表 web認(rèn)證信息 雙機(jī)ha基本概念配置ha 實(shí)例拓?fù)淙缦拢簝膳_(tái)多核防火墻采用完全相同的硬件平臺(tái)和固件版本,組成active/passive冗余

6、模式,并且兩臺(tái)設(shè)備使用同樣的接口連接到網(wǎng)絡(luò)。 使用高可靠性功能,用戶需要按照以下步驟進(jìn)行配置: 第一步,配置ha組。ha組的配置包括指定設(shè)備優(yōu)先級(jí)(選舉使用)以及設(shè)備ha報(bào)文相關(guān)參數(shù)等。 第二步,配置ha組的接口。 第三步,配置ha連接。包括ha連接接口和連接接口ip的配置。用于設(shè)備同步以及傳輸ha報(bào)文。 第四步,配置ha簇。為設(shè)備指定ha簇id,并且開啟設(shè)備的ha功能。第一步第一步:配置安全網(wǎng)關(guān)a的接口及策略。安全網(wǎng)關(guān)安全網(wǎng)關(guān)ahostname(config)# interface ethernet0/0hostname(config-if-eth0/0)# zone untrusthost

7、name(config-if-eth0/0)# ip address 100.1.1.4/29hostname(config-if-eth0/0)# exithostname(config)# interface ethernet0/1hostname(config-if-eth0/1)# zone trusthostname(config-if-eth0/1)# ip address 192.168.1.4/29hostname(config-if-eth0/1)# exithostname(config)# policy from trust to untrusthostname(conf

8、ig-policy)# rule from any to any service any permit rule id 7 is createdhostname(config-policy)# exithostname(config)#第二步第二步:配置安全網(wǎng)關(guān)a的監(jiān)測對(duì)象。監(jiān)控主設(shè)備ethernet0/0的工作狀態(tài),一旦發(fā)現(xiàn)接口工作失敗,則進(jìn)行主備切換。第三步第三步:配置ha組。hostname(config)# track trackobj1hostname(config-trackip)# interface ethernet0/0 weight 255hostname(config-t

9、rackip)# exithostname(config)#安全網(wǎng)關(guān)安全網(wǎng)關(guān)ahostname(config)# ha group 0hostname(config-ha-group)# priority 50hostname(config-ha-group)# monitor track trackobj1hostname(config-ha-group)# exithostname(config)#安全網(wǎng)關(guān)安全網(wǎng)關(guān)bhostname(config)# ha group 0hostname(config-ha-group)# priority 100hostname(config-ha-gr

10、oup)# exithostname(config)#第二步第二步:配置安全網(wǎng)關(guān)a的監(jiān)測對(duì)象。監(jiān)控主設(shè)備ethernet0/0的工作狀態(tài),一旦發(fā)現(xiàn)接口工作失敗,則進(jìn)行主備切換。安全網(wǎng)關(guān)a/b:訪問網(wǎng)頁“對(duì)象監(jiān)控對(duì)象”點(diǎn)擊新建 輸入名稱和警戒值后點(diǎn)擊應(yīng)用然后設(shè)置監(jiān)控類型、選擇監(jiān)控接口及接口權(quán)值第三步第三步:配置ha組安全網(wǎng)關(guān)a安全網(wǎng)關(guān)b第四步第四步:配置ha組第五步第五步:配置ha簇開啟ha功能 安全網(wǎng)關(guān)安全網(wǎng)關(guān)ahostname(config)# ha link interface ethernet0/2hostname(config)# ha link interface ethernet0

11、/3hostname(config)# ha link ip 1.1.1.1/24安全網(wǎng)關(guān)安全網(wǎng)關(guān)bhostname(config)# ha link interface ethernet0/2hostname(config)# ha link interface ethernet0/3hostname(config)# ha link ip 1.1.1.2/24安全網(wǎng)關(guān)安全網(wǎng)關(guān)ahostname(config)# ha cluster 1安全網(wǎng)關(guān)安全網(wǎng)關(guān)bhostname(config)# ha cluster 1選擇ha心跳接口指定ha接口ip選擇集群第六步第六步:主設(shè)備同步完成后,配置主

12、設(shè)備與備份設(shè)備的管理ip。 以上配置完成后,系統(tǒng)會(huì)將安全網(wǎng)關(guān)a選舉為主設(shè)備,進(jìn)行流量轉(zhuǎn)發(fā),。安全網(wǎng)關(guān)b為備份設(shè)備。安全網(wǎng)關(guān)a會(huì)將其配置信息以及狀態(tài)數(shù)據(jù)同步到安全網(wǎng)關(guān)b。安全網(wǎng)關(guān)a出現(xiàn)故障不能正常轉(zhuǎn)發(fā)數(shù)據(jù)流量或安全網(wǎng)關(guān)a的eth0/0接口斷開時(shí),安全網(wǎng)關(guān)b會(huì)在不影響用戶通信的狀態(tài)下切換為主設(shè)備,繼續(xù)轉(zhuǎn)發(fā)流量。安全網(wǎng)關(guān)安全網(wǎng)關(guān)ahostname(config)# ha cluster 1安全網(wǎng)關(guān)安全網(wǎng)關(guān)bhostname(config)# ha cluster 1 實(shí)例拓?fù)淙缦拢簝膳_(tái)多核防火墻組成active/active冗余模式,a設(shè)備為group0主設(shè)備group1備設(shè)備,b設(shè)備為group0

13、備設(shè)備group1主設(shè)備。內(nèi)網(wǎng)pc分別通過配置不同網(wǎng)關(guān)手工分配流量到2個(gè)ha組。a (active )b (active )internetha linkpcpca (active )b (active )網(wǎng)關(guān):192.168.1.1網(wǎng)關(guān):192.168.1.2eth0/0 192.168.1.1/24eth0/0:1 192.168.1.2/24eth0/0 192.168.1.1/24eth0/0:1 192.168.1.2/24eth0/1 200.0.0.1/24eth0/1:1 200.0.0.2/24eth0/1 200.0.0.1/24eth0/1:1 200.0.0.2/24網(wǎng)

14、關(guān) 200.0.0.254/24 使用a/a模式高可用性功能,用戶需要按照以下步驟進(jìn)行配置: 第一步,配置0、1兩個(gè)ha組。ha組的配置包括指定設(shè)備優(yōu)先級(jí)(選舉使用)以及設(shè)備ha報(bào)文相關(guān)參數(shù)等。 第二步,配置ha組的接口。 第三步,配置ha連接。包括ha連接接口和連接接口ip的配置。用于設(shè)備同步以及傳輸ha報(bào)文。 第四步,配置ha簇。為設(shè)備指定ha簇id,并且開啟設(shè)備的ha功能。第一步:配置安全網(wǎng)關(guān)a接口及策略安全網(wǎng)關(guān)adcfw-a(config)# int ethernet0/2dcfw-a(config-if-eth0/2)# zone untrustdcfw-a(config-if-et

15、h0/2)# ip address 200.0.0.1/24dcfw-a(config-if-eth0/2)# exitdcfw-a(config)# interface ethernet0/0dcfw-a(config-if-eth0/0)# zone trustdcfw-a(config-if-eth0/0)# ip address 192.168.1.1/24dcfw-a(config-if-eth0/0)# exitdcfw-a(config)# policy from trust to trust dcfw-a(config-policy)# rule from any to any

16、 service any permit rule id 2 is createddcfw-a(config-policy)# exitdcfw-a(config)# 第二步:配置安全網(wǎng)關(guān)a的監(jiān)控對(duì)象。監(jiān)控主設(shè)備eth0/2的工作狀態(tài),一旦發(fā)現(xiàn)接口工作失敗,則進(jìn)行主備切換。安全網(wǎng)關(guān)a/bdcfw-a/b(config)# track trackobj1dcfw-a/b(config-trackip)# interface ethernet0/0 weight 255dcfw-a/b(config-trackip)# interface ethernet0/2 weight 255dcfw-a/b

17、(config-trackip)# exitdcfw-a/b(config)# dcfw-a/b(config)# track trackobj2dcfw-a/b(config-trackip)# interface ethernet0/0 weight 255dcfw-a/b(config-trackip)# interface ethernet0/2 weight 255dcfw-a/b(config-trackip)# exitdcfw-a/b(config)# 第三步:配置第三步:配置ha組組安全網(wǎng)關(guān)adcfw-a(config)# ha group 0dcfw-a(config-ha

18、-group)# priority 50dcfw-a(config-ha-group)# preempt 5dcfw-a(config-ha-group)# monitor track trackobj1dcfw-a(config-ha-group)# exitdcfw-a(config)# ha group 1dcfw-a(config-ha-group)# priority 100dcfw-a(config-ha-group)# monitor track trackobj2dcfw-a(config-ha-group)# exit安全網(wǎng)關(guān)bdcfw-a(config)# ha group

19、 0dcfw-a(config-ha-group)# priority 100dcfw-a(config-ha-group)# monitor track trackobj1dcfw-a(config-ha-group)# exitdcfw-a(config)# ha group 1dcfw-a(config-ha-group)# priority 50dcfw-a(config-ha-group)# preempt 5dcfw-a(config-ha-group)# monitor track trackobj2dcfw-a(config-ha-group)# exit第四步:配置ha連接接

20、口。安全網(wǎng)關(guān)adcfw-a(config)# ha link interface ethernet0/3dcfw-a(config)# ha link interface ethernet0/4dcfw-a(config)# ha link ip 1.1.1.1/30dcfw-a(config)# 安全網(wǎng)關(guān)bdcfw-b(config)# ha link interface ethernet0/3dcfw-b(config)# ha link interface ethernet0/4dcfw-b(config)# ha link ip 1.1.1.2/30dcfw-b(config)# 第五

21、步:配置vfi接口并添加相應(yīng)路由、nat規(guī)則安全網(wǎng)關(guān)a/bdcfw-a(config)# interface ethernet0/0:1dcfw-a(config-if-eth0/0:1)# zone trustdcfw-a(config-if-eth0/0:1)# ip address 192.168.1.2 255.255.255.0dcfw-a(config-if-eth0/0:1)# exitdcfw-a(config)# int ethernet0/2:1dcfw-a(config-if-eth0/2:1)# zone untrustdcfw-a(config-if-eth0/2:1)# ip address 200.0.0.2 255.255.255.0dcfw-a(config-if-eth0/2:1)# exitdcfw-a(config)# ip vrouter trust-vr dcfw-a(config-vrouter)# snatrule from any to any eif ethernet0/2 trans-to eif-ip mode dynamicport rule id=2dcfw-a(conf

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論