一、组网需求
为保证企业内部网络服务的连续性和安全强度,防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,需要一条备用的线路来做备份;其中部门1使用UAC1做主设备,当UAC1出问题时切换至UAC2;部门2使用UAC2做主设备
非抢占模式:如下图拓扑所示,当红色的那条主线断掉后,蓝色的备用线路就能启用,所有的流量都切换到蓝色的线路上;当红色的那条线路恢复正常后,蓝色线路依然作为当前可用的链路,不再做切换,保证网络的稳定。
抢占模式下:如下图拓扑所示,当红色的那条主线断掉后,蓝色的备用线路就能启用,所有的流量都切换到蓝色的线路上;当红色的那条线路恢复正常后,所有的流量又会重新切换到这条线路上。
二、组网拓扑
以下拓扑中,两台上网行为以路由模式接在网络中,上网行为1和上网行为2 LAN1、LAN2、WAN1、WAN2口都是路由口。PC1用户的网段是192.168.100.0/24 ;PC2用户的网段是192.16.101.0/24
上网行为1的WAN1、上网行为2的WAN1和出口设备网段:192.168.1.0。
上网行为1的WAN2、上网行为2的WAN2和出口设备网段:192.168.2.0。
上网行为1的LAN1、上网行为2的LAN1、内网PC 网关为LAN2地址192.168.100.1。
上网行为1的LAN2、上网行为2的LAN2、内网PC 网关为LAN2地址192.168.101.1。
为简化配置,内网三层交换机改成二层交换机。
两台上网行为之间用LAN3口作为HA数据同步线(可任意指定其他业务接口,HA接口地址与其他任何接口在不同的网段);建议用数据同步口作为网管口。
此案例中S2150交换机是空配置;
如下图:
注意:
正常情况下,主备都设置链路健康检测的情况下,备机链路健康检测显示为断开,HA显示为备机。主机链路健康检测显示为正常,HA显示为主机。
当主机线路侦测连续丢包3个,链路为断开状态表现为:状态从主切成故障,故障转成备;两个状态变化的时间不超过1秒。
四、配置要点
配置HA主备的前提工作:
1、做主备HA的两台RG-UAC 6000设备需要型号相同、软件版本相同。
2、两台设备的HA接口必须采用相同的物理接口(例如都采用LAN1、LAN2口)。
3、建议先导出配置文件,以防HA配置失败导致旧配置丢失而恢复不了网络。
启用HA时的注意事项:
1、开启HA功能时RG-UAC 6000会清除所有已存在的流连接,如果设备有人在上网的情况下开启HA功能会造成所有业务暂时中断。
HA主备切换的条件:检测业务接口shutdown、网线断开、监控地址探测失败、设备重启的情况下会切换。
HA配置后不生效后的排查点:
1、RG-UAC 6000设备只能自动同步通过Web配置的命令,所以如果从命令行(CONSOLE或TELNET或SSH)配置了主设备,就需再次从主设备同步配置到备设备来使配置相同。
2、两台设备型号或版本不同,不同型号的设备接口数目可能不一样,这样配置永远不相同。
3、未开启自动同步功能,导致主备RG-UAC 6000设备配置不同。
五、配置步骤简介
配置HA之前,先确保当前的网络已经是可以正常使用,能够在内网正常的管理RG-UAC 6000。
1、配置S2150(空配置即可)
2、出口设备视为已经正常配置。
3、配置RGUAC1基本上网配置
a、配置内网接口和外网接口
b、配置NAT地址转换
c、配置默认路由和静态路由
配置默认路由的作用有两个:1、转发去往互联网的网络数据 2、当开启HA配置的“监控地址”探测功能的时候,如果探测的目标地址是互联网上的某个公网地址(如运营商DNS)。
d、配置HA配置同步端口地址。
4、配置RGUAC2基本上网功能
a、配置HA配置同步端口地址
5、配置RGUAC1 HA设置
a、配置双机热备
b、启用HA配置
6、配置RGUAC2 HA设置
a、配置双机热备
b、启用HA配置
以下是非抢占模式和抢占模式的操作步骤的区别:
非抢占模式:在HA配置>双机热备菜单,不启用“强制抢占”
抢占模式:在HA配置>双机热备菜单,启用“强制抢占”
本案例使用抢占模式。
六、配置详细步骤
配置HA之前,先确保当前的网络已经是可以正常使用,能够在内网正常的管理RG-UAC 6000。
1、配置S2150(空配置即可)
2、出口设备视为已经正常配置
3、配置RGUAC1基本上网配置
a、配置内网接口和外网接口
在uac1(其中的一台设备)配置相应的接口地址(另一台设备只需要配置配置同步口地址)
b、配置NAT地址转换
进入菜单网络配置>地址转换>内网代理,流量方向为LAN1->WAN1,LAN2-WAN2,其他参数默认。
c、配置默认路由和静态路由
配置默认路由的作用有两个:1、转发去往互联网的网络数据 2、当开启HA配置的“监控地址”探测功能的时候,如果探测的目标地址是互联网上的某个公网地址(如运营商DNS)。
进入菜单网络配置>路由设置>静态路由,新增静态路由,0.0.0.0/0的缺省路由走WAN1,另外再配置两条目的网段为0.0.0.0/1,128.0.0.0/1的路由走WAN2,如下图:
4、系统配置>HA配置-基本信息页面
配置HA的基本信息。配置本端设备的配置同步端口和对端设备的配置同步端口地址。如下图所示:
5、配置RGUAC2
a、只需要配置配置同步口地址,如图:
b、HA配置-基本信息页面
参数说明:
配置同步端口:设置用于本机的配置同步端口,且只支持路由模式。(用于同步数据)
本机地址:显示配置同步端口的IP地址,一旦选定配置同步端口,本机地址将自动显示。
对端地址:配置对端配置同步端口IP。
测试:用于测试本段配置同步段开口和对端配置同步端口的连通性。
注:本机与对机的配置同步端口建议设置成同一网段或者路由可达。
6、配置同步
系统配置>HA配置>配置同步页面
现在有两种同步的方式:
(1)在UAC1中点击保存按键,信息会自动同步到UAC2中
(2)在HA配置中配置同步菜单中单击立即同步,信息也会自动同步到UAC2中
同步过去后,两边的接口地址除了同步口是一样的,页面上的接口地址显示是相同的。(当设备开启主备模式后,备机的地址会自动隐藏,等备机切换到主机后接口地址会出现)
7、配置RGUAC1的HA设置
a、启用HA配置
进入菜单系统配置>HA配置>启用双机热备
参数说明:
虚拟组:HA组的名称。
状态:设置启用或禁用本条HA的状态。
优先级:优先级默认为100。用于设置网口列表中选中接口的优先级。值越高,优先级越高。那么可以设置 A 设备优先级为 90 抢占,B 设备设置为优先级 80(不抢占)。90 优先级的设备故障,那么 80 优先级的设备工作,90 优先级的设备恢复,那么 90 优先级的设备会抢占成为主机,80优先级的设备成为备机。
抢占:设置是否抢占成为主机。需要与优先级配合使用。
心跳时间:两台设备交互数据的时间,在这个设定的间隔时间发包通信。告知对方本端的网口状态以及链路监控状态。如果其中一台异常,则进行切换。如果两台设备都收不到心跳包,则会将自己置为主机。两台设备同时工作,则此时链路将会不通。心跳时间默认为1秒。
监视网口:设置需要监控的网口,一般设置为上下游链路的业务口。其中一个网口断开,就会进行双机切换。
接口链路监控:设置需要进行链路监控的接口。该设置依赖于【网络配置>策略路由>链路健康检查】中设定的链路健康检测,在此处选择相应的接口,则会进行探测链路是否有问题,如果不选择链路监控,则双机工作的时候只检测【网口监视】中的网口是否 DOWN 掉,物理网口 DOWN 掉才进行切换。
本例中
UAC1作为PC1段的主设备,PC2段的备份设备
所以需要建立两个虚拟组:
虚拟组100:监控LAN1/WAN1,优先级需要比UAC2高,设置为101
虚拟组2:监控LAN2/WAN2,优先级比UAC2低,设置为100
如下图:
8、配置RGUAC2的HA设置
UAC2作为PC1段的备份设备,PC2段的主设备
也是建立两个虚拟组(虚拟组名称需要与UAC1一致):
虚拟组100:监控LAN1/WAN1,优先级需要比UAC1高,设置为100
虚拟组2:监控LAN2/WAN2,优先级比UAC2高,设置为101
9、开启双机热备功能
在两台设备上分别点击启用双机热备,如图:
七、配置验证
1、两台设备开启了双机设备后,接好线路,UAC1状态如下图
当链路为备份链路的时候,会隐藏备份链路接口的地址,如图:
2、UAC2状态如下:
当链路为备份链路的时候,会隐藏备份链路接口的地址,如图:
3、切换测试
如果拔掉UAC1的lan1或WAN1,则流量会切换至UAC2,UAC2设备为PC1端的主设备,如图:
UAC1:
UAC2:
PC1切换后,正常访问网络
