双机HA冗余协议.ppt

双机HA冗余协议 讲解人 朱建英2010 07 通过完成此章节课程 您将可以 理解HCMP协议 配置HA集群 章节目标 双机HA基本概念配置HA 议程 双机HA冗余协议 高可靠性 HighAvailablity 简称HA 能够在通信线路或者设备产生故障时提供备用方案 从而保证数据通信的畅通 有效增强网络的可靠性 实现HA功能 用户需要配置两台设备型号软件版本 VRouter 功能许可证以及功能状态配置均相同的安全设备 组成HA簇 高可用靠性 HighAvailability HA簇HA簇是实现HA功能的设备组合 对于外部网络设备而言一个HA簇是一个单一的设备 处理网络流量和提供安全服务 HA簇通过簇ID进行标识 为设备指定HA簇ID后 设备进入HA状态 执行HA功能 HA组系统会对HA簇中共相同HA组ID的设备 按照HCMP协议 根据设备的HA配置 进行主备选举 主设备处于活动状态处理网络流量 而主设备出现故障时 其他设备代替主设备继续工作 当为安全设备设置簇ID时 组ID为0的HA组会自动创建 在Active Passive A P 模式中 设备仅具有HA组0 在Active Active A A 模式中 目前的版本支持用户创建2个HA组 组0和组1 高可用靠性 HighAvailability 神州数码多核防火墙支持HA的两种工作模式 Active Passive A P 模式和Active Active A A 模式 Active Passive A P 模式 在HA簇中配置两台设备组成一个HA组 组内只有一台主设备 主设备处于活动状态 转发报文 同时将所有网络和配置信息以及当前会话信息传递给备份设备 当主设备出现故障时 备份设备接替主设备工作 转发报文 这种A P模式具有较强冗余性 而且其网络结构简单 便于维护管理 HA工作模式 Active Passive Active Active A A 模式 当安全设备处于NAT模式 路由模式或两者的组合时 可以将HA簇中的两台设备都配置成主动 使两台设备同时运行各自的工作 且相互监测对方的情况 当其中一台设备发生故障时 另外一台设备运行其自身的工作并接管故障设备的工作 以保证工作不间断 该模式称为Active Active模式 这种A A模式具有高性能以及负载均衡的优点 如下图所示 设备A充当HA组0的主设备和HA组1的备份设备 设备B充当HA组1的主设备和HA组0的备份设备 如其中一台设备出现故障 另一台设备同时接管两个HA组 HA工作模式 Active Active HA组接口 VFI 和虚拟MAC VMAC 在HA环境中 每个HA组具有接口 流量通过接口进行传输 每个HA组的主设备维护对应接口的虚拟MAC VMAC 地址 流量通过这些具有VMAC地址的接口进行转发 HA簇中不同HA组之间不相互转发数据 VMAC地址有簇ID HA组ID以及物理接口索引确定 HA选举HA簇中 拥有同样HA组ID的具有高优先级的设备会被选举为HA组的主设备 VFI VMAC HA组选举 HA同步为保证备份设备能够在主设备失效时代替主设备工作 主设备需要与备用设备进行同步 同步的信息类型有三种 配置信息 文件以及RDO RuntimeDynamicObject RDO的具有内容主要包括 会话信息 以下类型会话信息不会同步 toself到设备本身的会话 tunnel隧道会话 denysession ICMP会话以及tentative会话 IPSecVPN信息SCVPN信息DNS缓存映射条目ARP表PKI信息DHCP信息MAC表Web认证信息 HA同步 双机HA基本概念配置HA 议程 双机HA冗余协议 配置A P模式HA 实例拓扑如下 两台多核防火墙采用完全相同的硬件平台和固件版本 组成Active Passive冗余模式 并且两台设备使用同样的接口连接到网络 使用高可靠性功能 用户需要按照以下步骤进行配置 第一步 配置HA组 HA组的配置包括指定设备优先级 选举使用 以及设备HA报文相关参数等 第二步 配置HA组的接口 第三步 配置HA连接 包括HA连接接口和连接接口IP的配置 用于设备同步以及传输HA报文 第四步 配置HA簇 为设备指定HA簇ID 并且开启设备的HA功能 A P模式HA配置步骤 第一步 配置安全网关A的接口及策略 A P模式HA 第二步 配置安全网关A的监测对象 监控主设备ethernet0 0的工作状态 一旦发现接口工作失败 则进行主备切换 第三步 配置HA组 配置A P模式HA CLI 第二步 配置安全网关A的监测对象 监控主设备ethernet0 0的工作状态 一旦发现接口工作失败 则进行主备切换 安全网关A B 访问网页 对象 监控对象 点击新建输入名称和警戒值后点击应用然后设置监控类型 选择监控接口及接口权值 配置A P模式HA WebUI 第三步 配置HA组安全网关A安全网关B 配置A P模式HA WebUI 第四步 配置HA组第五步 配置HA簇开启HA功能 配置A P模式HA 第六步 主设备同步完成后 配置主设备与备份设备的管理IP 以上配置完成后 系统会将安全网关A选举为主设备 进行流量转发 安全网关B为备份设备 安全网关A会将其配置信息以及状态数据同步到安全网关B 安全网关A出现故障不能正常转发数据流量或安全网关A的eth0 0接口断开时 安全网关B会在不影响用户通信的状态下切换为主设备 继续转发流量 配置A P模式HA A A模式HA案例 实例拓扑如下 两台多核防火墙组成Active Active冗余模式 A设备为Group0主设备Group1备设备 B设备为Group0备设备Group1主设备 内网PC分别通过配置不同网关手工分配流量到2个HA组 使用A A模式高可用性功能 用户需要按照以下步骤进行配置 第一步 配置0 1两个HA组 HA组的配置包括指定设备优先级 选举使用 以及设备HA报文相关参数等 第二步 配置HA组的接口 第三步 配置HA连接 包括HA连接接口和连接接口IP的配置 用于设备同步以及传输HA报文 第四步 配置HA簇 为设备指定HA簇ID 并且开启设备的HA功能 A A模式HA配置步骤 第一步 配置安全网关A接口及策略安全网关ADCFW A config intethernet0 2DCFW A config if eth0 2 zoneuntrustDCFW A config if eth0 2 ipaddress200 0 0 1 24DCFW A config if eth0 2 exitDCFW A config interfaceethernet0 0DCFW A config if eth0 0 zonetrustDCFW A config if eth0 0 ipaddress192 168 1 1 24DCFW A config if eth0 0 exitDCFW A config policyfromtrusttotrustDCFW A config policy rulefromanytoanyserviceanypermitRuleid2iscreatedDCFW A config policy exitDCFW A config 配置A A模式HA 第二步 配置安全网关A的监控对象 监控主设备eth0 2的工作状态 一旦发现接口工作失败 则进行主备切换 安全网关A BDCFW A B config tracktrackobj1DCFW A B config trackip interfaceethernet0 0weight255DCFW A B config trackip interfaceethernet0 2weight255DCFW A B config trackip exitDCFW A B config DCFW A B config tracktrackobj2DCFW A B config trackip interfaceethernet0 0weight255DCFW A B config trackip interfaceethernet0 2weight255DCFW A B config trackip exitDCFW A B config 配置A A模式HA 第三步 配置HA组安全网关ADCFW A config hagroup0DCFW A config ha group priority50DCFW A config ha group preempt5DCFW A config ha group monitortracktrackobj1DCFW A config ha group exitDCFW A config hagroup1DCFW A config ha group priority100DCFW A config ha group monitortracktrackobj2DCFW A config ha group exit安全网关BDCFW A config hagroup0DCFW A config ha group priority100DCFW A config ha group monitortracktrackobj1DCFW A config ha group exitDCFW A config hagroup1DCFW A config ha group priority50DCFW A config ha group preempt5DCFW A config ha group monitortracktrackobj2DCFW A config ha group exit 配置A A模式HA 第四步 配置HA连接接口 安全网关ADCFW A config halinkinterfaceethernet0 3DCFW A config halinkinterfaceethernet0 4DCFW A config halinkip1 1 1 1 30DCFW A config 安全网关BDCFW B config halinkinterfaceethernet0 3DCFW B config halinkinterfaceethernet0 4DCFW B config halinkip1 1 1 2 30DCFW B config 配置A A模式HA 第五步 配置VFI接口并添加相应路由 NAT规则安全网关A BDCFW A config interfaceethernet0 0 1DCFW A config if eth0 0 1 zonetrustDCFW A config if eth0 0 1 ipaddress192 168 1 2255 255 255 0DCFW A config if eth0 0 1 exitDCFW A config intethernet0 2 1DCFW A config if eth0 2 1 zoneuntrustDCFW A config if eth0 2 1 ipaddress200 0 0 2255 255 255 0DCFW A config if eth0 2 1 exitDCFW A config ipvroutertrust vrDCFW A config vrouter snatrulefromanytoanyeifethernet0 2trans toeif ipmodedynamicportruleID 2DCFW A config vrouter snatrulefromanytoanyeifethernet0 2 1trans toeif ipmodedynamicportgroup1ruleID 3DCFW A config vrouter iproute0 0 0 0 0ethernet0 2200 0 0 254DCFW A config vrouter iproute0 0 0 0 0ethernet0 2 1200 0 0 254DCFW A config vrouter exitDCFW A config 配置A A模式HA 第六步 配置HA簇开启HA功能 安全网关ADCFW A config hacluster1安全网关BDCFW A config hacluster1第七步 双机同步完成后 配置主设备与备份设备的管理IP安全网关ADCFW A config intethernet0 0DCFW A config if eth