深信服防火墙高级认证培训04-高可用性.ppt

《深信服防火墙高级认证培训04-高可用性.ppt》由会员分享，可在线阅读，更多相关《深信服防火墙高级认证培训04-高可用性.ppt（36页珍藏版）》请在三一办公上搜索。

1、,Jan,2017,SANGFOR NGAF高可用性,12,高可用性配置,常见故障,Contents,VRRP（Virtual router redundancy protocol,虚拟路由器冗余协议）,你了解的VRRP一般是这样的,1、两个路由器IP地址不一样，需要虚拟IP-NGAF不需要虚拟IP，因为接口IP一样。2、根据虚拟组ID找同伴，同一虚拟组的设备之间选主备。-NGAF也是这样3、可能影响主备的条件：1、优先级，优先级高的为主，2、接口IP，IP地址大的为主-NGAF也是一样，但因为接口IP一致，最终是看心跳口IP的大小。4、可以设置抢占模式，优先级高的设备故障恢复后，如果配置成抢

2、占模式，可以成为主。-NGAF也一样5、心跳协商通过组播-NGAF也一样6、AF需要配置心跳口，心跳口是一个普通网口。,1、高可用性配置,应用场景,1、高可用性配置,应用场景：客户希望在原有网络中上架NGAF，对内网用户以及服务器进行保护，同时不影响原有网络拓扑，但是部署单台会有单点故障现象，希望多部署一台设备做备份来提高可靠性。,解决方案：采用网桥模式双机部署，主备模式。两台设备配置一样，并且配置同步。同时只有一台主机工作，主机宕掉以后由备机接替工作，对用户透明。,1.1 NGAF双机交换模式,1、高可用性配置,NGAF交换双机配置配置物理接口为access口并属于vlan1配置心跳口eth

3、5配置vlan1接口并做链路双向检测启用双机，配置本端和对端IP，并配置虚拟路由组配置备机并同步配置（略）,1.1 NGAF双机交换模式,NGAF交换双机全冗余配置1.配置物理接口为access口并属于vlan1,1.1 NGAF双机交换模式,2.配置心跳口,在接口区域中选择一个物理口作为双机的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA,1.1 NGAF双机交换模式,3.配置wan口和vlan1接口与链路检测,1.1 NGAF双机交换模式,4.启用双机，配置本端和对端IP，并配置虚拟路由组,1.1 NGAF双机交换模式,5.启用配置同步,1.1 NGAF双机交换模式,NGAF交换双

4、机切换过程前置条件：1.AD1、NGAF1、核心交换1为活动状态，其他为非活动状态；2.数据包走C1 A1；3.AF1、AF2开启双向链路ping检测功能；4.AD1、AD2开启双机ping检测功能；5.核心交换以SVI接口组建vrrp，使用track功能ping上行IP作为切换条件,1.1 NGAF双机交换模式,1.1 NGAF双机交换模式,切换过程：1、A1线路故障且AF1先探测出来,2、出口1宕机，AF1没有探测出来,网桥部署-向上ping不通,NGAF交换双机切换过程切换场景2，AF向下ping不通：与向上ping不通场景相同优点：任意1个设备宕机拔线不会影响业务任意3个不同角色的设备

5、宕机拔线不会影响业务,1.1 NGAF双机交换模式,1.2 NGAF双机路由模式,NGAF路由双机配置配置内网物理接口为access口属于vlan1配置心跳口eth5配置wan口和vlan1接口与链路检测启用双机，配置本端和对端IP，配置虚拟路由组配置备机并同步配置（略）,1.2 NGAF双机路由模式,NGAF路由双机配置1.配置内网物理接口为access口属于vlan1,1.2 NGAF双机路由模式,2.配置心跳口,在接口区域中选择一个物理口作为双机的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA,1.2 NGAF双机路由模式,3.配置vlan1和vlan2接口与链路检测,1.2 N

6、GAF双机路由模式,Vth.1口接内网，因此链路检测配置为内网IP,Eth1口接公网，因此链路检测配置为公网IP,4.启用双机，配置本端和对端IP，并配置虚拟路由组,1.2 NGAF双机路由模式,5.启用配置同步,1.2 NGAF双机路由模式,NGAF双机路由模式切换过程前置条件：1.NGAF1、核心交换1为活动状态，其他为非活动状态；2.数据包走交换机1 AF1；3.AF1、AF2开启双向链路ping检测功能；4.核心交换以SVI接口组建vrrp，使用track功能ping上行IP作为切换条件,1.2 NGAF双机路由模式,NGAF双机路由模式切换过程切换场景1，AF向上ping不通：同交换

7、场景切换场景2，AF向上ping不通：同交换场景,1.2 NGAF双机路由模式,NGAF双机路由模式注意事项：核心交换以SVI接口做VRRP，并使用track的ping检测作为切换条件AF开启双向ping检测抢占与链路检测不能同时开启不要使用bypass接口做双机，避免广播风暴双机支持聚合口,1.2 NGAF双机路由模式,12,高可用性配置,常见故障,Contents,2、常见故障,1、AF双机部署，管理口登陆web控制台出现闪退，ping管理口IP丢包,【问题现象】：AF双机部署并配置同步，两台AF管理口eth0接内网交换机且不属于虚拟路由组，从管理口IP登陆控制台出现闪退，ping管理口I

8、P丢包，无法正常管理两台AF【问题原因】：AF双机部署，只要启用配置同步，则所有非HA的接口IP都会同步，因此若管理口仅仅配置了不同IP，则会被配置同步为相同的IP，在内网交换机上出现IP冲突，导致控制台闪退，ping丢包等现象，如客户选定eth0为管理口，主机管理IP为，备机管理IP为，配置同步后会出现主备两台AF的eth0 IP都为，出现IP冲突。【解决办法】：为管理口IP标注HA属性即可，无需修改其他配置。,2、AF设备双机配置完成后，发现内网交换机上报我们设备接口IP冲突,【问题现象】：双机配置完成后，发现内网相连的交换机上一直报AF接口IP冲突【解决办法】需要确认下AF两台双机虚拟路

9、由组里面是否把需要监控的网口列表都写完全了，正常检测的网口加进去了，备机该网口是不收发包，如果没写完全，则会出现两台设备网口双活情况，导致IP冲突这种情况也会导致登录设备出现闪退的情况，配置监控口的时候需要注意一下。,2、常见故障,3、网口不够，能否用管理口作为心跳口,【解决办法】管理口可以作为心跳口，但是不能作为双机内外网通信网口,2、常见故障,4、双机配置不同步,1、检查主机能否ping通备机HA-IP2、手动点击同步配置，检查webui中日志来源为“配置同步”的调试日志中是否有发送配置同步文件。,2、常见故障,5、双机配置HA地址使用了地址，导致双机主备检测失败,【问题现象】：配置双机H

10、A口的时候，用了地址，发现双机主备检测失败。设备默认已经占有了该地址，禁止在设备网口或者逻辑口上配置地址，否则会出现问题,2、常见故障,6、双机状态出现双主现象,【问题现象】：检查双机接口通信是否正常，如果双机心跳无法通信则会出现双主现象造成监听口IP地址冲突,2、常见故障,【解决办法】网线有问题换网线，如果换网线还不行，可以尝试换接口测试一下。如果是担心心跳接口只有一个情况下出现双机问题，新版本还支持聚合接口做心跳口，聚合接口可以做冗余。,7、双机建立不成功,【问题现象】：双机无法建立，双机建立的条件是主备机网口数量一致 主备机序列号保持一致 主备机使用升级客户端登录后，按F10看到的版本信息必须一致（此文件内容为AF设备的版本信息需要登录后台，如果出现此问题可联系400协助确认）排查是否是上述问题导致,2、常见故障,在7.1版本【高可用性】-【双机热备】-【监视口】已经支持聚合口了,问题思考,1.链路故障检测ping检测目标IP组内多IP之间是什么匹配关系？目标组之间是什么匹配关系？2.虚拟路由组下网口监视网口组内多网口之间是什么匹配关系？组之间是什么匹配关系？,深信服社区资料库,社区资料库旨在为用户提供最新、最全的产品资料,访问方式：,资料分类：,深圳市南山区学苑大道1001号南山智园A1栋,