SANGFOR NGAF V6.度渠道高级认证培训04 高可用性.ppt

问题思考 1.链路故障检测ping检测目标IP组内多IP之间是什么匹配关系？目标组之间是什么匹配关系？ 2. 虚拟路由组下网口监视网口组内多网口之间是什么匹配关系？组之间是什么匹配关系？ * * 虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。 虚拟IP和虚拟MAC： 为了保证双机切换时内网PC不需要重新修改网关IP和重新学习网关mac，要求主备机在同一个vrid组中对应的接口拥有同样的IP地址和mac地址，AF实现方法是，同一个vrid组中的对应接口拥有同一个IP地址，设备工作为备机时通过ha_drv模块丢弃所有到本接口和从本接口出去的数据包，这样只有主机工作，不会产生冲突。同一vrid组中的对应的两个接口分别有自己的实MAC，还有一个虚拟MAC，谁工作在主机谁就使用这个虚拟MAC，切换成备机后接口的MAC地址又换回成实MAC，这样内网PC得到网关的IP/MAC不会随着设备切换而发生改变。虚拟MAC的构成：vrrp mac（00-00-5E）+接口序号（00-0x）+vrid（xx），比如：vrid为101，eth1口的虚拟MAC就是：00-00-5E-00-01-65，eth2口的虚拟MAC就是：00-00-5E-00-02-65，65的十进制就是101。 * NGAF交换双机全冗余切换过程： A1线路故障且AF1先探测出来，AF1切换到AF 2，AD 1不切换，数据包走线路C2 = B2 A1线路故障且AD1先探测出来，AD1切换到AD2，AF1不切换，数据包走线路C1 = A2 A1线路故障且AF1与AD1都探测出来，AF1与AD1都同时切换，数据包走C2 = B1 AD1宕机，AF1没有探测出来，AD1切换到AD2，AF1不切换，数据包走线路C1 = A2 AD1宕机，AF1探测出来，AD1切换到AD2，AF1切换到AF2，数据包走线路C2 = B1 * * SANGFOR NGAF 高可用性 培训内容 培训目标 防火墙高可用性 1、掌握路由、网桥模式下高可用性部署的方法和注意事项 目录 1、高可用性配置 2、常见故障 VRRP（Virtual router redundancy protocol, 虚拟路由器冗余协议） 你了解的VRRP一般是这样的 1、两个路由器IP地址不一样，需要虚拟IP ---AF不需要虚拟IP，因为接口IP一样。 2、根据虚拟组ID找同伴，同一虚拟组的设备之间选主备。 ----AF也是这样 3、可能影响主备的条件：1、优先级，优先级高的为主，2、接口IP，IP地址大的为主 ---AF也是一样，但因为接口IP一致，最终是看心跳口IP的大小。 4、可以设置抢占模式，优先级高的设备故障恢复后，如果配置成抢占模式，可以成为主。 ----AF也一样 5、心跳协商通过组播8 ----AF也一样 6、AF需要配置心跳口，心跳口是一个普通网口。 1、高可用性配置 应用场景 1、高可用性配置 应用场景： 客户希望在原有网络中上架NGAF，对内网用户以及服务器进行保护，同时不影响原有网络拓扑，但是部署单台会有单点故障现象，希望多部署两台设备做备份来提高可靠性。 解决方案： 采用网桥模式双机部署，主备模式。 两台设备配置一样，并且配置同步。 同时只有一台主机工作，主机宕掉以后由备机接替工作，对用户透明。 1.1 NGAF双机交换模式 1、高可用性配置 NGAF交换双机配置 配置物理接口为access口并属于vlan1 配置心跳口eth5 配置vlan1接口并做链路双向检测 启用双机，配置本端和对端IP，并配置虚拟路由组 配置备机并同步配置（略） 1.1 NGAF双机交换模式 NGAF交换双机全冗余配置 1.配置物理接口为access口并属于vlan1 1.1 NGAF双机交换模式 2.配置心跳口 在接口区域中选择一个物理口作为双机的心跳口，配置界面如下，使用的IP地址 需要后面跟上-HA 1.1 NGAF双机交换模式 3.配置wan口和vlan1接口与链路检测 1.1 NGAF双机交换模式 4.启用双机，配置本端和对端IP，并配置虚拟路由组 1.1 NGAF双机交换模式 NGAF交换双机切换过程 前置条件： 1. AD1、NGAF1、核