SANGFOR_ACSG_v5.6R1_多机部署测试指导书.pdfVIP

SANGFOR_AC SG_v5.6R1_多机部署测试指导书 【说明】：AC/SG 的多机同步主要应用于内网设备启用VRRP 的环境，既可以起到设备冗余又 可以起到负载均衡的作用,一般网桥模式建议部署多机。 多机环境下所有的设备都是同时工作的，同时实现在VRRP环境下某条线路断掉，无缝 切换到另一条线路，且策略和用户状态保持一致，用户上网不需要重新认证。 一． 准备工作 1．以两台软件版本相同为AC5.6R1M5100作为测试设备，网桥模式部署。软件版本必 须相同，硬件型号不作要求。 2．以0用户作为测试用户，需要通过设备认证。 3．准备一根交叉线（一头按T568A线序连接，一头按T568B线序连接） 二． 测试拓扑 实现拓扑如下： 客户的网络两台三层交换机和防火墙启用vrrp的冗余协议，两侧防火墙，交换机可以 配置热备冗余或负载均衡，互为主备”，鉴于这种环境两台AC单网桥多机部署在防火墙和核 心交换机之间，分配给两台设备的地址分别为40/24，33/24 由于内网接的是核心交换机，所以用空闲网口dmz 口作为两台设备多机的通信网口，用交叉 线连接。 三． 测试需求及预期结果 测试需求： 1. 一台设备的配置修改可以同步至另一台设备。 2. 主链路上的交换机，防火墙和AC设备异常时（网口掉线，设备宕机等），业务流量可以 正常切换至备份链路，不会引起断网。 测试结果： 1.在主链路AC设备上建用户，组，上网策略等配置，手动点【网络配置】- 【高可用性】 - 【多机同步】中的“向其它设备同步配置”，可以将配置同步至备份链路的AC设备。 2.主链路防火墙下联口或交换机上联口down后，防火墙，交换机及客户业务流量同时切换 至备份链路，不会造成断网 四． 配置步骤 1.基本网络配置 （1）在线下分别配置两台设备的部署模式，IP，网关，DNS等信息： 本案例选择单网桥模式，并开启多网桥链路同步。 （2）分别配置两台设备的回包路由： 内网是三层环境时，需要设置到内网网段的回包路由 2.多机配置 两台设备各选择一个空闲的网口，用交叉线直连。这个网口就是多机的通信网口，图例 中选择使用eth1： 两台设备的通信网口IP设置任意设置，但不能和设备已有的IP冲突。组播地址就保留 默认的0，两台设备的组播地址要保持一致。 通信网口功能，区分路由模式和网桥模式。路由模式下只要选择通信网口，不需要设置 通信IP地址，就引用路由模式下本身的网口配置IP地址；网桥模式下因为只有桥IP，而 单独网卡上并没有配置IP，所以需要配置一个单独的IP进行发送组播心跳和同步文件。（注 意的就是这个IP不要和局域网内的IP冲突） 下图为：路由模式多机同步模块截图 注意事项： 多机通信网口可以不单独用空闲网口直连，也可以选择正在使用的网口，只要保证这两 个网口在同一二层环境同一广播域即可。 3.设备接线上架 根据客户的实际情况，将两台设备接线并上架，设备上架后， 主链路设备先加电开机后， 备份链路设备再加电开机。 五． 测试效果验证 1.查看在 【网络配置】-- 【高可用性】- 【多机同 】页面，“在线机器列表”一栏，是否 显示两台设备的通信IP地址，正常是可以看到的。只显示自己则多机部署不正常。 2.上面第1步确认正常后，在主链路设备上建用户，上网策略等。点击 【网络配置】- 【高 可用性】- 【多机同 】“向其它设备同步配置”后。查看备份链路AC 设备上的配置是否 已同步了主机的配置，正常是可以同步的。 3.拨掉主链路交换机上链路口的线 （和AC lan相接的交换机接口），观察ACwan 口是否down （即网口灯不亮），防火墙，交换机及业务流量是否正常切换至备份链路。正常情况，ACwan 口同时也会down，且主链路防火墙，交换机及业务流量是否正常切换至备份链路。 六． 注意事项 1.多机部署的设备要求软件版本必须一样，硬件型号及平台无需求。关于软件版本的说明分 以下两种情况 （1）5.6R1之前版本，要求软件版本包括大版本，R版本和设备自动升级更新SP包全部要 求一致 （2）5.6R1 （含）之后版本，求软件版本包括大版本，R版本必须一致即可，对SP包不再 要求 2.路由、网桥部署支持多机部署，旁路模式不支持多机部署。一般多机部署建议用网桥模式 部署 3.多机部署的设备组播地址必须配置相同，且通信网口必须属于同一组播域。通信IP地址 可以任意配置