高可用性功能_AF

1. 功能概述

高可用性功能,用来解决网络中AF自身的单点故障的问题,两台满足条件的AF组合在一起,实现相互的冗余备份,提高网络的可靠性,实现业务不间断转发

2. 建立条件

  • 网口数量一致

  • cpu核心个数、内存大小、磁盘大小需一致

  • 设备序列号功能开启且保持一致

  • appversion版本信息一致

  • 配置同步要一致,这是双机配置与设备无关

  • vrrp组的配置要一致,这是双机配置与设备无关

3. 名词解释

1)心跳线 - 主线路和辅线路

主线路:主备设备之间心跳保持、配置同步、会话同步,可以将多个物理链路聚合成一个聚合链路(主心跳线路),聚合口只支持主备模式。

辅线路:当主心跳线路故障,接替主心跳线路保持心跳,但是不能同步配置,所以尽快修复主心跳,否则影响业务

2)抢占

不开启抢占:主故障,备变主,原主恢复,变为备,不抢占主的位置

开启抢占:主故障,备变主,原主恢复,抢占主的位置,一般不建议开启抢占,防止主备已切换,链路未切换,导致通信异常,频繁故障导致网络业务频繁中断

3)网口监视

双机切换的条件之一:当物理接口状态故障时,进行主备切换,物理接口出现协议down(ifconfig down)/ 网线脱落(线松了、断了,光口收光太弱) / 协商失败等接口故障,向对端设备发送Priority=0的报文,无延迟切换。

4)链路监视

双击切换的条件之一,检测链路的连通状况,可以发送ARP / DNS / PING报文检测,检测失败,链路故障,主备切换

5)主备机和主备控

主机:主设备为主机(主控),备设备为备机(备控)

主设备允许正常转发数据,备设备不允许转发数据

配置同步:

  • 备控向主控发送配置请求更新(10s发送一次配置文件的MD5给主)
  • 主收到请求后,对比MD5,将差异的配置发送给备

4. 高可用部署类型 – 双机部署模式

1)主备部署

一主一备,主工作,备不工作

2)双主部署

  • 有VRRP双主:加入多个VRRP组,不同的VRRP组不同主,走不同流量 – 不推荐
  • 无VRRP双主:无VRRP组,需要上下联设备引流到不同设备

5. AF双机热备(主备)和VRRP区别

高可用性功能_AF_第1张图片

主备选举:先比优先级,大为主,优先级相同比心跳接口IP地址,大为主

主设备配置:双机配置+网络互通配置

备设备配置:双机配置 – 同步主的配置

心跳接口IP地址和管理口IP地址不能同步:IP-HA(加-HA,不同步)

6. 主备切换的原因及时长

高可用性功能_AF_第2张图片

7. 高可用性配置注意事项

高可用性功能_AF_第3张图片

8. 主备部署配置思路

1)应用场景

主要应用于对网络可靠性高,业务连续性强的网络环境,在出现故障时能快速切换到热备的线路上,保证业务的连续性,常用的是路由模式和网桥模式下主备部署(网桥模式包括透明模式和虚拟网线模式)

高可用性功能_AF_第4张图片

2)配置思路 – 了解

高可用性功能_AF_第5张图片

3)注意事项 – 重点

高可用性功能_AF_第6张图片

9. 主主部署配置思路

1)应用场景

主要应用于对网络可靠性高,业务连续性强的网络环境,两台AF同时在工作,常用于透明部署于VRRP组网环境和链路聚合环境 --透明或虚拟网线

高可用性功能_AF_第7张图片

2)配置思路 – 了解

高可用性功能_AF_第8张图片

3)注意事项 – 重点

高可用性功能_AF_第9张图片

10. 双机聚合配置思路

1)应用场景

主要应用于上下联两个设备启用链路聚合的场景下, AF做透明主主模式或者虚拟网线模式主主部署在中间,由于会出现请求和回应的数据流经过不同的AF (非对称流量) ,导致来回数据包在AF上的连接跟踪不一致而被AF丢包

如果AF的上下联有链路聚合,就需要双机聚合线,无双机聚合线会出现来回路径不一致,导致丢包(出去的数据包从AF1出去时建立会话,从AF2回来时会话未同步,导致丢包) – 重点

2)双机聚合线原理 – 重点

防火墙后台程序计算为0或者1,此时防火墙收到数据包时(源目IP地址计算为0或为1),在为0 – 在为0的防火墙转发,为1 – 给到为1的防火墙转发,此时解决来回路径不一致丢包问题

3)注意事项 – 重点

高可用性功能_AF_第10张图片

11. 双机部署常见故障排除

1)常见故障 – 了解

高可用性功能_AF_第11张图片

高可用性功能_AF_第12张图片

image-20240102150647669

高可用性功能_AF_第13张图片

高可用性功能_AF_第14张图片

高可用性功能_AF_第15张图片

2)注意事项 – 重点

高可用性功能_AF_第16张图片

你可能感兴趣的:(产品安全基础,网络)