高可用性功能_AF

1. 功能概述

高可用性功能，用来解决网络中AF自身的单点故障的问题，两台满足条件的AF组合在一起，实现相互的冗余备份，提高网络的可靠性，实现业务不间断转发

2. 建立条件

• 网口数量一致

• cpu核心个数、内存大小、磁盘大小需一致

• 设备序列号功能开启且保持一致

• appversion版本信息一致

• 配置同步要一致，这是双机配置与设备无关

• vrrp组的配置要一致，这是双机配置与设备无关

3. 名词解释

1）心跳线 - 主线路和辅线路

主线路：主备设备之间心跳保持、配置同步、会话同步，可以将多个物理链路聚合成一个聚合链路（主心跳线路），聚合口只支持主备模式。

辅线路：当主心跳线路故障，接替主心跳线路保持心跳，但是不能同步配置，所以尽快修复主心跳，否则影响业务

2）抢占

不开启抢占：主故障，备变主，原主恢复，变为备，不抢占主的位置

开启抢占：主故障，备变主，原主恢复，抢占主的位置，一般不建议开启抢占，防止主备已切换，链路未切换，导致通信异常，频繁故障导致网络业务频繁中断

3）网口监视

双机切换的条件之一：当物理接口状态故障时，进行主备切换，物理接口出现协议down（ifconfig down）/ 网线脱落（线松了、断了，光口收光太弱） / 协商失败等接口故障，向对端设备发送Priority=0的报文，无延迟切换。

4）链路监视

双击切换的条件之一，检测链路的连通状况，可以发送ARP / DNS / PING报文检测，检测失败，链路故障，主备切换

5）主备机和主备控

主机：主设备为主机（主控），备设备为备机（备控）

主设备允许正常转发数据，备设备不允许转发数据

配置同步：

• 备控向主控发送配置请求更新（10s发送一次配置文件的MD5给主）
• 主收到请求后，对比MD5，将差异的配置发送给备

4. 高可用部署类型 – 双机部署模式

1）主备部署

一主一备，主工作，备不工作

2）双主部署

• 有VRRP双主：加入多个VRRP组，不同的VRRP组不同主，走不同流量 – 不推荐
• 无VRRP双主：无VRRP组，需要上下联设备引流到不同设备

5. AF双机热备（主备）和VRRP区别

主备选举：先比优先级，大为主，优先级相同比心跳接口IP地址，大为主

主设备配置：双机配置+网络互通配置

备设备配置：双机配置 – 同步主的配置

心跳接口IP地址和管理口IP地址不能同步：IP-HA（加-HA，不同步）

6. 主备切换的原因及时长

7. 高可用性配置注意事项

8. 主备部署配置思路

1）应用场景

主要应用于对网络可靠性高，业务连续性强的网络环境，在出现故障时能快速切换到热备的线路上，保证业务的连续性，常用的是路由模式和网桥模式下主备部署（网桥模式包括透明模式和虚拟网线模式）

2）配置思路 – 了解

3）注意事项 – 重点

9. 主主部署配置思路

1）应用场景

主要应用于对网络可靠性高，业务连续性强的网络环境，两台AF同时在工作，常用于透明部署于VRRP组网环境和链路聚合环境 --透明或虚拟网线

2）配置思路 – 了解

3）注意事项 – 重点

10. 双机聚合配置思路

1）应用场景

主要应用于上下联两个设备启用链路聚合的场景下， AF做透明主主模式或者虚拟网线模式主主部署在中间，由于会出现请求和回应的数据流经过不同的AF （非对称流量） ，导致来回数据包在AF上的连接跟踪不一致而被AF丢包

如果AF的上下联有链路聚合，就需要双机聚合线，无双机聚合线会出现来回路径不一致，导致丢包（出去的数据包从AF1出去时建立会话，从AF2回来时会话未同步，导致丢包） – 重点

2）双机聚合线原理 – 重点

防火墙后台程序计算为0或者1，此时防火墙收到数据包时（源目IP地址计算为0或为1），在为0 – 在为0的防火墙转发，为1 – 给到为1的防火墙转发，此时解决来回路径不一致丢包问题

3）注意事项 – 重点

11. 双机部署常见故障排除

1）常见故障 – 了解

2）注意事项 – 重点