物联网接入安全网关SIG

深信服物联网接入安全网关SIG,是专门针对物联网场景研发的IoT终端安全一体化产品,以“精准识别、有效保护”为价值主张,集“IoT资产管理”、“IoT风险发现”、“IoT准入控制”和“IoT安全防护”四大核心能力于一体,为用户提供一站式、自闭环的IoT终端安全管控方案。
点击可切换产品版本
知道了
不再提醒
SIG 6.0.7
{{sendMatomoQuery("物联网接入安全网关SIG","高可用性")}}

高可用性

更新时间:2023-05-22

高可用性包括主备模式和主主模式两个功能。

主备模式:是指相同的两台设备通过指定的以太网口(被称为HA口)通信互联,设备通过通信网口同步配置信息和当前会话等信息,设备分为一台主设备和一台备份设备,主设备处于活动状态处理请求并转发网络流量,同时将配置等信息同步到备份设备,当主机宕机或者发生网络故障时自动切换到备机工作。一般用于用户环境有主备两条线路的情况下,两台设备分别接主备两条线路,当主线路断开时备份线路启用,备份设备也会启用,并保持和主设备完全一致的配置,确保业务不会中断。

主主模式:是指多台设备通过指定的以太网口(被称为HA口)通信互联,设备通过通信网口同步配置和用户在线状态等信息,此时多台设备是同时工作。实现在类似VRRP环境下某条线路断掉无缝切换到另一条线路时,全网行为管理设备可以正常工作,并实现策略和用户状态的一致性。

两者的共同点都是保证网络的稳定性,确保业务不被中断。两者的区别为主主模式是多台设备同时工作,同时在线;主备模式是两台设备互为主备,只有一台设备是工作在线的。主主和主备的使用要视环境而定。

9.2.4.1.主备模式

主备模式是指路由模式部署的两台设备通过心跳检测,实现热备份(保持心跳和配置同步)。正常情况下,只有主设备工作,如果主设备故障,则自动切换到备设备,备设备接替主设备工作。从而保证客户的业务不受影响,网络不中断。

主备模式只有一台主设备处于正常工作状态,另一台备机设备处于监听状态。

步骤1.[系统管理/网络配置/高可用性],选择主备模式。

步骤2.点击<开始配置>,跳转到更改高可用性模式页面,并设置相关的选项。

设备标识:用于设置当前设备标识,方便区分主备两台设备;

选举主机优先级:用于设置两台设备的优先级高低,两个设备同时开启高可用性,优先级为高的设备优先成为主机,优先级为低的设备为备机。目的是防止上架时两台设备同时启动备机先于主机启动,使得备机成为主机,导致上架异常。

步骤3.点击<基本配置>,填写相关参数,参数说明如下:

HA口主备模式下,可以设置两组HA口,主HA口和备HA口,主HA口是必填选项,备HA口为可填选项,HA口的网络配置不会同步。

共享密钥:配置的密钥用于校验主备设备之间的通讯,主备机的密钥需要保持一致,否则无法建立连接。主备状态建立成功后会以明文的方式显示。

监测网口组:配置需要监控的业务网口组,设备未启用的接口不需要监控。网口组内的网口是互为备份状态,只有同一个网口组内所有网口同时故障才会使该网口组进入故障状态,设备主备状态才会切换。

告警选项:告警选项可以配置当发生切换时,是否发送告警邮件。点击<配置告警选项>跳转到告警配置页面,勾选高可用性警告;详细配置参考告警选项章节。

手动更改模式也会触发告警。

点击<检测方式>,配置相关参数,如下图所示。

心跳超时时间:主备心跳超时时间设置,当心跳超时后备机会开始工作。

备机异常时主机避免进入故障状态:包括ARP探测和ICMP探测,当备机设备已经是故障状态是,如果当前设备只出现ARP探测故障或者是ICMP探测故障仍然保持主机状态正常工作。

ARP探测:主要是探测设备的上联或者下联设备的地址,只要有一个探测不通就进入ARP探测故障。ARP探测可以设置探测超时时间,探测故障恢复时间以及探测间隔。

ICMP探测:用于探测在[探测IP]栏中填写的主机IP或者域名的连通性,探测IP/域名可以支持填写多个,只有在所有IP或者域名探测都不通的时候才进入ICMP探测故障。ICMP探测可以设置探测超时时间,故障恢复时间以及探测间隔。

步骤4.点击<切换行为>,配置相关参数,如下图所示。

监控网口掉电:默认不勾选,在设备进入备机状态时,停用监控网口组内所有网口,用于通知上下联设备进行快速联动切换,切换行为一般适用于上下联设备监测网口掉电才会联动切换的场景。

步骤5.点击<高级配置>。勾选伴随升级,不拆主备完成两台设备版本升级。适用于通过web在线升级或BBC下发升级软件版本。

步骤6.点击<提交>,主机完成配置。

步骤7.配置备机。设备角色选择备机后,配置方法同主机,注意:备机的优先级不能和主机一样,备机的HA口填写主机地址。其中检测方式切换行为参考主机配置。

步骤8.主备设备上架

主机和备机上架并固定(通过耳片,托盘或导轨固定)。

按照实际规划拓扑接线。

主机先加电开机,等待主机成功启动后(alarm灯熄灭,控制台可以正常登录则成功启动),备机加电开机。

观察主机和备机的HA灯的状态,正常应该是主机Ha灯常亮,备机HA灯有规律的闪烁。(主要针对软件平台)

步骤9.正常工作后,主机的配置会通过HA口同步到备机,主机和备机建立成功之后,状态如下图。

9.2.4.2.主主模式

主主模式一般应用于内网VRRP环境,内网设备做热备的同时也做负载。架上设备后不会影响用户原有网络的工作及切换。多台设备都处理业务流量,主控将配置同步到所有节点,主控与各节点之间相互同步配置和在线用户。当主控故障,将无法更改设备配置,推荐在网桥模式下使用。

步骤1.[系统管理/网络配置/高可用],选择主主模式。

步骤2.点击<开始配置>跳转到高可用性模式配置页面,选择置主控模式。

设备标识:用于设置当前设备标识,方便区分的各台设备。

设备角色:用于选择主控或节点,如果是主控,只需要配置共享密钥。如果是节点,则需要输入主控IP和主控的密钥。

共享密钥:配置主控和节点连接的密钥,需要和节点保持一致。

告警选项:有设备离线时发送告警邮件,需配置告警邮件。

步骤3.另一台设备的设备角色选择节点模式。

主机地址:填写主控设备的地址。

共享密钥:主控和节点连接的密钥,需要和主控保持一致。

步骤4.配置完成,主主模式建立成功后,主控和节点界面分别显示如下图。

步骤5.主控可以同步配置,点击<开始同步>,此时设备会发送同步信号。进行设备的配置同步和信息同步。会显示所有节点状态,名称为“在线节点”,显示所有在线的节点。

注意事项:

  1. 主备模式下,可以使用DMZ口或其他未配置的网口做心跳口,HA(心跳口)口的网络配置将不会同步。如果使用DMZ口作为心跳口,则DMZ口也不会同步网络配置;
  2. 主主模式在线用户状态时实时同步的,当一台设备上有新的用户通过认证,则会立即同步到其他的设备。注意不需要认证的用户在线状态是不会同步的;
  3. 主主模式下可不配置心跳线,只要节点能够和主控的IP地址通信即可,也可直接使用主控的网桥IP进行通信;
  4. 网桥模式下只支持主主模式,不支持主备模式;路由模式下主主和主备都支持;
  5. 网桥主主部署时,业务是否切换由下联交换机决定。如果网桥是一对bypass口组成,那么设备宕机则会进入bypass状态,此时网络仍然是通的,导致交换机检测不到上行链路down不会进行切换。若要实现主控设备宕机切换业务,建议网桥不接一对bypass口。

各种模式下高可用支持情况:

模块

子模块

路由模式

网桥模式

旁路模式

高可用性

主主模式

Y

Y

Y

主备模式

Y

N

Y

设备掉线、在线,HA灯具体状态显示如下:

主备

主主

模块

主机

备机

主控

节点

掉线

连接状态

亮(绿色)

1HZ

亮(绿色)

1HZ

如果主机/主控掉线,则会常亮(异常状态)。