高可用性是为了避免单点故障的隐患,采用双机模式是保证业务连续性的一种有效解决方案,能够在很大程度上避免了网络业务的中断,主要是在对网络可靠性较高,业务连续性强的场景中使用。
点击<配置>,界面如下。
双机热备:勾选启用后可以进行双机热备的配置。
运行模式:设置双机的模式,可以选择主备备份和主主负载两种模式。
控制链路:原心跳口,负责传递双机心跳报文,其中包含本端双机配置、本端双机状态等信息。两端使用相同接口配置控制链路后,通过控制链路进行协商主备机,并将主机的配置同步到备机,最终建立双机,支持使用聚合口作为控制链路,主备接口需保持一致。
数据链路:原数据同步口,负责同步会话等数据,为选填选项。如果不配置数据链路或者数据链路故障时,控制链路会代替数据链路工作。控制链路故障时,数据链路会承担心跳报文传输。
高级设置:点击<设置>可以进行高级参数的自定义,如下图所示。
优先级:用于设置网口列表中选中接口的优先级。值越高,优先级越高。一定要开启抢占,则优先级的设置才有意义。如果两台设备是双机热备工作方式(即一台工作,另外一台完全作为备机,不工作),那么可以设置A设备优先级为90抢占,B设备设置为优先级80(抢占或不抢占都行)。90优先级的设备故障,那么80优先级的设备工作,90优先级的设备恢复,那么90优先级的设备会抢占成为主机,80优先级的设备成为备机。
主动抢占:设置是否开启抢占成为主机。需要与优先级配合使用。
抢占切换延时:设置抢占切换的延时,默认300秒。
虚拟IP:设置各个业务接口作为通信的虚拟IP地址,虚IP会从主机同步到备机,只在主机下发,备机不下发。当主备发生切换时,新主机会下发虚IP,新备机会取消下发虚IP,点击<新增>即可进行配置,如下图所示。
监视对象管理:设置接口监视和关联链路检测对象。点击<管理>进行设置,如下图所示。
接口监视:可进行接口监视的配置,设置需要监控的接口,可设置多个接口组,每个接口组中可设置多个网口,每个接口组可设置所有接口故障时或者任一接口故障时,则判定该组接口故障,进行双机切换,点击<新增>后进行设置,如下图所示。
关联链路检测对象:该设置依赖于[对象/链路对象]的接口检测方式,即接口的链路故障检测功能。此处选择相应的接口,则会进行探测,检测接口的好坏以及链路是否有问题,如果不关联链路检测对象,则双机工作的时候只检测[接口监视]中的网口是否DOWN掉,物理网口DOWN掉才进行切换。可以设置多个监控组,每个监控组里面可以添加多个链路检测对象,每种链路检测对象可以选择不同的故障判定方式,可设置所有链路检测对象故障时或者任一链路检测对象故障时,则判定该对象组故障,进行双机切换,点击<新增>后进行设置,如下图所示。
监视对象:关联[展开监视对象配置]里设置的监视组,根据对应的条件进行双机的切换。
配置同步
配置同步用于双机进行配置的同步,有主备控状态,主要是控制设备配置同步的方法。如下图所示。
同步对象:用于选择两台设备的同步对象。包括会话表。设备每10秒检测一次配置是否改变。
配置同步角色:用于设置配置同步角色包括主控和备控。
主备模式:主机永远是主控,备机永远是备控。主备控不可手动切换。
主备镜像模式:主机永远是主控,备机永远是备控。主备控不可手动切换。
路由主主模式:组0为主机的设备是主控,组0为备机的设备是备控。主备控不可手动切换。
透明主主模式:可以手动随意切换主备控。
:
1. 主控角色配置会同步给备控角色,备控角色无法修改配置。
2. 主备和双主模式下主、备控角色和组0状态一致、双主透明模式下主、备控角色需要手动配置。
3. 只有主主负载透明模式下可以手动切换主、备控。
HA Traffic
该功能用于在上下游设备为路由设备,AF做路由双主或者透明双主情况下存在来回流量不一致的场景,需要开启,不存在此场景时无需开启,开启该功能后AF将业务口收到的所有数据包以hash分配方式决定是否通过同步口发送到对端设备进行数据包处理,保证同一条流的所有数据包都能在同一台设备进行安全检测,解决数据非对称转发中出现的网络不通和安全检测失效问题,对端设备安全检测完成后,再将数据包通过同步口发回来,由本端再做数据转发,避免了下游设备路由口因数据包目的MAC地址非本机而丢包,从而导致网络不通。配置如下图所示。
具体工作流程如下:
双机聚合
主要用于AF透明模式主主部署模式下,AF上、下联的设备做了链路聚合并且都为路由口,数据包存在来回路径不一致的场景。如发送的数据经过A防火墙,回来的数据经过B防火墙,导致来回数据包在AF上的连接跟踪不一致而被AF丢包,而双机聚合功能则可以使来回路径不一致数据包经过AF时能够正常转发,开启后,每台AF都会在后台程序自动生成一个是0或者是1的编号,这个编号界面上看不到,所有经过AF双机聚合配置中内外网区域接口的流量都会是经过算法(即根据源/目的IP地址)计算,看计算结果的值是0还是1,从而将对应数据包转发到对应编号的AF上进行转发(比如根据算法算出来的值是0,则从编号为0的AF转发数据)。配置如下图所示。
启用:勾选启用双机聚合功能,启用双机聚合条件是:双机热备处于启用状态;双机运行模式是双主透明模式;配置了数据同步口;至少存在两个可选的二层口。
内网区域设置:选择本端和对端下联内网区域的接口。
外网区域设置:选择本端和对端上联外网区域的接口。
具体工作流程如下:
:
1. 主备设备的监控网口必须要设置成一致。
2. 虚拟组设置的优先级一样,那么无论开启抢占与否,都不会进行抢占。
3. 配置同步分为两种:批量同步和增量同步。只有主控设备会向对端发送配置同步请求,要求将对方的配置同步到本端,此时会进行批量同步。当主控设备批量同步完成后,设备每隔10秒检查一次配置是否改变,如改变,则同步主控修改的配置到备控设备,此时会进行增量同步。备控设备无权修改配置,如需自行修改先修改同步角色,否则提交无权修改。
4. 如果设备A的规则库序号没有过期,设备B规则库序号过期了。那么设备A升级规则库后,设备A的规则库同步给对端会失败,但是不影响其他配置的同步。
5. 双机热备的两台设备硬件型号必须一致。不同型号的设备网口数不同,作为双机的设备进行配置同步时,也会同步网口的配置,会导致主备设备工作不正常。
建议使用Chrome浏览器访问!
