本帖最后由 yzy 于 2019-12-11 21:33 编辑
一、环境情况:客户购买了2台AD和2台AF,AD放在出口做负载,AF放在核心和AD之间,由于是使用在数据中心,要求网络的高可用,能实现AD和AF同时宕机一台不影响业务使用
客户画的拓扑图分析
客户解说拓扑图情况 从拓扑图中可以看到,客户现场3条运营商线路,通过一台交换机进行分线到两个AD,为了节约接口和少布线,使用子接口方式实现一根线路跑多个运营商的流量,在交换机通过配置VLAN进行隔离广播,AD是主备模式部署,AF也是主备模式部署,核心交换机是做了虚拟化(我们可以把两台核心看成一台) AD在互联网出口,路由模式做主备了,AF也是主备模式,AF主备只支持路由模式,那么这样AF只能使用路由模式,AF和核心之间是使用了交叉设备接线的方式(两根线路做端口聚合),这样能提高冗余的效果,还能实现负载均衡。
客户疑问1:主备模式和主主模式区别 我:AF主备模式是只有一台设备在工作,一台设备在监听,主设备宕机后备设备接管业务,主主模式是两台设备同时在工作 客户疑问2:AF是否可以使用主主模式 我:这个拓扑情况不能使用主主模式,主主模式是两台设备同时工作,这样会导致内网数据包到核心交换机后会进行分流到两个AF中,如果分流到AF1那么还能往AD转发数据包,分流到AF2那么就无法往AD转发数据包,因为AF2接的AD是备机,备机是在监听模式无法转发数据包,所以这个拓扑图只能是AD主备AF主备 客户疑问3:这个拓扑图是否能满足最高的高可用,假设AD和AF同时宕机是否会影响业务 我:如果AD1和AF2(或者AD2和AF1)同时发生故障,那么会导致断网,AD1故障后,AD的备机进行接管业务,在这个时候AF1检测到AD1设备故障了,通知AF2进行接管业务,这样就是AD备和AF2进行跑业务,如果这个时候AF2故障了,那么业务就断了,AF1的上联AD已经是故障了,所以AF1在工作也无法把数据包转发出去 客户疑问4:是否有解决办法能解决上面疑问3的问题 我:有,改一下拓扑部署和接线,然后我就开始拿起拓扑进行更改
这个就是我画的拓扑,客户看了一下让我给他解说一下 ①AD主备模式部署在出口,因为在互联网出口只能使用路由模式。 ②AF主主模式部署,使用虚拟网线配置,不能使用透明模式,使用透明模式会环路
③故障切换说明,AD物理故障都会进行切换,AF是主主不管那台宕机都不影响业务
二、配置步骤 AD端配置 1、网络配置 ①登录设备,配置好VLAN接口,选择桥接的物理接口,然后配置对应的VLAN ID,VLAN ID需要和交换机配置的一样
②配置内网口端口聚合,选择对象的接口,策略和算法保持默认即可
③配置接口IP,填写对应的接口IP、DNS、接口带宽还有配置链路检测 LAN口也需要配置链路检测,检测ping 核心的IP地址
④添加内网的回包路由,我这里的的都是172.20开头的网段,直接写了一条172.20.0.0/16位掩码的路由,下一跳写核心交换机的IP地址
⑤配置NAT,源地址是内网所在的网段,可以选择所有,目的地址是公网端的,选择所有IP,线路选择所有线路,转换元IP使用接口IP即可,如果不选择所有线路会导致无法使用其他线路上公网
⑥配置智能路由,由于客户要求访问同运营商走同运营商线路,所以要配置多条策略,源是所有IP,目的是ISP地址集中的运营商网络,出接口选择对应运营商的接口
2、主AD高可用性配置 ①部署模式选择主备模式部署
②启用主备模式,设置设备名称,运行角色选择主机,配置好心跳口和心跳IP,设置故障切换条件,我这里设置的是LAN口故障、3个运营商有其中两个故障切换
③点击展开更多配置,勾选上会话同步,启用全状态同步,启用MAC同步,开启抢占模式,优先AD1为主设备
3、备AD高可用性配置 只需要配置好高可用性主机会把配置同步到备机的,所以网络等配置不需要配置等主机同步过来即可
①部署模式选择主备模式
②启用主备模式,设置设备名称,运行角色选择备机,然后配置好心跳接口和心跳IP提交即可
高可用性配置好后在管理界面会显示状态的,还有当前设备是主机还是备机 到高可用性->主备信息中还能看到主机和备机是否健康,还有同步时间等等
AD配置总结: WAN和LAN口一定要配置链路检测,如果不配置运营商端异常网关不通不会进行切换的 AD主备只需要在主机上做配置即可,备机配置高可用性直接同步配置即可 如果要备机down网口就不能使用抢占模式,备机down的作用是备机状态下,选中的网口会被down,选择的网口一般选业务口,不要选心跳口,不然会导致同步异常和双机检测异常
AF端配置 1、AF1网络配置 ①在网络-接口/区域,配置外带管理口,管理口IP需要在后面加-HA,配置心跳口,我使用的是主备两个心跳口,需要在心跳口IP后面加-HA(加了-HA后这个IP不会被配置同步,如果不加HA两个设备的IP就会冲突了),业务接口配置成对应的虚拟网线接口,每个接口都要配置好对应的区域 心跳口必须要开启ping,心跳口是通过ping来检测的 注意事项:为什么要用虚拟网线而不用透明模式呢,因为透明模式使用的接口是二层接口,二层接口收到包会往其它的二层接口发,这样会导致环路,所以选择了虚拟网线,虚拟网线是数据包直接从对应的虚拟网线口进出,这样就不会导致环路
②接口联动配置,启用接口LINK状态联动,接口选择一对虚拟网线口(ETH4和ETH6是一对网线口) 主要是用于一端接口down后另一端接口也会跟着逻辑down,比如ETH4down后,逻辑上ETH6也会down
③配置默认路由,由于是外带管理口,直接写一条默认路由交给核心交换机的IP即可
2、AF1高可用配置 ①在系统设置-高可用性中配置好主线路和辅助线路的IP地址,可以通过点测试查看心跳线是否正常,注意填写正确的对端地址
②在配置同步中勾选启用同步,选择同步对象,配置同步角色选择主控
③在双机聚合中选择启用,同步口可以选择使用心跳口,内网区域和外网区域选择对应的内外网接口,两端的设备接线接口和接口属性需要保持一致 说明:这个是809版本后才有的功能,主要是解决主主模式回包路径不一样,之前的版本主主模式如果会话同步不及时可能会导致丢包,所以809这个版本彻底解决了回包路径不一样的问题。
3、AF2网络配置 这个和前面AF1配置的差不多,配置好管理IP和心跳口IP,需要在IP后面加上-HA,然后勾选允许ping 只需要配置好外带管理口和心跳口即可,虚拟网线接口可以等下做配置同步的时候AF1把配置下发到AF2 路由也不需要配置,等下AF1也会进行下发的
4、AF2高可用配置 ①在系统设置-高可用性中配置好主线路和辅助线路的IP地址,可以通过点测试查看心跳线是否正常,注意填写正确的对端地址
②在配置同步中和AF1一样,勾选启用同步和对应的同步对象,但是在配置同步角色中需要选择备控 双机聚合就不需要配置了,等下AF1会同步配置过来的
AF配置总结: 心跳口和管理口一定要加HA,心跳口必须要开启允许ping 主主模式只需要配置好两端的基本网络配置和高可用性的配置即可,剩下的策略和具体的虚拟网线接口只需要配置到主控设备即可,主控设备会下发配置到备控设备的。 具体详细策略不做过多说明,要根据对应的业务场景配置
三、核心交换机配置 以下是华为交换机的配置命令,其它厂家配置命令可以百度 C1线路和C2线路做聚合,那么就是核心交换机1的1口和2口 D1线路和D2线路做聚合,那么就是核心交换机2的1口和2口 ①创建VLAN2,配置好VLAN2 的IP地址 <Huawei>system-view #进入系统视图模式 [Huawei]vlan 2 #创建VLAN 2 [Huawei-vlan2]quit #退出 [Huawei]interface Vlanif 2 #进入VLAN2配置IP [Huawei-Vlanif2]ip add 172.20.0.6 29 #配置IP地址和掩码 [Huawei-Vlanif2]quit #退出
②创建聚合组,捆绑接口,加入VLAN2 [Huawei]interface Eth-Trunk 1 #创建聚合组 [Huawei-Eth-Trunk1]port link-type access #接口类型配置为access [Huawei-Eth-Trunk1]port default vlan 2 #把聚合组加入到VLAN2 中 [Huawei-Eth-Trunk1]mode manual load-balance #使用静态 负载均衡模式聚合 [Huawei]interface GigabitEthernet 1/1/0/1 #进入1/1/0/1接口 [Huawei-GigabitEthernet1/1/0/1]eth-trunk 1 #加入聚合组1 [Huawei]interface GigabitEthernet 1/1/0/2 #进入1/1/0/2接口 [Huawei-GigabitEthernet1/1/0/2]eth-trunk 1 #加入聚合组1
[Huawei]interface Eth-Trunk 2 #创建聚合组 [Huawei-Eth-Trunk1]port link-type access #接口类型配置为access [Huawei-Eth-Trunk1]port default vlan 2 #把聚合组加入到VLAN2 中 [Huawei-Eth-Trunk1]mode manual load-balance #使用静态 负载均衡模式聚合 [Huawei]interface GigabitEthernet 2/1/0/1 #进入2/1/0/1接口 [Huawei-GigabitEthernet2/1/0/1]eth-trunk 2 #加入聚合组2 [Huawei]interface GigabitEthernet 2/1/0/2 #进入2/1/0/2接口 [Huawei-GigabitEthernet2/1/0/2]eth-trunk 1 #加入聚合组2 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2019-12-2 20:47
技术专家1级 
