guafeng00 发表于 2024-11-15 08:26
  
老贴图文并茂,很实用啊~
小时光丶 发表于 2024-12-4 09:08
  
收藏点赞,说不定哪天就用到了
#原创分享#AD和AF高可用性分析配置
  

yzy 14336710人觉得有帮助

{{ttag.title}}
本帖最后由 yzy 于 2019-12-11 21:33 编辑

一、环境情况:
客户购买了2台AD和2台AF,AD放在出口做负载,AF放在核心和AD之间,由于是使用在数据中心,要求网络的高可用,能实现AD和AF同时宕机一台不影响业务使用

客户画的拓扑图分析



客户解说拓扑图情况
从拓扑图中可以看到,客户现场3条运营商线路,通过一台交换机进行分线到两个AD,为了节约接口和少布线,使用子接口方式实现一根线路跑多个运营商的流量,在交换机通过配置VLAN进行隔离广播,AD是主备模式部署,AF也是主备模式部署,核心交换机是做了虚拟化(我们可以把两台核心看成一台)
AD在互联网出口,路由模式做主备了,AF也是主备模式,AF主备只支持路由模式,那么这样AF只能使用路由模式,AF和核心之间是使用了交叉设备接线的方式(两根线路做端口聚合),这样能提高冗余的效果,还能实现负载均衡。

客户疑问1:主备模式和主主模式区别
我:AF主备模式是只有一台设备在工作,一台设备在监听,主设备宕机后备设备接管业务,主主模式是两台设备同时在工作
客户疑问2:AF是否可以使用主主模式
我:这个拓扑情况不能使用主主模式,主主模式是两台设备同时工作,这样会导致内网数据包到核心交换机后会进行分流到两个AF中,如果分流到AF1那么还能往AD转发数据包,分流到AF2那么就无法往AD转发数据包,因为AF2接的AD是备机,备机是在监听模式无法转发数据包,所以这个拓扑图只能是AD主备AF主备
客户疑问3:这个拓扑图是否能满足最高的高可用,假设AD和AF同时宕机是否会影响业务
我:如果AD1和AF2(或者AD2和AF1)同时发生故障,那么会导致断网,AD1故障后,AD的备机进行接管业务,在这个时候AF1检测到AD1设备故障了,通知AF2进行接管业务,这样就是AD备和AF2进行跑业务,如果这个时候AF2故障了,那么业务就断了,AF1的上联AD已经是故障了,所以AF1在工作也无法把数据包转发出去
客户疑问4:是否有解决办法能解决上面疑问3的问题
我:有,改一下拓扑部署和接线,然后我就开始拿起拓扑进行更改


这个就是我画的拓扑,客户看了一下让我给他解说一下
①AD主备模式部署在出口,因为在互联网出口只能使用路由模式。
②AF主主模式部署,使用虚拟网线配置,不能使用透明模式,使用透明模式会环路
③故障切换说明,AD物理故障都会进行切换,AF是主主不管那台宕机都不影响业务

二、配置步骤
AD端配置
1、网络配置
①登录设备,配置好VLAN接口,选择桥接的物理接口,然后配置对应的VLAN ID,VLAN ID需要和交换机配置的一样

②配置内网口端口聚合,选择对象的接口,策略和算法保持默认即可

③配置接口IP,填写对应的接口IP、DNS、接口带宽还有配置链路检测
LAN口也需要配置链路检测,检测ping 核心的IP地址

④添加内网的回包路由,我这里的的都是172.20开头的网段,直接写了一条172.20.0.0/16位掩码的路由,下一跳写核心交换机的IP地址


⑤配置NAT,源地址是内网所在的网段,可以选择所有,目的地址是公网端的,选择所有IP,线路选择所有线路,转换元IP使用接口IP即可,如果不选择所有线路会导致无法使用其他线路上公网

⑥配置智能路由,由于客户要求访问同运营商走同运营商线路,所以要配置多条策略,源是所有IP,目的是ISP地址集中的运营商网络,出接口选择对应运营商的接口

2、主AD高可用性配置
①部署模式选择主备模式部署

②启用主备模式,设置设备名称,运行角色选择主机,配置好心跳口和心跳IP,设置故障切换条件,我这里设置的是LAN口故障、3个运营商有其中两个故障切换

③点击展开更多配置,勾选上会话同步,启用全状态同步,启用MAC同步,开启抢占模式,优先AD1为主设备

3、备AD高可用性配置
只需要配置好高可用性主机会把配置同步到备机的,所以网络等配置不需要配置等主机同步过来即可

①部署模式选择主备模式

②启用主备模式,设置设备名称,运行角色选择备机,然后配置好心跳接口和心跳IP提交即可

高可用性配置好后在管理界面会显示状态的,还有当前设备是主机还是备机
到高可用性->主备信息中还能看到主机和备机是否健康,还有同步时间等等

AD配置总结:
WAN和LAN口一定要配置链路检测,如果不配置运营商端异常网关不通不会进行切换的
AD主备只需要在主机上做配置即可,备机配置高可用性直接同步配置即可
如果要备机down网口就不能使用抢占模式,备机down的作用是备机状态下,选中的网口会被down,选择的网口一般选业务口,不要选心跳口,不然会导致同步异常和双机检测异常

AF端配置
1、AF1网络配置
①在网络-接口/区域,配置外带管理口,管理口IP需要在后面加-HA,配置心跳口,我使用的是主备两个心跳口,需要在心跳口IP后面加-HA(加了-HA后这个IP不会被配置同步,如果不加HA两个设备的IP就会冲突了),业务接口配置成对应的虚拟网线接口,每个接口都要配置好对应的区域
心跳口必须要开启ping,心跳口是通过ping来检测的
注意事项:为什么要用虚拟网线而不用透明模式呢,因为透明模式使用的接口是二层接口,二层接口收到包会往其它的二层接口发,这样会导致环路,所以选择了虚拟网线,虚拟网线是数据包直接从对应的虚拟网线口进出,这样就不会导致环路

②接口联动配置,启用接口LINK状态联动,接口选择一对虚拟网线口(ETH4和ETH6是一对网线口)
主要是用于一端接口down后另一端接口也会跟着逻辑down,比如ETH4down后,逻辑上ETH6也会down

③配置默认路由,由于是外带管理口,直接写一条默认路由交给核心交换机的IP即可

2、AF1高可用配置
①在系统设置-高可用性中配置好主线路和辅助线路的IP地址,可以通过点测试查看心跳线是否正常,注意填写正确的对端地址

②在配置同步中勾选启用同步,选择同步对象,配置同步角色选择主控

③在双机聚合中选择启用,同步口可以选择使用心跳口,内网区域和外网区域选择对应的内外网接口,两端的设备接线接口和接口属性需要保持一致
说明:这个是809版本后才有的功能,主要是解决主主模式回包路径不一样,之前的版本主主模式如果会话同步不及时可能会导致丢包,所以809这个版本彻底解决了回包路径不一样的问题。

3、AF2网络配置
这个和前面AF1配置的差不多,配置好管理IP和心跳口IP,需要在IP后面加上-HA,然后勾选允许ping
只需要配置好外带管理口和心跳口即可,虚拟网线接口可以等下做配置同步的时候AF1把配置下发到AF2
路由也不需要配置,等下AF1也会进行下发的


4、AF2高可用配置
①在系统设置-高可用性中配置好主线路和辅助线路的IP地址,可以通过点测试查看心跳线是否正常,注意填写正确的对端地址

②在配置同步中和AF1一样,勾选启用同步和对应的同步对象,但是在配置同步角色中需要选择备控
双机聚合就不需要配置了,等下AF1会同步配置过来的

AF配置总结:
心跳口和管理口一定要加HA,心跳口必须要开启允许ping
主主模式只需要配置好两端的基本网络配置和高可用性的配置即可,剩下的策略和具体的虚拟网线接口只需要配置到主控设备即可,主控设备会下发配置到备控设备的。
具体详细策略不做过多说明,要根据对应的业务场景配置

三、核心交换机配置
以下是华为交换机的配置命令,其它厂家配置命令可以百度
C1线路和C2线路做聚合,那么就是核心交换机1的1口和2口
D1线路和D2线路做聚合,那么就是核心交换机2的1口和2口
①创建VLAN2,配置好VLAN2 的IP地址
<Huawei>system-view                                  #进入系统视图模式
[Huawei]vlan 2                                               #创建VLAN 2
[Huawei-vlan2]quit                                        #退出      
[Huawei]interface Vlanif 2                             #进入VLAN2配置IP                                 
[Huawei-Vlanif2]ip add 172.20.0.6 29           #配置IP地址和掩码
[Huawei-Vlanif2]quit                                     #退出

②创建聚合组,捆绑接口,加入VLAN2
[Huawei]interface Eth-Trunk 1                                  #创建聚合组
[Huawei-Eth-Trunk1]port link-type access               #接口类型配置为access
[Huawei-Eth-Trunk1]port default vlan 2                   #把聚合组加入到VLAN2 中
[Huawei-Eth-Trunk1]mode manual load-balance    #使用静态 负载均衡模式聚合
[Huawei]interface GigabitEthernet 1/1/0/1              #进入1/1/0/1接口
[Huawei-GigabitEthernet1/1/0/1]eth-trunk 1          #加入聚合组1
[Huawei]interface GigabitEthernet 1/1/0/2              #进入1/1/0/2接口
[Huawei-GigabitEthernet1/1/0/2]eth-trunk 1           #加入聚合组1

[Huawei]interface Eth-Trunk 2                                 #创建聚合组
[Huawei-Eth-Trunk1]port link-type access               #接口类型配置为access
[Huawei-Eth-Trunk1]port default vlan 2                   #把聚合组加入到VLAN2 中
[Huawei-Eth-Trunk1]mode manual load-balance    #使用静态 负载均衡模式聚合
[Huawei]interface GigabitEthernet 2/1/0/1              #进入2/1/0/1接口
[Huawei-GigabitEthernet2/1/0/1]eth-trunk 2          #加入聚合组2
[Huawei]interface GigabitEthernet 2/1/0/2              #进入2/1/0/2接口
[Huawei-GigabitEthernet2/1/0/2]eth-trunk 1           #加入聚合组2

打赏鼓励作者,期待更多好文!

打赏
18人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人