AD+AF组网变更方案
  

一叶三秋 70243人觉得有帮助

{{ttag.title}}
本帖最后由 一叶三秋 于 2023-8-14 18:41 编辑

客户需求介绍:
1.新建DMZ区,用我们HCI来搭建DMZ区资源,后续业务会慢慢迁移过来
2.AD做运营商ISP的链路负载,同时实现AD的智能路由将访问特定资源走专线
3.与此同时协助客户完成内外网核心的网络结构和IP地址改造
注:本次主要探讨在客户第二点需求上的AD和AF组网变更方案,同时针对两台AD和一台AF的组网变更方案
客户初始网络结构简化大致如上



整体方案规划:
1.第一版AD主备路由部署,AF也仍保持路由部署不变
初始没考虑很多,这样部署的话,对原先的网络变动和设备配置更改也最小,但存在一个问题,就是AD和AF都是纯路由模式部署,这样AF上联口如何和两台做主备的AD连接,如果给AF做上联口做端口聚合的话,这边我们需要注意我们很多产品都是不支持跨设备聚合的,比如我们这里的AD就是不支持跨设备端口聚合的,所以这种方式是行不通的。
2.第二版AD路由部署,AF采用混合模式部署
为了解决AD和AF连接问题,同时对整体改动影响降低,该方案我们可以直接对AF改成混合模式部署,让AF同时启用二层口和三层口,这里给AF上联AD接口改成二层口并新增vlan接口进行绑定,实现上联AD的两个接口IP地址一致,这样当AD主机故障后,与由备机新切换的主机依旧正常连通。而AF的下联核心的接口仍旧为三层口且IP地址不变,这样核心上的路由信息也不用动。
3.第三版AD路由部署,AF透明网桥模式部署
该种方案对设备配置和改动相较较大,但整体逻辑结构更加简便,利于后期的运维,此时AF做纯透明部署,可以直观理解AF就是一根带安全策略的网线,此时AF的上下联接口全部改成二层口,至于二层口用access还是trunk口这里都是可以用的,这里涉及到pvid和vid的过程,这里以AF下联口access上联口trunk为例,此时核心将标准数据包传到AF,此时因为AF下联口是access口先打上标签为20的vid,这时匹配AFmac地址表从上联口出去,上联口的本征vlan设置的与access口vlan是一致的,同时本征vlan也设置在trunk口允许通过VLAN范围内,trunk口的native vlan是20此时它收到vid为20的标签数据包会撕掉该标签后再发出去的,因为trunk口的机制是收到不带标签的数据包打上本征VLAN的标签在转发,收到带标签的数据包,如果与本征VLAN一致则撕掉标签再转发,如果不一致,则匹配允许通过VLAN范围,在范围内则直接转发,如果不在范围内则直接丢弃,所以在这里给AF上下联口配access口和trunk口都可以的,只要AD收到的是一个标准数据包即可。



整体变更计划:
1.先用AD单机接入,并将联通ISP链路和专线接到AD单机上,AF上的联通走联通策略路由下一跳改成AD上,同时AD上配置好联通、电信和专线的智能路由策略,此时再在内网终端上路由追踪测试联通走联通和电信走电信是否正常生效。本次变更采用分步骤逐步迁移方式来降低变更的风险和保证客户业务所受影响最小化,同时能够减轻变更中出现问题的排查工作量。
2.AD组建主备集群,组建完成后测试AD的主备故障切换能够正常切换。
3.保证内网能够通过联通正常访问互联网,此时可以将电信ISP链路正常迁移到AD主备集群上了。



项目实施过程中小问题汇总:
1.联通只有一条千兆单模光纤,AD上只有万兆光口
2.AD做主备需不需要做备机down网口,做了备机down网口是否会影响到故障切换
3.当使用备机down网口功能后出现告警日志上反复告警备机内网口链路故障和恢复

问题处理:
1.这里AD上只有万兆光口,插上光模块直连千兆光纤其实还是有问题的,这里可以直接在中间通过一台既有千兆光口又有万兆光口的交换机来做一个中继
2.AD做主备是可以不做备机down网口的,因为在AD7.0.21版本前备机都是不会回复数据包的,因此不用担心AF通过arp请求包会学习到备机的mac地址,这里AD开启做备机down网口功能一般都是跟下联设备做联动的时候,使用备机down网口让下联设备知道AD主备角色切换了。做了备机down网口后是不会影响到使用故障切换功能的,只是当两者选择的网口冲突时,会在页面上显示备机状态故障,但并不会影响到AD的主备切换的,因为AD的故障切换机制是,当主机故障后会直接切换成备机,此时原备机切换成主机,之前备机down掉的网口恢复上电,并且AD上面也是有着默认5分钟的故障恢复缓冲时间的

3.出现这个问题是由于这里备机down网口和心跳故障检测口选的接口冲突了,因为备机down网口对心跳检测口和心跳口不生效的,这里心跳检测口会恢复接口上电,但备机down网口又会down掉接口,这就导致了链路反复故障和恢复的告警信息产生,这里我们将心跳检测口选择其他接口则解决这个问题了。

5324164d9e8592864b.png (118.68 KB, 下载次数: 248)

5324164d9e8592864b.png

2594264d9eb2ff09fa.png (207.18 KB, 下载次数: 243)

2594264d9eb2ff09fa.png

5319964d9ed6ecbe25.png (213.25 KB, 下载次数: 241)

5319964d9ed6ecbe25.png

3051764d9f7faada61.png (163.35 KB, 下载次数: 235)

3051764d9f7faada61.png

打赏鼓励作者,期待更多好文!

打赏
19人已打赏

新手716814 发表于 2024-3-14 08:57
  
感谢楼主分享,努力学习中!!!!
新手378833 发表于 2024-3-6 08:34
  

感谢分享,学习学习~~~~~~~~~~~
新手716814 发表于 2024-2-21 09:05
  
感谢分享有助于工资和学习!
dhf 发表于 2023-12-11 10:04
  
每日打卡学习,感谢分享,学习了!!!
dhf 发表于 2023-12-1 10:12
  
每日打卡学习,感谢分享,学习了!!!
新手078326 发表于 2023-9-18 11:54
  


楼主分析的很详细,不错的实战经验
新手741261 发表于 2023-9-10 21:40
  

楼主分析的很详细,不错的实战经验
新手612152 发表于 2023-9-9 20:13
  
感谢分享,有助于工作,学习了!
新手899116 发表于 2023-9-9 20:10
  
感谢分享,有助于工作,学习了!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
2023技术争霸赛专题
技术咨询
产品连连看
功能体验
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人