×

标准化排查——高可用性[双机问题]
  

SANGFOR_1037 102313人觉得有帮助

{{ttag.title}}
本帖最后由 某公司_1037 于 2017-11-14 20:24 编辑

标准化排查——高可用性[双机问题]


一、高可用性处理流程


二、高可用性实施拓扑
常见的拓扑方案主要包括如下路由主备和透明主备以及无VRRP组的透明双主:
1、路由主备部署实施环境
        防火墙出口场景路由模式主备双机。一台NGAF上的链路出现故障或者设备本身出问题时可以切换到另一台设备,保证网络通信正常。在承担传统防火墙路由功能的同时也保护内网PC上网安全,服务器保护的功能也可抵御来自非信任区域流量到服务器区域的攻击流量。具体的拓扑图如下,注意:路由部署需要区域精确配置,业务服务器IP组精细规范配置才能生成清晰的报表。

2、透明主备部署实施环境
此场景是用户已经有三层设备(如路由器或者我司的负载均衡设备)主备双机部署在出口,需要我司NGAF对内网进行安全防护的同时,做到高可用性。与透明的实施方案相对于路由较为简单,把NGAF靠近服务器的区域设为服务器区域,靠近前置的路由交换设备一侧设置为非信任区域,抵御来自非信任区域到信任区域的攻击流量。 此种透明实施方案省略了路由层面的配置,如策略路由和地址转换,其他安全的配置功能和路由实施方案一致。注意:透明部署需要区域精确配置,业务服务器IP组精细规范配置才能生成清晰的报表。

3、无VRRP组的透明双主
        AF透明(包括虚拟网线)双主主要在上下行设备都处于双机状态,希望加入NGAF作为安全防护设备的情境下使用。如下图,出口路由器是VRRP主备,内网的三层交换机也是VRRP主备,希望加入NGAF作为应用层防护设备,在增加安全功能的同时能够保持高可用性,并且尽量不要增加网络的拓扑结构复杂性和切换复杂性。此拓扑上下设备跑VRRP,两台NGAF设备双主配置,不开启双机VRRP组,开启会话表,用户认证,配置同步几个选项,保持会话和配置等同步。正常情况两台设备同时工作,会话建立在一台设备上。防护功能与透明主备模式一致。注意:透明部署需要区域精确配置,业务服务器IP组精细规范配置才能生成清晰的报表。
注意:AF双主部署必须保证同一连接数据经过一台设备,保证连接能够完整在一台设备上建立

本实施方案采用:
(路由主备|透明主备|无VRRP组的透明双主)
4、注意事项:
1. AF6.8之前版本双机的“网口监视”功能不支持聚合口,6.8之后支持
2. 心跳通信故障会导致两台防火墙均为主状态
3.虚拟路由组网口监视里需勾选所有业务网口,不加入虚拟路由组的接口会不参与双机,接口会处于活动状态,路由模式下会导致地址冲突同时接口异常也不会切换
4.设备双机运行过程需保证所有业务网口状态(up)正常,如果网口监视中的网口出现故障将导致双机状态为故障,所有网口监视中网口将无法ping通
5.备机配置,如无需向主机同步,则需启用配置同步,但不要勾选同步内容,防止因设备上架顺序不对导致备机将配置同步到主机上从而使配置丢失
6. 双机基本要求:
双主部署遵循双机基本要求,即appversion文件的MD5值相同、设备网口数相同、网口速率相同(硬件平台建议一致)、功能序列号一致
7. 链路探测和抢占不能同时开启
8.虚拟IP与虚拟MAC
同一个vrid组中的对应接口拥有同一个IP地址,设备工作为备机丢弃所有到本接口和从本接口出去的数据包,对应接口自动生成一个虚拟MAC


三、高可用性配置
AF的高可用性配置原理类似于VRRP,当一台NGAF上的链路出现故障或者设备本身出问题时可以切换到另一台设备,保证网络通信正常。
先配置好主机(常规配置本文档不做说明)的相关设置,配置心跳接口IP-HA与高可用配置;备机只需要配置好心跳接口IP-HA与高可用配置。主机配置完后接入网络正常,把备机关机,接好相关线路后,再开备机。
高可用性双机配置如下:
1、【系统】->【高可用性】-点击基本信息
选择本地心跳地址和对端心跳地址,保存
注:尽量保持首先上架为主机的设备本地IP地址大于对端地址,这样可以保证主机和主控角色是同一台设备。
2、【系统】->【高可用性】-点击双机热备
启用双机热备,新增,配置vrid以及网络监听口,如下:

说明:
1)监视口是双机切换必要条件之一,水平写代表与关系,垂直写代表或关系。具体如下:

2)链路监控口需要在接口配置处配置好链路故障检测,当链路不通时双机发生切换,
切换的条件和上述网络监视的逻辑一致;

3)如果是无VRRP透明双主无需在【高可用性】的双机热备中启用双机热备;
3、【系统】->【高可用性】-点击配置同步,启用配置同步,如下图


配置同步操作说明:
1)主机开启启用配置同步,把用户认证、会话表和配置同步移动到右边,主机优先上架加电;
2)备机一般上架时开启启用配置同步,但先不要把同步对象中的配置同步放到右边(此时备机不会接受主机自动同步,只能使用手动同步把主机的配置同步到备机,防止上架初期主机配置被备机同步)。
3)完成手动同步之后再把备机同步对象中的配置同步勾选到右边的已选项中,确保后续备机可以接受自动同步
主机配置好基础网络配置,高可用性相关配置,备机配置好心跳口地址和高可用性配置,主机就可以通过心跳口把主机的配置文件同步到备机。(注:加了-HA的接口和高可用性配置部分不会同步,其余基础网络和安全策略配置都会从主机同步到备机)。
4、【系统】->【高可用性】->【配置同步】,查看配置同步角色。
高可用性的配置状态分为两种:主控和备控
只有主控角色的双机设备可以修改配置,可以同步配置,备控设备都只能被动接受
第一次选择主备控是根据心跳口地址选择,心跳口地址大的设备成为主控角色。
配置自动同步:将主控角色的同步对象推送到被控角色,即主控角色发送,被控角色接受;实际工作原理是被控角色向主控角色请求配置同步,主控角色推送配置同步到被控角色。

总结四点:首选主备控心跳口地址大者成为主控;主控角色配置会同步给被控角色;备控角色无法修改配置;主被控角色与双机状态无关系。如果要手动同步配置(只支持配置同步),要先关闭被控角色的配置同步。
整体主备机配置同步的配置界面和注意事项如下:

四、高可用性升级注意
AF实施完成时候之后,后续涉及到AF升级需要先把双机拆除再进行升级,再进行验证AF双机切换高可用性功能生效后尽量不要进行频繁的手动切换,以免造成网络不稳定。
五、双机同步异常排查
1、检查主机能否ping通备机HA-IP
2、手动点击同步配置,检查webui中日志来源为“配置同步”的调试日志中是否有发送配置同步文件如:hchlnI6gZ的发送成功信息
3、抓同步端口数据
AF高可用性典型场景分析-v2-对外.docx (2.04 MB, 下载次数: 224)

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

13638095227 发表于 2019-3-25 20:44
  
大爱。很详细。
新手756451 发表于 2019-3-25 22:41
  
感谢分享
ie5000 发表于 2019-3-26 00:39
  
感谢分享
主动出击 发表于 2019-3-26 08:25
  
看贴学习
秋水伊人 发表于 2019-3-29 09:57
  
不错的分享内容
会飞的癞蛤蟆 发表于 2019-4-14 17:23
  
谢谢分享
秋水伊人 发表于 2019-4-19 13:55
  
谢谢分享
蓝海 发表于 2019-4-22 18:30
  
很不错,感谢分享
ie5000 发表于 2019-4-23 10:26
  
感谢分享
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人