本帖最后由 一叶三秋 于 2023-8-14 18:41 编辑
客户需求介绍: 1.新建DMZ区,用我们HCI来搭建DMZ区资源,后续业务会慢慢迁移过来 2.AD做运营商ISP的链路负载,同时实现AD的智能路由将访问特定资源走专线 3.与此同时协助客户完成内外网核心的网络结构和IP地址改造 注:本次主要探讨在客户第二点需求上的AD和AF组网变更方案,同时针对两台AD和一台AF的组网变更方案 客户初始网络结构简化大致如上
![]()
整体方案规划: 1.第一版AD主备路由部署,AF也仍保持路由部署不变 初始没考虑很多,这样部署的话,对原先的网络变动和设备配置更改也最小,但存在一个问题,就是AD和AF都是纯路由模式部署,这样AF上联口如何和两台做主备的AD连接,如果给AF做上联口做端口聚合的话,这边我们需要注意我们很多产品都是不支持跨设备聚合的,比如我们这里的AD就是不支持跨设备端口聚合的,所以这种方式是行不通的。 2.第二版AD路由部署,AF采用混合模式部署 为了解决AD和AF连接问题,同时对整体改动影响降低,该方案我们可以直接对AF改成混合模式部署,让AF同时启用二层口和三层口,这里给AF上联AD接口改成二层口并新增vlan接口进行绑定,实现上联AD的两个接口IP地址一致,这样当AD主机故障后,与由备机新切换的主机依旧正常连通。而AF的下联核心的接口仍旧为三层口且IP地址不变,这样核心上的路由信息也不用动。 3.第三版AD路由部署,AF透明网桥模式部署 该种方案对设备配置和改动相较较大,但整体逻辑结构更加简便,利于后期的运维,此时AF做纯透明部署,可以直观理解AF就是一根带安全策略的网线,此时AF的上下联接口全部改成二层口,至于二层口用access还是trunk口这里都是可以用的,这里涉及到pvid和vid的过程,这里以AF下联口access上联口trunk为例,此时核心将标准数据包传到AF,此时因为AF下联口是access口先打上标签为20的vid,这时匹配AFmac地址表从上联口出去,上联口的本征vlan设置的与access口vlan是一致的,同时本征vlan也设置在trunk口允许通过VLAN范围内,trunk口的native vlan是20此时它收到vid为20的标签数据包会撕掉该标签后再发出去的,因为trunk口的机制是收到不带标签的数据包打上本征VLAN的标签在转发,收到带标签的数据包,如果与本征VLAN一致则撕掉标签再转发,如果不一致,则匹配允许通过VLAN范围,在范围内则直接转发,如果不在范围内则直接丢弃,所以在这里给AF上下联口配access口和trunk口都可以的,只要AD收到的是一个标准数据包即可。
![]()
整体变更计划: 1.先用AD单机接入,并将联通ISP链路和专线接到AD单机上,AF上的联通走联通策略路由下一跳改成AD上,同时AD上配置好联通、电信和专线的智能路由策略,此时再在内网终端上路由追踪测试联通走联通和电信走电信是否正常生效。本次变更采用分步骤逐步迁移方式来降低变更的风险和保证客户业务所受影响最小化,同时能够减轻变更中出现问题的排查工作量。 2.AD组建主备集群,组建完成后测试AD的主备故障切换能够正常切换。 3.保证内网能够通过联通正常访问互联网,此时可以将电信ISP链路正常迁移到AD主备集群上了。
项目实施过程中小问题汇总: 1.联通只有一条千兆单模光纤,AD上只有万兆光口 2.AD做主备需不需要做备机down网口,做了备机down网口是否会影响到故障切换 3.当使用备机down网口功能后出现告警日志上反复告警备机内网口链路故障和恢复
问题处理: 1.这里AD上只有万兆光口,插上光模块直连千兆光纤其实还是有问题的,这里可以直接在中间通过一台既有千兆光口又有万兆光口的交换机来做一个中继 2.AD做主备是可以不做备机down网口的,因为在AD7.0.21版本前备机都是不会回复数据包的,因此不用担心AF通过arp请求包会学习到备机的mac地址,这里AD开启做备机down网口功能一般都是跟下联设备做联动的时候,使用备机down网口让下联设备知道AD主备角色切换了。做了备机down网口后是不会影响到使用故障切换功能的,只是当两者选择的网口冲突时,会在页面上显示备机状态故障,但并不会影响到AD的主备切换的,因为AD的故障切换机制是,当主机故障后会直接切换成备机,此时原备机切换成主机,之前备机down掉的网口恢复上电,并且AD上面也是有着默认5分钟的故障恢复缓冲时间的
3.出现这个问题是由于这里备机down网口和心跳故障检测口选的接口冲突了,因为备机down网口对心跳检测口和心跳口不生效的,这里心跳检测口会恢复接口上电,但备机down网口又会down掉接口,这就导致了链路反复故障和恢复的告警信息产生,这里我们将心跳检测口选择其他接口则解决这个问题了。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-8-16 08:16
技术员3级 
