深信服防火墙高级认证培训04-高可用性课件

Jan,2017SANGFORNGAF高可用性Jan,2017SANGFORNGAF深信服防火墙高级认证培训04-高可用性课件12高可用性配置常见故障Contents1高可用性配置常见故障ContentsVRRP（Virtualrouterredundancyprotocol,虚拟路由器冗余协议）你了解的VRRP一般是这样的1、两个路由器IP地址不一样，需要虚拟IP---NGAF不需要虚拟IP，因为接口IP一样。2、根据虚拟组ID找同伴，同一虚拟组的设备之间选主备。----NGAF也是这样3、可能影响主备的条件：1、优先级，优先级高的为主，2、接口IP，IP地址大的为主---NGAF也是一样，但因为接口IP一致，最终是看心跳口IP的大小。4、可以设置抢占模式，优先级高的设备故障恢复后，如果配置成抢占模式，可以成为主。----NGAF也一样5、心跳协商通过组播8----NGAF也一样6、AF需要配置心跳口，心跳口是一个普通网口。1、高可用性配置VRRP（Virtualrouterredundan应用场景1、高可用性配置应用场景：客户希望在原有网络中上架NGAF，对内网用户以及服务器进行保护，同时不影响原有网络拓扑，但是部署单台会有单点故障现象，希望多部署一台设备做备份来提高可靠性。解决方案：采用网桥模式双机部署，主备模式。两台设备配置一样，并且配置同步。同时只有一台主机工作，主机宕掉以后由备机接替工作，对用户透明。应用场景1、高可用性配置应用场景：解决方案：1.1NGAF双机交换模式1、高可用性配置1.1NGAF双机交换模式1、高可用性配置NGAF交换双机配置配置物理接口为access口并属于vlan1配置心跳口eth5配置vlan1接口并做链路双向检测启用双机，配置本端和对端IP，并配置虚拟路由组配置备机并同步配置（略）1.1NGAF双机交换模式NGAF交换双机配置1.1NGAF双机交换模式NGAF交换双机全冗余配置1.配置物理接口为access口并属于vlan11.1NGAF双机交换模式NGAF交换双机全冗余配置1.1NGAF双机交换模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA1.1NGAF双机交换模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配3.配置wan口和vlan1接口与链路检测1.1NGAF双机交换模式3.配置wan口和vlan1接口与链路检测1.1NGAF双4.启用双机，配置本端和对端IP，并配置虚拟路由组1.1NGAF双机交换模式4.启用双机，配置本端和对端IP，并配置虚拟路由组1.1N5.启用配置同步1.1NGAF双机交换模式5.启用配置同步1.1NGAF双机交换模式NGAF交换双机切换过程前置条件：1.AD1、NGAF1、核心交换1为活动状态，其他为非活动状态；2.数据包走C1<=>A1；3.AF1、AF2开启双向链路ping检测功能；4.AD1、AD2开启双机ping检测功能；5.核心交换以SVI接口组建vrrp，使用track功能ping上行IP作为切换条件1.1NGAF双机交换模式NGAF交换双机切换过程1.1NGAF双机交换模式1.1NGAF双机交换模式切换过程：1、A1线路故障且AF1先探测出来2、出口1宕机，AF1没有探测出来网桥部署-向上ping不通1.1NGAF双机交换模式切换过程：2、出口1宕机，AF1NGAF交换双机切换过程切换场景2，AF向下ping不通：与向上ping不通场景相同优点：任意1个设备宕机拔线不会影响业务任意3个不同角色的设备宕机拔线不会影响业务1.1NGAF双机交换模式NGAF交换双机切换过程1.1NGAF双机交换模式1.2NGAF双机路由模式1.2NGAF双机路由模式NGAF路由双机配置配置内网物理接口为access口属于vlan1配置心跳口eth5配置wan口和vlan1接口与链路检测启用双机，配置本端和对端IP，配置虚拟路由组配置备机并同步配置（略）1.2NGAF双机路由模式NGAF路由双机配置1.2NGAF双机路由模式NGAF路由双机配置1.配置内网物理接口为access口属于vlan11.2NGAF双机路由模式NGAF路由双机配置1.2NGAF双机路由模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA1.2NGAF双机路由模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配3.配置vlan1和vlan2接口与链路检测1.2NGAF双机路由模式Vth.1口接内网，因此链路检测配置为内网IPEth1口接公网，因此链路检测配置为公网IP3.配置vlan1和vlan2接口与链路检测1.2NGAF4.启用双机，配置本端和对端IP，并配置虚拟路由组1.2NGAF双机路由模式4.启用双机，配置本端和对端IP，并配置虚拟路由组1.2N5.启用配置同步1.2NGAF双机路由模式5.启用配置同步1.2NGAF双机路由模式NGAF双机路由模式切换过程前置条件：1.NGAF1、核心交换1为活动状态，其他为非活动状态；2.数据包走交换机1<=>AF1；3.AF1、AF2开启双向链路ping检测功能；4.核心交换以SVI接口组建vrrp，使用track功能ping上行IP作为切换条件1.2NGAF双机路由模式NGAF双机路由模式切换过程1.2NGAF双机路由模式NGAF双机路由模式切换过程切换场景1，AF向上ping不通：同交换场景切换场景2，AF向上ping不通：同交换场景1.2NGAF双机路由模式NGAF双机路由模式切换过程1.2NGAF双机路由模式NGAF双机路由模式注意事项：核心交换以SVI接口做VRRP，并使用track的ping检测作为切换条件AF开启双向ping检测抢占与链路检测不能同时开启不要使用bypass接口做双机，避免广播风暴双机支持聚合口1.2NGAF双机路由模式NGAF双机路由模式1.2NGAF双机路由模式12高可用性配置常见故障Contents1高可用性配置常见故障Contents2、常见故障1、AF双机部署，管理口登陆web控制台出现闪退，ping管理口IP丢包【问题现象】：AF双机部署并配置同步，两台AF管理口eth0接内网交换机且不属于虚拟路由组，从管理口IP登陆控制台出现闪退，ping管理口IP丢包，无法正常管理两台AF【问题原因】：AF双机部署，只要启用配置同步，则所有非HA的接口IP都会同步，因此若管理口仅仅配置了不同IP，则会被配置同步为相同的IP，在内网交换机上出现IP冲突，导致控制台闪退，ping丢包等现象，如客户选定eth0为管理口，主机管理IP为，备机管理IP为，配置同步后会出现主备两台AF的eth0IP都为，出现IP冲突。【解决办法】：为管理口IP标注HA属性即可，无需修改其他配置。2、常见故障1、AF双机部署，管理口登陆web控制台出现闪退2、AF设备双机配置完成后，发现内网交换机上报我们设备接口IP冲突【问题现象】：双机配置完成后，发现内网相连的交换机上一直报AF接口IP冲突【解决办法】需要确认下AF两台双机虚拟路由组里面是否把需要监控的网口列表都写完全了，正常检测的网口加进去了，备机该网口是不收发包，如果没写完全，则会出现两台设备网口双活情况，导致IP冲突这种情况也会导致登录设备出现闪退的情况，配置监控口的时候需要注意一下。2、常见故障2、AF设备双机配置完成后，发现内网交换机上报我们设备接口I3、网口不够，能否用管理口作为心跳口【解决办法】管理口可以作为心跳口，但是不能作为双机内外网通信网口2、常见故障3、网口不够，能否用管理口作为心跳口【解决办法】2、常见故障4、双机配置不同步1、检查主机能否ping通备机HA-IP2、手动点击同步配置，检查webui中日志来源为“配置同步”的调试日志中是否有发送配置同步文件。2、常见故障4、双机配置不同步1、检查主机能否ping通备机HA-IP25、双机配置HA地址使用了地址，导致双机主备检测失败【问题现象】：配置双机HA口的时候，用了地址，发现双机主备检测失败。设备默认已经占有了该地址，禁止在设备网口或者逻辑口上配置地址，否则会出现问题2、常见故障5、双机配置HA地址使用了地址，导致双机主备检6、双机状态出现双主现象【问题现象】：检查双机接口通信是否正常，如果双机心跳无法通信则会出现双主现象造成监听口IP地址冲突2、常见故障【解决办法】

网线有问题换网线，如果换网线还不行，可以尝试换接口测试一下。如果是担心心跳接口只有一个情况下出现双机问题，新版本还支持聚合接口做心跳口，聚合接口可以做冗余。6、双机状态出现双主现象【问题现象】：2、常见故障【解7、双机建立不成功【问题现象】：双机无法建立，双机建立的条件是①主备机网口数量一致②主备机序列号保持一致③主备机使用升级客户端登录后，按F10看到的版本信息必须一致（此文件内容为AF设备的版本信息需要登录后台，如果出现此问题可联系400协助确认）排查是否是上述问题导致2、常见故障在7.1版本【高可用性】-【双机热备】-【监视口】已经支持聚合口了7、双机建立不成功【问题现象】：2、常见故障在7.1版本【高

问题思考1.链路故障检测ping检测目标IP组内多IP之间是什么匹配关系？目标组之间是什么匹配关系？2.虚拟路由组下网口监视网口组内多网口之间是什么匹配关系？组之间是什么匹配关系？问题思考1.链路故障检测ping检测目标IP组内多IP深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料访问方式：资料分类：通用资料产品介绍产品视频行业案例技术白皮书新功能介绍配置手册培训教材和视频测试指导排错指导销售专用资料销售工具案例集方案集测试集拓扑图自学工具售前培训认证考试经验分享深信服社区资料库社区资料库旨在为用户提供最新、最全的产品资料深圳市南山区学苑大道1001号南山智园A1栋market@深圳市南山区学苑大道1001号南山智园A1栋market@sJan,2017SANGFORNGAF高可用性Jan,2017SANGFORNGAF深信服防火墙高级认证培训04-高可用性课件12高可用性配置常见故障Contents1高可用性配置常见故障ContentsVRRP（Virtualrouterredundancyprotocol,虚拟路由器冗余协议）你了解的VRRP一般是这样的1、两个路由器IP地址不一样，需要虚拟IP---NGAF不需要虚拟IP，因为接口IP一样。2、根据虚拟组ID找同伴，同一虚拟组的设备之间选主备。----NGAF也是这样3、可能影响主备的条件：1、优先级，优先级高的为主，2、接口IP，IP地址大的为主---NGAF也是一样，但因为接口IP一致，最终是看心跳口IP的大小。4、可以设置抢占模式，优先级高的设备故障恢复后，如果配置成抢占模式，可以成为主。----NGAF也一样5、心跳协商通过组播8----NGAF也一样6、AF需要配置心跳口，心跳口是一个普通网口。1、高可用性配置VRRP（Virtualrouterredundan应用场景1、高可用性配置应用场景：客户希望在原有网络中上架NGAF，对内网用户以及服务器进行保护，同时不影响原有网络拓扑，但是部署单台会有单点故障现象，希望多部署一台设备做备份来提高可靠性。解决方案：采用网桥模式双机部署，主备模式。两台设备配置一样，并且配置同步。同时只有一台主机工作，主机宕掉以后由备机接替工作，对用户透明。应用场景1、高可用性配置应用场景：解决方案：1.1NGAF双机交换模式1、高可用性配置1.1NGAF双机交换模式1、高可用性配置NGAF交换双机配置配置物理接口为access口并属于vlan1配置心跳口eth5配置vlan1接口并做链路双向检测启用双机，配置本端和对端IP，并配置虚拟路由组配置备机并同步配置（略）1.1NGAF双机交换模式NGAF交换双机配置1.1NGAF双机交换模式NGAF交换双机全冗余配置1.配置物理接口为access口并属于vlan11.1NGAF双机交换模式NGAF交换双机全冗余配置1.1NGAF双机交换模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA1.1NGAF双机交换模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配3.配置wan口和vlan1接口与链路检测1.1NGAF双机交换模式3.配置wan口和vlan1接口与链路检测1.1NGAF双4.启用双机，配置本端和对端IP，并配置虚拟路由组1.1NGAF双机交换模式4.启用双机，配置本端和对端IP，并配置虚拟路由组1.1N5.启用配置同步1.1NGAF双机交换模式5.启用配置同步1.1NGAF双机交换模式NGAF交换双机切换过程前置条件：1.AD1、NGAF1、核心交换1为活动状态，其他为非活动状态；2.数据包走C1<=>A1；3.AF1、AF2开启双向链路ping检测功能；4.AD1、AD2开启双机ping检测功能；5.核心交换以SVI接口组建vrrp，使用track功能ping上行IP作为切换条件1.1NGAF双机交换模式NGAF交换双机切换过程1.1NGAF双机交换模式1.1NGAF双机交换模式切换过程：1、A1线路故障且AF1先探测出来2、出口1宕机，AF1没有探测出来网桥部署-向上ping不通1.1NGAF双机交换模式切换过程：2、出口1宕机，AF1NGAF交换双机切换过程切换场景2，AF向下ping不通：与向上ping不通场景相同优点：任意1个设备宕机拔线不会影响业务任意3个不同角色的设备宕机拔线不会影响业务1.1NGAF双机交换模式NGAF交换双机切换过程1.1NGAF双机交换模式1.2NGAF双机路由模式1.2NGAF双机路由模式NGAF路由双机配置配置内网物理接口为access口属于vlan1配置心跳口eth5配置wan口和vlan1接口与链路检测启用双机，配置本端和对端IP，配置虚拟路由组配置备机并同步配置（略）1.2NGAF双机路由模式NGAF路由双机配置1.2NGAF双机路由模式NGAF路由双机配置1.配置内网物理接口为access口属于vlan11.2NGAF双机路由模式NGAF路由双机配置1.2NGAF双机路由模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA1.2NGAF双机路由模式2.配置心跳口在接口区域中选择一个物理口作为双机的心跳口，配3.配置vlan1和vlan2接口与链路检测1.2NGAF双机路由模式Vth.1口接内网，因此链路检测配置为内网IPEth1口接公网，因此链路检测配置为公网IP3.配置vlan1和vlan2接口与链路检测1.2NGAF4.启用双机，配置本端和对端IP，并配置虚拟路由组1.2NGAF双机路由模式4.启用双机，配置本端和对端IP，并配置虚拟路由组1.2N5.启用配置同步1.2NGAF双机路由模式5.启用配置同步1.2NGAF双机路由模式NGAF双机路由模式切换过程前置条件：1.NGAF1、核心交换1为活动状态，其他为非活动状态；2.数据包走交换机1<=>AF1；3.AF1、AF2开启双向链路ping检测功能；4.核心交换以SVI接口组建vrrp，使用track功能ping上行IP作为切换条件1.2NGAF双机路由模式NGAF双机路由模式切换过程1.2NGAF双机路由模式NGAF双机路由模式切换过程切换场景1，AF向上ping不通：同交换场景切换场景2，AF向上ping不通：同交换场景1.2NGAF双机路由模式NGAF双机路由模式切换过程1.2NGAF双机路由模式NGAF双机路由模式注意事项：核心交换以SVI接口做VRRP，并使用track的ping检测作为切换条件AF开启双向ping检测抢占与链路检测不能同时开启不要使用bypass接口做双机，避免广播风暴双机支持聚合口1.2NGAF双机路由模式NGAF双机路由模式1.2NGAF双机路由模式12高可用性配置常见故障Contents1高可用性配置常见故障Contents2、常见故障1、AF双机部署，管理口登陆web控制台出现闪退，ping管理口IP丢包【问题现象】：AF双机部署并配置同步，两台AF管理口eth0接内网交换机且不属于虚拟路由组，从管理口IP登陆控制台出现闪退，ping管理口IP丢包，无法正常管理两台AF【问题原因】：AF双机部署，只要启用配置同步，则所有非HA的接口IP都会同步，因此若管理口仅仅配置了不同IP，则会被配置同步为相同的IP，在内网交换机上出现IP冲突，导致控制台闪退，ping丢包等现象，如客户选定eth0为管理口，主机管理IP为，备机管理IP为，配置同步后会出现主备两台AF的eth0IP都为，出现IP冲突。【解决办法】：为管理口IP标注HA属性即可，无需修改其他配置。2、常见故障1、AF双机部署，管理口登陆web控制台出现闪退2、AF设备双机配置完成后，发现内网交换机上报我们设备接口IP冲突【问题现象】：双机配置完成后，发现内网相连的交换机上一直报AF接口IP冲突【解决办法】需要确认下AF两台双机虚拟路由组里面是否把需要监控的网口列表都写完全了，正常检测的网口加进去了，备机该网口是不收发包，如果没写完全，则会出现两台设备网口双活情况，导致IP冲突这种情况也会导致登录设备出现闪退的情况，配置监控口的时候需要注意一下。2、常见故障2、AF设备双机配置完成后，发现内网交换机上报我们设备接口I3、网口不够，能否用管理口作为心跳口【解决办法】管理口可以作为心跳口，但是不能作为双机内外网通信网口2、常见故障3、网口不够，能否用管理口作为心跳口【解决办法】2、常见故障4、双机配置不同步1、检查主机能否ping通备机HA-IP2、手动点击同步配置，检查webui中日志来源为“配置同步”的调试日志中是否有发送配置同步文件。2、常见故障4、双机配置不同步1、检查主机能否ping通备机