Hillstone Networks Inc.

2015年8月25日

目录

1 方案背景 3

2 需求分析 4

3 解决方案 4

3.1路由模式部署 4

3.2 透明模式部署 7

4 实现方式 8

4.1 路由模式部署 10

4.2 透明模式部署 15

5 建设效果 19

5.1 HA Traffic起什么作用？什么情况下使用？ 19

5.2 由于业务流量较大，可能导致HA traffic流量过大而影响HA工作，如何避免？ 20

5.3 HA peer-mode的配置，两台设备配置需要单独配置吗? 21

5.4 在动态路由环境下，由于动态路由未及时学习或因网络变动未及时收敛，导致报文无法转发的问题如何解决？ 21

5.5 如何查看HA的相关配置和状态 22

1 方案背景

如下拓扑图【图1-1】-口字形拓扑，所有路由器都运行动态路由且流量的路径是非对称路由（即Flow0和Flow1是两条不同路径，流量的流向方向相反，如Flow0:R1àR2àR4àR6, Flow1:R6àR5àR3àR1）,当出现路由故障时，两条路径可以合并为其中一条，又变为对称路由环境。

                                【图1-1】

2 需求分析

l 不具备L2-Switch部署环境（Group-base的HA部署环境），需要较为灵活的组网方式。

l 路由环境下组网且流量是非对称路由环境，需要部署AD/AV/IPS/NBC/URLDB等安全防护功能。

l 提高设备使用效率，两台设备同时工作负载网络流量，避免单台设备工作负荷较大。

3 解决方案

3.1路由模式部署

【图3-1】FW工作在三层，上下行连接Router，FW与上下行router之间运行动态路由协议，通过左右两侧相同的cost实现load balance。

             【图3-1】

• 图【3-2】FW工作在三层，上下行连接Router，在真实的组网环境中，R1、R2，R3、R4可以分别为两台物理router 

【图3-2】

【图3-3】FW工作在三层，支持SNAT，DNAT，相同的SNAT地址或地址池可以在运行Peer-mode HA模式的两台Device上进行自动的端口资源分配。

                                   【图3-3】

3.2 透明模式部署

【图3-4】在这种组网下FW透明接入网络，配置比较简单，对用户已有网络改动小，外联router运行动态路由协议，R1、R3建立OSPF邻居，R2、R4建立OSPF邻居。

                                  【图3-4】

4 实现方式

  【图4-1】HA Peer-mode的工作原理介绍

• 每台设备需要创建两个HA Group

1）一个处于Active状态，可以正常收发报文，进行正常的HA状态变迁

2）另一个处于Inactive状态，不收发任何报文，一直处于Disabled状态

• 每台设备需要配置一个node ID（0或1）

1）node ID 为 0 的设备，Group 0 —Active， Group 1 —Inactive

2）node ID 为 1 的设备，Group 1 —Active， Group 0 —Inactive

• 两台设备中其中一台作为Admin Master

【图4-1】

Admin Master 的作用

1）Admin Master 是两台设备中可以进行非local配置的一方

2）Admin Master 是HA冷同步和配置同步的发起方

• Admin Master 的选取

当满足以下任一条件时，该设备为Admin Master

1）单台设备起HA Peer模式

2）当设备的Group 0 为Master

3）当设备的Group 1 为Master且对端设备的Group 0 不是Master

4.1 路由模式部署

步骤1: 配置 HA Peer mode 和 HA link interfaces:

【如果使用了高级应用，HA trafic流量较大，建议启用Ha link date接口,也可用Agg，为保证可靠性，建议配置至少2个link interface】

FW1

hostname(config)# ha link interface eth0/1

hostname(config)# ha link interface eth0/5

hostname(config)# ha link ip 1.1.1.1/24

hostname(config)# ha link data interface eth0/3

hostname(config) ha group 1

hostname(config-ha-group)# exit

hostname (config)# ha cluster 1 peer-mode node 0  

Confirm: If you changed HA node, the system need reboot by administrator, continue? [y]/n: y

hostname(config)# ha mode non-group

hostname(config)# exit

FW2

hostname(config)# ha link interface eth0/1

hostname(config)# ha link interface eth0/5

hostname(config)# ha link ip 1.1.1.2/24

hostname(config)# ha link data interface eth0/3

hostname(config) ha group 1

hostname(config-ha-group)# exit

hostname (config)# ha cluster 1 peer-mode node 1  

Confirm: If you changed HA node, the system need reboot by administrator, continue? [y]/n: y

hostname(config)# ha mode non-group

hostname(config)# exit

步骤2: Enable HA traffic:

【使用应用控制功能，如APP识别，AV,IPS,URL等应用层功能，需要启用HA traffic,首包默认 max-size: 128】

FW1

Hostname(M0D1)(config)# ha traffic enable

hostname(M0D1)(config)# ha traffic first-packet

hostname(M0D1) (config)# exit

FW2

hostname(config)(M0D1) # ha traffic enable

hostname(M0D1)(config)# ha traffic first-packet

hostname(config)(M0D1) # exit

步骤 3: 在异步路由环境下所有路由器使用OSPF协议，并将防火墙启用OSPF路由，且使用默认metric和cost。

FW1

hostname(M0D1) (config) # ip vrouter trust-vr

hostname(M0D1) (config-vrouter)# router ospf

hostname(M0D1) (config-router) # router-id 1.1.1.1 local

hostname(M0D1) (config-router) # network 50.1.1.0/24 area 0  

hostname(M0D1) (config-router) # network 60.1.1.0/24 area 0

hostname(M0D1) (config-router)# network 70.1.1.0/24 area 0

hostname(M0D1) (config-router)# network 80.1.1.0/24 area 0

hostname(M0D1) (config-router)# end

hostname(M0D1)# config

hostname(M0D1) (config)# interface eth1/2

hostname(M0D1) (config-if-eth1/2)# zone trust

hostname(M0D1) (config-if-eth1/2)# ip address 70.1.1.1/24

hostname(M0D1) (config-if-eth1/2)# exit

hostname(M0D1) (config)# interface eth1/2:1

hostname(M0D1) (config-if-eth1/2:1)# zone trust

hostname(M0D1) (config-if-eth1/2:1)# ip address 80.1.1.1/24

hostname(M0D1) (config-if-eth1/2:1)# exit

hostname(M0D1) (config)# interface eth1/1

hostname(M0D1) (config-if-eth1/1)# zone trust

hostname(M0D1) (config-if-eth1/1)# ip address 50.1.1.2/24

hostname(M0D1) (config-if-eth1/1)# exit

hostname(M0D1) (config)# interface eth1/1:1

hostname(M0D1) (config-if-eth1/1:1)# zone trust

hostname(M0D1) (config-if-eth1/1:1)# ip address 60.1.1.2/24

hostname(M0D1) (config-if-eth0/1:1)# exit

hostname(M0D1) (config-if-eth0/1:1)# end

FW2

hostname(D0M1) (config)# ip vrouter trust-vr

hostname(D0M1) (config-vrouter)# router ospf

hostname(D0M1) (config-router)# router-id 1.1.1.2 local

步骤 4: 配置监控对象，监控对端路由R3的Ethernet0/1接口的ip地址70.1.1.2，如果监控失败，所有session将会迁移至DeviceB。此处监控对象可根据实际需求来进行调整。

FW1

hostname(M0D1) (config)# track track1

hostname(M0D1) (config-trackip)# ip 70.1.1.2 interface eth1/2

hostname(M0D1) (config-trackip)# exit

hostname(M0D1) (config)# ha group 0

hostname(M0D1) (config-ha-non-group)# monitor track track1

hostname(M0D1) (config-ha-non-group)# exit

Step 5: 配置AV profilce并绑定安全域, 安全策略及其它可根据需求配置，此处略。

Device 1

hostname(M0D1) (config)# av-profile av

hostname(M0D1) (config-av-prifile)# profile-type ftp action log-only

hostname(M0D1) (config-av-prifile)# file-type zip

hostname(M0D1) (config-av-prifile)# exit

hostname(M0D1) (config)# zone untrust

hostname(M0D1) (config-zone-untrust)# av enable av

hostname(M0D1) (config-zone-untrust)# exit

4.2 透明模式部署

步骤1: 配置 HA Peer mode 和 HA link interfaces:

【如果使用了高级应用，HA trafic流量较大，建议启用Ha link date接口,也可用Agg，为保证可靠性，建议配置至少2个link interface】

FW1

hostname(config)# ha link interface eth0/1

hostname(config)# ha link interface eth0/2

hostname(config)# ha link ip 1.1.1.1/24

hostname(config)# ha link data interface eth0/3    

hostname(config) ha group 1

hostname(config-ha-group)# exit

hostname (config)# ha cluster 1 peer-mode node 0  

Confirm: If you changed HA node, the system need reboot by administrator, continue? [y]/n: y

hostname(config)# ha mode non-group

hostname(config)# exit

FW2

hostname(config)# ha link interface eth0/1

hostname(config)# ha link interface eth0/2

hostname(config)# ha link ip 1.1.1.2/24

hostname(config)# ha link data interface eth0/3

hostname(config) ha group 1

hostname(config-ha-group)# exit

hostname (config)# ha cluster 1 peer-mode node 1  

Confirm: If you changed HA node, the system need reboot by administrator, continue? [y]/n: y

hostname(config)# ha mode non-group

hostname(config)# exit

步骤2: Enable HA traffic:

【使用应用控制功能，如APP识别，AV,IPS,URL等应用层功能，需要启用HA traffic】

FW1

hostname(M0D1) (config)# ha traffic enable

hostname(M0D1)(config)# ha traffic first-packet

hostname(M0D1) (config)# exit

FW2

hostname(config)(M0D1) # ha traffic enable

hostname(M0D1)(config)# ha traffic first-packet

hostname(config)(M0D1) # exit

步骤 3: 配置接口归属二层安全域，以及Vswitch及默认路由。

FW1

hostname(M0D1) (config)# interface Ethernet0/5

hostname(M0D1) (config-if-eth0/5) #zone l2-trust

hostname(M0D1) (config)# interface Ethernet0/5:1

hostname(M0D1) (config-if-eth0/5:1) # zone l2-trust

hostname(M0D1) (config)# interface Ethernet0/6

hostname(M0D1) (config-if-eth0/6) # zone l2-untrust

hostname(M0D1) (config)# interface Ethernet0/6:1

hostname(M0D1) (config-if-eth0/6:1) # zone l2-untrust

hostname(M0D1) (config-if-eth0/6:1) # interface Vswitch1

hostname(M0D1) (config-if-vswitchf1)zone trust

hostname(M0D1) (config-if-vswitchf1)ip address 20.1.1.3/24

hostname(M0D1) (config)#ip vrouter trust-vr

hostname(M0D1) (config-vrouter)# ip route 0.0.0.0/0 20.1.1.1

hostname(M0D1) (config-vrouter)# ip route 0.0.0.0/0 20.1.1.1

hostname(M0D1) (config-vrouter)#end

步骤 4: 配置监控对象，监控对端路由R1的Ethernet0/1接口的ip地址20.1.1.2，如果监控失败，所有session将会迁移至DeviceB。此处监控对象可根据实际需求来进行调整。

FW1

hostname(M0D1) (config)# track track1

hostname(M0D1) (config-trackip)# ip 20.1.1.1 interface vswitch1

hostname(M0D1) (config-trackip)# exit

hostname(M0D1) (config)# ha group 0

hostname(M0D1) (config-ha-non-group)# monitor track track1

hostname(M0D1) (config-ha-non-group)# exit

Step 5: 配置AV profilce并绑定安全域，安全策略及其它可根据需求配置，此处略。

Device 1

hostname(M0D1) (config)# av-profile av

hostname(M0D1) (config-av-prifile)# profile-type ftp action log-only

hostname(M0D1) (config-av-prifile)# file-type zip

hostname(M0D1) (config-av-prifile)# exit

hostname(M0D1) (config)# zone untrust

hostname(M0D1) (config-zone-untrust)# av enable av

hostname(M0D1) (config-zone-untrust)# exit

5 建设效果

5.1 HA Traffic起什么作用？什么情况下使用？

a非对称路由环境下，初始报文通过FW1建立session后，session同步至FW2, 返程报文先于session同步消息到达了FW2，由于无法match session，返程报文在FW2被丢弃，导致用户应用异常。

b非对称路由环境下，正向流量经过左侧FW1，反向流量经过FW2转发出去，IPS/AV/NBC/URLDB/应用识别不能正常工作，导致应用异常。

为了解决a，b两种问题，HA Traffic支持首包转发和首包延时转发。

注意事项：

• HA traffic first-packet只适用于路由模式

• 同时开启HA traffic first-packet和traffic delay，前者优先，不满足前者条件的packet则进行traffic delay

具体配置如下：

hostname(M0D1)(config)# ha traffic enable          

hostname (M0D1)(config)# ha traffic first-packet max-size 128

hostname (M0D1)(config)# ha traffic delay 30

5.2 由于业务流量较大，可能导致HA traffic流量过大而影响HA工作，如何避免？

可以配置ha date link， 配置之后，ha control link 和ha date link将使用不同的物理通道发送流量， control link负责发送HA协商消息及控制报文，date link发送数据报文。如果date link流量过大而接近接口的性能瓶颈，也可以使用AGG接口来作为date link。没有配置HA link data interface时，HA的控制和同步消息都通过HA link interface发送。

配置如下：

hostname (M0D1)(config)# ha link data interface ethernet0/0

或者

hostname (M0D1)(config)# interface ethernet0/0

hostname (M0D1)(config)# iaggregate aggregate1

hostname (M0D1)(config)# interface ethernet0/1

hostname (M0D1)(config)# iaggregate aggregate1

hostname (M0D1)(config)# ha link data interface aggregate1

5.3 HA peer-mode的配置，两台设备配置需要单独配置吗?

除了HA部分的配置外，其它配置全部在 admin master设备上进行配置，两台处在HA工作正常状态下的设备，只有一台是admin master，也就是说，除了HA部分以外的配置在admin master上配置即可。

5.4 在动态路由环境下，由于动态路由未及时学习或因网络变动未及时收敛，导致报文无法转发的问题如何解决？

其中路由没有快速学习的问题可以通过配置direct-send default- nexthop x.x.x.x解决，即找不到路由转发时，转发给默认的下一跳。

配置：

hostname(M0D1)(config-if-eth0/1)# direct-send default-nexthop 5.1.1.1

5.5 如何查看HA的相关配置和状态

hostname(M0D1)(config-if-eth0/1)# show ha cluster

  HA cluster is 1, node is 0

  peer-mode is enabled with asymmetric-routing

  Admin Master

hostname(M0D1)(config-if-eth0/1)# show ha link status

HA link status:

HA link ip=1.1.1.1

HA link 1:   HA link if ifid=11 ifname=ethernet0/2 status=UP

 HA data link:   HA link if ifid=9 ifname=ethernet0/0 status=UP

hostname(M0D1)(config-if-eth0/1)# show ha group 0

HA Group id=0

  state  Master

  priority  100

  preempt  N/A

  monitor  

  HA peer num  1

  HA peer 0

     device id 1003944090008139

     ip  1.1.1.2

     state  Master

     priority  100

hostname(M0D1)(config-if-eth0/1)# show ha group 1

HA Group id=1

  state  Disabled

  priority  100

  preempt  N/A

  monitor  

  HA peer num  0

hostname(M0D1)(config-if-eth0/1)# show ha sync state

  pki               Key/Certificate/CRL

  dns               Dns cache

  dhcp              Dhcp lease

  vpn               VPN info

  ntp               Ntp clock

  config            Configure

  flow              ARP/Session/MAC

  scvpn             SCVPN info

  route             Route info

hostname(M0D1)(config)# exec ha sync configuration

Sync configuration is finished