透明主主部署是两台AF做网桥部署在网络中,均处于工作状态,根据流量转发到不同AF的情况,来进行数据处理,通过心跳口同步配置及会话(网桥模式包括透明模式和虚拟网线模式)。
透明主主模式配置案例
某企业内部网络是路由器和核心交换机做链路聚合,现购买了两台AF虚拟网线模式部
署进网络中,两台AF需要做网桥主主部署,经过两台AF的流量会存在来回流量路径
不一致的问题,需要开启双机聚合功能,具体拓扑如下图所示。
前提条件
1. 组建双机条件:软件版本、内存、网口和授权一致。
2. AF设备业务口(内网口、外网口)、心跳口、数据同步口以及IP地址规划好。
3. 主控已配置好透明部署模式以及相关安全策略。
4. 先配置主控信息,再配置备控。
配置步骤
步骤1.
主控配置心跳口。在[网络/接口/物理接口]选择eth1口配置IP地址, 本案例中设置为11.1.1.1/24。如下图所示。
步骤2.
主控配置数据同步口。在[网络/接口/物理接口]选择eth4口配置IP地址, 本案例中设置为12.1.1.1/24,并在[高级设置]中开启巨帧,如下图所示。
步骤3.
主控配置接口联动。在[网络/接口/接口联动]页面中启用接口LINK状态联动,并点击<新增>,选择接口eth2和接口eth3。如下图所示。
步骤4.
主控启用双机热备。进入[系统/高可用性/双机热备]页面,点击<配置>勾选启用,选择主主负载模式,心跳接口选择eth1,设置对端IP为11.1.1.2,数据同步接口选择eth4,设置对端IP为12.1.1.2,并勾选启用透明模式,如下图所示。
步骤5.
主控配置双机聚合。在[双机聚合]选项点击<设置>弹出页面中启用双机聚合,内网区域设置新增选择接口eth3,外网区域设置新增选择接口eth2,如下图所示。
步骤6.
主控设置为主控角色。在[系统/高可用性/配置同步]页面中配合同步角色点<设置>,选择主控角色。如下图所示。
步骤7.
点击<确定>完成主控配置。
步骤8.
备控配置心跳口。在[网络/接口/物理接口]选择eth1口配置IP地址, 本案例中设置为11.1.1.2/24。如下图所示。
步骤9.
备控配置数据同步口。在[网络/接口/物理接口]选择eth4口配置IP地址, 本案例中设置为12.1.1.1/24,并在[高级设置]中开启巨帧,如下图所示。
步骤10.
备控启用双机热备。进入[系统/高可用性/双机热备]页面,点击<配置>勾选启用,选择主主负载模式,心跳接口选择eth1,设置对端IP为11.1.1.1,数据同步接口选择eth4,设置对端IP为12.1.1.1,并勾选启用透明模式,如下图所示。
步骤11.
备控配置双机聚合。在[双机聚合]选项点击<设置>弹出页面中启用双机聚合,内网区域设置新增选择接口eth3,外网区域设置新增选择接口eth2,如下图所示。
步骤12.
备控设置为备控角色。在[系统/高可用性/配置同步]页面中配合同步角色点<设置>,选择主控角色。如下图所示。
注意:
1.在流量来回路径不一致场景下,使用 AF 做透明双主部署,需要开启双机聚合功能,如果 AF1 和 AF2 上下行学到的下一跳 IP 或 MAC 不相同(也就是上下游是不同的路由口),那么除了开启双机聚合功能外,还需要开启 HA Traffic 功能;
2.上下游设备做链路聚合,建议是用 LACP 进行聚合,聚合口转发算法要改为源目 IP(默认是源目 mac),否则有概率出现所有流量都是非对称的场景,影响 AF 转发性能。
3.双机聚合情况下需在对应的数据同步口开启巨帧,因为报文从一台 AF 设备通过心跳接口发送到另一台 AF 设备时,需要在原来报文的基础上继续封装二三四层头以及 HA 头和Zmode 信息,可能大于 MTU 值从而引起报文分片重组,影响性能,开启对应接口处巨帧功能后,就不存在报文分片重组的情况。