- 1DarkLabel - 视频/图像标记和注释工具(翻译)_darklabel视频标注如何继续选择id
- 2PostgreSQL数据库安装教程_postgresql安装
- 3高质量数据赋能大模型应用落地,景联文科技提供海量AI大模型数据
- 4Runtime 核心原理,Vue3真正的烫手山芋_runtime 以及 compiler
- 5用Visual Studio Code编辑器写react需要安装的插件_vss使用react
- 6大厂笔试ACM格式的输入如何读取多个数组?_acm c语言从标准输入获取数组
- 7智慧矿山IT智能运维自动化解决方案_煤矿智能化运维方案
- 8[Maya API] 三、Maya API 中的基本容器的使用
- 9C语言数据结构-双向链表
- 10uniapp引入uview不成功,报错未注册did you register the component correctly? For recursive components,_引入了uview还报错[vue warn]:
- did you re
HA双机热备典型功能——ping server、集群外带管理、配置命令集_set ha-direct enable
赞
踩
目录
Ⅰ HA的ping server 配置
一、Ping Server功能
Ping server功能是为了防止所谓端口‘假死’的问题,链路状态正常,但链路无法工作,防火墙可以通过利用发送ping 包,根据对方的响应来判断该端口链路是否可用。
进入菜单: 路由--静态--设置--失效网关检测。
点击"新建"按钮,按如下方式配置ping server检测
接口: 需要被监视的接口,wan1
接口ip: 接口的IP,探测数据包的源头IP
Ping服务器:用于探测的服务器地址,一般定义为下一跳网关地址
检测协议: ICMP ping, TCP echo, UDP echo.
Ping间隔(秒):5 ,每5秒发送一个探测数据包,
故障恢复阀值: 连续5个探测失败,则认为该接口不再可用
HA优先:1, 接口探测失败后,会对HA协议中,用户与判断是否进行HA切换的一个变量(初始为0)值增加1.
配置命令:
| config router gwdetect edit "wan1" | 指定监控接口。 |
| set failtime 3 | 检测数据包连续丢3个,认为该接口失效 |
| set ha-priority 5 | 该接口ping检测失败后,HA关联参数值增加5 |
| set interval 2 | 每2秒发送一个ping包 |
| set server 202.1.1.5 | 可以配置2个以上被检测的网关,只要有任何一个网关有回应,即认为该接口工作正常 |
| end |
二、HA相关配置
如果只配置上述的配置,ping检测失败时HA不会切换,只是去往该接口的路由不再有效。需要在HA配置中告诉防火墙wan1口的 pingserver会作为HA切换的触发条件。
RG-WALL #config system ha
RG-WALL (ha)#Set pingserver-monitor-interface wan2 //监视wan2口上的pingserver
RG-WALL (ha)#Set pingserver-failover-threshold 0 //ha切换的闸值,默认为0,
RG-WALL (ha)#set pingserver-flip-timeout 60 //连续2次ping server触发的HA切换的间隔
三、HA相关配置
set ha-priority 1与pingserver-failover-threshold 0相关联。两者相比较,当wan1接口pingserver检查失效后赋值增加1,已经达到了闸值0,所以触发HA会切换。
如果 pingserver-failover-threshold 2,即使该接口wan1的pingserver检测失败,set ha-priority 1 小于 pingserver-failover-threshold 2, 达不到触发的闸值,HA不会切换。
Ⅱ HA集群带外管理
一、管理需求
在HA集群中,所有集群成员的配置全部相同,通过IP只能管理到主设备,无法通过IP对每个slave设备进行单独的管理。同时为了业务的安全,需要将管理网络与业务网络独立开。
为实现如上需求,可以使用HA使用独立的管理接口来实现带外管理功能。独立管理口的相关配置不会被HA所同步。
二、网络拓扑
三、配置要点
1、配置HA基础配置
2、配置“储备管理端口”
3、为带外管理口配置IP
4、为带外管理口配置网关
5、配置SNMP
四、操作步骤
1、配置HA基础配置
按照 “HA基础配置”一节,完成HA的基础配置。
2、配置“储备管理端口”
菜单:系统管理--配置--高可靠性,勾选“储备管理端口的集群成员按钮”,并选择一个座位独立管理口的接口,internal5.
3、为带外管理口配置IP
1)为主设备配置管理IP地址。
菜单: 系统管理--网络--接口--internal5
根据需要,为internal5接口配置IP地址,同时勾选相应的管理访问项.
2)为从设备配置管理IP地址。
一开始HA没有组建的情况下,可以通过web界面配置从设备的internal5口,来做管理,如果HA已经组建且已启动运行,从设备一开始无法通过web界面管理,我们可以通过以下
几种方式为从设备配置internal5的ip作为后续带外管理地址
A、 从主设备上管理从设备
在主设备上执行如下命令,进入从设备,执行如下命令进入从设备
RG-WALL # exec ha manage ?
<id> please input peer box index.
<1> xxxxxxxx序列号
RG-WALL # exec ha manage 1 // 跳转到从设备上
执行如下命令来配置internal5的ip地址
RG-WALL #config system interface
RG-WALL(interface)#edit internal5
RG-WALL(internal5)#set ip 172.16.0.2/24
RG-WALL(internal5)#set allowaccess https ping snmp
RG-WALL(internal5)#end
B 也可以直接通过console口对从设备进行管理。
执行如下命令来配置internal5的ip地址
RG-WALL#config system interface
RG-WALL(interface)#edit internal5
RG-WALL(internal5)#set ip 172.16.0.2/24
RG-WALL(internal5)#set allowaccess https ping snmp
RG-WALL(internal5)#end
4、为带外管理口配置网关
分别在两台防火墙上通过命令行执行如下配置命令:
RG-WALL#config system ha
RG-WALL(ha)#set ha-mgmt-interface-gateway 172.16.0.254
RG-WALL(ha)#end
5、配置SNMP
RG-WALL#config system snmp community
RG-WALL (community)#edit 1
RG-WALL (1)#config hosts
RG-WALL (hosts)#edit 1
RG-WALL (1)#set ha-direct enable / /仅用于访问独立管理口。
RG-WALL (1)#set ip 10.0.0.100 255.255.255.255
RG-WALL (1)#next
RG-WALL (hosts)#end
RG-WALL (community)#set name readfornm
RG-WALL (community)#next
五、验证效果
通过独立管理口对2台设备进行https 管理和SNMP监控。
Ⅲ HA配置命令集
HA配置命令集
HA配置命令config system ha,如下是常用的配置命令。
1) set group-id 0
配置HA机群的组ID,一个机群内的成员必须有相同的组ID.该ID会成为生成防火墙接口的的虚拟MAC的一个组成因素,因此当同一个广播域有2组以上的HA机群的时候需要配置不同的组ID,防止MAC地址冲突.
2) set group-name "Ruijie-HA"
一个机群内的成员必须有相同的组名字
3) set mode standalone/a-a/a-p
HA工作模式,常用为a-p模式。AA模式下在HA状态中查看到HA的角色,有主设备及从设备,通常会被认为工作在主被模式下,实际上主主下设备虽然都在工作,仍会有一台作为集群的主设备用来控制和分配流量和会话给集群中的其他设备。AA模式默认情况下仅负载均衡UTM的流量,所以在下不使用UTM功能时建议使用AP模式。
4) set password
一个机群内的成员必须有相同的密码
5) set hbdev "port1" 50 "port2" 50
配置心跳接口。其中50为优先级,优先级高的被优先使用。
6) unset session-sync-dev
可以配置专门的心跳接口用于会话信息同步,默认和控制信息为同一心跳接口。
7) set route-ttl 10
路由转发表的存活时间。HA设备之间只同步转发表,不同步路由表。当一个备机被选举成主机后,其原有转发表的存活时间,单位秒。随后通过静态或动态路由协议生成转发表,继续工作。
8) set route-wait 0
主设备收到新的路由条目后,会等待x秒后,再同步给从设备。
9) set route-hold 10
主设备进行2次路由同步之间的间隔,防止路由震荡而造成反复更新路由。
10)set sync-config enable
配置文件自动同步,需要开启。
11)set encryption disable
是否允许使用AES-128和SHA1对心跳信息进行加密和完整性验证。
12)set authentication disable
是否使用SHA1算法验证心跳信息的完整性。
13)set hb-interval 2
发送心跳数据包的间隔,单位为每100ms.如配置2,则每200ms发送一个心跳信息。
14)set hb-lost-threshold 6
心跳信息连续丢失6个后则认为对方不再存活。
15)set helo-holddown 20
Hello状态时间。设备加入HA机群前等待的时间,防止由于未能发现所有的机群成员而造成Ha的反复协商。
16)set arps 5
设备成为主设备后,要发送免费arp来宣布自己的MAC地址,以便相连的交换机能够及时更新MAC地址表,该参数用于配置其发送的数量。
17)set arps-interval 8
发送免费arp的间隔,单位秒。
18)set session-pickup enable/disable
关闭或者开启会话同步,默认为disable。一般需要开启。
19)set session-pickup-delay{enable | disable}
仅对存活30秒以上的会话进行同步。开启后会对性能有所优化,但小于30秒的会话在HA切换的时候会丢失。默认为关闭,谨慎使用。
20)set link-failed-signal disable
防火墙上发生被监控端口失效触发HA切换的时候,是否将除心跳口外的所有端口shutdown一秒钟的时间,便于与之相连的交换机及时更新MAC表。
21)set uninterruptable-upgrade enable
是否允许无中断升级OS。系统自动分别对机群内的设备升级,并自动切换,不会造成业务的中断。
22)set ha-uptime-diff-margin 300
当进行HA选举时,启动时间为一个选举的一个参数,当2台设备启动时间差小于300时则将该部分差异忽略,视为相同。
23)set override disable
默认为disable,HA选举按如下顺序进行比较:有效接口数量>运行时间>HA优先级>设备序列号。Enable情况下,讯据顺序改变。有效接口数量>HA优先级>运行时间>设备序列号。每次设备加入或者离开机群,都会强制整个机群重新进行主设备的选举。
24)set priority 128
HA优先级,为便于管理,建议主设备200,从设备100.
25)set monitor port3 port4
配置需要被监控的端口,其有效数量多的设备成为主设备。
26)unset pingserver-monitor-interface
是否设置pingserver监控端口。
27)set pingserver-failover-threshold 0
pingserver触发的阀值,0则意味着任何的pingserver失效都会触发HA的切换。
28)set pingserver-flip-timeout 60
两次pingserver失效切换之间的间隔。如A发生失效,切换到B. 切过去之后发现B也是失效的,则需要等待60分钟的时间允许切换回A.
29)set ha-mgmt-status enable
HA的带外管理配置命令
set ha-mgmt-interface port1
set ha-mgmt-interface-gateway x.x.x.x
