案例背景
共有两台负载均衡、两台防火墙和两台行为管理。要求对上网线路带宽进行均衡调度,充分利用出口线路带宽,并对内部的的业务进行负载调度和入站链路负载。对内网用户上网行为进行管控、审计,以及对内部的服务器和终端进行安全防护。现要求做到设备、线路冗余,当一台设备坏了或者线路异常不会影响内网用户上网及内部的业务访问。
网络拓扑
根据需求优先选择口字型双机部署,规划出网络拓扑图如下:
拓扑说明:两台负载AD做主备放在互联网出口,AF主主模式透明部署在AD下面,由于AC网桥部署不支持主备模式,所以两台AC设备使用主主模式网桥部署在AF和核心交换机之间。
网口及IP地址规划
工具准备
| 工具名称 | 作用 | 提供方式 |
|---|---|---|
| 螺丝刀 | 设备上架 | 联系客户提供 |
| 网线 | 设备连接 | 设备自带两根,多的协调客户提供 |
| 电源线,电源插座 | 设备供电 | 设备自带,客户提供 |
| 交换机 | 用来接外网线路,再把外网分接到两个AD设备上 | 客户提供 |
| 笔记本 | 设备调试 | 自带 |
工作准备
设备网口及地址规划
| 设备名称 | 接口名称 | IP地址 | 对端设备 |
|---|---|---|---|
| 主机AD | (联通)eth1 | X.X.X.X/24 | 联通光猫交换机 |
| (电信)eth2 | X.X.X.X/24 | 电信光猫交换机 | |
| (内网口)eth3 | 172.16.6.5/24 | AF-1(eth2口) | |
| (主心跳口)eth4 | 4.4.4.1/24 | 备机AD(eth4口) | |
| (备心跳口)MANAGE | 192.168.0.11/24 | 备机AD(MANAGE口) | |
| 备机AD | (联通)eth1 | X.X.X.X/24 | 联通光猫交换机 |
| (电信)eth2 | X.X.X.X/24 | 电信光猫交换机 | |
| (内网口)eth3 | 172.16.6.5/24 | AF-2(eth2口) | |
| (主心跳口)eth4 | 4.4.4.1/24 | 主机AD(eth4口) | |
| (备心跳口)MANAGE | 192.168.0.12/24 | 主机AD(MANAGE口) | |
| AF-1 | ETH2口 | 网桥地址:172.16.6.3/24-HA | AD-主(eth3口) |
| ETH1口 | AC-1(eth1口) | ||
| (主心跳口)ETH4口 | 4.4.4.1/24-HA | AF-2(ETH4口) | |
| (备心跳口)ETH5口 | 5.5.5.1/24-HA | AF-2(ETH5口) | |
| AF-2 | ETH2口 | 网桥地址:172.16.6.4/24-HA | AD-备(eth3口) |
| ETH1口 | AC-2(eth1口) | ||
| (主心跳口)ETH4口 | 4.4.4.2/24-HA | AF-1(ETH4口) | |
| (备心跳口)ETH5口 | 5.5.5.2/24-HA | AF-1(ETH5口) | |
| AC-1 | ETH1口 | 网桥地址:172.16.6.1/24 | AF-1(eth1口) |
| ETH0口 | 核心交换机 | ||
| AC-2 | ETH1口 | 网桥地址:172.16.6.2/24 | AF-2(eth1口) |
| ETH0口 | 核心交换机 |
备注:AC主主是通过网桥地址检测协商,无需配置单独心跳口
设备实施部署
AD设备配置:
总体实施配置流程:
主机:网络接口、智能路由、端口映射,地址转换、以及双机界面上所有的功能都需要按照以下说明在主机上设置完成;
备机:主机名称/状态/动作/主备心跳口设置,只需要设置这几项即可;其他信息会全 部从主机同步过去。
AD主机配置
网络接口配置
按照地址规划进行各网口配置,结果如下图所示:
静态路由配置
由于内网有多个网段,所以需要添加到内网网段的回包路由,如下:
智能路由配置
根据实际需求,访问联通走联通,访问移动走移动,访问电信走电信,具体配置如下:
地址转换配置
双机配置
双机启用配置根据客户实际需求进行配置如下:
AD备机配置
备机只需配置双机信息即可,其他配置信息会进行自动同步,备机双机配置,点击启用,运行角色选择备机,按照之前规划填写主备心跳地址,如下所示:
AF设备配置:
AF主主模式部署,具体配置步骤如下:
AF-1配置:
网络配置:
- 根据网络规划,网口配置如下图所示:
- VLAN接口配置管理地址,如下图所示:
- 接口联动配置:
路由配置:
添加默认路由和到内网的回包路由,如下图所示:
应用控制和安全防护策略配置:
高可用配置:
AF主主模式部署,只需要配置心跳口和同步信息即可,双机热备不用配置,具体步骤如下:
- 基本信息配置
- 配置同步信息配置如下:
AF-2配置:
AF-2只需配置心跳口和管理口地址,以及双机配置即可
网络配置:
网络接口只需配置心跳口和管理地址,具体配置如下图所示:
高可用配置:
因为AF是主主模式部署,所以双机不用开启,只需配置心跳线路和同步策略即可,具配置如下:
- 基本信息配置,即心跳口配置如下图所示:
- 配置同步信息配置如下:
AC设备配置:
AC主主模式部署,具体配置步骤如下:
AC-1配置:
网络配置:
高可用配置:
AC-2配置:
网络配置:
高可用配置:
双机测试效果
查看高可用状态
- AD高可用状态:
- AC高可用状态:
主备切换测试
- 在AD主机界面双机主备信息界面,可以手动点击切换备机,如下图所示:
- 下面电脑开启长ping 114.114.114.114查看丢包情况,如下图所示:
其他切换测试方法
其他切换测试方法,可以参考POC测试用例进行测试,如下所示:
注意事项
- 该模式AF建议主主模式部署,如果采用主备模式部署,AD双机部署要开启备机down网口功能
- AF透明模式部署上下两个网口不能为bypass口,并开启上下接口联动。
- AC网桥模式部署上下两个网口不能为bypass口,并要开启多链路同步功能。
- AF主主模式部署,AF-1选择主控时,AF-2一定要记住选择备控,如果选择主控会出现抢占主控,导致数据同步异常。
- AD配置备机高可用时,要选择备机,如果选择主机会导致主备无法建立。