0%
HA (High Availability)
- 高可靠性(High Availability),簡稱為HA,能夠在通信線路或設備產生故障時提供備用方案,從而保證數據通信的暢通,有效增強網絡的可靠性
- 實現HA功能,用戶需要配置兩台採用完全相同的硬體平台、固件版本,均啟用VR及防病毒功能、安裝防病毒許可證的安全網關,組成HA簇
- 當一台設備不可用或者不能處理來自客戶端的請求時,該請求會及時轉到另外的可用設備來處理,這樣就保證了網絡通信的不間斷進行,極大地提高了通信的可靠性。
工作模式
Active-Passive(A/P)模式:
- 在HA簇中配置兩台設備組成一個HA組,組內只有一台主設備。
- 主設備處於活動狀態,轉發報文,同時將其所有網絡和配置信息以及當前會話信息傳遞給備份設備。
- 當主設備出現故障時,備份設備接替主設備工作,轉發報文。
- 這種A/P模式具有較強冗餘性,而且其網絡結構簡單,便於維護管理。
Active-Active(A/A)模式:
- 當設備處於NAT模式、路由模式或兩者的組合時,可以將HA簇中的兩台設備都配置成主動,使兩台設備同時運行各自的工作,且相互監測對方的情況。
- 當其中一台設備發生故障時,另外一台設備運行其自身的工作並且接管故障設備的工作,以保證工作不間斷,該模式稱為Active-Active模式。
- 這種A/A模式具有高性能以及負載均衡的優點。
Peer模式:
- 該模式是一種特殊的HA Active-Active模式。
- 處於Peer模式下的兩台設備都處於主動狀態且同時運行各自的工作、相互監測對方的情況。
- 當其中一台設備發生故障時,另外一台設備運行其自身的工作並且接管故障設備的工作。
- 在Peer模式下,只有處於主動狀態的設備的接口可以正常收發報文;處于禁用狀態的設備可使2台設備的配置信息保持一致,但其接口不收發任何報文。
- Peer模式配置更加靈活,比較適合在非對稱路由環境中部署。
HA 同步
- 為保證備份設備能夠在主設備失效時代替主設備工作,主設備需要與備用設備進行同步。
- 同步的信息類型有三種:配置信息、文件以及RDO(Runtime Dynamic Object)。
- RDO的具體內容主要包括:
- 會話信息(以下類型會話信息不會同步:到設備本身的會話、隧道會話、Deny Session、ICMP會話以及tentative會話)
- IPsec VPN信息
- SCVPN信息
- DNS緩存映射條目
- ARP表
- PKI信息
- DHCP信息
- MAC表
- 系統使用兩種方法進行同步,分別是實時同步和批量同步。
- 當主設備剛剛選舉成功時,系統會使用批量同步方法,將主設備信息全部同步到備份設備;
- 當配置發生變化時,系統將使用實時同步的方法將變化的信息同步到備份設備。
- 除HA相關配置和本地配置(例如,主機名稱配置),其它的配置都會被同步。
reference