浪潮服务器高可用软件LCH 简介 理论篇
仁浪潮LCHA 双机软件
LCHA 是一套提供防止业务主机因不可避免的意外性或计划性宕机问题的高可用性软 件。LCHA 软件同时安装在两台主机上,用于监视系统的状态,协调两台主机的工作,维护 系统的可用性。它能侦测应用级系统软件、硬件发生的故障,及时地进行错误隔绝、恢复, 以最低成本提供用户几乎不停顿的计算机作业环境。
1.1工作模式
主从方式(Active/Standby) 主机工作,从机处于监控准备状态。当主 机宕机时,从 机接管从机的工作,待主机恢复正常后,按使用者的预定以自动或手动的方式将服务切 换到主机上运行。
双工方式(Active/Active )两台主机同时运行各自的服务工作,且相 互监测对方的 情况。当一台主机宕机时,另外一台主机立即接管它的工作, 保证工作不间断。 1.2 特点
当一台活动服务器宕机时,其 IP 地址、服务器名称及运行的作业会自动
转移至另一台服务器,客户端软件不需要重新设定,只要重新连结至原来 址及服
务器名称即可继续作业;
两台服务器的信息交换可通过: RS232、TCP/IP ; LCHA 采取高可靠的错误检测和故障恢复机制减少系统宕机, 停机时间并防范错误,提
供故障警告;
LCHA 可设定故障排除后自动或手动回复(
switch back );
LCHA^装时不需要修改操作系统的核心、更改应用软件,也无需特殊的硬件;
LCHA
与
MSC 实际上都启动了 Windows 下的cluster service
服务。
ROSEH 提供基于GUI 的监控中心,管理员能查看 LCHA 勺状态、检查错误信息和警告、 修改系统参数及从远程工作站管理
LCHA 系统;
与数据库无关,可以支持各种数据库,包括 ORACL E Sybase 、Informix
等。
1.3 Private Net
私用网络
两台服务器通过私用网络心跳(HeartBeat )信号,使两台服务器能够相 互了解对方 的运行情况。为了避免不必要的失效切换,最好建立两条独立的物理 路径作为通讯
路径。
(TCPrlP 盘OS 刖
Server 2
A C II VL * SmutE
的IP 地
I VR Server
SLSI rn SCSI
RS-232 Socket Private Net: 配置服务器空闲的串口作为一条通讯路径。
TCP/IP Socket Private Net: 两台服务器的网卡用反线( back to back) 直接
或通过LAN建立一条通讯路径。
如果所有的私用网均失效,服务器仍然可以用公用侦测对方服务器的可用性。如果对
方服务器仍然可用,不触发接管动作;如果对方服务器不可用,立即接管动作。
1. 4
Public Net 公用网络
客户端通过此网络与服务器通信,当两台服务器互为备份。对于不同的服务,可以用不同的公用网连接到两台服务器。LCHA支持TCP/IP 协议,可以在thernetFastEthernet
FDDI和ATM网上运行。
1. 5管理工具
友好、直观、易于操作的GUI界面
有关LCHA勺配置都可以在GUI中完成,支持动态配置和实时同步
网卡的状态,磁盘的状态都可在GUI中显示出来
用户可通过第三方Web浏览器进行远程管理
1. 6监控的对象资源 Volume IP
地址 计算机别名 共享文件 NT 服务 用户自定义
系统启动后,LCHA 首先启动HA Manager 管理程序,根据高可靠性系统的配置结构初始化, 然后启动必要的服务和代理程序来监控和管理系统服务。 HA 弋理程序用来监控、监测、诊断
和管理硬件软件服务。
HA Manager 就会认为该服务处于活动状态, HA Manager ,其每项服务处于正常。
当代理程序检测到某个服务发生故障时,它就通知 HA Manager 管理程序。HA 软件首先会重
新启动该服务多次(可由用户设定)。如果启动不能成功,该服务会由
HA 转移到后备服务器
上。
HA 周期性地检测系统硬件的状态, 如果硬件发生故障,HA 会把与该硬件相关 的服务转移到 后备服务器上。当某项服务发生转移时,
HA 首先在运行服务器上停止该服务,之后,由备
份服务器上的HA 在备份服务器上启动该服务。由于停止和启动该服务需要一定的时间,
所
以,当服务被切换(转移)时,该服务会有短暂的中断,转移完成后,服务自动恢复正常运 行。 考虑到一些数据库系统(如 ORACLE SYBASE INFORMIX 等)以及其它一些应用软件(如 Domi no Server 、WWW Server 等),LCHA 在 HA 管理模块(HA Man ager )的基础上,提供了 一系列的Age nt 软件模块。Age nt 为一个软件监视模块, 监控 数据库服务或其它应用服务 的运行。当运行服务器发生故障时,由
Age nt 向HA 主控软件请求,进行相应的处理动作。
总之丄CHA 软件极大程度上减少了人的介入 ,提高了系统的可靠性与安全性 ,使服务能可靠的 运行。
在正常的运作情形之下, 主机之间透过冗余侦测线路互相侦测,
当任一主机有错 误产生时,
Service
■ HA Daarncn
I ■
斥EEC
.H unitor rtf ng
HcuFtbojt
Ajgenit Uonitcii r Dinman
代理程序检测到该服务器处于活动状态, Manager 会定时通知后备服务器上的
HA
A C L IWJ Bac>Stiver
Client i
LCHA提供严谨的判断与分析,确认主机出错之后,才完全启动备援接管动作。
支持各种操作系统平台
支持众多的UNIX 平台(如:IBM、DEC HP NCR SUN SGI、NEC SIEMENS等) 支持众多的PC 平台的Unix 系统(如:SCO/Unix、Solraris X86 等)
支持各种数据库:MS-SQL Oracle、Informix、Sysbase、Excheng、Lotus/Nose、DB2 等接管动作包括
接近零系统资源的占用
快速反映,错误检测时间小于10秒,故障切换及恢复时间一般在10-20秒
GUI与Server 分离,可随时中断GUI而不影响Server的运行
支持JOB 和BRING IN/BRING OUT、在一台SERVER上停止JOB 不会导致FAILOVER
在同一块网卡上建立多个活动的IP地址,支持多个JOB的运行
主服务器网络连接故障时会自动FAILOVER,而备用援服务器失败时不会进行误切换采用C++面向对象的方法设计,程序的稳健性、可维护性、扩充性得到提高
在双机热备的架构中,除了要考虑切换时间外,要根据每个系统的作业环境,包括网路系
统是单网或是双网,数据库的安装和作业内容及用户端的设备是经由广域网路、区域网路
接入不同用户有不同的需求,而要求有不同的切换模式,所以选择不同的切换模式,可以
使用户端的改变达到最少的程度。
LCHA根据不同的行业及各行业不同的需求设计多种备援模式以弹性的调适用户的最佳组合
及选择。
1. 7 LCHA系统运作方式
文件系统(File System)
数据库(Database)
网络地址(IP Address)
应用程序(AP)
系统环境(OS)
1.8容错备援运作过程
自动侦测(Auto-Detect)阶段由主机上的软件通过冗余侦测线,经由复杂的监听程序。
逻辑判断,来相互侦测对方运行的情况,所检查的项目有:
主机硬件(CPU和周边)、主机网络、主机操作系统
数据库引擎及其它应用程序主机与磁盘阵列连线
为确保侦测的正确性,而防止错误的判断,可设定安全侦测时间,包括侦测时间间隔,侦测次数以调整安全系数,并且由主机的冗余通信连线,将所汇集的讯息记录下来,以供
维护参考。
自动切换(Auto-Switch)阶段某一主机如果确认对方故障,则正常主机除继续进行原
来的任务,还将依据各种容错备援模式接管预先设定的备援作业程序,并进行后续的程序
及服务。
自动恢复(Auto-Recovery)阶段在正常主机代替故障主机工作后,故障主机可离线进
行修复工作。在故障主机修复后,透过冗余通讯线与原正常主机连线,自动切换回修复完
成的主机上。整个回复过程完成由EDI-HA自动完成,亦可依据预先配置,选择回复动作
为半自动或不回复。
1. 9多种容错备援模式模式1 :双机相互备援模式2 :主从式备援模式3 : Hot Standby 模式4 :双网卡,单网段类型5 :双网卡、双网段模式6 :多主机备援系统用户定制模式
在双机热备的架构中,除了要考虑切换时间外,要根据每个系统的作业环境,包括网路系
统是单网或是双网,数据库的安装和作业内容及用户端的设备是经由广域网路、区域网路
接入不同用户有不同的需求,而要求有不同的切换模式,所以选择不同的切换模式,可以
使用户端的改变达到最少的程度。
LCHA根据不同的行业及各行业不同的需求设计多种备援模式以弹性的调适用户的最佳组
合及选择。
樓式1■-跟机双工热备份(Mutu&l Backup^
双主机通过一条TCP/IP网络线以及一条RS-232电缆线相联双主机各自通过一条SCSI电缆线与RAID磁盘阵列相联
双主机各自运行不同的作业,彼此独立,并相互备援主机
A故障后,主机B自动接管主机A运行
主机A的作业将在主机B上自动运行
主机A的客户(client)要在主机B上重新登录主机A修复后,主机B将把A的作业自动交还主机 A 已经连到主机B上的A的客户需要在主机A上重新登录
主机B故障时,主机A接管主机B的作业和数据主机B修复时,主机A再将原来接管的作业和数据交还主机B
Private net
Act I ve
Pub I AC net
Acst i ure Server
Cl i ents
双主机各自通过一条SCSI电缆线与RAID相联
主机A 为Master,主机 B 为Slave
主机A处理作业和数据,主机B作为热备份机
主机A故障后,主机B自动接管主机A的作业和数据
主机B同时接管A的主机名(Host)及网络地址(IP)
主机A的作业将在主机B上自动运行
主机A的客户(client) 可继续运行,无需重新登录
主机B现为Master,主机A修复后作为Slave,作为热备份机
2个主机建议使用规格相同的主机
模式3---双机热备份(Hot Standby)
双主机通过一条TCP/IP网络线以及一条RS-232电缆线相联
双主机各自通过一条SCSI电缆线与RAID相联
主机A 为Master,主机 B 为Slave
主机A处理作业和数据,主机B作为热备份机
主机A故障后,主机B自动接管主机A的作业和数据
主机B同时接管A的主机名(Host)及网络地址(IP)
主机A的作业将在主机B上自动运行
主机A的客户(client) 可继续运行,无需重新登录
主机A修复后,自动接管原来的作业和数据,主机B继续作备份机
模式4---双机双网络适配器(Dual Ethernet Adapter)
双主机各自通过一条SCSI电缆线与RAID相联
双主机各自运行不同的作业
每一主机定义第一网口和第二网口
主机A上第一网口在故障时由第二网口接管
主机B上第一网口在故障时由第二网口接管
主机A故障后,主机B自动接管主机A的作业和数据
主机B同时接管A的主机名(Host)及网络地址(IP)
主机A的作业将在主机B上自动运行
主机A的客户(client) 可继续运行,无需重新登录
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
双机热备解决方案 1.1 双机备份方案描述 现代IT技术认为,一个成功系统中数据及作业的重要性已远超过硬件设备本身,在一套完善的系统中对数据的安全及保障有着极高的要求。双机容错系统是由IBM公司提出的全套集群解决方案,结合IBM 服务器产品的安全可靠性和集群技术的优点,为用户提供一个完善的系统。 1.1.1 双机备份方案的原理 两台服务器通过磁盘阵列或纯软件模式,连接成为互为备份的双机系统,当主服务器停机后,备份服务器能继续工作,防止用户的工作被中断。 1.1.2 双机备份方案的适用范围 用户对系统的连续工作性和实时性要求较高,系统停机对系统的影响很大,造成很大的损失。 1.1.3 双机备份的方式及优缺点 磁盘阵列备份方式—— 两台服务器通过磁盘阵列连接起来,形成备份系统,此方法硬件投资 大,价格较贵,但系统易于安装,也相对稳定。 磁盘阵列备份模式示意图 1.2双机备份方案 由IBM系列产品组成硬盘备份模式 主机:采用IBM X255 主机网卡:采用IBM 10/100/1000MM网卡 磁盘阵列:采用EXP300 磁盘阵列, 配制RAID 5 具体实现方法参见后面章节附图和说明 IBM X255结合EXP300磁盘阵列的双机方案
系统简述: 整个系统由两台IBM高端服务器X255和EXP 300磁盘阵列构成双机备份模式,双台服务器互为备份,当一台服务器出现问题停机时,另一台服务器能实时接管中断的工作,保证业务系统的正常运行。EXP 300磁盘柜磁盘具有热插拔功能,具可以灵活组成RAID模式,当一块硬盘损坏,数据可以恢复,保证数据不丢失。 1 .3 IBM PC 服务器双机容错系统解决方案 由于采用了双机容错的集群结构,系统具有极高的可靠性。两台服务器可以作为一个整体对网络提供服务,且相互间互为监控。集群具有一定的负载平衡功能,可将一个任务的多个进程分摊到两台服务上运行,提高系统的整体性能。当一台服务器发生故障时,其上所运行的进程及服务可以自动地由另一台服务器接管,保证网络用户的工作不受影响。同时,如果系统采用RAID技术对数据进行保护,可确保重要数据不因系统故障而造成损失。 特点: 高可靠性 支持冗余磁盘阵列 冗余电源和风扇设计 所有部件均支持热插拔 主机可各自运行自己的应用,互为备份,共享磁盘数据 高性能单块IBM ServeRAID卡数据传输带宽可达 160MB/s 数据传输I/O可达3000次/s 主机与磁盘间的距离可达20米 高可用性 可扩展性强/性能价格比高/高容错性,系统安全高效 产品介绍(略,有兴趣的朋友可以去IBM网站看看详细的介绍)
双机热备软件的安装与配置指导手册 系统版本:A1 文档编号:CHI-PT-NJBL-SJRB-A0
内容简介 《双机热备软件的安装与配置指导手册》主要针对目前公司人员定位系统服务器双机热备软件的安装和配置进行了详细说明,指导现场工程师对双机热备软件进行安装及配置。 本手册共分四章节,分别为: 第一章:概述 第二章:软件的安装 第三章:服务的安装及配置 第四章:注意事项 第五章:常见故障处理 本文档的读者范围: 公司内部员工 版权声明 本文档属南京北路科技有限公司版权所有,侵权必究。 本文文件专供用户、本公司职员以及经本公司许可的人员使用,未经公司书面 同意,任何单位或个人不得以任何方式复制、翻印、改编、摘编、转载、翻 译、注释、整理、出版或传播手册的全部或部分内容。
南京北路自动化系统有限责任公司位于南京江宁经济技术开发区,是南京市高新技术企业,现有高级工程师、工程师及其他专业技术人员100余名。是专业从事煤矿通信、自动化、信息化产品的研发、生产、销售及服务的高科技公司。 公司拥有ISO9001:2000质量管理体系认证,坚持“质量第一、用户至上、至诚服务、持续改进”的质量方针,得到了广大客户的信赖和支持。目前公司产品覆盖全国10多个省、自治区,并在多个煤炭主产区设有售后服务机构。 公司以满足客户需求为己任,不断生产高性价比的产品,为客户创造价值。 南京北路自动化系统有限责任公司 联系地址:南京市江宁开发区菲尼克斯路99号 邮政编码:211106 电话号码:(025)52187543 传真:(025)52185703 邮件地址:njbestway@https://www.doczj.com/doc/a018026745.html, 客户服务电话:400-611-5166 客户支持网站:https://www.doczj.com/doc/a018026745.html,
防火墙双机热备配置案例精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID 相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 主墙
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
RoseMirrorHA镜像服务器双机热备解决方案 及具体配置
一、双机热备拓扑图以及工作原理
双机热备工作示意图 二、双机热备方案介绍 在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。 双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件RoseHA)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。
双机备份方案中,根据两台服务器的工作方式可以有三种不同的工作模式,即双机热备模式、双机互备模式和双机双工模式。下面分别予以简单介绍: ?双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前最理想的一种模式。 ?双机互备模式,是两个相对独立的应用在两台机器同时运行,但彼此均设为备机,当某一台服务器出现故障时,另一台服务器可以在短时间内将故障服务器的应用接管过来,从而保证了应用的持续性,但对服务器的性能要求比较高。服务器配置相对要好。 ?双机双工模式 : 是目前Cluster(集群)的一种形式,两台服务器均为活动状态,同时运行相同的应用,保证整体的性能,也实现了负载均衡和互为备份。WEB服务器或FTP服务器等用此种方式比较多。 双机热备有两种实现模式,一种是基于共享的存储设备的方式,另一种是没有共享的存储设备的方式,一般称为纯软件方式,低成本模式。 基于存储共享的双机热备是双机热备的最标准方案。这种方式采用两台服务器,使用共享的存储设备(磁盘阵列柜或存储区域网SAN)。两台服务器可以采用热备(主从)、互备、双工(并行)等不同的方式。在工作过程中,两台服务器将以一个虚拟的IP地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时,服务器通过心跳线(目前往往采用建立私有网络的方式)侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。对于用户而言,这一过程是全自动的,在很短时间内完成,从而对业务不会造成影响。由于使用共享的存储设备,因此两台服务器使用的实际上是一样的数据,由双机或集群软件对其进行管理。
双机热备主备方式OSPF组网配置 指导手册 关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明:2 2主防火墙配置步骤:2 2.1 配置接口地址5 2.2 配置安全区域6 2.3 配置双机热备8 2.4 配置接口联动11 2.5 配置NAT11 2.6 配置OSPF动态路由协议15 2.7 配置NQA18 2.8 配置静态缺省路由与TRACK 1绑定19 2.9 配置OSPF发布缺省路由20 3备防火墙配置步骤:20 2.1 配置接口地址22 2.2 配置安全区域24 2.3 配置双机热备25 2.4 配置接口联动28 2.5 配置NAT28 2.6 配置OSPF动态路由协议33 2.7 配置NQA35 2.8 配置静态缺省路由与TRACK 1绑定36 2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明: 组网说明: 防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求: 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。 2 主防火墙配置步骤: 1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。 3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
Juniper 常用配置 一、基本操作 1、登录设备 系统初始化用户名是roo t,密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名:set host-name EX4200。 3、配置模式下运行用户模式命令,则需要在命令前面加一个run,如:run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令,在commit之前使用commit check来对配置进行语法检查。如果提交之后,可以使用rollback进行回滚,rollback 1回滚上一次提前之前的配置,rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启:request system reboot 7、交换机关机:request system halt 二、交换机基本操作 2.1 设置root密码 交换机初始化用户名是root 是没有密码的,在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文,在交换机中还是以密文的方式存放的。 实例: 明文修改方式: lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名 实例:
#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务 说明:在默认缺省配置下,EX 交换机只是开放了http 远程登陆方式,因此如果想通过telnet登陆到交换机上,必须在系统中打开telnet 服务。 实例: lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务,当你打开了SSH 服务而没有制定SSH 的版本,系统自动支持V1和V2 版本。如果你指定了SSH 的版本,则系统只允许你指定版本的SSH 登陆。 实例: lab@EX4200-1# edit system service
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
Cisco catalyst 4506双机热备配置 catalyst4506#show run 刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。 Current configuration : 4307 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname 4506-1 ! enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561 ! ip subnet-zero no ip domain-lookup ! ! no file verify auto ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-1005 priority 24576 power redundancy-mode redundant ! ! vlan access-map vlan_map 10 action forward match ip address server_acl vlan access-map vlan_map 20 action drop match ip address vlan_acl vlan access-map vlan_map 30 action forward vlan filter vlan_map vlan-list 30-31,33-34,37,39,100-101,200,311 vlan internal allocation policy ascending !
JUNIPER双机热备配置 unset key protection enable set clock timezone 0 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nM9dBJrVGrCEc3RGssLAgHAtesLken" set admin auth web timeout 10 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "DMZ" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block unset zone "V1-Trust" tcp-rst unset zone "V1-Untrust" tcp-rst set zone "DMZ" tcp-rst unset zone "V1-DMZ" tcp-rst unset zone "VLAN" tcp-rst set zone "Trust" screen icmp-flood set zone "Trust" screen udp-flood set zone "Trust" screen winnuke set zone "Trust" screen port-scan set zone "Trust" screen ip-sweep
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。
root# cli #相当于cisco的en root@> cli> configure #相当于cisco的configure terminal [edit] root@# set system host-name router1 #配置路由器的名字为router1 root@# set system domain-name https://www.doczj.com/doc/a018026745.html, #配置路由器所在域为https://www.doczj.com/doc/a018026745.html, root@# set interfaces fxp0 unit 0 family inet address 192.168.15.1/24 #配置fxp0 unit 0的接口地址,fxp0代表管理接口,unit 0代表子接口,inet代表是ipv4地址。 root@# set system backup-router 192.168.15.2 #backup-router是本路由器的直连路由器,在路由器启动的时候, #JUNOS路由软件(routing protocol process, RPD)没有立即启动, #路由器将自动生成一条到back-up router的缺省路由,当路由器启动完成后再自动删除这条路由。 root@# set system name-server 192.168.15.3 #DNS的地址 root@# set system root-authentication plain-text-password #设置明文密码 New password: Retype password: #输入并且确认密码,要求字母和数字。 root@# commit #确认配置,在没有确认配置的时候所有配置都是不生效的! root@router1# exit root@router1> #保存配置用save命令 [edit] aviva@router1# save configuration-march02 Wrote 433 lines of configuration to configuration-march02 #察看保存过的文件用run file list命令 aviva@router1# run file list /var/home/aviva: .ssh/ configuration-march02 #用保存的文件载入配置用load replace命令。 load replace XXX
Windows 2003双机热备 时间:2010-06-06 23:05来源: 作者:编程点击:1804次 Windows2003标准版没集成双机热备份软件,只有用企业版的。系统安装本文所述双机热备是采用微软公司Windows2003 Server操作系统,非第三方管理软件。硬件需求:1、两台服务器,一台为主域控制器,另一台为额外域控制器;... Windows2003标准版没集成双机热备份软件,只有用企业版的。 系统安装 Windows2003 Server操作系统,非第三方管理软件。 、两台服务器,一台为主域控制器,另一台为额外域控制器; 2、每台服务器配置两块网卡,和两块阵列卡(一块做本地服务器磁盘阵列,另一块连接磁盘柜阵列); 3、一台用来共享资源的存储设备(本文为Dell221s磁盘阵列柜); 、一条点对点的反转网线(充做心跳线);两条将服务器接入网络的网线。 行数据转移。以下一同描述主域控制器和额外控制器的安装: 1、服务器分为主域控制器(主服务器)和额外域控制器(从服务器),这里将主域控制器标名为hrb0,将额外域控制器标名为hrb1; 2、将hrb0 的第一块网卡做为外网(局域网)使用的网卡,表明public,第二块网卡做为私网(与hrb1的连接)使用的网卡,表明private; 3、在主服务器上安装Windows 2003 Server Enterprise(过程略); 4、配置tcp/ip协议: 外网: 10.195.10.18 掩码:255.255.255.0 网关:10.195.10.210 DNS:10.195.10.19 10.195.10.18(把对方服务器IP作为本机的主DNS,本机地址做备用DNS) 内网: 192.168.0.1 掩码:255.255.255.0 (网关空) DNS: 192.168.0.2 192.168.0.1(把对方服务器IP作为本机的主DNS,本机地址做备用DNS) 5、安装补丁; 6、其它相关配置完成后,关闭服务器,准备连接磁盘阵列; 7、将磁盘阵列柜的应用模式调至"群集模式"(在盘柜的背面有滑动开关,调至靠近模块拉手一侧);由于在"群集模式"下,RAID卡会占用ID15的槽位,所以ID15槽位的磁盘在以后的配置应用过程中不会起到作用,建议将盘柜ID15槽位的硬盘取下,做为以后的备用硬盘。 8、将主域控制器的RAID卡连接线接至磁盘柜的EMM插口,磁盘阵列的另一EMM插口留给额外域控制器,如果服务器上的阵列卡是双通道的,两个服务器连接SCSI线的通道要一致。(即:如果主域控制器是连接通道1,则额外域控制器也需要连接通道1); 9、顺序开启磁盘阵列柜、主域控制器; 10、启动服务器,在开机过程中根据提示,配置阵列卡(阵列卡详细配置参见第二部分文档)。 11、服务器重启进入Windows 2003 桌面后,右键点击"我的电脑"-'管理'-'磁盘管理',这时可以看到磁盘阵列已经被计算机搜索到,但没有分区和分配盘符,不能应用; 12、在磁盘显示栏中,右键点击"磁盘0"(磁盘阵列柜)的位置,将磁盘阵列的磁盘"转换到基本磁盘"; 13、给磁盘阵列分区时要特别注意,所有的磁盘分区必须为"主磁盘分区";第一个分区的大小推荐为1G,这是预留给群集中的仲裁磁盘专用的;其它的分区大小根据实际应用确定;分配盘符时要考虑额外域控制器的分区,做到两台服务器一致;(提示:每台域控制器最好留有空闲的磁盘,作为突发情况使用,磁盘阵列柜上的所有磁盘分区必须格式化为NTFS。) 域控制器配置详解 域控制器的创建有主域控制器创建和额外域控制器创建两种,额外域控制器的创建直接参阅第22 条。 1、域控制器的创建,域控制器的创建是以后其他工作的基础,在安装Windows 2003 Server之后创建的,Win2003安装后首要配置网卡的IP地址。 2、Ip地址配置完成后开始创建域控制器:"开始"-"程序"-"管理工具"-"配置您的服务器向导"。 3、在欢迎窗口中直接点击"下一步"; 4、配置向导会检测本机河网络中的配置,如果服务器中的两个网卡有其中一块没有插入网线或额外控制器服务器没有开启,向导会有警告提示,但不会影响后续的配置,可以直接"继续"通过; 5、如果是配置群集中的主域控制器(第一个域控制器),在单选中要选择"第一台服务器的典型配置",如果不是第一个域控制器,选择"现有域的额外域控制器";
第一次配置juniper-SSG140 (2010-04-27 10:10:43) 、简述环境: 1.双ISP,两个服务器6.6和6.8对外开放17991端口 2.trust-vr和untrust-vr同在,zone untrust被修改到untrust-vr中 3.6.6 VIP 180的地址,6.8 MIP 221的地址,应用源路由 其实东西也不多,不过没配过的我开始真不知道如何配置juniper的地址转换 set clock ntp set clock timezone 8 set clock dst recurring start-weekday 2 0 3 02:00 end-weekday 1 0 11 02:00 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit ------------------------------------------------------------------------------
若防火墙里没有你所用的服务就自己加吧 ------------------------------------------------------------------------------------------------- set service "17991" protocol tcp src-port 0-65535 dst-port 17991-17991 set service "3389" protocol tcp src-port 0-65535 dst-port 3389-3389 set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nJqNNxrLGyrLc0lEtsCBqfDtDMA/Pn" set admin user "hongyuan" password "nNnfG0rrJIWDcc8EysvMuSCt+LBiDn" privilege "all" -----------------------------------------------------------------------------------------
南方某局点双机热备部署案例介绍 局点信息: 某局点做ME60双机热备部署,主要针对现网中的pppoe上网业务,三层固定IP专线业务,vlanif 终结业务,分别使用E-TRUNK和普通热备部署方案进行热备部署。 拓扑改造: 现网原始拓扑及业务分析: 现网业务: 普通pppoe、vlanif终结业务、三层子接口终结固定IP业务终结。 拓扑特点
ME60单上行到核心路由器 ME60下挂重要OLT采用跨板trunk方式接入,实现单链路故障保护。 热备改造后拓扑: 拓扑改造内容:中间直连链路修改为跨板trunk 某局点大楼(OLT1) 修改与ME60-1连接方式为同板trunk,并增加一条ge链路连接至ME60-2形成同板trunk方案组网 打水鞍(OLT4) 将与ME60-1连接的跨板trunk拆开,分别以GE链路连接至两台ME60。
说明:针对选取的两个OLT分别使用两种部署方案进行热备部署。两种方案的主要区别在于承载vrrp路径和配置方式。 部署要点: 方案1:E-TRUNK方案 方案特点 实现对三种业务的网络侧,用户侧,故障的保护; 实现对pppoe业务,三层子接口终结业务的整机故障保护 部署要点: 热备的vrrp和bfd运行在中间直连链路上 两台ME60用户侧接口对称配置 中间直连链路和备用ME60用户侧接口二层透传vlanif vlan段报文。
方案2:同板trunk方案(即普通热备部署)方案特点 对pppoe业务进行热备保护 Vlanif和三层子接口业务仅能保护网络侧故障部署要点: 热备的vrrp和bfd通过OLT传输 Vrrp track ME60上行链路