NETSCREEN NSRP典型配置及维护
一、NSRP工作原理
NSRP(NetScreen Redundant Protocol)是Juniper公司基于VRRP 协议规范自行开发的设备冗余协议。防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,为满足客户不间断业务访问需求,要求防火墙设备必须具备高可靠性,能够在设备、链路及互连设备出现故障的情况下,提供网络访问路径无缝切换。NSRP 冗余协议提供复杂网络环境下的冗余路径保护机制。NSRP主要功能有:1、在高可用群组成员之间同步配置信息;2、提供活动会话同步功能,以保证发生路径切换情况下不会中断网络连接;3、采用高效的故障切换算法,能够在短短几秒内迅速完成故障检测和状态切换。
NSRP集群两种工作模式:
一、Active/Passive模式:通过对一个冗余集群中的两台安全设备进行电缆连接和配置,使其中一台设备作为主用设备,另一台作为备用设备。主用设备负责处理所有网络信息流,备用设备处于在线备份状态。主设备将其网络和配置命令及当前会话信息传播到备用设备,备用设备始终保持与主用设备配置信息和会话连接信息的同步,并跟踪主用设备状态,一旦主设备出现故障,备份设备将在极短时间内晋升为主设备并接管信息流处理。
二、Active/Active模式:在NSRP中创建两个虚拟安全设备 (VSD) 组,每个组都具有自己的虚拟安全接口(VSI),通过VSI接口与网络进行通
信。设备A充当VSD组1的主设备和VSD 组2的备份设备。设备B充当VSD 组2的主设备和VSD组1的备份设备。Active/Active模式中两台防火墙同时进行信息流的处理并彼此互为备份。在双主动模式中不存在任何单一故障点。如下图所示,通过调整防火墙上下行路由/交换设备到网络的路由指向,HostA通过左侧路径访问ServerA,HostB通过右侧路径访问ServerB,网络中任一设备或链路出现故障时,NSRP集群均能够做出正确的路径切换。
NSRP集群技术优势主要体现于:
1、消除防火墙及前后端设备单点故障,提供网络高可靠性。即使在骨干网络中两类核心设备同时出现故障,也能够保证业务安全可靠运行。
2、根据客户网络环境和业务可靠性需要,提供灵活多样的可靠组网方式。NSRP双机集群能够提供1、Active-Passive模式Layer2/3多虚拟路由器多虚拟系统和口型/交叉型组网方式;2、Active-Active模式Layer2/3多虚拟路由器多虚拟系统和口型/Fullmesh交叉型组网方式。
为用户提供灵活的组网选择。
3、NSRP双机结构便于网络维护管理,通过将流量在双机间的灵活切换,在防火墙软件升级、前后端网络结构优化改造及故障排查时,双机结构均能够保证业务的不间断运行。
4、结合Netscreen虚拟系统和虚拟路由器技术,部署一对NSRP集群防火墙,可以为企业更多的应用提供灵活可靠的安全防护,减少企业防火墙部署数量和维护成本。
二、NSRP典型结构与配置
1、Layer3 口型A/P组网模式
Layer3 口型A/P组网模式是当前很多企业广泛采用的HA模式,该模式具有对网络环境要求不高,无需网络结构做较大调整,具有较好冗余性、便于管理维护等优点。缺点是Netscreen防火墙利用率不高,同一时间只有一台防火墙处理网络流量;冗余程度有限,仅在一侧链路和设备出现故障时提供冗余切换。Layer3 口型组网A/P模式具有较强冗余性、低端口成本和网络结构简单、便于维护管理等角度考虑,成为很多企业选用该组网模式的标准。
配置说明:两台Netscreen设备采用相同硬件型号和软件版本,组成Active/Passive冗余模式,两台防火墙均使用一致的Ethernet接口编号连接到网络。通过双HA端口或将2Ethernet接口放入HA区段,其中控制链路用于NSRP心跳信息、配置信息和Session会话同步,数据链路用于在两防火墙间必要时传输数据流量。
NS-A(主用):
Set hostname NS-A /***定义主机名***/
Set interface ethernet1 zone untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route
Set interface mgt ip 192.168.2.1/24 /***通过管理口远程管理NS-A***/
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA
/***Eth3和Eth4口用于HA互连,用于同步配置文件、会话信息和跟踪设备状态信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 50 /***缺省值为100,低值优先成为主用设备***/
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***配置NSRP:Vsd-group缺省为0,VSI使用物理接口IP地址,非抢占模式***/
NS-B(备用):
Set hostname NS-B /***定义主机名***/
Set interface ethernet1 zone Untrust
Set interface ethernet1 ip 100.1.1.4/29
Set interface ethernet1 route
Set interface ethernet2 zone trust
Set interface ethernet2 ip 192.168.1.4/29
Set interface ethernet2 route
Set interface mgt ip 192.168.2.2/24 /***通过管理口远程管理NS-A***/
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet3 zone HA
Set interface ethernet4 zone HA
/***Eth3和Eth4口用于HA互连,用于同步配置文件、会话信息和跟踪设备状态信息***/
set nsrp cluster id 1
set nsrp rto-mirror sync
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***Vsd-group缺省为0,VSI使用物理接口IP地址,备用设备:优先级100,成为非抢占模式***/ 2、Layer3 Fullmesh A/P组网模式
Layer3 Fullmesh连接A/P组网使用全交叉网络连接模式,容许在同一设备上提供链路级冗余,发生链路故障时,由备用链路接管网络流量,防火墙间无需进行状态切换。仅在上行或下行两条链路同时发生故障情况下,防火墙才会进行状态切换,Fullmesh连接进一步提高了业务的可靠性。该组网模式在提供设备冗余的同时提供链路级冗余,成为很多企业部署关键业务时的最佳选择。
NS-A(Active):
Set hostname NS-A /***定义主机名***/
Set interface mgt ip 192.168.2.1/24 /***通过管理口远程管理NS-A***/
Set interface red1 zone Untrust /***创建冗余接口1***/
Set interface e1 zone null
Set interface e1 group red1
Set interface e2 zone null
Set interface e2 group red1
Set interface red1 ip 10.1.1.4/29
Set interface red2 zone trust
Set interface e3 zone null
Set interface e3 group red2
Set interface e4 zone null
Set interface e4 group red2
Set interface red2 ip 192.168.1.4/29
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet7 zone ha
Set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp rto-mirror sync /***容许会话信息自动同步***/
set nsrp vsd-group id 0 priority 50
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***配置NSRP:Vsd-group缺省为0,VSI使用物理接口IP地址,优先级为50,非抢占模式***/
NS-B(Backup):
Set hostname NS-B /***定义主机名***/
Set interface mgt ip 192.168.2.2/24 /***通过管理口远程管理NS-A***/
Set interface red1 zone Untrust /***创建冗余接口***/
Set interface e1 zone null
Set interface e1 group red1 /***将该物理接口放置到冗余接口中***/
Set interface e2 zone null
Set interface e2 group red1
Set interface red1 ip 10.1.1.4/29
Set interface red2 zone trust
Set interface e3 zone null
Set interface e3 group red2
Set interface e4 zone null
Set interface e4 group red2
Set interface red2 ip 192.168.1.4/29
/***配置接口:Untrust/Trust Layer3 路由模式***/
Set interface ethernet7 zone ha
Set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp rto-mirror sync /***容许会话信息自动同步***/
set nsrp vsd-group id 0 priority 100
set nsrp monitor interface ethernet2
set nsrp monitor interface ethernet1
/***Vsd-group缺省为0,VSI使用物理接口IP地址,备用设备***/
3、Layer3 Fullmesh连接A/A组网模式
Layer3 Fullmesh连接A/A结构提供了一种更为灵活的组网方式,在保证网络高可靠性的同时提升了网络的可用性。A/A结构中两台防火墙同时作为主用设备并提供互为在线备份,各自独立处理信息流量并共享连接会话信息。一旦发生设备故障另一台设备将负责处理所有进出网络流量。Fullmesh连接A/A组网模式对网络环境要求较高,要求网络维护人员具备较强技术能力,防火墙发生故障时,接管设备受单台设备容量限制,可能会导致会话连接信息丢失,采用A/A模式组网时,建议每台防火墙负责处理的会话连接数量不超过单台设备容量
的50%,以确保故障切换时不会丢失会话连接。
配置说明:定义VSD0和VSD1虚拟安全设备组(创建Cluster ID时将自动创建VSD0),其中NS-A为VSD0主用设备和VSD1备用设备,NS-B 为VSD1主用设备和VSD0备用设备;创建冗余接口实现两物理接口动态冗余;配置交换机路由指向来引导网络流量经过哪个防火墙。
NS-A(Active):
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/
set interface ethernet1 group redundant1
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.1
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
/***配置冗余接口、定义Vsd0 接口IP地址***/
s et interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
/***VSD1的VSI接口需手动配置IP地址,冒号后面的1表示该接口属于VSD1的VSI***/ set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
set nsrp vsd-group id 0 priority 50
set nsrp vsd-group id 1 /*** VSD1使用缺省配置,优先级为100***/
set nsrp rto-mirror sync
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1
/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/
set arp always-on-dest
/***强制采用基于ARP表而不是会话表中的MAC地址转发封包***/
set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
NS-B(Active):
set interface redundant1 zone Untrust
set interface redundant1 ip 100.1.1.4/29 /***VSD0的VSI接口使用物理接口IP地址***/ set interface ethernet1 group redundant1
set interface ethernet2 group redundant1
set interface redundant2 zone trust
set interface redundant2 ip 192.168.1.4/29
set interface redundant2 manage-ip 192.168.2.2
set interface ethernet3 group redundant2
set interface ethernet4 group redundant2
/***配置冗余接口、定义Vsd0 接口IP地址***/
s et interface redundant1:1 ip 100.1.1.5/29
set interface redundant2:1 ip 192.168.1.5/29
set interface ethernet7 zone ha
set interface ethernet8 zone ha
set nsrp cluster id 1
/***定义一致的Cluster ID,自动启用采用缺省配置的VSD0***/
set nsrp rto-mirror sync
set nsrp vsd-group id 1 priority 50
set nsrp monitor interface redundant1
set nsrp monitor interface redundant2
set nsrp secondary-path ethernet2/1
/***定义NSRP备用心跳接口,保证心跳连接信息不会丢失***/
set arp always-on-dest
/***强制采用基于ARP表而不是会话中的MAC地址转发封包***/
set vrouter trust-vr route 0.0.0.0/0 interface redundant1 gateway 100.1.1.1
set vrouter trust-vr route 0.0.0.0/0 interface redundant1:1 gateway 100.1.1.1
三、NSRP常用维护命令
1、get license-key
查看防火墙支持的feature,其中NSRPA/A模式包含了A/P模式,A/P 模式不支持A/A模式。Lite版本是简化版,支持设备和链路冗余切换,不支持配置和会话同步。
2、exec nsrp sync global-config check-sum
检查双机配置命令是否同步
3、exec nsrp sync global-config save
如双机配置信息没有自动同步,请手动执行此同步命令,需重启系统。
4、get nsrp
查看NSRP集群中设备状态、主备关系、会话同步以及参数开关信息。
5、Exec nsrp sync rto all from peer
手动执行RTO信息同步,使双机保持会话信息一致
6、exec nsrp vsd-group 0 mode backup
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备没有启用抢占模式。
7、exec nsrp vsd-group 0 mode ineligible
手动进行主备状态切换时,在主用设备上执行该切换命令,此时该主用设备已启用抢占模式。
8、get alarm event
检查设备告警信息,其中将包含NSRP状态切换信息
四、Netscreen NSRP维护案例
案例1: Netscreen双机升级步骤
1.使用Tftp备份两台防火墙现有配置文件和OS系统文件。
2.升级步骤为先升级备用设备后升级主用设备,如果是Active/Active模式请切换为Active/Passive模式后再升级备用设备。用笔记本电脑连接NS-B的Console口和MGT口,通过Web界面上对NS-B进行升级,并在Console口上观察升级过程。3.NS-B升级后将自动重启,通过Console口观察重启过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否符合升级要求。输入get nsrp,验证此设备处于备机状态。
4.Session信息应该自动从主机上同步到备机。为进一步确保Session信息同步,在NS-B上执行exec nsrp syn rto all from peer,手工同步Session信息。
5.主备双机进行状态切换。用笔记本接NS-A的Console口,输入exec nsrp vsd-group 0 mode backup命令,将状态切换。使用get nsrp命令,验证设备状态已切换完成,此时NS-A为备机,NS-B为主机。
6.在Web界面上对NS-A进行升级,在Console口上观察升级过程。
7.NS-A升级后会自动重起,在Console口上观察重起过程。启动后在console上输入get system命令,验证升级后的版本号。输入get license,验证license信息是否满足升级需求。输入get nsrp验证此台设备为备机状态。
8.恢复原先的主备状态:在NS-B上执行exec nsrp vsd-group 0 mode backup命令,将状态切换。验证设备状态已切换完成,此时NS-A为主机,NS-B为备机。9.在设备NS-A上执行exec nsrp syn vsd-group 0 global-config checksum,验证两台设备的配置同步。如双机配置文件没有同步,请执行exec nsrp syn vsd-group 0 global-config save 手动进行配置同步。
10.观察两台防火墙的日志,验证是否存在异常告警信息。
案例2:快速配置NSRP集群备用设备
Netscreen提供快速配置NSRP集群中备用设备的方法,适用于创建NSRP集群双机配置和备用设备出现故障时用备件进行替换。
1、清空备机配置命令
Unset all
"Erase all system config, are you sure y / [n]?" Y
Reset
"Configuration modified, save? [y] / n" N
"System reset, are you sure? y / [n]" Y
2、系统重新启动后配置命令
Set hostname xxxxxx
Set interface mgt ip x.x.x.x/x
Set nsrp cluster id 1
Exec nsrp sync file
Exec nsrp sync global-config run
/***适应于5.1以上版本,5.0中使用Exec nsrp sync global-config save命令,需要重启设备***/ Set nsrp rto-mirror sync
Save all
3、检查设备状态
Nsrp:get nsrp
接口:Get interface
路由:get route
会话:get session
附录一 NSRP 缺省设置值
VSD 组信息
●VSD group ID: 0
●Device priority in the VSD group: 100
●Preempt option: disable
●Preempt hold-down time: 0 second
●Initial state hold-down time: 5 second
●Heartbeat interval: 1000 milliseconds
●Lost heartbeat threshold: 3
●Master (Primary) always exist: no
RTO 镜像信息
●RTO synchronization: disable
●Heartbeat interval: 4 second
●Lost heartbeat threshold: 16
NSRP 链接信息
●Number of gratuitous ARPs: 4
●NSRP encryption: disable
●NSRP authentication: disable
●Track IP: none
●Interfaces monitored: none
●Secondary path: none
●HA link probe: none
●Interval: 15
●Threshold: 5
使用红帽群集软件实现应用服务双机安装配置 操作系统版本:redhat linux AS 4U5 群集软件版本:redhat cluster suite 4.5 一、群集实施前期系统配置 1.编辑/etc/hosts文件,加入IP地址和主机对应表,修改后的hosts示范如下: [root@app1 /]# cat /etc/hosts # Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 localhost.localdomain localhost 125.88.105.82 app1 125.88.105.83 app2 192.168.10.7 app1-priv 192.168.10.8 app2-priv 2.HP ILO卡配置(每个节点都执行) 注:此次只是为ilo卡配指定的ip及新增一个管理用户 开机自检时,按F8键进入iLO的设置界面: 1.进入iLO的设置:这项是将所有的设置恢复为出厂值。
2.配置网络: 分别设置IP 地址和DNS。IP应在同一个网段中,注意子网掩码的一致。(只有在DHCP被设为Disable时,才能设置IP address/Subnet Mask/Gateway IP address) DNS的名字在服务器前面带的卡片上,还包括管理员的账号和密码。
IP必须是静态的,所以DHCP需设置为OFF。 3.在这里可以添加、删除、更改远程访问User的密码,权限等。
(初稿)Radware负载均衡设备 主要参数配置说明 2007年10月 radware北京代表处
目录 一、基本配置 (3) 1.1 Tuning配置 (3) 1.2 802.1q配置 (4) 1.2 IP配置 (6) 1.3 路由配置 (7) 二、四层配置 (8) 2.1 farm 配置 (8) 2.2 servers配置 (10) 2.3 Client NAT配置 (11) 2.4 Layer 4 Policy配置 (16) 三、对服务器健康检查 (18) 3.1 基于连接的健康检查 (19) 3.2 高级健康检查 (21) 四、常用系统命令 (25)
一、基本配置 Radware负载均衡设备的配置主要包括基本配置、四层配置和对服务器健康检查配置。注:本文档内容,用红色标注的字体请关注。 1.1 Tuning配置 Rradware设备tuning table的值是设备工作的环境变量,在做完简单初始化后建议调整tuning值的大小。调整完tuning table后,强烈建议,一定要做memory check,系统提示没有内存溢出,才能重新启动设备,如果系统提示内存溢出,说明某些表的空间调大了,需要把相应的表调小,然后,在做memory check,直到没有内存溢出提示后,重启设备,使配置生效。 点击service->tuning->device 配置相应的环境参数,
在做一般的配置时主要调整的参数如下:Bridge Forwarding Table、IP Forwarding Table、ARP Forwarding Table、Client Table等。 Client NAT Addresses 如果需要很多网段做Client NAT,则把Client NAT Addresses 表的值调大。一般情况下调整到5。 Request table 如果需要做基于7层的负载均衡,则把Request table 的值调大,建议调整到10000。 1.2 80 2.1q配置 主要用于打VLAN Tag Device->Vlan Tagging
JUNIPER双机热备配置 unset key protection enable set clock timezone 0 set vrouter trust-vr sharable set vrouter "untrust-vr" exit set vrouter "trust-vr" unset auto-route-export exit set alg appleichat enable unset alg appleichat re-assembly enable set alg sctp enable set auth-server "Local" id 0 set auth-server "Local" server-name "Local" set auth default auth server "Local" set auth radius accounting port 1646 set admin name "netscreen" set admin password "nM9dBJrVGrCEc3RGssLAgHAtesLken" set admin auth web timeout 10 set admin auth server "Local" set admin format dos set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "DMZ" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block unset zone "V1-Trust" tcp-rst unset zone "V1-Untrust" tcp-rst set zone "DMZ" tcp-rst unset zone "V1-DMZ" tcp-rst unset zone "VLAN" tcp-rst set zone "Trust" screen icmp-flood set zone "Trust" screen udp-flood set zone "Trust" screen winnuke set zone "Trust" screen port-scan set zone "Trust" screen ip-sweep
网御应用交付控制系统快速安装指南 北京网御星云信息技术有限公司
网御应用交付控制系统-快速安装指南 网御应用交付控制系统 快速安装指南 手册版本V1.0 产品版本V2.0 资料状态发行 版权声明 网御星云公司版权所有,并保留对本手册及本声明的最终解释权和修改权。 本手册的版权归网御星云公司所有。未得到网御星云公司书面许可,任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其部分或全部用于商业用途。 免责声明 本手册依据现有信息制作,其内容如有更改,恕不另行通知。网御星云公司在编写该手册的时候已尽最大努力保证其内容准确可靠,但网御星云公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。 副本发布声明 网御星云公司的应用交付控制产品正常运行时,包含2款GPL协议的软件(linux、zebra)。网御星云公司愿意将GPL软件提供给已经购买产品的且愿意遵守GPL协议的客户,请需要GPL软件的客户提供(1)已经购买产品的序列号,(2)有效送达GPL软件地址和联系人,包括但不限于姓名、公司、电话、电子邮箱、地址、邮编等。
快速安装指南 (1) 第1章硬件安装 (2) 1.1安装前准备工作 (2) 1.1.1 安装环境要求: (2) 1.1.2 安装工具准备 (2) 1.2设备面板标识说明 (2) 1.3设备安装 (3) 1.3.1设备接口卡的安装 (3) 1.3.2将设备安装到机柜 (4) 第2章快速配置 (5) 2.1设备默认配置 (5) 2.1.1管理口的默认配置 (5) 2.1.2默认管理员用户 (5) 2.2 Web快速配置 (5) 2.2.1登录设备 (5) 2.2.2配置VLAN (6) 2.2.3配置IP地址 (7) 2.2.4配置服务器负载均衡 (8) 2.2.5配置链路负载均衡 (11) 第3章软件升级 (16) 3.1通过Web升级 (16)
防火墙双机热备配置案例精编W O R D版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID 相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 主墙
双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
双机热备主备方式OSPF组网配置 指导手册 关键字:双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明:2 2主防火墙配置步骤:2 2.1 配置接口地址5 2.2 配置安全区域6 2.3 配置双机热备8 2.4 配置接口联动11 2.5 配置NAT11 2.6 配置OSPF动态路由协议15 2.7 配置NQA18 2.8 配置静态缺省路由与TRACK 1绑定19 2.9 配置OSPF发布缺省路由20 3备防火墙配置步骤:20 2.1 配置接口地址22 2.2 配置安全区域24 2.3 配置双机热备25 2.4 配置接口联动28 2.5 配置NAT28 2.6 配置OSPF动态路由协议33 2.7 配置NQA35 2.8 配置静态缺省路由与TRACK 1绑定36 2.9 配置OSPF发布缺省路由37
1 双机热备防火墙组网说明: 组网说明: 防火墙双机热备组网,主备非抢占模式,防火墙上行链路通过静态路由指向连接INTERNET网络,防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求: 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时,流量可以及时从主防火墙切换至备防火墙,保证网络应用业务不中断、平稳运行。 2 主防火墙配置步骤: 1 配置PC IP地址192.168.0.3/24,连接管理防火墙:
2 通过IE浏览器打开防火墙WEB管理界面,防火墙默认的管理IP地址192.168.0.1,默认的用户名:h3c,默认密码:h3c。 3 进入防火墙WEB管理界面,可以查看防火墙系统信息,包括版本信息等;
UPS电源安装实施方案 1.双机集群介绍 1.1.双机集群的原理说明 双机容错是计算机应用系统稳定、可靠、有效、持续运行的重要保证。它通过系统冗余的方法解决计算机应用系统的可靠性问题,并具有安装维护简单、稳定可靠、监测直观等优点。当一台主机出现故障的时候,可及时启动另一台主机接替原主机任务,保证了用户数据的可靠性和系统的持续运行。在高可用性方案中,操作系统和应用程序是安装在两台服务器的本地系统盘上的,而整个网络系统的数据是通过磁盘阵列集中管理和数据备份的。数据的集中管理是通过双机热备份系统,将所有站点的数据直接从中央存储设备来读取和存储,并由专业人员进行管理,极大地保护了数据的安全性和保密性。用户的数据存放在外接共享磁盘阵列中,在一台服务器出现故障时,备机主动替代主机工作,保证网络服务不间断。双机热备份系统采用“心跳”方法保证主系统与备用系统的联系。所谓“心跳”,指的是主从系统之间相互按照一定的时间间隔发送通讯信号,表明各自系统当前的运行状态。一旦“心跳”信号表明主机系统发生故障,或者是备用系统无法收到主机系统的“心跳”信号,则系统的高可用性管理软件(双机软件)认为主机系统发生故障,立即令主机停止工作,并将系统资源转移到备用系统上,备用系统将替代主机发挥作用,以保证网络服务运行不间断。 双机热备模式即目前通常所说的active/standby 方式,active服务器处于工作状态;而standby服务器处于监控准备状态。当active服务器出现故障的时候,通过软件诊测或手工方式将standby机器激活,保证应用在短时间内完全恢复正常使用。这是目前采用较多的一种模式。
此操作步骤请配合观看录象和矿上实际情况配置 安装前准备 1.安装好SQL2000数据库,库建在阵列上。安装数据库时可以先关掉一台机器,将数据库的程序文件放在默认的C盘,数据文件指定在磁盘阵列上的一个文件夹。在安装完此数据库后将磁盘阵列上的数据文件夹更改名称,(例如存放在的CPDA TA改成-->CPDATA1)避免在安装另外一台服务器时选择数据文件路径时覆盖该文件夹而出错。在安装第二台服务器的数据库时,操作方法和第一台相同,数据文件存放文件夹名称要一致(CPDA TA)。2.规划好IP和主机名,确保应用服务器不冲突 3.所有由双机软件控制的服务都设置成手动(在这里为MSSQLSERVER和SQLSERVERAGENT) 4.做好脚本启动用户软件start.bat 脚本右键编辑,核对两个文件路径是不是现在用的DC DG的文件路径,检查的办法可以双击执行该脚本,看是否能正常启动KJ4N的DC和DG 程序。START.BAT不是安装生成文件,程序包内带有,没有固定要求,一般放在KJ4N文件夹下就可以,只要在配置过程中输入START.BA T正确的文件存放路径就可以。 安装双机软件步骤 1.安装双机程序一路选择默认安装就可以,注意2台服务器都要安装但是配置过程只用在2台服务器联网的状态下配置其中一台就可以的,配置过程时同步的。 2.双机配置信息: 双机集群名:可以自定义 虚拟主机名:可以自定义从外界看2台服务器是1台机器,给这台机器起的名称就是虚拟主机名 虚拟IP:虚拟IP的原理同上 管理工具:控制服务:MSSQLSERVER;SQLSERVERAGENT; 启动脚本:D:\anhang\KJ4N\start.bat; 这个路径是存放START.BAT的路径 监控进程:Kj4N-DG .exe;KJ4N-DC.exe; 切换规则:普通模式 软件配置步骤 1.把双机需要控制的服务设置成手动,如图:
F5配置手册 2016年12月
目录 1. 设备登录 (3) 1.1图形化界面 (3) 1.2命令行界面 (3) 2. 基础网络配置 (3) 2.1创建vlan (3) 2.2创建self ip (4) 2.3创建静态路由 (4) 3. 应用负载配置 (6) 3.1 pool配置 (6) 3.2 Virtual Server配置 (7) 4. 双机 (8) 4.1双机同步配置 (8) 4.2主备机状态切换 (9)
1.设备登录 1.1图形化界面 通过网络形式访问F5任一接口地址,或pc机直连F5的MGMT带外管理口,打开浏览器,输入https://192.168.1.245(MGMT地址在设备液晶面板查看)将进入F5的图形管理界面。该界面适合进行设备的基础以及高级调试,是管理员常用的管理界面。 默认用户名/密码:admin/admin 现密码已更改,并交由管理员妥善保管。 1.2命令行界面 通过DB9console线直连F5的console口,或通过securecrt等工具以SSH2的形式访问F5任一接口地址,将进入命令行模式。该界面适合进行底层操作系统的调试以及排错。 默认用户名/密码:root/default 现密码已更改,并交由管理员妥善保管。 2.基础网络配置 2.1创建vlan 进入“Network”-“VLANs”选项,点击“create”创建新vlan,如下图:
2.2创建self ip 进入“Network”-“self ips”进行F5设备的地址配置,点击“create”新建地址,如下图: 填写相应地址和掩码,在vlan处下拉选择之前创建好的vlan,将该地址与vlan绑定,即ip地址与接口做成了对应关系。在双机部署下,浮动地址的创建需要选择Traffice Group 中的traffice-group-1(floating ip) 点击“Finish”完成创建。 2.3创建静态路由 F5的静态路由分缺省路由和一般路由两种。任何情况下,F5部署上线都需要设置缺省路由。 缺省路由创建 首先进入“Local Traffic”-“pools”,为缺省路由创建下一条地址,点击“create”,如下图:
Cisco catalyst 4506双机热备配置 catalyst4506#show run 刚给用户做的catalyst 4506双机热备配置,经测试ACL、standby均工作正常。。该配置是主交换机配置,从交换机各VLAN的IP配置不同外(应与主交换机各VLAN的IP在同一网段),其它均相同。 Current configuration : 4307 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption service compress-config ! hostname 4506-1 ! enable secret 5 $1$f6uA$uOeBnswuinoLFBNsxSP561 ! ip subnet-zero no ip domain-lookup ! ! no file verify auto ! spanning-tree mode pvst spanning-tree extend system-id spanning-tree vlan 1-1005 priority 24576 power redundancy-mode redundant ! ! vlan access-map vlan_map 10 action forward match ip address server_acl vlan access-map vlan_map 20 action drop match ip address vlan_acl vlan access-map vlan_map 30 action forward vlan filter vlan_map vlan-list 30-31,33-34,37,39,100-101,200,311 vlan internal allocation policy ascending !
双机热备、集群及高可用性入门
什么是双机热备? 双机热备这一概念包括了广义与狭义两种意义。 从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。(相关文章:为什么需要双机热备?) 双机热备由备用的服务器解决了在主服务器故障时服务不中断的问题。但在实际应用中,可能会出现多台服务器的情况,即服务器集群。(相关文章:双机软件与集群软件的异同) 双机热备一般情况下需要有共享的存储设备。但某些情况下也可以使用两台独立的服务器。(相关文章:双机热备的实现模式) 实现双机热备,需要通过专业的集群软件或双机软件。(相关文章:双机与集群软件的选择) 从狭义上讲,双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过软件诊测(一般是通过心跳诊断)将standby机器激活,保证应用在短时间内完全恢复正常使用。(相关文章:双机热备、双机互备与双机双工的区别) 为什么要做双机热备? 双机热备针对的是服务器的故障。 服务器的故障可能由各种原因引起,如设备故障、操作系统故障、软件系统故障等等。一般地讲,在技术人员在现场的情况下,恢复服务器正常可能需要10分钟、几小时甚至几天。从实际经验上看,除非是简单地重启服务器(可能隐患仍然存在),否则往往需要几个小时以上。而如果技术人员不在现场,则恢复服务的时间就更长了。 而对于一些重要系统而言,用户是很难忍受这样长时间的服务中断的。因此,就需要通过双机热备,来避免长时间的服务中断,保证系统长期、可靠的服务。 决定是否使用双机热备,正确的方法是要分析一下系统的重要性以及对服务中断的容忍程度,以此决定是否使用双机热备。即,你的用户能容忍多长时间恢复服务,如果服务不能恢复会造成多大的影响。 在考虑双机热备时,需要注意,一般意义上的双机热备都会有一个切换过程,这个切换过程可能是一分钟左右。在切换过程中,服务是有可能短时间中断的。
外网F5配置步骤: 一、登录到F5 BIG-IP管理界面: 1、初次使用: ①、打开F5 BIG-IP电源,用一根网线(直连线和交叉线均可)连接F5 BIG-IP的3.1管理网口和笔记本电脑的网口,将笔记本电脑的IP地址配置为“192.168.1.*”,子网掩码配置为“255.255.255.0”。 ②、用浏览器访问F5 BIG-IP的出厂默认管理IP地址https://192.168.1.245或https://192.168.245.245 ③、输入出厂默认用户名:admin,密码:admin ④、点击Activate进入F5 BIG-IP License申请与激活页面,激活License。 ⑤、修改默认管理密码。 2、以后登录: 通过F5 BIG-IP的自身外网IP登录。 ①、假设设置的F5自身外网IP为61.1.1.2,就可以通过https://61.1.1.2/登录。 ②、还可以通过SSH登录,用户名为root,密码跟Web管理的密码相同。 二、创建两个VLAN:internal和external,分别表示内网和外网。 1、创建VLAN:internal(内网) 在“Network→VLANs”页面点击“create”按钮: ①、Name栏填写:internal(填一个英文名称) ②、Tag栏填写:4093(填一个数字) ③、Interfaces栏:将Available列的“1.1”拉到Untagged列。1.1表示F5 BIG-IP的第一块网卡。
2、创建VLAN:external(外网) 在“Network→VLANs”页面点击“create”按钮创建VLAN: ①、Name栏填写:external(填一个英文名称) ②、Tag栏填写:4094(填一个数字) ③、Interfaces栏:将Available列的“1.2”拉到Untagged列。1.2表示F5 BIG-IP的第二块网卡。
负载均衡产品用户手册
声明 本手册的用途在于帮助您正确地使用曙光公司产品(以下称“本产品”),在安装和第一次使用本产品前,请您务必先仔细阅读随机配送的所有资料,特别是本手册中所提及的注意事项。这会有助于您更好和安全地使用本产品。请妥善保管本手册,以便日后参阅 本手册的描述幵不代表对本产品觃栺和软、硬件配置的仸何说明。有关本产品的实际觃栺和配置,请查阅相关协议、装箱单、产品觃栺配置描述文件,或向产品的销售商咨询。 如您不正确地或未按本手册的指示和要求安装、使用或保管本产品,或让非曙光公司授权的技术人员修理、变更本产品,曙光公司将不对由此导致的损害承担仸何责仸。 本手册中所提供照片、图形、图表和揑图,仅用于解释和说明目的,可能与实际产品有些差别,另外,产品实际觃栺和配置可能会根据需要不时变更,因此与本手册内容有所不同。请以实际产品为准。 本手册中所提及的非曙光公司网站信息,是为了方便起见而提供,此类网站中的信息不是曙光公司产品资料的一部分,也不是曙光公司服务的一部分,曙光公司对这些网站及信息的准确性和可用性不做仸何保证。使用此类网站带来的风险将由您自行承担。 本手册不用于表明曙光公司对其产品和服务做了仸何保证,无论是明示的还是默示的,包括(但不限于)本手册中推荐使用产品的适用性、安全性、适销性和适合某特定用途的保证。对本产品及相关服务的保证和保修承诺,应按可适用的协议或产品标准保修服务条款和条件执行。在法律法觃的最大允许范围内,曙光公司对于您的使用或不能使用本产品而収生的仸何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或仸何其他损失),不负仸何赔偿责仸。 对于您在本产品乊外使用本产品随机提供的软件,或在本产品上使用非随机软件或经曙光认证推荐使用的专用软件乊外的其他软件,曙光公司对其可靠性不做仸何保证。 曙光公司已经对本手册迚行了仔细的校勘和核对,但不能保证本手册完全没有仸何错误和疏漏。为更好地提供服务,曙光公司可能会对本手册中描述的产品乊软件和硬件及本手册的内容随时迚行改迚和/或修改,恕不另行通知。如果您在使用过程中収现本产品的实际情冴与本手册有不一致乊处,或您想得到最新的信息或有仸何问题和想法,欢迎致电我们或登陆曙光公司服务网站垂询。
XXXX负载均衡项目配置手册 杭州华三通信技术有限公司 版权所有侵权必究 All rights reserved
1 组网方案1.1 网络拓扑 1.2 负载均衡资源
注:红色表示该实服务不存在。 1.3 网络设备资源 交换机管理IP地址是:10.4.41.54/255.255.255.192; LB设备的管理IP地址是:10.4.41.34/255.255.255.192; 设备的网关是:10.4.41.62; 2 交换机S75E配置 2.1 创建VLAN及添加端口
F5负载均衡配置手册 F5负载均衡配置手册负载均衡器通常称为四层交换机或七层交换机。四层交换机主要分析IP层及TCP/UDP层,实现四层流量负载均衡。七层交换机除了支持四层负载均衡以外,还有分析应用层的信息,如HTTP协议URI或Cookie信息。 一、F5配置步骤: 1、F5组网规划 (1)组网拓朴图(具体到网络设备物理端口的分配和连接,服务器网卡的分配与连接) (2)IP地址的分配(具体到网络设备和服务器网卡的IP地址的分配) (3)F5上业务的VIP、成员池、节点、负载均衡算法、策略保持方法的确定 2、F5配置前的准备工作 (1)版本检查 f5-portal-1:~# b version Kernel: BIG-IP Kernel 4.5PTF-07 Build18 (2)时间检查--如不正确,请到单用户模式下进行修改 f5-portal-1:~# date Thu May 20 15:05:10 CST 2004 (3)申请license--现场用的F5都需要自己到F5网站上申请license 3、F5 的通用配置 (1)在安全要求允许的情况下,在setup菜单中可以打开telnet及ftp功能,便于以后方便维护 (2)配置vlan unique_mac选项,此选项是保证F5上不同的vlan 的MAC地址不一样。在缺省情况下,F5的各个vlan的MAC地址是一样的,建议在配置时,把此项统一选择上。可用命令ifconfig –a来较验。具体是system/Advanced Properties/vlan unique_mac (3)配置snat any_ip选项选项,此选项为了保证内网的机器做了snat后,可以对ping的数据流作转换。Ping是第三层的数据包,缺省情况下F5是不对ping的数据包作转换,
PerconaXtradb Cluster 双机交叉集群配置 版本号日期作者备注 0.1 2016-6-22 Fashchina QQ:41114254
一、产品说明 名称:PerconaXtradb Cluster 简称:PXC PerconaXtraDB Cluster是针对MySQL用户的高可用性和扩展性解决方案,基于Percona Server 。其包括了Write Set REPlication补丁,使用Galera 2.0库,这是一个针对事务性应用程序的同步多主机复制插件。 PerconaXtraDB Cluster特点: (1)同步复制,事务在所有集群节点要么同时提交,要么不提交。 (2)多主复制,可以在任意一个节点写入。 (3)从服务器上的并行应用事件,真正的“并行复制”。 (4)自动配置节点。 (5)数据一致性,没有不同步的从服务器。 二、搭建目标 在每台物理机上各运行2个mysql实例,通过PXC进行交叉集群,即物理机(假设机器名为PXC1)上A实例和物理机(假设机器名为PXC2)A1实例组成一个集群,上述物理机B实例和B1实例同上。具体如下图:
三、搭建前提 网上资料大部分针对物理机进行PXC集群配置,比如在物理机A\B\C上配置PXC,把3台物理机组成一个集群实例。从很多程度上比较浪费服务器资源。而PXC官方建议一个集群最少3个实例组成。如果再对数据进行分片,对服务器的资源要求就更多。 安装PXC的环境,本文档不在进行描述,因为相关比较简单,都是rpm 文件的安装。 四、搭建mysql环境 创建mysql数据文件存储目录 方便创建/data0/mysql/data和/data1/mysql/data 2个目录存放2个mysql实例的数据。相关指令如下: mkdir -p /data0/mysql/data chmod -R 777 /data0/mysql/data mkdir -p /data1/mysql/data chmod -R 777 /data1/mysql/data 初始化mysql数据文件 /usr/bin/mysql_install_db --user=mysql --datadir=/data0/mysql/data /usr/bin/mysql_install_db --user=mysql --datadir=/data1/mysql/data 如果在/usr/bin下没有mysql_install_db脚本,请通过find命令找下,一般在/usr目录下,具体和您安装pxc的方式有关 配置mysql的https://www.doczj.com/doc/0b6251960.html,f文件 安装完PXC后,在/etc目录下有https://www.doczj.com/doc/0b6251960.html,f(如果没有,网上去找一个也可以),拷贝2个,分别命名https://www.doczj.com/doc/0b6251960.html,f和https://www.doczj.com/doc/0b6251960.html,f 相关配置如下: https://www.doczj.com/doc/0b6251960.html,f 这个配置文件针对mysql默认的端口,如果想调整,修改cnf目录中的相关端口就可以。 1、重点注意下面标红的
2012年 02月 21日 V11.1 双机配置手册 一、准备工作: 升级软件版本至V11.1,并打上最新的Hotfix 。 主机配置:
2012年 02月 21日 Vlan, SelfIP配置: 注意: Floating IP 不再具有Unit ID,而是从属于Traffic Group,之后会有详细的介绍 由于当前环境没有串口心跳线,所以采用 Network Failover,所以同步的 vlan 要打开默认没有开放的 unicast 端口 1026 。
2012年 02月 21日建立一个Virtual Server : 二、 Device Group 配置: v11 版本中的一个重要变化,是改变了之前版本 A/A, A/S 模式的双机结构,将系统的冗余扩展为 N+M 模式,也就是说可以实现: A/A/S, A/S/S, A/A/A/A, A/A/A/S, A/A/S/S Device Group,就是一组f5同步、切换设备等多种主备模式。并且引入了一个概念叫做 的集合,最多可以支持32台设备。 默认情况下点击Device 选项可以看到当前的设备信息:
2012 年 02 月21 日在Device Connectivity里面,预先配置用做双机的Vlan,SelfIP,Network Failover (建议使用业务口 +管理口两组Unicast network failover )以及 Mirroring 地址
2012年 02月 21日
2012年 02月 21日交换两台设备之间的证书,如果是两台设备做主备或双活,选择 Peer Authority Devices 方式,在两台设备上都可以针对Device Group 进行操作: 输入对端地址,用户名和密码
高手教你用VCS 配置DB2双机-高级(1) 前面我们通过Veritas Cluster Server for DB2双机-入门一文已经向大家介绍了DB2双机的基本原理和配置方法,本文将接续上文,继续介绍DB2的高 级需求-大规模并行处理(Massively Parallel Processing, MPP )-环境下,用户如何利用VCS 配置双机互备环境。 需要强调的是,本文是接续上文Veritas Cluster Server for DB2双机-入门,继续进行双机介绍,因此在看本文之前,最好先看看本文上篇Veritas Cluster Server for DB2双机-入门。 MPP 简介 首先介绍一下DB2的大规模并行处理(MPP )的含义。MPP 其实就是多台计算机协同工作,共同完成同一个任务,目的就是为了能够使用一些比较廉价的服务器一起工作,提供给用户单机无法完成的服务。而双机互备就是指当这些机器中的某一天出现故障的时候,其他的服务器可以接管运行在其上的服务请求,保证服务的高可用性。 大规模并行处理有两种方式:无共享并行方式和共享磁盘并行方式。 无共享并行方式是指集群中的数据库系统各自使用自己的数据资源,将协调程序发给自己的数据请求在自己的数据库上面查询,再将结果返回,由协调程序来将各个数据库发过来的数据组合成大的数据集并且发送给用户。这种工作模式的优点是易于部署,结构简单清楚;缺点是缺乏高可用性,节点中任何一个节点的损坏都会导致其数据资源不可获得,破坏了数据请求的完整性。其工作模式如下图所示: 图1 无共享并行体系结构 共享磁盘共享方式是指多个数据库同时工作,但是他们所读写的资源都是在一个共享的磁盘库中。他们之间的访问冲突是通过锁机制来解决的。它的优点是高可用性,任何一个节点的故障都不会对数据访问造成影响,每一个节点都可以访问全部的数据资源;这种缺点当然也是有缺点的:随着服务器数量的增加,锁的数量以及数据库访问失败的频率也会指数级的增加,会成为数据库访问的瓶颈。然而,在目前的实际应用中,一般集群数量不会太多,所有这个因素可以忽略不记,而其带来的高可用性是大多用户选择它的主要原因。其工作原理如图所示: 1234下一页 图2, 共享磁盘并行体系