典型场景：

RG-WG的HA双机热备功能主要应用于对RG-WG设备有较高要求的用户，应用的场景为：配置环境中存在两台以上WG设备（主-备）时通过RG-WG支持HA的功能特点，将两台设备部署到网络环境中，当其中的一台设备（主）出现故障时，另外一台设备（备）接管故障设备（主）继续工作。保证受保护的服务器群不受RG-WG（主）设备故障的影响，可以继续为外网提供正常服务。当故障设备（主）可以正常工作时，将接替当前在工作的设备（备）继续工作。在该应用场景中不论设备的上联接口Down掉，或者下联接口Down掉均会进行热备切换。

 

注意事项：

·    V3.5和V3.8版本仅支持主备模式，不支持主从模式。

·    主用和备用网关必须是同一型号，运行同一个固件版本。升级固件时，两个网关上固件都必须进行升级。

·    两个网关上所用的HA接口可各自配置，但是端口必须一致。例如：一个网关采用Eth4端口进行HA连接，另一个网关必须也采用Eth4端口。

·    现有版本仅在透明模式中提供双机热备功能，但HA心跳接口必须采用路由模式且分配有静态IP地址，心跳口的对端地址必须位于用一个子网上。

·    主和备用系统上接口权重值可分开配置，二者的权重值无需同步。

·    除了HA部分配置外，其他配置全部同步，WEB攻击特征库会同步，病毒特征库需要额外升级；病毒特征库升级，需要断开心跳线，变为两台单机模式后分别升级；

·    主备机器主版本升级后，备设备不会自动升级，需要手工重新升级；需要断开心跳线，变为两台单机模式后分别升级；

·    主备模式下，备机所有端口处于停止工作状态下，所以不能单独管理。

·    为了有效使用接口权重值来作为故障切换触发器，在主系统上分配的权重值必须比备用系统要高。

·    注意更新系统固件时系统会重新启动，重启的过程中设备一直处于BYPASS状态，为了防止出现环路，建议两台设备配置好HA功能后再接入到网络环境中。

·    配置VLAN的IP地址时一定要记得开启上联接口的管理属性（HTTPS/SSL/Ping/SNMP）以及端口的状态。

·    工作在主模式的设备在如下情况下即会失效1：被监控接口的设备连接中断；2：跟踪主机无法跟踪（可选配置）；3：达到故障临界值时（可选配置）；4：设备HA模块被禁用；5：设备重启或者掉电；6：设备系统崩溃。

 

一、组网要求：             

用户要求保护服务器区的两台RG-WG设备可以实现主-备切换，当其中的一台主设备出现单点故障时，从设备接替主设备继续工作，对于服务器群而言无任何影响。

如下拓扑所示，用户的网络环境出口网关在路由器上，核心交换机为服务器和终端用户群的网关。接入交换机和核心交换机之间均为透明传输。

 

二、组网拓扑：  

此案例以WG2000设备为例：

RG-WG2000（主）使用eth0连接核心交换机；eth1连接接入交换机2；将HA接口定义为心跳接口。

RG-WG2000（备）使用eth0连接核心交换机；eth1连接接入交换机1；将HA接口定义为心跳接口。

接入交换机1连接客户端群；接入交换机2连接服务器群。

核心交换机的IP地址为：172.16.8.1/24

RG-WG2000（主）VLAN1的IP地址：172.16.8.160/24

RG-WG2000（备）VLAN1的IP地址：172.16.8.161/24

RG-WG2000（主）HA接口的IP地址：192.168.30.100/24

RG-WG2000（备）HA接口的IP地址：192.168.30.200/24

服务器段的IP：172.16.8.0/24

客户端段的IP：172.16.50.0/24

注意：管理方式一：RG-WG的VLAN配置IP地址，通过访问配置VLAN的地址进行管理；管理方式二：将RG-WG的MGT口配置IP地址，通过访问MGT口的地址进行管理。

方式一的特点：不需要占用太多核心交换机设备接口，但是在双机热备的配置案例中每次只能管理一台RG-WG设备；方式二的特点：需要占用核心交换机的接口，但是可以分别对两台RG-WG设备同时进行管理。

 

三、配置要点：

步骤1、RG-WG在进行双机热备配置时需要首先确定两个基本项目：

其一：双机热备的两台设备均属于同一型号。

其二：双机热备的两台设备使用的固件版本均相同。

步骤2、配置网络接口的IP地址包括两个项目：

其一：配置管理设备的IP地址。

其二：配置HA口的IP地址。

步骤3、配置路由表的主要作用是配置RG-WG设备的出口网关。

步骤4、配置高可用性内容为双机热备的核心内容，图中的内容是必须配置的其他部分可以根据实际情况相应增加。

注意：网络环境两台设备的网关一致时，先将两台设备HA状态配置好，然后 只需要配置主设备即可，从设备会自动和主设备同步后续的配置信息。

 

配置思路：

 

四、配置步骤：

1、配置WG（主）接口的IP地址

配置管理设备的IP地址和HA接口的ip地址，以及定义非信任接口。

步骤1、单击“管理”>“网络配置”>“网络接口”。

配置管理设备的接口有两种方式，一种是在vlan1配置IP地址。另外一种是在MGT口配置IP地址。

注意：双机热备配置管理设备的IP地址有两种方式，此处以VLAN1的方式进行介绍。

HA接口的选择上面可以自由选择，需要做两个说明：1：选择的HA接口必须为路由工作模式，2：选择好HA口需要注意另外一台RG-WG设备在选择HA口是需要完全一致。例如：RG-WG2000(主)使用Eth3口作为HA接口；则RG-WG2000（备）也使用Eth3口作为HA接口。3：保证两台设备HA口配置的IP地址要在同一个网段。

非信任接口配置方面注意勾选非信任接口的位置，一定要勾选RG-WG上连接口。例如本案例的eth0口。

 

二、配置WG（备）接口的IP地址

图3-2

三、配置路由

配置RG-WG设备的路由功能，即为RG-WG设备配置网关。

步骤1、添加路由，单击“管理”>“网络配置”>“路由表”>“添加”。

勾选“添加为默认网关”，输入RG-WG设备的直连网关地址。例如：该案例中核心交换机的IP地址。配置路由后，可在“设备路由表”中可以看到刚才已经配置成功的路由。

注意：配置RG-WG（主-备）的路由，由于两台设备使用的网关均为172.16.8.1/24则此处配置两台设备相同。

 

四、配置RG-WG（主）HA功能

在创建HA双机热备的主/备之前，需要在RG-WG上配置HA设置。该处截图是主设备的配置截图，文字描述多用于介绍图中功能使用。

单击“管理”>“网络设置”>“高可用性”。

启用HA：启用双机热备功能。

HA状态：管理员可以查看设备的当前工作状态，显示为“Master”表示设备为主设备；显示为“backup”表示设备为从设备。

Failover状态：点击“设置Failover”可以手工强制切换HA状态，即当网关正在作为备份组中主网关运行时，单击“设置Failover”将用该网关担任备用角色，而之前备用的网关将成为主网关。要想结束设备故障切换状态并让该网关回复到主网关的角色，单击“解除故障切换设置”。

集群IP地址/掩码：输入备份组的虚拟IP地址和子网掩码，用于标识设备组。

HA接口：选择RG-WG设备双机热备心跳口所用到的接口，心跳线通过主从设备同步连接状态，配置信息等。

HA优先级：配置备份组的优先级，如果两个网关同时启动，优先级数值高的网关将成为HA集群的主网关。如果想让一个网关无论在何时启动都是主网关，那么优先级数值要设置为254。优先级数值的有效范围为1-254。

组ID：配置HA集群的备份组的ID号，主和备用网关的组ID必须一样。如果在用户网络中拥有多个HA组，那么各个HA组的组ID必须不一样。

保持间隔：设置主从设备之间发送心跳报文的时间间隔。如果从设备在连续三个保持间隔内均没有收到主设备发送的心跳报文，则从设备将假设主设备已关闭，自行承担起主设备的角色。

对等IP：配置对端心跳口的IP地址，分配给主从设备上的HA心跳接口的IP地址必须位于用一个子网内。

启用设备故障切换临界值：默认情况下，主设备拔掉监控接口的网线时，设备会认为接口是Down掉了，都会触发设备的主从状态切换。勾选“启用设备故障切换临界值”选项后，可以允许设备在每分钟内插拔网线超过一定的次数，而设备的主从状态不进行切换，防止HA主系统所有权来回切换次数太平凡。

跟踪超时：设备向监控主机发送ping包来监控和主机的连接是否畅通，如果在此设定的时间内未接收到回应的报文，则认为该主机不可达。

注意：只有连续3次向跟踪主机发送ping包均不可达，才认为此链路不通。

设备切换频率临界值：主设备会计算其出现故障的链接的权重值之和，并和此处设置的“设备切换频率临界值”进行比较。只有当断开的探测链路的权值之和不低于该处设定的值时，VRRP才认为主设备链路出现故障。例如：此处设定23，监控主机1的权值为12，监控主机2的权值为15，则链路1和链路2必须同时断开时他们的权值之和大于23，设备才由“主状态”切换到“从状态”。如果此处设定为11，则链路1和链路2任何一条链路断开后设备都会进行切换。

跟踪主机IP地址：录入的主机IP地址，设备会向该监控主机发送ping包来监控链路是否通畅。

加权系数：为监控主机设定不同的加权系数，表面链路的权重值。

监控接口：通过设置监控接口权重值作为HA故障切换触发器。“启用”一栏选择监控接口，则系统将监控接口工作是否正常，“加权系数”出设置该接口的权重值，控制HA故障切换时间发生的时间，避免过早的故障切换事件。

启用先占模式：设置是否启用“抢占模式”。如果在主备中客户要求，当主设备出现故障是切换到备用设备。当主设备回复正常后，该主设备将主动通过抢占重新作为主系统，则需要启用“抢占模式”。在设置抢占的同时也可以设置“延时时间”，这样可以使得从设备延迟一段时间切换成为Master。在性能不够稳定的网络中，Backup可能因为网络堵塞无法正常收到Master的报文，配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内路由器的状态频繁转换。延时的时间以秒计算，可以设置范围为0~600.设置为“0”值时主设备将在成功重启和恢复后立即抢回“主系统”状态。

 

五、配置RG-WG（备）HA功能

该处介绍RG-WG（备）的配置信息，图中内容介绍在双机热备的配置案例中必须要配置的部分，以及配置部分和其他部分的对应关系，如图3-8所示。

启用HA：做双机热备的两台或者多台必须将该按钮勾选，勾选后设备才会和其他的做HA的设备进行通信。

HA接口：由于目前使用的RG-WG2000设备有一个专门HA接口，所以定义HA接口为热备接口，该接口除了接入网络环境的接口以外，均可以定义为HA接口，需要注意一定要将热备接口配置成路由工作模式并且配置IP地址。

HA优先级：将RG-WG2000（主）设备的优先级设置高于RG-WG2000（从）设备的优先级，建议这里将（主）设备的优先级设置为254。

组ID：是两台设备之间使用VRRP通信的标识，配置双机热备的两台设备时必须将组ID设置相同，否则（主）设备和（从）设备无法进行信息同步。

对等IP：（主）设备配置“对等IP”地址为（从）设备配置HA端口的地址；（从）设备中配置的“对等IP”地址为（主）设备HA端口的地址。

启用故障切换临界值：默认勾选为“1”表示监控的接口eth0在1分钟内端口down一次即切换至（从）设备。

启用先占模式：如果需要使用该功能，必须在（主）设备中勾选该功能，先占延时时间是主设备出现故障后并且故障恢复后设备(主)设备继续接替从设备的时间，在规定的时间内故障恢复后延时xxx秒切换。

加权系数：加权系数和“设备切换频率临界值”有相应的对应关系，只有加权系数高于设备切换频率临界值时才会实现（主-备）切换，如果想实现对多个接口同时监控，并且在两个接口同时Down时才会切换，需要将两个接口的加权系数之和高于设备切换频率临界值，但是单个接口的加权系数同时又低于设备切换频率临界值。

 

五、配置验证：

设备工作在主模式时，设备连接不同的网段，能够正常转发设备的数据报文。

设备工作在备用模式时，设备只接收和检查从主设备发过来的心跳包，不转发任何数据报文。（因为内核的ha_master标记被置为0）

只有当设备工作在主模式时才能转发数据流量。HA模块基于VRRP-V2协议设计，但是增加了对被监控接口的“Health”检查。从主设备发送过来的adv报文，增加了一个32位的成员“health_value”用于表示当前设备的健康状况。“health_value”通过局部failover标记和被监控接口的健康状况数值计算得到，不管设备工作在主状态还是备用状态，当HA模块从网络上接收到adv数据报文时，设备将首先计算局部health_value的值，并从adv数据报文中获取health_value值，对二者进行比较，然后判断是否需要切换设备的HA状态。

方式一：ping服务器群测试

先在客户端对受RG-WG保护的服务器进行ping测试，在ping的同时并且对RG-WG2000(主)设备的Eth0口的网线拔下，造成一种意外的故障的案例然后看服务器群的服务器是否断网。

当RG-WG2000（主）设备单点故障时，备用设备立刻接管主设备继续工作，当主设备正常工作时等待单位时间后接管之前的备用设备继续工作。

 

方式二：查看系统日志信息

主设备和核心交换机链接的网线拔掉后，（主）设备中日志记录信息，以及（从）设备记录日志的信息。

单击“报表和日志”>“日志”>“系统日志”。

 

方式三：查看系统信息

登陆RG-WG2000(主)设备后，在“主页”“综合数据”可以看到HA的状态，HA状态为主设备显示为“Master”，HA为备的设备显示为“Backup”。