RBM技术专题课程2.0
一 RBM背景
1 RBM 简介
RBM(Remote Backup Management,远端备份管理)提供了一种设备之间备份关键配置信息和业务表项的解决方案。可以实现网络中主设备发 生故障时,备设备能够平滑地接替主设备工作,保证用户业务数据的不间断 传输,从而实现双机热备。目前安全只支持在两台设备进行双机热备。(HA技术)
2 RBM 与 IRF
MAD工作原理:IRF分裂后,MAD检测模块会将IRF Member ID号大的成员设备置为Recovery状态,并MAD down该成员设备上除了系统保留接口外的所有接口。
堆叠双杀场景:若IRF分裂原因是IRF Member ID号小 的成员设备故障,此时IRF Member ID号大的成员设备 接口置down,影响业务
3 IRF的缺势
- 配置复杂性:在IRF模式下,设备的配置需要特别注意。例如,每个机框上至少需要配置两块支持IRF物理端口的业务板,并建议在不同业务板上建立至少两条IRF链路。此外,还需要确保成员设备间至少有一条IRF链路正常通信,以避免IRF分裂。
- 链路状态管理:IRF链路的状态管理较为复杂。当IRF链路状态从up变为down时,系统不会立即报告链路状态变化,而是经过一定时间间隔后才进行报告。这可能导致在短时间内频繁的IRF分裂/合并。
- 故障处理:当成员设备或IRF链路出现故障时,系统需要广播“成员设备离开”的信息,并根据本地维护的IRF拓扑信息表进行角色选举或更新拓扑。这一过程可能会导致系统的暂时不可用。
- MAD机制限制:虽然MAD(Multi-Active Detection)机制可以检测并处理多个相同IP地址等三层配置的IRF,但其检测和冲突处理功能可能在某些情况下无法完全避免IRF分裂对业务的影响。
- 物理端口绑定问题:在将物理端口与IRF端口绑定时,可能会遇到需要先将端口shutdown的问题,这增加了配置的复杂性和操作难度
4 IRF的优势
- 简化管理:IRF技术通过将多台设备虚拟化为一台逻辑设备,用户可以通过任意成员设备的任意端口登录IRF系统,对所有成员设备进行统一管理,无需分别连接和配置每台设备。
- 高可靠性:IRF系统由多台成员设备组成,主设备负责运行、管理和维护,而从设备则作为备份同时处理业务。一旦主设备出现故障,系统会迅速自动选举新的主设备,以保证业务不中断,实现1:N备份。
- 跨设备链路聚合:IRF支持跨成员设备的链路聚合,不同成员设备上的物理链路可以聚合成逻辑链路,实现互为备份或负载分担,从而提高网络的可靠性和性能。
- 强大的网络扩展能力:IRF可以通过增加成员设备来轻松扩展端口数和带宽,各成员设备独立处理协议报文和转发,增强了整体处理能力。
- 高性能:IRF技术能够显著提升网络带宽和吞吐量,并且在网络故障后具有更快的收敛时间,从而提高应用程序性能和灾难恢复能力。
- 成本效益:IRF通过使用多台低端设备来创建虚拟设备,相比使用单个高端设备,可以降低总体成本,同时提供更高的端口密度和带宽。
- 易于维护和升级:IRF支持热插拔功能,新增设备加入或离开IRF架构时不会影响其他设备的正常运行,且主交换机可以离线升级而不会中断整个虚拟织物。
二 RBM 工作原理RBM
2.1 业务表项备份-走数据通道
2.2 配置备份功能简介
保证RBM双机之间配置同步,避免了主备设备切换时因备设备上缺失对应的配置 信息而造成的业务中断问题。 要点:
➢ HA正常时的同步方向:配置信息只能从“主管理设备”同步到“从管理设备”,因此开局后 不建议在从管理设备上进行配置
➢ 实时备份:主管理设备上新增、删除或修改的配置信息将实时备份到从管理设备,保证这些变 化的配置信息在主从管理设备上的一致
➢ 批量备份:主管理设备上的关键配置信息全部备份到从管理设备,从管理设备上会删除与主管 理设备上不一致的配置,保证关键配置信息在主从管理设备上的完全一致
2.3 配置备份批量备份场景
➢ 主备设备都是第一次建立RBM,通道建立后,主向备进行一次批备,并且后续配置主向备同步
➢ 主备设备都是第一次建立RBM,先建立RBM通道,然后再开启configuration auto-sync enable(此命 令默认开启,即先关闭,然后建立通道,然后再开启),主向备进行一次批备,并且后续配置主向备 同步
➢ 主设备第一次建立RBM,备设备已经建立过RBM,通道建立后,备向主进行批备,并且后续主向备同 步
➢ 主设备建立过RBM,备设备第一次建立RBM,主向备批备,后续配置主向备同步
➢ 主设备建立过RBM,备设备第一次建立RBM,先关闭configuration auto-sync enable,建立通道,再 开启configuration auto-sync enable的情况下,主向备批备,后续配置主向备同步。
备注:第一次建立RBM指的是rbmd进程重启,用户态数据丢失,例如重启设备、新到货设备等。
2.4 目前支持配置信息备份的模块
2.5 触发RBM业务主备角色改变的情况
三 RBM典型组网架构
3.1 RBM工作在二层
◆台FW主备二层部署, remote-backup group里track vlan 10。
◆运行的主处理vlan10标签的报文,备不处理vlan10标签的报文。◆主切备:当FW1的设备故障或上下行接口故障时,FW1会
down/up所有的vlan10接口,让上下行二层设备的mac表项刷,
并且主不再处理vlan10的报文。保证业务能切换到FW2.
◆备切主:当FW1故障恢复后,经过delay-time后,FW2会
down/up所有vlan10的接口,保证上下行二层设备刷新mac表项,并且不再处理vlan10报文,业务正常切换到FW1。
3.2 RBM工作在三层
◆假设业务:7.1.1.1 →ping→ 8.1.1.1
◆RT1静态路由:
ip route-static 0.0.0.0 0 1.1.1.2 preference 70
ip route-static 0.0.0.0 0 2.1.1.2 preference 80
◆RT2静态路由:
ip route-static 0.0.0.0 0 3.1.1.2 preference 70
ip route-static 0.0.0.0 0 4.1.1.2 preference 80
◆ remote-backup group配置:
track interface GigabitEthernet1/0/1
track interface GigabitEthernet1/0/2
◆切换机制:FW1→FW2,FW1上的GE1/0/1和 GE1/0/2口down,此时RT1和RT2优先级较小的路由生效,实现流量的切换
◆回切机制: FW2→FW1,倒计时结束后,FW1 的业务口恢复UP,优先级较高的路由恢复,实现流量回切
3.3 RBM 应用场景
3.3.1 场景1:主备组网,防火墙三层,上下行连接路由器组网
3.3.2 场景2:双主组网,防火墙三层,上下行连接路由器组网
3.3.3 场景3:防火墙旁挂部署,VRRP主备组网
3.3.4 场景4:防火墙旁挂部署,VRRP双主组网
3.3.5 5:场景5: EAA联动,上行静态,下行ospf
四 RBM特性相关命令介绍
1本端控制通道IP地址:local-ip x.x.x.x
配置用于建立控制通道的本端IP地址,Server端将使用此Local IP提供TCP监听服务
2 对端控制通道IP地址: remote-ip x.x.x.x port x
配置用于建立控制通道的对端IP地址
3对端控制通道端口号
配置用于建立控制通道的对端端口号,在主备设备上配置的对端端口号必须一致,缺省为60064
4运行角色: device-role primary/secondary
RBM双机热备中的设备分为主 从两种管理角色,用于控制设备之间关键配置信息的同步。配置信 息只能从“主管理设备”同步到“从管理设备”,并覆盖从管理设备上的相关配置信息
#运行模式:backup-mode dual-active
RBM双机热备的运行模式包括如下两种:
主备模式:正常情况下仅由主设备处理业务,备设备处于空闲状态,实时待命
双主模式:两台设备同时处理业务,充分利用设备资源,提高系统负载能力,此模式通过“互为 主备”方法实现。 缺省为主备模式,双主模式需要配置backup-mode dual-active。
5数据通道:data-channel interface
主/备设备使用此功能配置的接口建立RBM双机热备的数据通道,此数据通道仅用于传输设备之 间的热备报文和透传报文,不用于传输主/备设备之间的其他报文。
6业务表项热备: hot-backup enable
开启此功能后,主设备会将其生成的业务表项实时同步到备设备,当主设备发生故障时备设备可 以能平滑地接替主设备的工作,保证业务不中断。 缺省为打开状态。 RBM特性命令-2 www.h3c.comConfidential 秘
7 自动同步配置信息: configuration auto-sync enable
开启此功能前,主管理设备上已经配置的命令,将会在开启此功能后进行一次批备,之后新增的命 令将实时备份到从管理设备。 配置信息很多时批备时间会很长,可能需要一到两个小时。因此在初始规划网络配置时,建议先开 启此功能,以减少后面配置信息进行批备的时间。缺省为开启状态。
8 配置信息一致性检查:configuration sync-check interval
此功能用于检测双机热备状态下的两台设备的配置信息是否一致,用于防止发生两台设备配置信息 不一致,导致主备切换后业务不通的情况。当配置信息不一致时,会发送日志信息,以提示管理员 进行配置信息的手动同步。 缺省检查周期为24小时。
9流量回切延迟时间:delay-time
RBM双机热备组网中的主设备发生故障后,流量自动切换到对端设备。当原来的主设备恢复为主后, 流量会进行回切。由于业务表项在主/备设备之间进行备份需要一定的时间,为了保证业务能够平滑切 换,所以需要延迟流量的回切。如果不配置表示永不回切,如果要回切只能手工回切。
10联动动态路由:adjust-cost enable bgp|isis|ospf|ospfv3 increment|absolute
目前支持联动ospfv2、ospfv3、bgp和isis。主备模式下,备设备发布的动态路由cost值 会做相应增加;双主模式下,正常运行时两台设备发布的路由都不加cost值,主备设备 都处理业务流量且相互备份,当一台设备故障时,故障设备发布的路由cost值会做相应 增加,所有流量在未故障的设备中处理。
11联动Track项
Track是全局配置,可以RBM视图下只配置相关的track项,当track项状态发生变化时, 会触发RBM备份组进行重新主备选举。 由于RBM模块本身已经在检测业务板状态,因此建议只配置track接口项。
12 VRRP备份组配置:vrrp vrid x virtual-ip x.x.x.x+掩码长度 +active|standby
在接口下创建vrrp备份组并添加虚地址,指定接口属于active或standby组
RBM主备模式,每个接口下添加一个VRRP备份组。
RBM双主模式,每个接口下添加两个VRRP备份组。
13 nat端口块分配:nat remote-backup port-alloc primary|secondary
双主模式下,两台设备共用同一个nat资源池,为避免端口块分配冲突,在配置主设备 上配置nat remote-backup port-alloc primary,配置备设备会自动下发nat remotebackup port-alloc secondary,配置主使用端口块前半段,配置备使用端口块后半段。 主备模式下,无需配置此命令。
注意,需要同时配置nat port-block synchronization enable,两条命令同时存在
14配置SNAT地址池绑定VRRP备份组:vrrp vrid x
当VRRP的虚拟IP地址与NAT地址组/NAT端口块组中公网地址成员处于同一网段时,设 备无法判断是否需要对NAT地址组/NAT端口块组中公网地址成员的ARP请求进行响应。 如果两台设备都回应ARP响应报文,则无法保证响应报文中MAC地址的正确性,也无法 保证与HA相连的三层设备上ARP表项的正确性。为了避免上述情况的发生,需要将 Master设备发送的ARP报文中携带的MAC地址改为VRRP备份组的虚拟MAC地址。当 Master设备收到ARP请求时,回应的ARP响应报文中携带的MAC地址为此VRRP备份 组 的虚拟MAC地址。
#
nat address-group 1
address 1.0.0.1 1.0.0.100
vrrp vrid 7
如果地址池地址与VRRP虚拟IP不同网段,则不需要为地址池绑定VRRP备份组
15 RBM通道相关接口的配置保持配置
1. 接口下的MTU建议保持缺省(1500)
2. 控制通道地址建议配置为ipv4地址
3. 非必要不建议直接使用RBM控制通道地址直接跨框跳转登录(如ssh、telnet等)
16 RBM维护
维护1
维护2
维护3
维护4
维护5
维护6
维护7
五 RBM升级/换配件
六 典型案例
