SANGFOR_AC__v11.0主主模式部署测试指导书

SANGFOR_AC_v11.0版本_主主模式部署测

试指导书

深信服科技有限公司目录

1 介绍 (3)

1.1 文档目的 (3)

2 需求背景 (3)

3 测试环境 (3)

3.1 测试拓扑 (3)

3.2 测试条件 (4)

3.3 预期测试效果 (4)

4 测试过程 (4)

5 测试效果 (10)

6 注意事项 (14)1 介绍

1.1 文档目的

为了方便快速达到功能测试效果，减少现场测试出现问题机率。

2 需求背景

主主模式主要应用于内网设备启用VRRP的环境，既可以起到设备冗余又可以起到负载均衡的作用,路由和网桥模式部署都可以部署为主主模式，一般网桥模式下建议使用主主模式。

主主模式下所有的设备都是同时工作的，同时实现在VRRP环境下某条线路断掉，无缝切换到另一条线路，且策略和用户状态保持一致，用户上网不需要重新认证。

3 测试环境

3.1 测试拓扑

客户的网络两台三层交换机和防火墙启用vrrp的冗余协议，两侧防火墙，交换机可以配置热备冗余或负载均衡，互为主备”，鉴于这种环境两台AC单网桥主主模式部署在防火墙和核心交换机之间。

3.2 测试条件

4.2.1 准备两台(11.0或以上版本)同版本的设备。

3.3 预期测试效果

4.3.1 主控修改配置可以实时同步至节点。

4.3.2 两台备份设备当其中一台挂掉，内网业务流切换至另外一台AC时不会断网，切不要求重复认证。

4 测试过程

5.1 主控配置

将认为需要部署为主控的设备按如下步骤配置好5.1.1 基本网络配置

(1)配置设备部署模式为网桥模式，启用“多网桥链路同步”并且配置可用的网桥IP。

(2)配置静态路由根据客户网络实际情况，如果内网是三层环境时，需要设置到内网各网段的回包路由。

5.1.2 高可用性配置

(1)【高可用性】点击“启用高可用性服务”,选择“主主模式”

(2)配置设备标识，设备角色选择主控。

(3)配置共享密钥

5.2 节点配置

5.2.1 基本网络配置

(1)配置设备部署模式为网桥模式，启用“多网桥链路同步”并且配置可用的网桥IP。

(2)配置静态路由

根据客户网络实际情况，如果内网是三层环境时，需要设置到内网各网段的回包路由。

5.2.2 高可用性配置

(1)【高可用性】点击“启用高可用性服务”,选择“主主模式”

(2)配置设备标识，选择角色为节点。

(3)配置节点和主控同步配置通信的地址。

【说明】：节点和主控通信，只要能和主控的地址ping通即可，此处我们直接用主控的网桥IP进行通信，也可以主控和节点分别选择一个空闲网口用交叉线直连来同步配置。

5.3 设备接线上架

根据客户的实际情况，将两台设备接线并上架，主控设备先加电开机后，节点设备再加电开机。

5 测试效果6.1 主主模式协商成功的状态如下：登录主控看到的状态：

登录节点看到的状态：

6.2 在主控AC1上修改配置此时配置会自动同步到节点；如下所示新增加用户。

节点上会看到同样的用户信息

【说明】：节点是不能修改配置的，如节点新增加用户会报错

6.3 主控节点业务切换测试

拨掉主链路交换机上连口的线（和AC lan相接的交换机接口），观察AC wan口是否down（即网口灯不亮），防火墙，交换机及业务流量是否正常切换至备份链路。正常情况，AC wan口同时也会down，且主链路防火墙，交换机及业务流量是否正常切换至备份链路。

6 注意事项

7.1 11.0开始硬件型号不同，软件版本相同（SP信息可以自动同步）的设备可以做主主模式部署，支持3台以上的设备部署主主模式。

7.3 主主模式部署不支持准入。

7.4 主主模式部署正常主控Ha灯常亮，节点Ha灯有规律的闪烁。

7.5 主主模式下，节点不能修改配置只能由主控同步，界面只能只读

7.6 主主模式部署，不同步的配置和自动同步的配置

(1)不同步的配置

网关模式、网口配置、数据中心配置，数据中心日志，病毒库

自动同步的配置

(1)在线用户状态、应用识别规则库、URL库、管理员账户、全局排除等

7.7 主主模式下，只有主控可以加入集中管理，节点不能加入和下发配置。此时即使主控挂了，节点临时变成主控，此时该主控也不能接入SC。需要等主控恢复后，才能从SC下发配置。被选举出来的主控，只能同步在线用户不能同步配置。