SANGFOR AC多机部署技术专题文档

AC/SG多机部署技术专题文档

1.1多机部署环境描述

AC/SG多机功能主要是用于支持客户VRRP环境的，既可以起到设备冗余又可以起到负载均衡的作用。在这种VRRP部署环境中，AC/SG架在中间是透明的，主要是部署网桥多网口模式和多网桥模式，路由模式基本不会用到。

以下是客户那边主要部署的网络拓扑之一：

AC/SG启用多网桥架在客户路由器前面，客户那边的前端路由器启用VRRP，数据流可以直走其中一个路由器起热备冗余作用，也可以2台路由器根据虚拟多个VLAN互为主备，起到负载均衡的作用。

1.2多机在AC/SG控制台的配置

配置说明：

1.多机同步的【启用】和【禁用】功能，禁用状态设备不会向同一组播域内其他设备发心跳包。

2.【通信网口】功能，区分路由模式和网桥模式。路由模式下只要选择通信网口，不

IP地址，就引用路由模式下本身的网口配置IP地址；网桥模式下因

为只有桥IP，而单独网卡上并没有配置IP，所以需要配置一个单独的IP进行发送组播心跳和同步文件。（注意的就是这个IP不要和局域网内的IP冲突）

3.【通信IP地址】，该功能只有在网桥模式下才有，仅作为向其他设备同步数据的一

个源IP。

4.【组播IP地址】，只要是224.X.X.X之后的IP均可以。不同的设备需要能互相同

步配置的话，需要设置为同一个组播IP地址。

5.【在线列表】，只要不同设备配置上相同的组播IP地址，并且每台设备上指定的通

信网口在同一个局域网内，设备的心跳包可以互相到达对方，则2台设备的在线列表均可以看到对方，即可以进行多机同步了。

1.3同步消息处理流程

当多机同步触发之后，分为3种方式：用户认证数据同步，手动同步、库文件同步。用户认证同步的数据因为是直接从认证驱动中抓包，所以没有了对比MD5值的流程，直接封装然后加入到发送数据的队列中；手动配置和库同步的配置，都需要先对比MD5值然后再进行封装，加入到发送队列中。

1.4几种同步方式实现原理

1.4.1手动同步配置

手动同步配置主要是同步设备控制台的一些配置，保持多机切换后部署在VRRP环境下的AC/SG设备配置一致，从而不影响到客户那边的上网业务。

部分配置文件需要同步，但以下文件不会同步，列入网关模式、网口配置、WEBUI、控制台用户等，因为这些配置每台设备是独立的，同步过来会导致设备IP冲突或者影响到客户对不同设备的维护。

手动同步需要点同步配置按钮来触发，只要设备启用多机情况下并且配置有变化（即设备的哪个配置的MD5发生了变化），在网关运行状态页面就会有：配置有变化请同步配置到备机的提示信息。

通过对比MD5值来判断是否需要同步，每个MD5值对应的序号是和前面的配置文件

1.4.2自动同步配置

库的同步

因为库的文件配置较大，并且内置库有个自动升级的机制，所以库的同步需要通过自动同步来实现，同步的原理也是通过对比自身MD5值有变化，就会发同步信息并且同步文件到组播域内的其他AC/SG，其他设备接收到压缩文件后，就会解压并且会拿同步过来的库版本日期文件和自身的对比，如果比自身的新则替换原来的库文件和日期文件并且更新MD5值，如果比自身的版本旧则丢弃不替换。

需要同步的库：URL内置库、准入规则库、应用识别规则库、上网安全库。病毒库和智能识别URL库由于文件太大，会影响到同步的效率和AC/SG设备的性能所以不考虑同步。

库同步实际只是一个加强功能，因为AC/SG设备只要自身可以上网，并且开启了相应的序列号，就可以保证内置库是最新的，多机同步只是一个附加保障。

用户认证同步

如上图所示

1）authd的用户认证信息，如添加在线用户，删除在线用户等通过多机同步后台程序Multisync组播到同组的其他机器上的Multisync，然后再由Multisync通知Authd更新用户认证信息。

）为在线用户增加了一个状态，标识是本地添加用户，还是其他机器添加的用户。对其他机器添加用户不做超时处理。但是一旦其他机器添加的用户在本地有流量，就转换为本地添加用户。

3）多台机器同时组播，添加删除用户，那么只有第一会成功，随后的会失败，这是authd之前就已经实现的机制。

链路同步

链路同步只有在多网桥模式才能执行的。

链路同步的主要作用是保证AC/SG设备架在客户那边内网和前段VRRP路由器之间，为了使当AC/SG得外网和内网线路一段发生故障时，会强制down另外一段的链路，使LAN和WAN的链路状态保持一致，从而当网络发生故障时前段VRRP路由器可以检测是链路故障，并且随着进行VRRP路由器主和备的切换。

链路检测脚本执行的前提条件是网桥设备上的网口状态需要有变化的时候才会执行。

1.5多机使用注意事项

1.5.1固件不同步问题

固件同步，因为同步完成后需要做重启等操作，有违VRRP热备的初衷。所以决定不做固件同步。但是同时，固件不同的设备之间进行配置或库同步有时是很危险的。所以，固件不同的设备，不做同步。

1.5.2配置同步日志

配置同步完成后会写日志。日志最大条数限制100。循环使用。即满100条后，从0开始覆盖以前的日志。WEBUI页面只显示最近的一条日志。同步完成后会在此显示日志。

本文来源：https://www.bwwdw.com/article/yxc4.html