您的当前位置：首页华为AR系列路由器 01-04 双机热备份配置

华为AR系列路由器 01-04 双机热备份配置

来源：意榕旅游网

Huawei AR 系列物联网关配置指南-可靠性（命令行）

4 双机热备份配置

4关于本章

4.1 双机热备份简介4.2 双机热备原理描述4.3 双机热备份应用场景4.4 配置注意事项4.5 双机热备份缺省配置4.6 配置双机热备份功能4.7 双机热备份配置举例4.8 双机热备份常见配置错误

双机热备份配置

4.1 双机热备份简介

定义

双机热备份（Hot-Standby Backup）是指，当两台设备在确定主用（Master）设备和备用（Backup）设备后，由主用设备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行。

目的

随着用户对网络可靠性的要求越来越高，如何保证网络的不间断传输，已成为一个必须解决的问题。特别是在一些重要业务的入口或接入点上，需要保证网络的不间断运行，如企业的Internet接入点、银行的数据库服务器等。在这些业务点上如果只使用一台设备，无论其可靠性多高，网络都必然要承受因单点故障而导致业务中断的风险。为了解决上述问题，引入了双机热备份。双机热备份实现了双机业务的备份功能，业务信息通过备份链路实现批量备份和实时备份，保证在主设备故障时业务能够不中断地顺利切换到备份设备，从而降低了单点故障的风险，提高了网络的可靠性。

4 双机热备份配置

4.2 双机热备原理描述

4.2.1 备份方式

设备支持主备方式的双机热备份解决方案。

主备方式（与VRRP热备份配合使用）

如图4-1所示，RouterA与RouterB组成一个VRRP备份组。正常情况下主设备RouterA处理所有业务，并将产生的会话信息通过主备通道传送到备份设备RouterB进行备份；RouterB不处理业务，只用做备份。

图4-1 双机热备份主备方式组网图（正常工作）

SwitchAUser Net1RouterAMasterNetworkUser Net2SwitchBBackupRouterB流量A流量B主备通道

当主设备RouterA发生故障，备份设备RouterB接替主设备RouterA处理业务，如图4-2所示。由于已经在备用设备上备份了会话信息，从而可以保证新发起的会话能正常建立，当前正在进行的会话也不会中断，提高了网络的可靠性。

4 双机热备份配置

图4-2 双机热备份主备方式组网图（发生故障）

SwitchAUser Net1RouterAMasterNetworkUser Net2SwitchBBackupRouterB流量A流量B主备通道

当原来的主用设备故障恢复之后，在抢占方式下，将重新选举成为Master；在非抢占方式下，将保持在Backup状态。

4.2.2 实现机制

双机热备份的实现主要分为两个环节，即正常情况下的数据同步，该环节保证主备设备信息一致；以及故障与故障恢复时的流量切换，该环节保证故障后业务能够不中断运行。

数据同步

当主用设备出现故障，流量切换到备份设备时，要求主用设备和备份设备的会话表项完全一致，否则有可能导致会话中断。因此，需要一种机制在主用设备上会话建立或表项变化时将相关信息同步保存到备份设备上。HSB主备服务处理模块可以提供数据的备份功能，它负责在两个互为备份的设备间建立主备通道，并维护主备通道的链路状态，提供报文的收发服务。

数据同步的方式有批量备份、实时备份和定时同步：●

批量备份

主用设备工作了一段时间后，可能已经存在大量的会话表项，此时加入备份设备，在两台设备上配置双机热备份功能后，先运行的主用设备会将已有的会话表项一次性同步到新加入的备份设备上，这个过程称为批量备份。●

实时备份

主用设备在运行过程中，可能会产生新的会话表项。为了保证主备设备上表项的完全一致，主用设备在产生新表项或表项变化后会及时备份到备份设备上，这个过程称为实时备份。●

定时同步

为了进一步保证主备设备上表项的完全一致，备用设备会每隔30分钟检查其已有的会话表项与主用设备是否一致，若不一致则将主用设备上的会话表项同步到备用设备，这个过程称为定时同步。

4 双机热备份配置

流量切换

双机热备份通过VRRP特性来实现流量的切换，即VRRP热备份。

如图4-3所示，RouterA和RouterB上配置了VRRP功能，其中RouterA配置为VRRP备份组的Master设备，RouterB配置为VRRP备份组的Backup设备。双机热备份根据VRRP的主备状态（VRRP的具体原理可参见“6.2 VRRP原理描述”），协商出RouterA作为双机热备份的主用设备，RouterB作为双机热备份的备份设备（即双机热备份主备设备的选择与VRRP组主备设备的选择保持一致），HSB主备服务会将主设备RouterA上的相关信息备份到备份设备RouterB上。

正常情况下，业务流量通过主用设备RouterA转发。如果RouterA发生故障，VRRP备份组会根据VRRP优先级选举RouterB成为VRRP备份组新的Master设备，进行业务流量的转发，从而实现了流量的切换。

图4-3 双机热备份通过VRRP实现流量切换组网图（切换前）

SwitchAUser Net1RouterAVRRP Master正常情况VRRPNetworkUser Net2SwitchBVRRP BackupRouterBSwitchAUser Net1RouterARouterA故障VRRPNetworkUser Net2SwitchBVRRP MasterRouterB流量A流量B主备通道

如果发生故障，如图4-4所示，VRRP备份组会根据VRRP优先级选举RouterB成为VRRP备份组新的Master设备，进行业务流量的转发，从而实现了流量的切换。

4 双机热备份配置

图4-4 双机热备份通过VRRP实现流量切换组网图（切换后）

SwitchAUser Net1RouterA

VRRPNetworkUser Net2SwitchBRouterBVRRP Master流量A流量B主备通道

4.3 双机热备份应用场景

4.3.1 通过双机热备份提高防火墙的可靠性

出于安全的考虑，企业在接入外网时，一般在网络流量的必经节点部署防火墙。如果防火墙出现故障，将会导致网络通信中断，所以防火墙的可靠性对于网络的高可用性十分重要。

传统备份方案在接入点部署多台设备形成主备备份，并通过VRRP或动态路由等机制进行链路切换。该方案要求接入点是路由器，因为经过设备的每个报文都要查找转发表进行转发，以保证链路切换后，后续报文的转发不受影响。但是当接入点是状态检测防火墙等设备时，由于状态检测防火墙是基于连接状态的，当用户发起会话时，状态检测防火墙只会对会话的首包进行检查，如果首包允许通过则会建立一个会话表项，只有匹配该会话表项的后续报文（包括返回报文）才能够通过防火墙。链路切换后，后续报文找不到正确的表项，会导致当前业务中断。

在防火墙设备上部署双机热备份能够很好地解决这个问题。双机热备份可以实现会话表在两台防火墙之间的实时同步。在链路切换前，备用设备会将主用设备上的会话信息进行主备同步；在设备故障后能将流量切换到防火墙备份设备，由备份防火墙继续处理业务，从而保证了防火墙的故障切换不会导致用户会话中断，提高了用户连接的高可用性。

如图4-5所示，在FWA和FWB之间部署双机热备份，其中FWA作为主用设备，FWB作为备用设备，在防火墙之间进行状态信息同步。

4 双机热备份配置

图4-5 双机热备份与防火墙配合使用组网图

FWA：Master

User NetVRRPNetworkFWB：Backup

双机热备份需要根据VRRP的状态协商出业务的主备状态（主备备份组的主备状态由VRRP的主备状态确定），所以还需要在FWA和FWB之间配置VRRP功能。

4.4 配置注意事项

涉及网元

无需其他网元配合。

License支持

HSB是设备的基本特性，无需获得License许可即可应用此功能。

特性依赖和限制

●●●●

双机热备份只支持两台设备之间的备份，并且两台设备的型号和软件版本需完全一致。

目前只支持防火墙的双机热备份。

双机热备份时，主备之间采用TCP明文传输数据，存在安全隐患，建议主备之间部署IPSec来保护数据。

AR550-8FE-D-H和AR550-24FE-D-H不支持双机热备份。

4.5 双机热备份缺省配置

4 双机热备份配置

参数HSB主备服务检测报文的重传间隔

缺省值3秒4.6 配置双机热备份功能

前置任务

在配置双机热备份功能之前，需完成任务：配置接口的网络层属性，使网络层路由可达。

4.6.1 配置VRRP备份组

背景信息

VRRP备份组能够在不改变组网的情况下，采用将多台设备虚拟成一台网关设备，将虚拟交换机设备的IP地址作为用户的默认网关的方式实现下一跳网关的备份。配置VRRP备份组后，流量通过Master设备转发，当Master设备故障时，迅速选举出新的Master设备继续承担流量转发，实现了网关冗余备份。

如果在网关冗余备份的同时，需要实现对流量的负载分担，则可以配置多网关负载分担。

VRRP根据优先级决定设备在备份组中的地位，优先级越高，越可能成为Master设备。通过配置优先级，可以指定Master设备，以承担流量转发业务。

操作步骤

创建VRRP备份组–

主备备份i.ii.iii.

执行命令system-view，进入系统视图。

执行命令interface interface-type interface-number，进入接口视图。执行命令vrrp vrid virtual-router-id virtual-ip virtual-address，创建VRRP备份组并给备份组配置虚拟IP地址。缺省情况下，设备上无VRRP备份组。

–

多网关负载分担

实现多网关负载分担，需要重复执行上述“主备备份”的操作步骤，在接口上配置两个或多个VRRP备份组，各备份组之间以备份组号（virtual-router-id）区分。

配置设备在备份组中的优先级a.b.c.

执行命令system-view，进入系统视图。

执行命令interface interface-type interface-number，进入接口视图。执行命令vrrp vrid virtual-router-id priority priority-value，配置工业路由交换一体机在备份组中的优先级。

缺省情况下，优先级的取值是100。数值越大，优先级越高。

4 双机热备份配置

▪▪

优先级0被系统保留作为特殊用途；优先级值255保留给IP地址拥有者。通过命令可以配置的优先级取值范围是1～254。

IP地址拥有者的优先级固定为255，用户不能手动修改。但是，用户可以通过vrrp vrid virtual-router-id priority priority-value为IP地址拥有者配置一个非255的优先级（该优先级不会取代255，不生效），当VRRP备份组不再是IP地址拥有者时，其优先级为配置的优先级。

优先级取值相同的情况下，同时竞争Master时，备份组所在接口的主IP地址较大的成为Master设备；VRRP备份组中先切换至Master状态的设备为Master设备，其余Backup设备不再进行抢占。

▪

4.6.2 配置HSB主备服务

背景信息

HSB主备服务负责在两个互为备份的设备间建立主备备份通道，维护主备通道的链路状态，为其他业务提供报文的收发服务，并在备份链路发生故障时通知主备业务备份组进行相应的处理。

HSB主备服务主要包括两个方面：●

建立主备备份通道：通过配置主备服务本端和对端的IP地址和端口号，从而建立主备机制报文发送的TCP通道，为其他业务提供报文的收发以及链路状态变化通知服务。

维护主备通道的链路状态：通过发送主备服务报文和重传等机制来防止TCP较长时间中断但协议栈没有检测到该连接中断。如果在主备服务报文时间间隔与重传次数乘积的时间内还未收到对端发送的主备服务报文，设备则会收到异常通知，并且准备重建主备备份通道。

说明

●HSB主备备份通道参数必须在本端和对端同时配置。本端的源IP地址、目的IP地址、源端口和目

的端口分别为对端的目的IP地址、源IP地址、目的端口和源端口。●主备服务报文的相关参数，包括发送时间间隔、重传次数在主备两端必须配置一致。●配置共享密钥时需要注意：

●

配置共享密钥会影响双机热备的性能，在网络环境安全的情况下，不建议配置该功能。如果需要配置，请确保主备两端的共享密钥必须配置一致，否则会导致HSB连接不稳定，反复连接断开。

命令key必须先于命令service-ip-port配置，否则会导致命令key配置失败。

●

操作步骤

步骤1执行命令system-view，进入系统视图。

步骤2执行命令hsb-service service-index，创建HSB备份服务并进入HSB备份服务视图。

缺省情况下，未创建HSB主备服务。

步骤3（可选）执行命令key cipher key-string，配置HSB主备两端的共享密钥。

缺省情况下，未配置HSB主备两端的共享密钥。

4 双机热备份配置

步骤4执行命令service-ip-port local-ip local-ip-address peer-ip peer-ip-address local-data-port local-port peer-data-port peer-port，配置建立HSB主备备份通道的IP地址和端口号。

缺省情况下，未配置HSB主备备份通道的IP地址和端口号。

步骤5（可选）执行命令service-keep-alive detect retransmit retransmit-times interval

interval-value，配置HSB主备服务报文的重传次数和发送间隔。

缺省情况下，报文的重传次数为5，发送间隔为3秒。----结束

4.6.3 配置HSB备份组

背景信息

主备业务备份组负责通知各个业务模块进行批量备份、实时备份和状态同步。各个业务备份功能依赖于业务备份组提供的状态协商和事件通知机制，实现业务信息的主备同步。

HSB主备业务备份组依赖于HSB主备服务处理提供的主备通道，进行备份信息的同步，并响应主备服务处理的链路通断事件。需要为HSB备份组绑定HSB主备服务，才能使HSB备份组正常工作。此外，HSB备份组还需要通过与VRRP备份组绑定，根据VRRP的状态协商出业务的主备状态；并通过监控所绑定的主备通道状态和VRRP状态的变化，通知各个业务模块进行批量备份、实时备份和状态同步。

操作步骤

步骤1执行命令system-view，进入系统视图。

步骤2执行命令hsb-group group-index，创建HSB备份组并进入HSB备份组视图。

缺省情况下，设备上未创建HSB备份组。

步骤3执行命令bind-service service-index，配置HSB备份组绑定的主备服务。

缺省情况下，HSB备份组未绑定HSB主备服务。

步骤4执行命令track vrrp vrid virtual-router-id interface interface-type interface-number，配置HSB备份组绑定的VRRP备份组。

缺省情况下，HSB备份组未绑定VRRP备份组。

步骤5执行命令quit，进入系统视图。

----结束

4.6.4 使能HSB备份组

背景信息

HSB备份组使能后，对HSB备份组的相关配置才会生效，HSB备份组才会在状态发生变化时通知相应的业务模块进行处理。

4 双机热备份配置

操作步骤

步骤1执行命令system-view，进入系统视图。

步骤2执行命令hsb-group group-index，进入HSB备份组视图。步骤3执行命令hsb enable，使能HSB备份组。

----结束

4.6.5 检查VRRP热备份配置结果

操作步骤

●●

执行display hsb-group group-index命令查看HSB主备备份组的信息。执行display hsb-service service-index命令查看HSB主备服务的信息。

----结束

4.7 双机热备份配置举例

4.7.1 配置双机热备份示例

组网需求

如图4-6所示，用户网络通过Switch双归连接到RouterA和RouterB，用户希望实现：●●

正常情况下，用户网络内主机以RouterA为默认网关接入Internet，RouterA上的业务信息可以实现批量备份和实时备份到RouterB上。

当RouterA故障时，RouterB接替RouterA继续进行工作，网络的运行不间断。

图4-6 配置双机热备份示例

RouterCMasterRouterAGE2/0/010.1.1.1/24GE1/0/0192.168.1.1/24Backup

4 双机热备份配置

配置思路

采用双机热备份和VRRP主备备份实现网络的不间断运行，配置思路如下：1.2.3.

配置各设备接口IP地址及路由协议，使各设备间网络层连通。

在RouterA和RouterB上配置VRRP备份组。其中，RouterA上配置较高优先级，作为主用设备承担流量转发；RouterB上配置较低优先级，作为备用设备。

配置双机热备份功能，将RouterA上的业务信息通过备份链路批量备份和实时备份到RouterB上，保证在主设备故障时业务能够不中断地顺利切换到备份设备。

操作步骤

步骤1配置设备间的网络互连

# 配置设备各接口的IP地址，以RouterA为例。RouterB的配置与之类似，详见配置文件。

system-view

[Huawei] sysname RouterA

[RouterA] interface gigabitethernet 2/0/0

[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 24[RouterA-GigabitEthernet2/0/0] quit

[RouterA] interface gigabitethernet 1/0/0

[RouterA-GigabitEthernet1/0/0] ip address 192.168.1.1 24[RouterA-GigabitEthernet1/0/0] quit

# 配置Switch的二层透传功能。

system-view[Huawei] sysname Switch[Switch] vlan 100[Switch-vlan100] quit

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 100

[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port hybrid pvid vlan 100

[Switch-GigabitEthernet0/0/2] port hybrid untagged vlan 100[Switch-GigabitEthernet0/0/2] quit

步骤2配置VRRP备份组

# 在RouterA上创建VRRP备份组1，配置RouterA在该备份组中的优先级为120。

[RouterA] interface gigabitethernet 2/0/0

[RouterA-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.1.1.111[RouterA-GigabitEthernet2/0/0] vrrp vrid 1 priority 120[RouterA-GigabitEthernet2/0/0] quit

# 在RouterB上创建VRRP备份组1，其在该备份组中的优先级为缺省值100。

[RouterB] interface gigabitethernet 2/0/0

[RouterB-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.1.1.111[RouterB-GigabitEthernet2/0/0] quit

步骤3配置双机热备份功能

# 在RouterA上创建HSB主备服务0，并配置其主备通道IP地址和端口号。

[RouterA] hsb-service 0

[RouterA-hsb-service-0] service-ip-port local-ip 192.168.1.1 peer-ip 192.168.1.2 local-data-port 10241 peer-data-port 10241

# 在RouterB上创建HSB主备服务0，并配置其主备通道IP地址和端口号。

4 双机热备份配置

[RouterB] hsb-service 0

[RouterB-hsb-service-0] service-ip-port local-ip 192.168.1.2 peer-ip 192.168.1.1 local-data-port 10241 peer-data-port 10241

# 在RouterA上创建HSB备份组0，并配置其绑定HSB主备服务0和VRRP备份组1。RouterB的配置与之类似，详见配置文件。

[RouterA] hsb-group 0

[RouterA-hsb-group-0] bind-service 0

[RouterA-hsb-group-0] track vrrp vrid 1 interface gigabitethernet 2/0/0

# 在RouterA上使能HSB备份组0，使HSB备份组的相关配置生效。RouterB的配置与之类似，详见配置文件。

[RouterA-hsb-group-0] hsb enable

步骤4验证配置结果

# 完成上述配置以后，在RouterA和RouterB上分别执行display vrrp命令，可以看到RouterA在备份组中的状态为Master，RouterB在备份组中的状态为Backup。

[RouterA] display vrrp

GigabitEthernet2/0/0 | Virtual Router 1 State : Master Virtual IP : 10.1.1.111 Master IP : 10.1.1.1 PriorityRun : 120

PriorityConfig : 120 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Backup-forward : disabled

Create time : 2012-05-11 11:39:18 UTC-08:00 Last change time : 2012-05-26 11:38:58 UTC-08:00[RouterB] display vrrp

GigabitEthernet2/0/0 | Virtual Router 1 State : Backup Virtual IP : 10.1.1.111 Master IP : 10.1.1.1 PriorityRun : 100

PriorityConfig : 100 MasterPriority : 120 Preempt : YES Delay Time : 0 s TimerRun : 1 s TimerConfig : 1 s Auth type : NONE Virtual MAC : 0000-5e00-0101 Check TTL : YES Config type : normal-vrrp Backup-forward : disabled

Create time : 2012-05-11 11:39:18 UTC-08:00 Last change time : 2012-05-26 11:38:58 UTC-08:00

# 在RouterA和RouterB上执行display hsb-service service-index命令，查看主备服务的建立情况。可以看到Service State字段的显示为Connected，说明主备服务通道已经成功建立。RouterA和RouterB上的显示信息如下。

[RouterA] display hsb-service 0Hot Standby Service Information:

---------------------------------------------------------- Local IP Address : 192.168.1.1 Peer IP Address : 192.168.1.2 Source Port : 10241

Destination Port : 10241 Keep Alive Times : 5 Keep Alive Interval : 3

Service State : Connected Service Batch Modules :

----------------------------------------------------------[RouterB] display hsb-service 0Hot Standby Service Information:

---------------------------------------------------------- Local IP Address : 192.168.1.2 Peer IP Address : 192.168.1.1 Source Port : 10241 Destination Port : 10241 Keep Alive Times : 5 Keep Alive Interval : 3

Service State : Connected Service Batch Modules :

----------------------------------------------------------

4 双机热备份配置

# 在RouterA和RouterB上执行display hsb-group group-index命令，查看HSB备份组的运行情况。RouterA和RouterB上的显示信息如下。

[RouterA] display hsb-group 0Hot Standby Group Information:

---------------------------------------------------------- HSB-group ID : 0 Vrrp Group ID : 1

Vrrp Interface : GigabitEthernet2/0/0 Service Index : 0

Group Vrrp Status : Master Group Status : Active

Group Backup Process : Realtime Peer Group Device Name : AR530 Peer Group Software Version : V200R010

Group Backup Modules : Firewall [RouterB] display hsb-group 0Hot Standby Group Information:

---------------------------------------------------------- HSB-group ID : 0 Vrrp Group ID : 1

Vrrp Interface : GigabitEthernet2/0/0 Service Index : 0

Group Vrrp Status : Backup Group Status : Inactive

Group Backup Process : Realtime Peer Group Device Name : AR530 Peer Group Software Version : V200R010

Group Backup Modules : Firewall

# 在RouterA的接口GE2/0/0和GE1/0/0上执行shutdown命令，模拟RouterA出现故障。

[RouterA] interface gigabitethernet 2/0/0[RouterA-GigabitEthernet2/0/0] shutdown[RouterA-GigabitEthernet2/0/0] quit

[RouterA] interface gigabitethernet 1/0/0[RouterA-GigabitEthernet1/0/0] shutdown[RouterA-GigabitEthernet1/0/0] quit

# 在RouterB上执行display hsb-group group-index命令查看HSB备份组状态信息，可以看到RouterB的状态是Master。

[RouterB] display hsb-group 0Hot Standby Group Information:

---------------------------------------------------------- HSB-group ID : 0 Vrrp Group ID : 1

Vrrp Interface : GigabitEthernet2/0/0 Service Index : 0

Group Vrrp Status : Master Group Status : Independent Group Backup Process : Realtime Peer Group Device Name : AR530 Peer Group Software Version : V200R010

Group Backup Modules : Firewall

4 双机热备份配置

----结束

配置文件

●

RouterA的配置文件

sysname RouterA#

interface GigabitEthernet1/0/0

ip address 192.168.1.1 255.255.255.0#

interface GigabitEthernet2/0/0 ip address 10.1.1.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.1.111 vrrp vrid 1 priority 120#

hsb-service 0

service-ip-port local-ip 192.168.1.1 peer-ip 192.168.1.2 local-data-port 10241 peer-data-port 10241#

hsb-group 0

track vrrp vrid 1 interface GigabitEthernet2/0/0 bind-service 0 hsb enable#

return

●RouterB的配置文件

sysname RouterB#

interface GigabitEthernet1/0/0

ip address 192.168.1.2 255.255.255.0#

interface GigabitEthernet2/0/0 ip address 10.1.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.1.111#

hsb-service 0

service-ip-port local-ip 192.168.1.2 peer-ip 192.168.1.1 local-data-port 10241 peer-data-port 10241#

hsb-group 0

track vrrp vrid 1 interface GigabitEthernet2/0/0 bind-service 0 hsb enable#

return

●Switch的配置文件

sysname Switch#

vlan batch 100#

interface GigabitEthernet0/0/1 port hybrid pvid vlan 100

port hybrid untagged vlan 100#

interface GigabitEthernet0/0/2 port hybrid pvid vlan 100

port hybrid untagged vlan 100

return

4 双机热备份配置