H3C RBM配置

概述

对于传统的网络设备（如交换机、路由器），只需要做好接口或网络的冗余就可以保证流量的不间断传输。但是，对于需要对报文进行状态检测和策略处理的设备（如防火墙、入侵防御、上网行为审计等），它会对一条流量的首包进行合法性检测，并建立会话来记录流量的状态信息（包括报文的源IP、源端口、目的IP、目的端口、协议等）。而这条流量的后续报文只有匹配会话才会在此类设备上进行处理并完成转发，如果后续报文不能匹配到会话则被丢弃。所以当此类设备进行可靠性部署时，不仅需要做好链路级的冗余，还需要保证两台设备之间的业务表项信息和配置信息的一致性，做到设备级的冗余，只有如此才能真正保证流量的不间断传输。
双机热备功能可以有效解决以上问题。
双机热备是一种跨设备的备份管理技术，提供了一种设备级、系统级的可靠性解决方案。
管理平面：主从角色，不抢占。
转发平面：分两种；一种是主备角色，主设备处理业务流量，备设备不处理；另一种是双主角色，均处理流量。

优点

1 配置自动同步：只在主设备配置，从配置自动同步。主从设备不切换
2 流量自动切换
3 支持多业务模块：与VRRP联动
4 兼容性强

原理

概念
双机热备技术在控制层面和业务层面对设备进行统一管理，从而提供设备级冗余保护和流量负载分担。双机热备技术包含的基本概念如下。
（1）主、从管理设备：双机热备中的设备在控制层面分为主、从两种管理角色（也可以称作主、从管理状态），用于控制设备之间的配置信息同步。主、从管理角色只能手工配置，不能动态选举。避免配置反复冲突覆盖。（RBM_P，RBM_S）

在双机热备组网中必须将其中一台设备配置为主管理设备，另一台设备配置为从管理设备，RBM控制通道建立后只能在主管理设备上配置相关业务，从管理设备上不能配置。配置信息只能从“主管理设备”同步到“从管理设备”，并覆盖从管理设备上对应的配置信息。

（2）主、备业务设备：双机热备中的设备在数据层面包含主、备两种业务角色（也可以称作主、备业务状态）。主设备处理业务，并向备设备实时备份业务表项信息。

为保证报文的有序性处理和流量的统一管理，在数据层面双机热备将设备划分为主、备两种业务角色（也可以称作主、备业务状态，或简称“业务主”和“业务备”）。主设备处理业务，并向备设备实时备份业务表项信息；备设备除接收主设备的业务表项备份信息外，在主设备发生故障后，备设备会转换成主设备，继续处理业务流量，保证业务不中断。主、备业务角色由双机热备选举产生，可动态切换

（3）RBM报文：RBM报文使用RBM协议承载两台设备之间需要交互的信息。其使用TCP作为传输层协议，TCP连接建立后，主管理设备和从管理设备通过RBM通道交互RBM报文。
（4）RBM通道：用于两台设备之间交互双机热备的运行状态信息、配置信息和业务表信息。
（5）双机热备工作模式：支持主备和双主两种工作模式。主备模式下，仅由主设备处理业务，备设备处于待命状态；双主模式下，两台设备同时处理业务，充分利用设备资源，提高系统负载分担能力。

双机热备支持自动和手动两种方式进行配置信息备份
双机热备备份配置信息支持实时备份和批量备份两种方式
双机热备能够将主设备上生成的业务表项信息实时备份到备设备，避免了主备设备切换时因备设备上缺失业务表项而造成的业务中断问题。
双机热备的主、从管理状态由配置指定，不会动态切换；双机热备的主、备运行状态由双机热备选举决定，可动态切换。

下图RBM建立过程：



下图主备模式运行：



下图双主模式运行

双机热备支持如下几种部署方式：

1. 三层主备直路部署
   

2. 三层双主直路部署
   

3. 透明主备直路部署
   

4. 透明双主直路部署
   
   
   

说明：

1. 仅支持两台设备进行HA组网
2. 对于HA支持配置信息同步的业务模块只需要在主管理设备上配置相关功能即可，对于不支持配置信息同步的模块需要在HA的所有设备上均配置相关功能
3. 对于需要进行License授权的特性或特征库等，需要对主、备设备分别进行购买和激活License授权
4. HA通道通过心跳线进行连接，心跳线可以直连，也可以通过交换机连接，但不可以跨三层通信
5. 在HA与NAT结合的组网环境中，不支持NAT地址池探测功能和Easy IP模式
6. 设备默认放行HA通道上的HA报文，管理员无需配置相关的安全策略。
7. 两台设备之间不能进行配置信息同步的模块（例如接口和路由等）需要提前配置完成，确保网络路由可达

硬件环境一致部署HA前，请先保证主/备设备硬件环境的一致性，具体要求如下：
•主/备设备的型号必须一致。
•主/备设备主控板的位置、数量和类型必须一致。
•主/备设备业务板的位置、数量和类型必须一致。
•主/备设备交换网板的位置、数量和类型必须一致。
•主/备设备接口板的位置、数量和类型必须一致。
•主/备设备上管理接口、业务接口、HA通道接口需要分别使用相互独立的接口，且所使用的接口编号和类型必须一致。
•主/备设备上硬盘的位置、数量和类型建议一致。未安装硬盘的设备日志存储量将远低于安装了硬盘的设备，而且部分日志和报表功能不可用。

软件环境一致部署HA前，请先保证主/备设备软件环境的一致性，具体要求如下：
•主/备设备的系统软件环境及其版本必须一致，如：Boot包、System包、Feature包和补丁包等等。
•主/备设备上被授权的特征库和特性环境必须一致，如：特征库的种类，每类特征库的版本、授权时间范围、授权的资源数等等。
•主/备设备的 接口编号必须一致。
•主/备设备之间建立HA通道的接口类型、速率和编号等信息必须一致，推荐使用聚合接口。
•主/备设备上聚合接口的编号、成员接口编号必须一致。
•主/备设备相同位置的接口必须加入到相同的安全域。
•主/备设备的HASH选择CPU模式以及HASH因子都必须相同（即forwarding policy命令）

HA流量回切：主备抢占功能，默认不抢占。设备在HA中的模式默认为主备模式

配置思路图

配置

三层主备直路部署+VRRP

##SW1配置
[SW1]int l 0
[SW1-LoopBack0]ip add 8.8.8.8 32
[SW1]vl 10
[SW1]int vl 10
[SW1-Vlan-interface10]ip add 2.1.1.10
[SW1]int rang g1/0/1 g1/0/2
[SW1-if-range]po ac vl 10
[SW1]ip rou 10.1.1.0 24 2.1.1.3	#局域网回指路由

##SW2配置
[SW2]vl 10
[SW2]int rang g1/0/1 to g1/0/3
[SW2-if-range]po ac vl 10

##FW1配置
[H3C-GigabitEthernet1/0/0]ip add 2.1.1.1 24	#配置接口IP
[H3C-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[H3C-GigabitEthernet1/0/2]ip add 20.1.1.1 30
[H3C]security-zone name Untrust	#接口加入安全域
[H3C-security-zone-Untrust]import interface g1/0/0
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface g1/0/1
[H3C]security-policy ip	#配置策略
[H3C-security-policy-ip]rule name trust-untrust	#业务策略
[H3C-security-policy-ip-0-trust-untrust]source-zone trust
[H3C-security-policy-ip-0-trust-untrust]destination-zone untrust
[H3C-security-policy-ip-0-trust-untrust]action pass
[H3C-security-policy-ip]rule name vrrp1	#放行VRRP互通策略
[H3C-security-policy-ip-1-vrrp1]source-zone trust
[H3C-security-policy-ip-1-vrrp1]source-zone local
[H3C-security-policy-ip-1-vrrp1]source-zone untrust
[H3C-security-policy-ip-1-vrrp1]destination-zone trust
[H3C-security-policy-ip-1-vrrp1]destination-zone local
[H3C-security-policy-ip-1-vrrp1]destination-zone untrust
[H3C-security-policy-ip-1-vrrp1]service vrrp
[H3C-security-policy-ip-1-vrrp1]action pass
#FW1 RBM配置
[H3C]remote-backup group
[H3C-remote-backup-group]remote-ip 20.1.1.2	#远端HA地址
[H3C-remote-backup-group]local-ip 20.1.1.1	#本地HA地址
[H3C-remote-backup-group]data-channel interface GigabitEthernet 1/0/2	#指定HA口
[H3C-remote-backup-group]device-role primary	#主从角色为主
RBM_P[H3C-remote-backup-group]undo backup-mode	#选择主备部署，默认模式
RBM_P[H3C-remote-backup-group]hot-backup enable	#默认开启热备
RBM_P[H3C-remote-backup-group]configuration auto-sync enable	#默认开启配置自动同步
RBM_P[H3C-remote-backup-group]configuration sync-check interval 12	#开启每12H检查一次配置是否同步
RBM_P[H3C-remote-backup-group]delay-time 1 #当主备发生2次变化，延时1min流量回切
#FW1 VRRP配置
RBM_P[H3C-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[H3C-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.1.3 active
RBM_P[H3C]ip rou 0.0.0.0 0.0.0.0 2.1.1.10

##FW2配置
[FW2-GigabitEthernet1/0/0]ip add 2.1.1.2 24
[FW2-GigabitEthernet1/0/1]ip add 10.1.1.2 24
[FW2-GigabitEthernet1/0/2]ip add 20.1.1.2 30
[FW2]security-zone name Untrust	#接口加入安全域
[FW2-security-zone-Untrust]import interface g1/0/0
[FW2]security-zone name Trust
[FW2-security-zone-Trust]import interface g1/0/1
[FW2]security-policy ip	#配置策略
[FW2-security-policy-ip]rule name trust-untrust	#业务策略
[FW2-security-policy-ip-0-trust-untrust]source-zone trust
[FW2-security-policy-ip-0-trust-untrust]destination-zone untrust
[FW2-security-policy-ip-0-trust-untrust]action pass
[FW2-security-policy-ip]rule name vrrp1	#放行VRRP1 防火墙与内网互通策略
[FW2-security-policy-ip-1-vrrp1]source-zone trust
[FW2-security-policy-ip-1-vrrp1]source-zone local
[FW2-security-policy-ip-1-vrrp1]destination-zone trust
[FW2-security-policy-ip-1-vrrp1]destination-zone local
[FW2-security-policy-ip-1-vrrp1]service vrrp
[FW2-security-policy-ip-1-vrrp1]action pass
[FW2-security-policy-ip]rule name vrrp2	#放行VRRP互通策略
[FW2-security-policy-ip-2-vrrp2]source-zone local
[FW2-security-policy-ip-2-vrrp2]source-zone untrust
[FW2-security-policy-ip-2-vrrp2]source-zone trust
[FW2-security-policy-ip-2-vrrp2]destination-zone local
[FW2-security-policy-ip-2-vrrp2]destination-zone untrust
[FW2-security-policy-ip-2-vrrp2]source-zone trust
[FW2-security-policy-ip-2-vrrp2]service vrrp
[FW2-security-policy-ip-2-vrrp2]action pass
#FW2 RBM配置
[FW2]remote-backup group
[FW2-remote-backup-group]remote-ip 20.1.1.1
[FW2-remote-backup-group]local-ip 20.1.1.2
[FW2-remote-backup-group]data-channel interface GigabitEthernet 1/0/2	#指定HA口
[FW2-remote-backup-group]device-role secondary	#主从角色为备
RBM_S[FW2-remote-backup-group]undo backup-mode	#选择主备部署，默认模式
RBM_S[FW2-remote-backup-group]hot-backup enable	#默认开启热备
RBM_S[FW2-remote-backup-group]configuration auto-sync enable	#默认开启配置自动同步
RBM_S[FW2-remote-backup-group]configuration sync-check interval 12	#开启每12H检查一次配置是否同步
RBM_P[FW2-remote-backup-group]delay-time 1 #当主备发生2次变化，延时1min流量回切
#FW2 VRRP配置
RBM_S[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_S[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.1.3 standby
RBM_S[FW2]ip rou 0.0.0.0 0.0.0.0 2.1.1.10
#配置host验证：略

验证

RBM_P[H3C]display remote-backup-group status
Remote backup group information:
  Backup mode: Active/standby
  Device management role: Primary
  Device running status: Active
  Data channel interface: GigabitEthernet1/0/2
  Local IP: 20.1.1.1
  Remote IP: 20.1.1.2    Destination port: 60064
  Control channel status: Connected
  Keepalive interval: 1s
  Keepalive count: 10
  Configuration consistency check interval: 12 hour
  Configuration consistency check result: Not Performed
  Configuration backup status: Auto sync enabled
  Session backup status: Hot backup enabled
  Uptime since last switchover: 0 days, 0 hours, 15 minutes
  Switchover records:
    Time                  Status change        Cause
    2023-06-29 17:05:44   Active to Active     Keepalive link established
    2023-06-29 16:55:14   Initial to Active    HA Configuration changed

RBM_P[H3C]dis vrrp
IPv4 Virtual Router Information:
 Running mode      : Standard
 RBM control channel is established
   VRRP active group status : Master
   VRRP standby group status: Master
 Total number of virtual routers : 2
 Interface          VRID  State        Running Adver   Auth             Virtual
                                       Pri     Timer   Type             IP
 ----------------------------------------------------------------------------
 GE1/0/0            1     Master       100     100     Not supported    2.1.1.3
 GE1/0/1            2     Master       100     100     Not supported    10.1.1.3

三层双主直路部署

实验图：
说明：业务A走左边的FW1；业务B走右边的FW2

##SW1配置
[SW1]int l 0
[SW1-LoopBack0]ip add 8.8.8.8 32
[SW1]vl 10
[SW1]int vl 10
[SW1-Vlan-interface10]ip add 2.1.1.10
[SW1]int rang g1/0/1 g1/0/2
[SW1-if-range]po ac vl 10
[SW1]ip rou 10.1.1.0 25 2.1.1.3	#局域网业务A回指路由
[SW1]ip rou 10.1.1.128 25 2.1.1.4	#局域网业务B回指路由

##SW2配置
[SW2]vl 10
[SW2]int rang g1/0/1 to g1/0/4
[SW2-if-range]po ac vl 10

##FW1配置
[H3C-GigabitEthernet1/0/0]ip add 2.1.1.1 24	#配置接口IP
[H3C-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[H3C-GigabitEthernet1/0/2]ip add 20.1.1.1 30
[H3C]security-zone name Untrust	#接口加入安全域
[H3C-security-zone-Untrust]import interface g1/0/0
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface g1/0/1
[H3C]security-policy ip	#配置策略
[H3C-security-policy-ip]rule name trust-untrust	#业务策略
[H3C-security-policy-ip-0-trust-untrust]source-zone trust
[H3C-security-policy-ip-0-trust-untrust]destination-zone untrust
[H3C-security-policy-ip-0-trust-untrust]action pass
[H3C-security-policy-ip]rule name vrrp1	#放行VRRP互通策略
[H3C-security-policy-ip-1-vrrp1]source-zone trust
[H3C-security-policy-ip-1-vrrp1]source-zone local
[H3C-security-policy-ip-1-vrrp1]source-zone untrust
[H3C-security-policy-ip-1-vrrp1]destination-zone trust
[H3C-security-policy-ip-1-vrrp1]destination-zone local
[H3C-security-policy-ip-1-vrrp1]destination-zone untrust
[H3C-security-policy-ip-1-vrrp1]service vrrp
[H3C-security-policy-ip-1-vrrp1]action pass
#FW1 RBM配置
[H3C]remote-backup group
[H3C-remote-backup-group]remote-ip 20.1.1.2	#远端HA地址
[H3C-remote-backup-group]local-ip 20.1.1.1	#本地HA地址
[H3C-remote-backup-group]data-channel interface GigabitEthernet 1/0/2	#指定HA口
[H3C-remote-backup-group]device-role primary	#主从角色为主
RBM_P[FW1-remote-backup-group]backup-mode dual-active	#选择主主部署
RBM_P[H3C-remote-backup-group]hot-backup enable	#默认开启热备
RBM_P[H3C-remote-backup-group]configuration auto-sync enable	#默认开启配置自动同步
RBM_P[H3C-remote-backup-group]configuration sync-check interval 12	#开启每12H检查一次配置是否同步
RBM_P[H3C-remote-backup-group]delay-time 1 #当主备发生2次变化，延时1min流量回切
#FW1 VRRP配置
RBM_P[H3C-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 2.1.1.3 active
RBM_P[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 2.1.1.4 standby
RBM_P[H3C-GigabitEthernet1/0/1]vrrp vrid 3 virtual-ip 10.1.1.3 active
RBM_P[FW1-GigabitEthernet1/0/1]vrrp vrid 4 virtual-ip 10.1.1.4 standby
RBM_P[H3C]ip rou 0.0.0.0 0.0.0.0 2.1.1.10

##FW2配置
[FW2-GigabitEthernet1/0/0]ip add 2.1.1.2 24
[FW2-GigabitEthernet1/0/1]ip add 10.1.1.2 24
[FW2-GigabitEthernet1/0/2]ip add 20.1.1.2 30
[FW2]security-zone name Untrust	#接口加入安全域
[FW2-security-zone-Untrust]import interface g1/0/0
[FW2]security-zone name Trust
[FW2-security-zone-Trust]import interface g1/0/1
[FW2]security-policy ip	#配置策略
[FW2-security-policy-ip]rule name trust-untrust	#业务策略
[FW2-security-policy-ip-0-trust-untrust]source-zone trust
[FW2-security-policy-ip-0-trust-untrust]destination-zone untrust
[FW2-security-policy-ip-0-trust-untrust]action pass
[FW2-security-policy-ip]rule name vrrp1	#放行VRRP1 防火墙与内网互通策略
[FW2-security-policy-ip-1-vrrp1]source-zone trust
[FW2-security-policy-ip-1-vrrp1]source-zone local
[FW2-security-policy-ip-1-vrrp1]destination-zone trust
[FW2-security-policy-ip-1-vrrp1]destination-zone local
[FW2-security-policy-ip-1-vrrp1]service vrrp
[FW2-security-policy-ip-1-vrrp1]action pass
[FW2-security-policy-ip]rule name vrrp2	#放行VRRP互通策略
[FW2-security-policy-ip-2-vrrp2]source-zone local
[FW2-security-policy-ip-2-vrrp2]source-zone untrust
[FW2-security-policy-ip-2-vrrp2]source-zone trust
[FW2-security-policy-ip-2-vrrp2]destination-zone local
[FW2-security-policy-ip-2-vrrp2]destination-zone untrust
[FW2-security-policy-ip-2-vrrp2]source-zone trust
[FW2-security-policy-ip-2-vrrp2]service vrrp
[FW2-security-policy-ip-2-vrrp2]action pass
#FW2 RBM配置
[FW2]remote-backup group
[FW2-remote-backup-group]remote-ip 20.1.1.1
[FW2-remote-backup-group]local-ip 20.1.1.2
[FW2-remote-backup-group]data-channel interface GigabitEthernet 1/0/2	#指定HA口
[FW2-remote-backup-group]device-role secondary	#主从角色为备
RBM_S[FW2-remote-backup-group]backup-mode dual-active	#选择主主部署
RBM_S[FW2-remote-backup-group]hot-backup enable	#默认开启热备
RBM_S[FW2-remote-backup-group]configuration auto-sync enable	#默认开启配置自动同步
RBM_S[FW2-remote-backup-group]configuration sync-check interval 12	#开启每12H检查一次配置是否同步
RBM_P[FW2-remote-backup-group]delay-time 1 #当主备发生2次变化，延时1min流量回切
#FW2 VRRP配置
RBM_S[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 2.1.1.3 standby
RBM_P[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 2.1.1.4 active
RBM_P[FW2-GigabitEthernet1/0/1]vrrp vrid 3 virtual-ip 10.1.1.3 standby
RBM_P[FW2-GigabitEthernet1/0/1]vrrp vrid 4 virtual-ip 10.1.1.4 active
RBM_S[FW2]ip rou 0.0.0.0 0.0.0.0 2.1.1.10
#配置Host验证
业务A的网关为10.1.1.3
业务B的网关为10.1.1.4

验证

#防火墙1的状态
RBM_P[FW1]dis remote-backup-group status
Remote backup group information:
  Backup mode: Dual-active
  Device management role: Primary
  Device running status: Active
  Data channel interface: GigabitEthernet1/0/2
  Local IP: 20.1.1.1
  Remote IP: 20.1.1.2    Destination port: 60064
  Control channel status: Connected
#防火墙2的状态
RBM_S[FW2]dis remote-backup-group status
Remote backup group information:
  Backup mode: Dual-active
  Device management role: Secondary
  Device running status: Active
  Data channel interface: GigabitEthernet1/0/2
  Local IP: 20.1.1.2
  Remote IP: 20.1.1.1    Destination port: 60064
  Control channel status: Connected
#防火墙1的VRRP
RBM_P[FW1]dis vrrp
IPv4 Virtual Router Information:
 Running mode      : Standard
 RBM control channel is established
   VRRP active group status : Master
   VRRP standby group status: Backup
 Total number of virtual routers : 4
 Interface          VRID  State        Running Adver   Auth             Virtual
                                       Pri     Timer   Type             IP
 ----------------------------------------------------------------------------
 GE1/0/0            1     Master       100     100     Not supported    2.1.1.3
 GE1/0/0            2     Backup       100     100     Not supported    2.1.1.4
 GE1/0/1            3     Master       100     100     Not supported    10.1.1.3
 GE1/0/1            4     Backup       100     100     Not supported    10.1.1.4
#防火墙2的VRRP
RBM_S[FW2]dis vrrp
IPv4 Virtual Router Information:
 Running mode      : Standard
 RBM control channel is established
   VRRP active group status : Master
   VRRP standby group status: Backup
 Total number of virtual routers : 4
 Interface          VRID  State        Running Adver   Auth             Virtual
                                       Pri     Timer   Type             IP
 ----------------------------------------------------------------------------
 GE1/0/0            1     Backup       100     100     Not supported    2.1.1.3
 GE1/0/0            2     Master       100     100     Not supported    2.1.1.4
 GE1/0/1            3     Backup       100     100     Not supported    10.1.1.3
 GE1/0/1            4     Master       100     100     Not supported    10.1.1.4

抓包查看
（1）下图是业务A走防火墙1的0口

（2）下图是业务B走防火墙2的0口

H3C RBM白皮书：
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Learn_Technologies/White_Paper/RBM-SJRB-Long/?CHID=712326