1, 部署NetScaler的HA模式
NetScaler的HA模式部署有點像FWSM的部署,與F5的部署還有有很大區別的。首先可以單node方式部署一臺NetScaler,在這個上面做好所有的相關配置,包括NSIP、subnet IP、路由、用戶名以及相關的feature等。確保這臺一切配置ok後,配置另一臺NetScaler,此NetScaler只需要配置一個NSIP,然後接入網絡即可。特別注意的是,不需要配置subnet IP等。配置好後只需要與前一臺做一個ha的添加即可,配置會自動同步過來。下面會有關注配置的相關說明。
2, 部署拓撲圖
NetScaler的HA部署可以是串聯方式,也可以使旁掛單臂方式。如下拓撲圖:
|
串聯方式:
 |
|
旁掛單臂模式:
 |
注意:NetScaler做HA是設備之間不需要一根同步線,直接走網絡進行同步。默認以NSIP來同步,第二選擇爲subnetIP。
3, 部署須知
3.1 部署第一臺NetScaler(A)
首先需要先部署一臺NetScaler,以單節點的方式部署,即部署完畢之前不需要考慮HA。相關的配置包括:
① nsroot修改密碼;
② 設定時區時間;
③ 設置NSIP作爲管理地址;
④ 設置subnet IP,可以根據前後互聯的vlan來做ext和int的接口配置;
⑤ 設置端口甚至是端口綁定等;
⑥ 設置相關路由;
⑦ 啓用MBF(MAC-based forwarding);
⑧ 設置業務接口的HA monitor特性,其他端口不做HA monitor;
⑨ ……
3.2 部署第二臺NetScaler(B)
而後部署第二臺NetScaler設備,相關配置包括:
① 設置nsroot密碼,必須與A保持一致;
② 設定時區時間,需要與A保持一致,誤差在幾秒內;
③ 查看version,需要A保持一致;
④ 設置NSIP作爲管理地址,需要與A的NSIP互通,最好在同一個網段;
⑤ 網絡結構與A保持類似,即相關物理接口對應互聯;
⑥ 設置業務接口的HA monitor特性,其他端口不做HA monitor;
⑦ 沒有其他配置,部署完成。
3.3 HA部署
通過在彼此上添加node來完成HA部署。
① 設置B的node狀態爲STAYSECONDARY:set ha node –hastatus STAYSECONDARY;
② 在B上添加node A;
③ 在A上添加node B;
④ 查看B的配置:show run,查看/nsconfig/*文件(除了license),並與A進行對比是否將A的配置同步過來;
⑤ 確保A爲primary狀態;
⑥ 設置B的node狀態爲ENABLED:set ha node –hastatus ENABLED;
⑦ 查看AB的狀態show node,正常情況下,此時A爲primary,b爲standby;
⑧ 進行HA的切換測試。
4, NetScaler相關知識點
① NetScaler的vlan、ip與接口關係
NetScaler的vlan、ip和接口是相關獨立的關係,即可以不配置任何vlan(默認存在vlan1),所有ip都屬於vlan1中。NSIP更加特別,他不能綁定任何vlan。這樣就存在這麼一個問題:互聯NetScaler的設備的接口都設置在同一個vlan的時候,網絡內訪問NSIP的流量就可能從NetScaler任何一個接口互通。業務接口可以綁定vlan,而且ip也可以綁定於某一個vlan。這樣就可以做到接口、vlan和ip的對應關係了,除了NSIP。
② MBF(MAC-based forwarding)
基於mac地址做轉發,而非路由。NetScaler會通過初始的tcp連接(syn)請求學習到client端和server端的mac地址,並與此tcp的session信息同樣cache起來,用作轉發,而不查詢arp和route表。這個特性僅僅生效於VS,而針對NetScaler系統的流量不起作用。NetScaler的MBF特性默認disable。
③ HA同步
NetScaler做HA支持自動同步,在primary設備上做的配置會馬上同步到secondary設備上,不能從secondary同步到primary設備。而在secondary設備做的任何配置(除系統配置之外,比如reboot以及網絡接口配置)都是無效配置,不會在本機上生效,更不會同步到primary設備。NetScaler的HA支持人工同步,但是隻能從primary同步到secondary。同步的內容有:健康檢查狀態和persistence表,不同步session表即進行了HA切換後用戶的session會丟失進行重連,但是會進行保持。
④ HA monitor配置
HA monitor原理:針對每個綁定了HA monitor特性的接口做監控,一旦此接口不可用後,系統會根據這個做一些動作。比如進行HA切換。如果是好幾個接口LA做了綁定,那麼可以僅針對LA做HA monitor,而且可以設置帶寬少於多少後進行HA切換。比如說有4個GE接口綁定成LA/1,可以在LA/1上設置少於3000(單位Mbps)時做HA切換。也就是說down掉一個接口不用做HA切換,只有down掉2個或2個以上即少於3000的帶寬時進行HA切換。如下圖:
