• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C EAD终端智能接入典型配置举例-5W106

10-H3C EIA 异地容灾典型配置举例

本章节下载 10-H3C EIA 异地容灾典型配置举例  (2.13 MB)

10-H3C EIA 异地容灾典型配置举例

H3C EIA 异地容灾

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:5W105-20260427

产品版本:EIA (E7303)

 

Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

在数字化时代,业务连续性和数据安全是企业核心竞争力的重要保障。EIA(Endpoint Intelligent Access,终端智能接入)异地容灾方案通过建立地理隔离的冗余备份系统,确保在主生产中心因自然灾害、系统故障或突发公共事件导致服务中断时,能够及时接管业务,实现关键数据与应用的快速恢复。可以提高系统可靠性,确保认证服务的连续性和用户数据的安全。

1.1  主要特点

EIA异地容灾特性旨在通过部署两套集群和相应的配置,实现高可用性和灾难恢复能力。主要特点包括:

·     多中心冗余部署:支持单机容灾和集群容灾,确保集群内部单个节点故障或整个集群故障时业务的连续性。

·     智能倒换机制:提供手动和自动倒换选项,根据需要手动切换到容灾集群,或者在检测到故障时自动触发倒换。

·     全协议兼容:支持IPv4、IPv6以及双栈,确保网络的灵活性和扩展性。

·     无缝业务接管:在倒换过程中和倒换后,支持用户认证不中断,确保安全性和隐私性。

·     数据实时同步:保证容灾集群与主集群之间的数据一致性,满足数据安全要求。

1.2  核心价值

·     风险分散:避免单一地域故障引发的业务全面瘫痪,尤其防范地震、洪水、电力瘫痪等区域性灾难。

·     数据零丢失:通过实时/准实时同步技术(如存储复制、数据库日志同步),保障数据一致性。

·     合规达标:满足金融、医疗等行业对数据留存和容灾等级的强制性监管要求。

·     快速恢复:基于健康检测秒级切换,业务无感知,确保关键服务连续性。


2 使用指南

2.1  典型应用场景

异地容灾在准入认证系统中的应用场景包括:

·     大型企业的员工认证:跨国企业需要确保全球员工可以随时访问内部系统,即使在某个数据中心发生故障时,认证服务也不受影响。

·     金融机构客户认证:银行和证券公司需要持续的客户认证服务,以防止因系统中断导致的交易失败和金融损失。

·     政府服务平台:政府部门提供的在线公共服务平台需要确保认证系统的高可用性,以便在突发事件中仍能为市民提供服务。

·     教育机构的在线学习平台:教育平台需要保障学生和教师的访问权限,即使在灾难情况下,认证服务也保持可用,确保教学活动的连续性。

2.2  容灾切换方式介绍

异地容灾方案通过故障探测机制和仲裁服务保障系统在突发情况下的业务连续性。在原有集群基础上,额外部署一套配置相同的物理服务器作为备用集群,容灾系统可实时探测主用集群的运行状态,包括节点故障、链路故障及服务故障,并通过心跳链路及时发现异常。一旦检测到故障,系统可通过手动或自动倒换方式,将业务快速、无缝切换至备用集群,使其升级为主用集群并持续提供服务。

2.2.1  手动倒换模式

手动倒换模式下,如果一个站点发生故障,需要用户手动干预触发倒换。

·     如果是地震或机房停电故障,导致原来的主用站点不可用,导致心跳状态发生异常时,需要用户登录到备用站点的容灾管理页面,单击“接管”进行升主。

·     如果主用站点仍可以对外提供业务服务,仅和备用站点之间的心跳链路故障,则请先修复故障的心跳链路,然后在容灾页面观察两个站点的数据同步状态。

·     如果两个站点之间的心跳正常,但主用站点无法正常对外提供业务服务,需要登录到主用站点单击“降备”。

手动倒换模式下,如果“降备”操作失败,会出现脑裂问题,需要人工干预进行修复,因此建议采用带仲裁的自动倒换模式。

图2-1 手动倒换模式的容灾系统示意图

 

2.2.2  自动倒换模式

在自动倒换模式下,需要在主备站点之外的第三地部署仲裁服务,作为自动倒换的仲裁器。当某个节点或网络出现异常时,由仲裁器负责判断是否需要执行自动倒换。仲裁器主要根据以下两个方面进行判断:

1. 基于心跳状态的仲裁(站点级故障)

·     主、备站点内的仲裁服务每隔30秒上报一次本站点状态。

·     若在60秒内未刷新某站点状态,仲裁器将判定该站点发生故障。此时,仲裁器会通过备用站点进一步探测主用站点的外部网络连通性。如果主用站点与仲裁器网络不可达,且主用站点与所有备用站点网络也不可达,则判定需要触发容灾倒换。

这一机制主要应对主用站点因地震、停电等原因导致的站点级故障。从故障被感知到切换开始,整体耗时约90秒。

2. 基于业务健康状态的仲裁(业务级故障)

在自动倒换模式下,容灾系统还提供业务健康度探测机制:

·     主用站点每隔6秒检测一次站点内业务的健康状态。

·     若连续15次(共90秒)检测结果均为异常,则判定该站点发生业务故障。此时,主用站点会将业务故障状态同步给仲裁器,由仲裁器判断是否需要触发自动倒换。

这一机制适用于主用站点本身未出现地震、停电等站点级故障,但站点内的业务服务持续异常的情况。

图2-2 自动倒换模式的容灾系统示意图


3 配置举例(手动倒换)

3.1  组网需求

图3-1 组网图

本组网中各部分使用的版本信息如下:

·     统一数字底盘版本:E7301

·     EIA版本:E7303

·     接入设备:H3C S5560X-54C-EI-6652P02

·     iNode版本:E0644及以上版本

表3-1 手动倒换容灾系统IP地址规划

分类

IP规划

说明

NTP服务器IP

172.10.51.40

外置NTP服务器地址

EIA主系统IP

172.10.51.41

主集群北向业务虚IP地址

EIA备系统IP

172.10.51.42

备集群北向业务虚IP地址

容灾虚IP

172.10.51.43

EIA容灾系统容灾虚IP地址

接入设备IP

172.10.45.3

接入设备管理IP地址

108.108.108.1

接入设备公网IP地址,接入设备上配置的VLAN ID以108为例,接口以GigabitEthernet1/0/16为例

 

说明

非多子网的场景下,主备集群的北向业务虚IP与容灾虚IP需配置为同网段地址,并确保网络路由可达。

 

3.2  配置步骤

使用手动倒换的配置流程及内容如下表所示。

表3-2 手动倒换容灾配置步骤说明

步骤

配置流程

配置子流程

说明

1

创建容灾系统

主/备环境搭建

搭建两套EIA环境,分别作为主、备环境

创建容灾系统

创建EIA容灾系统

2

认证业务配置

认证业务配置-802.1X认证

可选,802.1X认证是指通过802.1X协议进行用户身份验证,不包含任何接入控制和安全检查,仅进行身份验证

认证业务配置-Portal认证

可选,Portal认证是一种基于Web的轻量级网络接入认证方式,主要用于访客或员工临时接入网络时的身份核验。通用Portal认证,不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络

认证业务配置-哑终端认证

可选,哑终端是指无法手工控制其发起认证的网络终端,常见的哑终端包括IP电话、打印机等

 

说明

本手册以部分认证业务类型为例介绍异地容灾的典型配置方案。如需了解其他认证类型的配置方法,请参见对应的认证配置手册。

 

3.2.2  主/备环境搭建

搭建两套EIA环境,要求两套环境部署的组件版本、组件数量、系统架构完全一致,并且部署的应用包必须含有统一数字底盘的BMP_Extension包。其他部署要求如下:

·     主备站点的Matrix的service地址池、pod地址池不能冲突,主备站点IP必须是可达的。

·     主备站点的CPU架构必须一致,例如都是x86。

·     主备站点的Matrix架构必须一致,例如都是Matrix单机或都是Matrix集群。

·     主备站点的NTP Server必须一致:

¡     主备站点配置为相同的外置服务器。

¡     主站点或备站点配置为内置服务器,另一站点配置为外置服务器,并且外置NTP服务器地址需配置为对端的北向业务虚IP。

·     主备站点的协议族必须一致,例如都是IPv4、或者都是IPv6、或者都是双栈。

说明

·     本文档以已完成两套EIA环境搭建为例,重点说明后续配置相关内容;环境的具体部署过程可参见《H3C EAD 安装部署指导》。

·     在配置License授权时,只需在主站点配置所需的License授权信息,具体License授权信息请参见《H3C 智能管理与运维产品License支持情况说明》。

 

3.2.3  创建容灾系统

(1)     登录EIA主集群环境,在浏览器中输入统一数字底盘的登录地址“http://ip_address:30000”,其中“ip_address”为北向业务虚IP(默认用户名为admin,密码为Pwd@12345),进入[系统>应急管理>异地容灾]页面。输入异地容灾相关配置,必须勾选“异地容灾系统虚IP配置”,其他配置可参见联机帮助。

参数说明:

¡     主/备站点IP地址:主/备站点统一数字底盘北向业务虚IP。

¡     备站点的用户名及密码:必须与当前登录的主站点相同。站点密码最长32个字符;站点用户名有效长度为2~32个字符,只能包含字母、数字、“_”、“-”、“.”、“\”,不区分大小写。

¡     倒换模式:本例选择“手动倒换”。

¡     异地容灾系统虚IP:异地容灾系统提供用于业务对接的统一公共虚IP,使用该IP只会连接到当前异地容灾系统的主用站点。

图3-2 异地容灾

 

(2)     参数配置完成后,单击<连接>按钮,先进行创建前检查和授权检查,检查通过后进入到“创建中”状态,页面显示进度条。

图3-3 容灾创建页面

 

(3)     创建容灾完成。容灾系统创建完成后,页面展示对端的容灾状态。

图3-4 容灾创建完成

 

3.2.4  认证业务配置-802.1X认证

说明

若认证业务采用802.1X认证方式,请参见本章节的配置步骤进行操作,以确保终端设备能够正常接入网络并完成认证。

 

配置流程及内容如下表所示。

表3-3 配置步骤说明

步骤

配置流程

说明

1

增加接入设备

建立EIA服务器与接入设备的联动关系

2

增加接入策略

接入策略是用户使用网络必须符合的要求,配置一个不进行任何接入控制的接入策略

3

增加接入服务

接入服务是对用户进行认证授权的各种策略的集合

4

增加接入用户

接入用户是用户接入网络时使用的身份凭证,包含账号名、密码和使用的服务等信息

5

配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络

 

2. 增加接入设备

(1)     通过EIA容灾虚IP地址登录EIA环境,在浏览器中输入登录地址“http://ip_address:30000”,其中“ip_address”为容灾虚IP地址。

(2)     进入[自动化>网络准入>准入管理>接入设备>设备配置]页面,单击<增加>按钮增加接入设备,完成必填参数填写,相关参数介绍请参见表3-4

图3-5 增加接入设备

 

(3)     单击<增加IPv4设备>按钮,在弹框中输入设备相关信息,本例接入设备地址为172.10.45.3,添加后单击<确定>按钮。

图3-6 增加接入设备

 

表3-4 参数说明

参数

说明

认证端口

EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致,EIA和接入设备一般采用默认端口1812

计费端口

EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致,EIA和接入设备一般采用默认端口1813

业务类型

接入设备所承载的业务类型,支持设备管理业务和接入用户业务,也可以不限

接入设备类型

可以选择各个厂商的设备或标准协议类型(标准协议类型是指要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互)。管理员也可以到接入设备类型配置中自定义厂商

业务分组

用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。此处配置该接入设备所属的业务分组,用于分权管理不同的接入设备。只有拥有该业务分组权限的管理员/维护员才能配置接入设备

共享密钥/确认共享密钥

输入两次相同共享密钥,需与接入设备配置的共享密钥一致

接入位置分组

选择接入设备需加入的接入位置分组,是区分终端用户接入的条件之一。一个接入设备只能属于一个接入位置分组

设备起始IP地址

·     如果在接入设备上配置RADIUS scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致

·     如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)

 

(4)     配置完成后,单击<确定>按钮,接入设备增加成功。

3. 增加接入策略

配置一个不进行任何接入控制的接入策略,方法如下:

(1)     单击导航树中的[自动化>网络准入>准入管理>接入服务>接入策略]菜单项,进入接入策略页面。

图3-7 接入策略列表

 

(2)     单击<增加>按钮,进入增加接入策略页面。由于不进行任何接入控制,因此只需输入接入策略名,本例以“Access Permit”为例,其他参数均保持为默认即可。

图3-8 增加接入策略

 

(3)     单击<确定>按钮,接入策略增加完毕。返回接入策略页面,可在接入策略列表中查看新增的接入策略。

图3-9 接入策略

 

4. 增加接入服务

接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。

增加接入服务的方法如下:

(1)     单击导航树中的[自动化>网络准入>准入管理>接入服务]菜单项,进入接入服务页面。

图3-10 进入接入服务列表

 

(2)     单击<增加>按钮,进入增加接入服务页面,配置服务名、服务后缀、缺省接入策略,其他参数保持默认。

图3-11 增加接入服务页面

391

 

配置服务的各个参数:

¡     服务名:输入服务名称,在EIA中必须唯一,本例以“802.1X Service”为例。

¡     服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表3-5,本例以“391”为例。

¡     缺省接入策略:选择之前新增的接入策略,本例以“Access Permit”为例。

¡     安全组:选择的安全组。

¡     安全子组:选择的安全子组。

¡     缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。

¡     缺省单账号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。

-     匹配的接入场景:EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制,如果已达到数量限制,则拒绝用户认证;

-     所有服务中包含的场景:检查用户申请的所有服务中(包括服务中的所有场景)已绑定的终端数量,如果用户绑定的所有终端数量已达到终端管理参数中定义的“单账号最大绑定终端数”限制,则EIA拒绝用户认证,否则允许用户继续认证。

¡     缺省单账号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。

¡     单日累计在线最长时间(分钟):每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。

¡     服务描述:针对该服务的简单描述,以方便操作员的日常维护。

表3-5 EIA中服务后缀的选择

认证连接用户名

设备用于认证的Domain

设备Radius scheme中的命令

EIA中服务的后缀

X@Y

Y

user-name-format with-domain

Y

user-name-format without-domain

无后缀

X

[Default Domain]

设备上指定的缺省域

user-name-format with-domain

[Default Domain]

user-name-format without-domain

无后缀

 

(3)     单击<确定>按钮,接入服务添加完成。返回接入服务页面,可在接入服务列表中查看新增的接入服务。

5. 增加接入用户

接入用户是用户接入网络时使用的身份凭证,包含账号名、密码和使用的服务等信息。请分别创建账号名user1和user2的接入用户。

增加接入用户的方法如下:

(1)     单击导航树中的[自动化>网络准入>准入管理>接入用户]菜单项,进入接入用户页面。

图3-12 接入用户页面

 

(2)     单击<增加>按钮,进入增加接入用户页面,如下图所示。

图3-13 增加接入用户页面

 

参数说明:

¡     用户姓名、证件号码:用户的姓名及证件号码。

¡     账号名:唯一标识账号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。

¡     密码/确认密码:输入两次相同的密码。

¡     接入服务:选择上一步增加的接入服务,本例为“802.1X Service”。

¡     其他参数:保持缺省值。

(3)     单击<确定>按钮,接入用户增加完毕。返回接入用户页面,可在接入用户列表中查看新增的接入用户。

6. 配置接入设备

接入设备配置主Radius服务器为容灾系统虚IP,备Radius服务器分别为容灾系统两套集群的北向IP。

·     Primary Radius服务器:设定为172.10.51.43(容灾系统虚IP)

·     Secondary Radius服务器:

¡     第一备份设定为172.10.51.41(EIA主集群的北向业务虚IP)

¡     第二备份设定为172.10.51.42(EIA备集群的北向业务虚IP)

注意

若接入设备不支持配置多个Secondary IP地址,仅配置了Primary IP地址,则倒换过程中会出现短时间新用户无法上线、老用户掉线的异常情况。

 

<Device>system-view

//创建并进入RADIUS认证方案视图

[Device] radius scheme roam

//添加方案描述信息

[Device-radius-roam] description "RADIUS scheme for roaming authentication"

//认证、计费服务器都指向EIA,认证、计费端口与EIA增加接入设备中增加接入设备时的配置保持一致。

//配置主认证服务器IP和端口

[Device-radius-roam] primary authentication 172.10.51.43 1812

//配置主计费服务器IP和端口

[Device-radius-roam] primary accounting 172.10.51.43 1813

//配置第一备用认证服务器IP和端口

[Device-radius-roam] secondary authentication 172.10.51.42 1812

//配置第二备用认证服务器IP和端口

[Device-radius-roam] secondary authentication 172.10.51.41 1812

//配置第一备用计费服务器IP和端口

[Device-radius-roam] secondary accounting 172.10.51.42 1813

//配置第二备用计费服务器IP和端口

[Device-radius-roam] secondary accounting 172.10.51.41 1813

//认证、计费共享密钥与EIA增加接入设备中增加接入设备时的配置保持一致。

//配置认证密码

[Device-radius-roam] key authentication simple movie

//配置计费密码

[Device-radius-roam] key accounting simple movie

//指定设备发送RADIUS报文使用的源IP

[Device-radius-roam] nas-ip 172.10.45.3

[Device-radius-roam] quit

//创建域391,根据上表中的搭配,domain名称必须与EIA增加接入服务中的服务后缀保持一致。

[Device]domain 391

//认证、授权、计费都采用之前配置的radius scheme roam

[Device-isp-391]authentication lan-access radius-scheme roam

[Device-isp-391]authorization lan-access radius-scheme roam

[Device-isp-391]accounting lan-access radius-scheme roam

[Device-isp-391]quit

//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。

[Device]dot1x

[Device]interface GigabitEthernet 1/0/16

[Device-GigabitEthernet 1/0/16] port access vlan 108

[Device-GigabitEthernet 1/0/16]dot1x

[Device-GigabitEthernet 1/0/16]quit

//802.1X的认证方式包括PAP、CHAP和EAP。如果进行证书认证,则必须设置为EAP。

[Device]dot1x authentication-method chap

3.2.5  认证业务配置-Portal认证

说明

若认证业务采用Portal认证方式,请参见本章节的配置步骤进行操作,以确保终端设备能够正常接入网络并完成认证。

 

配置流程及内容如下表所示。

表3-6 配置步骤说明

步骤

配置流程

说明

1

增加接入设备

建立EIA服务器与接入设备的联动关系

2

增加接入策略

接入策略是用户使用网络必须符合的要求,配置一个不进行任何接入控制的接入策略

3

增加接入服务

接入服务是对用户进行认证授权的各种策略的集合

4

增加接入用户

接入用户是用户接入网络时使用的身份凭证,包含账号名、密码和使用的服务等信息

5

配置Portal服务

通过实现Portal协议来控制Portal客户端与设备之间的交互来完成用户认证过程,用户只有认证通过后才能访问网络资源

6

配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络

 

2. 增加接入设备

请参见增加接入设备章节。

3. 增加接入策略

请参见增加接入策略章节。

4. 增加接入服务

请参见增加接入服务章节。其中,配置接入服务参数时:

·     服务名:本例以“Portal Service”为例。

·     服务后缀:本例以“portal”为例。

·     缺省接入策略:选择之前新增的接入策略,本例以“Access Permit”为例。

5. 增加接入用户

请参见增加接入用户章节。

6. 配置Portal服务

服务器配置

(1)     单击导航树中的[自动化>网络准入>准入管理>Portal认证]菜单项,进入Portal认证页面。

(2)     在服务器配置页签的“Portal Server”区域中,配置LB设备地址。

图3-14 服务器配置

 

参数说明:

¡     LB设备地址:LB即Load Balance,负载均衡。容灾场景配置容灾虚IP地址,配置成功后,终端将使用容灾虚IP访问Portal服务器。本例为172.10.51.43。

¡     其他参数保持默认。

(3)     在服务器配置页签的“服务类型列表”区域中,单击<增加>按钮,弹出增加服务类型窗口,如下图所示。

图3-15 增加服务类型

 

参数说明:

¡     服务类型标识:设备根据用户选择的服务类型确定相应的认证方案,必须与之前增加接入服务中的服务后缀相同。

¡     服务类型:服务类型标识是设备使用的信息,用户可能无法直观地理解其内在的含义。因此使用服务类型对其进行解释,会显示在Portal认证主页上,便于用户对服务类型的理解。其中,服务类型信息不能为空,并且不能和现有的服务类型信息相同,服务类型的数量不能超过64个。

(4)     单击<确定>按钮,完成增加服务类型。返回服务器配置页面。可在服务类型列表中查看新增的服务类型,如下图所示。

图3-16 查看新增的服务类型

 

(5)     单击<确定>按钮,完成Portal服务器配置。

IP地址组配置

(6)     单击导航树中的[自动化>网络准入>准入管理>Portal认证]菜单项,进入Portal认证页面。选择“IP地址组配置”页签,进入IP地址组配置页面,如下图所示。

图3-17 IP地址组配置

 

(7)     单击<增加>按钮,进入增加IP地址组页面,输入IP地址组名,本例为“Portal_Address”,并输入起始IP地址和终止IP地址。其中,属于该地址段的终端都要进行认证。

图3-18 增加IP地址组

 

(8)     单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如下图所示。

图3-19 查看新增的IP地址组

 

设备配置

(9)     单击导航树中的[自动化>网络准入>准入管理>Portal认证]菜单项,进入Portal认证页面。选择“设备配置”页签,进入设备配置页面,如下图所示。

图3-20 设备配置

 

(10)     单击<增加>按钮,进入增加设备信息页面,如下图所示。

图3-21 增加设备信息

 

参数说明:

¡     设备名:输入设备名称,本例为“zhangsan-Switch”。

¡     公网IP:Portal接入设备的公网IP地址。Portal设备公网IP地址与设备接口视图下portal bas-ip保持一致(无线认证是AC服务模板视图下)。

¡     密钥\确认密钥:输入“movie”。密钥要与设备上配置的Portal服务器密钥保持一致,Portal服务器与设备通信时两端需要配置相同的共享密钥,否则无法通过接收方的校验。

¡     组网方式:在下拉框中选择“直连”。

¡     其他参数:保持缺省值。

(11)     单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息。

图3-22 查看新增的设备信息

 

(12)     单击列表“操作”列的“端口组信息管理”图标,进入端口组信息配置页面,如下图所示。

图3-23 端口组信息配置

 

(13)     单击<增加>按钮,进入增加端口组信息页面,如下图所示。

图3-24 增加端口组信息

 

参数说明:

¡     端口组名:输入端口组名称,本例为“port-Port”。

¡     认证方式:在下拉框中选择“CHAP认证”。

¡     IP地址组:选择已配置的“Portal_Address”。

¡     其他参数:保持缺省值。

(14)     单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组信息配置列表中查看新增的端口组信息,如下图所示。

图3-25 查看新增的端口组信息

 

7. 配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。

通过Windows的CLI窗口telnet到接入设备进行配置,具体命令如下:

(1)     进入系统视图。

<Device>system-view

System View: return to User View with Ctrl+Z.

(2)     配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与增加接入设备的配置保持一致。

[Device]radius scheme allpermit

New Radius scheme

[Device-radius-allpermit]primary authentication 172.10.51.43 1812

[Device-radius-allpermit]primary accounting 172.10.51.43 1813

[Device-radius-allpermit]key authentication simple movie

[Device-radius-allpermit]key accounting simple movie

[Device-radius-allpermit]user-name-format with-domain

[Device-radius-allpermit]nas-ip 172.10.45.3

[Device-radius-allpermit]quit

(3)     配置domain域“portal”,引用上一步配置好的“allpermit”策略。domain的名称必须与增加接入服务中配置的服务后缀保持一致。

[Device]domain portal

[Device-isp-portal]authentication portal radius-scheme allpermit

[Device-isp-portal]authorization portal radius-scheme allpermit

[Device-isp-portal]accounting portal radius-scheme allpermit

[Device-isp-portal]quit

(4)     配置Portal认证服务器,key要与配置Portal服务中设备配置的密钥一致。

//配置Portal认证服务器(主服务器roam

[Device] portal server roam

// 设置Portal服务器IP和密钥

[Device-portal-server-roam] ip 172.10.51.43 key simple movie

[Device-portal-server-roam] quit

//配置第一备用Portal服务器(roam1

[Device] portal server roam1

[Device-portal-server-roam1] ip 172.10.51.42 key simple movie

[Device-portal-server-roam1] quit

//配置第二备用Portal服务器(roam2

[Device] portal server roam2

[Device-portal-server-roam2] ip 172.10.51.41 key simple movie

[Device-portal-server-roam2] quit

(5)     配置Portal Web服务器的URL为http://172.10.51.43:9092/portal,要与配置Portal服务中的“Portal主页”配置项地址保持一致。

[Device]portal web-server myportal

New portal web-server added.

[Device-portal-websvr-myportal]url http:// 172.10.51.43:9092/portal

[Device-portal-websvr-myportal] url-parameter userip source-address

[Device-portal-websvr-myportal] url-parameter usermac source-mac

[Device-portal-websvr-myportal] quit

(6)     在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器Portal报文中的BAS-IP属性值,该BAS-IP需和配置Portal服务中设备配置的公网IP保持一致。

[Device]interface Vlan-interface 108

[Device-Vlan-interface108]portal enable method direct

[Device-Vlan-interface108]ip address 108.108.108.1 255.255.255.0

[Device-Vlan-interface108]portal apply web-server myportal

[Device-Vlan-interface108]portal bas-ip 108.108.108.1

[Device-Vlan-interface108]portal domain portal

[Device-Vlan-interface108]quit

3.2.6  认证业务配置-哑终端认证

说明

若认证业务采用哑终端认证方式,请参见本章节的配置步骤进行操作,以确保哑终端设备能够正常接入网络并完成认证。

 

配置流程及内容如下表所示。

表3-7 配置步骤说明

步骤

配置流程

说明

1

增加接入设备

建立EIA服务器与接入设备的联动关系

2

增加接入策略

接入策略是用户使用网络必须符合的要求,配置一个不进行任何接入控制的接入策略

3

增加接入服务

接入服务是对用户进行认证授权的各种策略的集合

4

哑终端用户配置

配置允许接入网络的MAC地址范围。当网络中属于该MAC地址范围的哑终端接入网络后,自动在EIA中生成哑终端用户

5

配置接入设备

接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络

 

2. 增加接入设备

请参见增加接入设备章节。

3. 增加接入策略

请参见增加接入策略章节。

4. 增加接入服务

请参见增加接入服务章节。其中,配置接入服务参数时:

·     服务名:本例以“打印机接入服务”为例。

·     服务后缀:本例以“391”为例。

·     缺省接入策略:选择之前新增的接入策略,本例以“Access Permit”为例。

5. 哑终端用户配置

在EIA中,不能将单个哑终端直接增加为哑终端用户,而是配置允许接入网络的MAC地址范围。当网络中属于该MAC地址范围的哑终端接入网络后,会自动在EIA中生成哑终端用户。

(1)     单击导航树中的[自动化>网络准入>准入管理>接入用户>哑终端用户配置]菜单项,进入哑终端用户配置页签,如下图所示。

图3-26 哑终端用户配置

 

(2)     在哑终端用户配置页面中,单击<增加>按钮,弹出下拉框,本例以选择“基于MAC段”选项为例,进入增加哑终端用户配置页面。在该页面配置基本信息:

¡     配置名称:输入配置名称,本例以“打印机”为例。

¡     用户姓名前缀:输入用户姓名前缀,本例以“EIA”为例。在哑终端首次接入认证成功时,系统会为其自动开户,会将“用户姓名前缀-MAC地址”作为哑终端用户的用户姓名。用户姓名前缀不能为空,输入不区分中英文,最大长度为7个字符,大小写敏感。

¡     其他参数保持默认。

基本信息配置完成效果如下图所示。

图3-27 基本信息配置

 

(3)     继续在该页面,单击MAC地址段的<增加>按钮,弹出增加MAC地址段页面,配置如下参数:

¡     起始MAC地址:填写起始MAC地址,本例配置为“1C:BD:B9:E3:B1:3B”。

¡     终止MAC地址:填写终止MAC地址,本例配置为“1C:BD:B9:E3:B1:66”。

¡     其他参数保持默认。

配置完成后单击<确定>按钮。

图3-28 增加MAC地址段

 

(4)     在该页面的接入服务区域选择增加接入服务配置的接入服务,本例选择“打印机接入服务”。

(5)     MAC地址段以及接入服务配置完成后,单击<确定>按钮,哑终端用户增加完成。

(6)     哑终端用户配置完成后,单击<立即生效>按钮使配置立即生效。

图3-29 配置立即生效

 

6. 配置接入设备

接入设备配置主Radius服务器为容灾系统虚IP,备Radius服务器分别为容灾系统两套集群的北向IP。

·     Primary Radius服务器:设定为172.10.51.43(容灾系统虚IP)

·     Secondary Radius服务器:

¡     第一备份设定为172.10.51.41(EIA主集群的北向业务虚IP)

¡     第二备份设定为172.10.51.42(EIA备集群的北向业务虚IP)

注意

若接入设备不支持配置多个Secondary IP地址,仅配置了Primary IP地址,则倒换过程中会存在短时间新用户无法上线、老用户掉线的异常情况。

 

<Device>system-view

//创建并进入RADIUS认证方案视图

[Device] radius scheme roam

//添加方案描述信息

[Device-radius-roam] description “RADIUS scheme for roaming authentication”

//认证、计费服务器都指向EIA,认证、计费端口与EIA增加接入设备中增加接入设备时的配置保持一致。

//配置主认证服务器IP和端口

[Device-radius-roam] primary authentication 172.10.51.43 1812

//配置主计费服务器IP和端口

[Device-radius-roam] primary accounting 172.10.51.43 1813

//配置第一备用认证服务器IP和端口

[Device-radius-roam] secondary authentication 172.10.51.42 1812

//配置第二备用认证服务器IP和端口

[Device-radius-roam] secondary authentication 172.10.51.41 1812

//配置第一备用计费服务器IP和端口

[Device-radius-roam] secondary accounting 172.10.51.42 1813

//配置第二备用计费服务器IP和端口

[Device-radius-roam] secondary accounting 172.10.51.41 1813

//认证、计费共享密钥与EIA增加接入设备中增加接入设备时的配置保持一致。

//配置认证密码

[Device-radius-roam] key authentication simple movie

//配置计费密码

[Device-radius-roam] key accounting simple movie

//指定设备发送RADIUS报文使用的源IP

[Device-radius-roam] nas-ip 172.10.45.3

[Device-radius-roam] quit

//创建域391,根据上表中的搭配,domain名称必须与EIA增加接入服务中服务的后缀保持一致。

[Device]domain 391

//认证、授权、计费都采用之前配置的radius scheme roam。

[Device-isp-391]authentication lan-access radius-scheme roam

[Device-isp-391]authorization lan-access radius-scheme roam

[Device-isp-391]accounting lan-access radius-scheme roam

[Device-isp-391]quit

//在全局和接口上同时启用MAC地址认证功能,并指定MAC地址认证时使用上一步中创建的Domain。

#启用接口MAC地址认证

[Device] interface GigabitEthernet 1/0/16

[Device-Ethernet1/0/16] port access vlan 108

[Device-Ethernet1/0/16] mac-authentication

[Device-GigabitEthernet1/0/16] mac-authentication domain 391

[Device-GigabitEthernet1/0/16] undo dot1x

[Device-GigabitEthernet1/0/16] quit

#启用全局MAC地址认证

[Device] mac-authentication

3.3  配置验证

注意

当容灾系统处于“倒换中”状态时,容灾虚IP存在短暂时间不可用。

 

1. 802.1X认证和Portal认证场景容灾配置验证

(1)     容灾系统创建成功后,使用user1用户认证上线。通过EIA容灾系统容灾虚IP地址登录EIA环境,在浏览器中输入登录地址“http://ip_address:30000”,其中“ip_address”为容灾虚IP地址,可在[在线用户]页面中看到user1正常上线成功。

图3-30 接入用户user1上线成功

 

(2)     手动触发容灾倒换,手动在EIA主集群上进行“降备”操作,或者手动在EIA备集群上进行“接管”操作,集群进入倒换状态。倒换过程中使用user2认证,通过容灾虚IP地址登录EIA环境,可看到user2上线成功。

图3-31 降备操作

 

图3-32 接管操作

 

图3-33 接入用户user2上线成功

 

(3)     容灾倒换完成后,通过容灾虚IP地址登录EIA环境。参见增加接入用户增加接入用户user3,并且验证user3上线成功。

图3-34 接入用户user3上线成功

 

2. 哑终端认证场景容灾配置验证

(1)     正常场景

容灾系统创建好后,使用哑终端设备(如打印机、摄像头等)接入网络,能被识别认证并开户上线。

(2)     容灾倒换期间

主备系统切换时,因数据库锁机制(如主备同步期间的写保护),新接入的哑终端开户流程阻塞。此时,系统仅允许已开户终端维持连接,新终端需等待倒换完成。

(3)     容灾倒换完成

倒换结束后,数据库锁释放,新接入哑终端可正常被识别认证,开户上线。


4 配置举例(自动倒换)

4.1  组网需求

图4-1 组网示意图

本案例中各部分使用的版本如下:

·     统一数字底盘版本:E7301

·     EIA版本:E7303

·     接入设备:H3C S5560X-54C-EI-6652P02

·     iNode版本:E0644及以上版本

表4-1 自动倒换容灾系统IP地址规划

分类

IP规划

说明

NTP服务器IP

172.10.51.40

用于保证集群内各节点系统时间的一致性

EIA主系统IP

172.10.51.41

主集群北向业务虚IP

EIA备系统IP

172.10.51.42

备集群北向业务虚IP

容灾虚IP

172.10.51.43

EIA容灾系统虚IP地址

仲裁服务器IP

172.10.51.40

仲裁服务,本组网中NTP服务和仲裁服务部署在同一节点

接入设备IP

172.10.45.3

接入设备管理IP地址

 

4.2  配置步骤

配置自动倒换容灾系统时,请依次执行如下表所示步骤。

表4-2 自动倒换容灾系统配置步骤说明

步骤

配置流程

配置子流程

说明

1

创建容灾系统

主/备环境搭建

需部署两套完全相同的EIA环境

部署仲裁服务

在主备之外的第三地部署仲裁节点,作为自动倒换的仲裁器

创建容灾系统

创建EIA容灾系统

2

认证业务配置

认证业务配置-802.1X认证

可选,802.1X认证是指通过802.1X协议进行用户身份验证,不包含任何接入控制和安全检查,仅进行身份验证

认证业务配置-Portal认证

可选,Portal认证是一种基于Web的轻量级网络接入认证方式,主要用于访客或员工临时接入网络时的身份核验。通用Portal认证,不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络

认证业务配置-哑终端认证

可选,哑终端是指无法手工控制其发起认证的网络终端,常见的哑终端包括IP电话、打印机等可选择该认证方式

 

说明

本手册以部分认证业务类型为例介绍异地容灾的典型配置方案。如需了解其他认证类型的配置方法,请参见对应的认证配置手册。

 

4.2.2  主/备环境搭建

搭建两套EIA环境,要求两套环境部署的组件版本、组件数量、系统架构完全一致,并且部署的应用包必须含有统一数字底盘的BMP_Extension包。其他部署要求如下:

·     主备站点的Matrix的service地址池、pod地址池不能冲突,主备站点IP必须是可达的。

·     主备站点的CPU架构必须一致,例如都是x86。

·     主备站点的Matrix架构必须一致,例如都是Matrix单机或都是Matrix集群。

·     主备站点的NTP Server必须一致:

¡     主备站点配置为相同的外置服务器。

¡     主站点或备站点配置为内置服务器,另一站点配置为外置服务器,并且外置NTP服务器地址需配置为对端的北向业务虚IP。

·     主备站点的协议族必须一致,例如都是IPv4、或者都是IPv6、或者都是双栈。

说明

·     本文档以已完成两套EIA环境搭建为例,重点说明后续配置相关内容;环境的具体部署过程可参见《H3C EAD 安装部署指导》。

·     在配置License授权时,只需在主站点配置所需的License授权信息,具体License授权信息请参见《H3C 智能管理与运维产品License支持情况说明》。

 

4.2.3  部署仲裁服务

请在主、备站点之外的第三地部署仲裁节点,部署仲裁服务的要求和具体步骤如下所示。

1. 硬件配置需求

表4-3 仲裁服务物理服务器的硬件配置需求

节点名称

节点配置数量

单节点详细配置

仲裁服务节点

1

·     CPU:x86-64(Intel64/AMD64)架构,2核、2.0GHz主频及以上

·     内存:16GB及以上

·     磁盘:需要配置RAID,RAID模式可选RAID1、RAID5、RAID10。以下配置任选其一

·     磁盘配置1:

¡     系统盘:配置RAID后容量256GB及以上,SSD固态硬盘

¡     ETCD盘:配置RAID后容量20GB及以上,SSD固态硬盘,安装路径:/var/lib/etcd

·     磁盘配置2:

¡     系统盘:配置RAID后容量256GB及以上,7.2K RPM SATA/SAS机械硬盘

¡     ETCD盘:配置RAID后容量20GB及以上,7.2K RPM SATA/SAS机械硬盘,安装路径:/var/lib/etcd

¡     RAID卡配置:1GB Cache,支持数据掉电保护且超级电容必须在位

·     网口:1*10Gbps及以上带宽

 

表4-4 仲裁服务虚拟机配置需求

节点名称

节点配置数量

单节点详细配置

仲裁服务节点

1

·     vCPU:2核,2.0GHz主频及以上

·     内存:16GB及以上

·     磁盘:7.2K RPM SATA/SAS机械硬盘,磁盘必须保证有可靠性保护

·     RAID卡:1GB Cache,支持数据掉电保护

·     磁盘数量及大小:

¡     需要给虚拟机分配2块虚拟硬盘,这2块虚拟硬盘需分别对应物理服务器的2块硬盘,并要保证为etcd分配的物理磁盘仅被etcd独占。磁盘可靠性保护之后的容量要求如下:

¡     磁盘1:20GB及以上,需安装etcd,安装路径:/var/lib/etcd

¡     磁盘2:256GB及以上,系统其它部分安装在该磁盘上

·     网口:1*10Gbps及以上带宽

 

2. 操作系统需求

推荐仲裁服务部署在NingOS操作系统上。

3. 安装环境确认

安装环境请参考下表中所示的各个检测项,确保安装仲裁服务的条件已经具备。

表4-5 安装环境确认

检测项

检测标准

服务器

硬件检查

请检查硬件是否符合要求(包括CPU、内存、硬盘、网口等)

软件检查

请检查如下几点:

·     操作系统版本符合要求

·     系统时间已配置完成,建议配置NTP时间同步,整网使用统一的时钟源同步时间

·     IP地址等网络配置已完成

服务器系统中是否安装过仲裁服务

如果系统中安装过仲裁服务,需要卸载后才能再次安装

网口

单独使用一个网口,不允许在此网口上配置子接口及子IP

IP地址

仲裁服务节点其他网口上的IP地址不允许和本节点仲裁服务使用的IP地址相同网段

时区

请确保仲裁服务和主备站点的系统时区必须相同(可使用命令timedatectl查看各节点的系统时区),否则可能导致仲裁服务异常

电源

在部署和运行过程中,不允许进行节点重启、主机强制断电、虚拟机重置(例如VMware重置)等操作,否则将会导致文件系统出现不可逆的损坏(比如docker.service、etcd.service、chrony.conf等组件的配置文件损坏),最终导致集群异常

 

4. 安装操作系统

仲裁服务服务器的操作系统安装中,除磁盘分区外,其他步骤均可参考H3C 统一数字底盘操作系统安装指导。以NingOS操作系统为例,磁盘分区的具体步骤如下:

(1)     在选择磁盘后,选中“自定义”,然后单击“完成”。

图4-2 安装目标位置页面

 

(2)     分区方案选择“LVM”。

图4-3 选择分区方案为“LVM”

 

(3)     单击“添加新挂载点”图标,在弹出窗口中进行如下配置后,单击<添加挂载点>按钮。

a.     挂载点:输入挂载点目录名称。

b.     期望容量:输入磁盘容量并指定容量单位,例如“GiB”、“MiB”。

表4-6 磁盘分区

挂载点

预设容量

适用模式

文件系统

备注

/var/lib/etcd

20 GiB

BIOS模式/UEFI模式

ext4

磁盘空间充足时,可适当扩容

/boot

1024 MiB

BIOS模式/UEFI模式

ext4

-

swap

1024 MiB

BIOS模式/UEFI模式

swap

-

/

250 GiB

BIOS模式/UEFI模式

ext4

磁盘空间充足时,可适当扩容,业务数据不建议放在根目录

/boot/efi

200 MiB

UEFI模式

EFI System Partition

选择UEFI模式时,需要创建该分区

 

(4)     单击<修改…>按钮,在弹出的配置挂载点窗口中,选择分区所挂载的磁盘后,单击<选择>按钮。

图4-4 分区配置完成

 

如果需要为etcd目录绑定单独磁盘,需要再次创建卷组,仅etcd独立磁盘场景需此步骤。

图4-5 创建新卷组并命名为etcd

 

(5)     单击<完成>按钮,若出现如下图所示信息,则需要创建一个“BIOS Boot”分区,大小为1 MiB,且为BIOS Boot文件格式。若未出现提示信息,则此步骤可以直接跳过。

图4-6 创建“BIOS Boot”分区的提示

 

5. 依赖包及操作系统设置检查

依赖包及操作系统设置检查

·     在安装仲裁服务的操作系统上,只需安装Docker和Java依赖包。如果使用的是Red Hat Enterprise Linux 8系统,则Docker版本需为20.10.7;而其他系统的Docker版本可以为18.09.6或20.10.7。此外,Java版本应为1.8.0。

·     需要关闭操作系统防火墙。

·     执行systemctl status docker命令检查Docker服务是否已经启动,若未启动,请执行systemctl start docker命令,启动Docker服务。

6. 安装仲裁服务

注意

·     第三方站点的应用包版本需要与主备站点的统一数字底盘版本配套。

·     部署完成后,请勿修改系统时间,否则可能导致服务异常。

·     安装完成后,请勿使用ifconfig命令对网口进行操作,否则可能导致默认路由丢失,影响仲裁服务部署与正常运行,推荐使用ifup和ifdown命令。

·     若节点上需要使用多个网口,请确保部署前除仲裁服务节点IP所在网口外的其他网口均为Down状态,若网口为UP状态,请使用ifdown命令关闭。

·     NingOS操作系统需通过nmcli connection reloadnmcli connection up 网卡名命令重启网卡。

·     推荐仲裁服务部署在NingOS系统上。

 

(1)     上传仲裁服务安装包。

获取软件安装包,并将软件包拷贝至服务器的待安装目录下,或使用FTP等文件传输协议将软件包上传到指定目录。

¡     (推荐)root用户在/root目录下,或在/root下创建目录。

¡     (推荐)非root用户(如admin)在/home/admin下。

安装包的名称格式为BMP_RDRArbitrator_version_platform.zip,其中version为版本号,platform为CPU架构类型。请根据服务器架构选择对应的安装包。部分版本可能仅发布x86或ARM仲裁服务安装包,具体请以版本发布文件为准。

说明

如果需要使用FTP、TFTP协议上传下载,请选择binary模式(二进制模式)传输,以免损坏软件包。

 

(2)     当前系统支持使用root用户和非root用户安装仲裁服务,推荐使用root用户进行安装。若使用非root用户安装软件包,则需在root用户下通过visudo命令修改配置文件,并在配置文件结尾处添加如下配置项为该用户添加安装权限,其中username表示当前用户名,具体配置如下:

[root@rdr01 ~]# visudo

<username> ALL=(root) NOPASSWD:/bin/bash

本文将以root用户安装为例进行说明。非root用户执行安装时需要使用sudo ./install.sh命令。

(3)     进入仲裁服务安装包(.zip文件)的存放路径,安装仲裁服务。下面以E7301版本、X86架构为例进行安装。

[root@rdr01 ~]# unzip BMP_RDRArbitrator_E7301_x86.zip

[root@rdr01 ~]# cd BMP_RDRArbitrator_E7301_x86/

[root@rdr01 BMP_RDRArbitrator_E7301_x86]# ./install.sh

Installing...

…略…

Complete!

(4)     验证仲裁服务节点是否安装成功。若安装成功,则查询结果如下。

[root@rdr01 BMP_RDRArbitrator_E7301_x86]# ps -ef | grep -i "rdr"

root      41222      1  0 9月13 pts/0   00:42:17 java -jar -Xms1024m -Xmx3072m /root/BMP_RDRArbitrator_E7301_x86/images/rdrs3rd-1.0.0.jar

[root@rdr01 BMP_RDRArbitrator_E7301_x86]# docker ps |grep etcd

9dfdde5b31fa   rdr-arbitrator/etcd3rd:1.0.0   "/entrypoint.sh"   40 seconds ago   Up 38 seconds             etcd3rd

 

4.2.4  创建容灾系统

(1)     登录系统,单击导航树中的[系统>应急管理>异地容灾]菜单项,进入异地容灾页面。

(2)     按需进行异地容灾配置,如下图所示。

图4-7 异地容灾配置

 

按需配置相关参数:

¡     主/备站点名称:主站点/备站点的名称,不能相同。本案例中主站点名称为“主”,备站点名称为“备”。

¡     主/备站点IP:主站点/备站点IP,IP必须是可达的。此处站点IP建议配置为系统北向IP地址。本案例中主站点IP为“172.10.51.41”,备站点IP为“172.10.51.42”。

¡     备站点用户名/密码:指定的备站点用户名和密码必须是主备站点上已经存在的底盘用户密码。

¡     倒换模式:选择容灾系统的倒换模式,包括“手动倒换”和“带仲裁的自动倒换”。本案例选择“带仲裁的自动倒换”。

¡     仲裁站点IP:倒换模式选择“带仲裁的自动倒换”,必须指定仲裁站点的IP地址。且主/备站点、仲裁站点之间的IP都是可达的。本案例中配置为“172.10.51.40”。

¡     异地容灾系统虚IP:表示两套站点形成的异地容灾系统对外提供的IP地址,始终落在角色为主的站点上。本案例中配置为“172.10.51.43”。

¡     其他参数可以保持默认。

(3)     参数配置完成后,单击<连接>按钮,系统将进行创建前检查和授权检查,检查通过后进入到“创建中”状态,页面展示进度条。

注意

·     不支持同时在主备站点创建异地容灾系统。

·     请勿在增加或删除容灾组件期间执行任何业务操作。

 

(4)     成功创建容灾系统后,主备站点两套集群之间就形成了异地容灾备份,可以在容灾页面查看和管理容灾系统状态,如下图所示。

图4-8 异地容灾-自动倒换

 

4.2.5  认证业务配置-802.1X认证

具体配置内容请参见认证业务配置-802.1X认证章节。

4.2.6  认证业务配置-Portal认证

具体配置内容请参见认证业务配置-Portal认证章节。

4.2.7  认证业务配置-哑终端认证

具体配置内容请参见认证业务配置-哑终端认证章节。

4.3  配置验证

注意

当容灾系统处于“倒换中”状态时,容灾虚IP存在短暂时间不可用。

 

当主站点发生异常(如断电)时,系统将触发自动倒换流程。用户可通过容灾虚IP地址访问EIA系统,查看业务组件的运行状态,并验证关键配置数据的完整性,确保容灾系统接管业务后的正常运行。

1. 802.1X认证和Portal认证场景容灾配置验证

(1)     容灾系统创建成功后,使用接入用户“user1”上线成功,如下图所示。

图4-9 接入用户“user1”上线成功

 

(2)     集群发生异常,集群进入倒换状态。容灾系统倒换过程中,通过容灾虚IP地址登录EIA环境,使用接入用户“user2”上线成功,如下图所示。

图4-10 接入用户“user2”上线成功

 

(3)     容灾系统倒换后,通过容灾虚IP地址登录EIA环境,可参见增加接入用户章节增加接入用户“user3”,如下图所示。

图4-11 接入用户列表

 

(4)     接入用户增加完成后,使用接入用户“user3”在备用站点上线成功,如下图所示。

图4-12 接入用户“user3”上线成功

 

2. 哑终端认证场景容灾配置验证

具体配置内容请参见配置验证哑终端认证场景容灾配置验证章节。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们