NetScaler的HA部署

,nsip,subnetip

1， 部署NetScaler的HA模式

NetScaler的HA模式部署有點像FWSM的部署，與F5的部署還有有很大差別的。首先可以單node方式部署一台NetScaler，在這個上面做好所有的相關配置，包括NSIP、subnet IP、路由、使用者名以及相關的feature等。確定這台一切配置ok後，配置另一台NetScaler，此NetScaler隻需要配置一個NSIP，然後接入網絡即可。特别注意的是，不需要配置subnet IP等。配置好後隻需要與前一台做一個ha的添加即可，配置會自動同步過來。下面會有關注配置的相關說明。

2， 部署拓撲圖

NetScaler的HA部署可以是串聯方式，也可以使旁挂單臂方式。如下拓撲圖：

串聯方式：

<a href="http://ipneter.blog.51cto.com/attachment/200912/19/341177_12612001274UYa.gif"></a>

旁挂單臂模式：

<a href="http://ipneter.blog.51cto.com/attachment/200912/19/341177_1261200128aVZQ.gif"></a>

注意：NetScaler做HA是裝置之間不需要一根同步線，直接走網絡進行同步。預設以NSIP來同步，第二選擇為subnetIP。

3， 部署須知

3.1 部署第一台NetScaler（A）

首先需要先部署一台NetScaler，以單節點的方式部署，即部署完畢之前不需要考慮HA。相關的配置包括：

① nsroot修改密碼；

② 設定時區時間；

③ 設定NSIP作為管理位址；

④ 設定subnet IP，可以根據前後互聯的vlan來做ext和int的接口配置；

⑤ 設定端口甚至是端口綁定等；

⑥ 設定相關路由；

⑦ 啟用MBF(MAC-based forwarding)；

⑧ 設定業務接口的HA monitor特性，其他端口不做HA monitor；

⑨ ……

3.2 部署第二台NetScaler（B）

而後部署第二台NetScaler裝置，相關配置包括：

① 設定nsroot密碼，必須與A保持一緻；

② 設定時區時間，需要與A保持一緻，誤差在幾秒内；

③ 檢視version，需要A保持一緻；

④ 設定NSIP作為管理位址，需要與A的NSIP互通，最好在同一個網段；

⑤ 網絡結構與A保持類似，即相關實體接口對應互聯；

⑥ 設定業務接口的HA monitor特性，其他端口不做HA monitor；

⑦ 沒有其他配置，部署完成。

3.3 HA部署

通過在彼此上添加node來完成HA部署。

① 設定B的node狀态為STAYSECONDARY:set ha node –hastatus STAYSECONDARY；

② 在B上添加node A；

③ 在A上添加node B；

④ 檢視B的配置:show run，檢視/nsconfig/*檔案（除了license），并與A進行對比是否将A的配置同步過來；

⑤ 確定A為primary狀态；

⑥ 設定B的node狀态為ENABLED:set ha node –hastatus ENABLED；

⑦ 檢視AB的狀态show node，正常情況下，此時A為primary，b為standby；

⑧ 進行HA的切換測試。

4， NetScaler相關知識點

① NetScaler的vlan、ip與接口關系

NetScaler的vlan、ip和接口是相關獨立的關系，即可以不配置任何vlan（預設存在vlan1），所有ip都屬于vlan1中。NSIP更加特别，他不能綁定任何vlan。這樣就存在這麼一個問題：互聯NetScaler的裝置的接口都設定在同一個vlan的時候，網絡内通路NSIP的流量就可能從NetScaler任何一個接口互通。業務接口可以綁定vlan，而且ip也可以綁定于某一個vlan。這樣就可以做到接口、vlan和ip的對應關系了，除了NSIP。

② MBF(MAC-based forwarding)

基于mac位址做轉發，而非路由。NetScaler會通過初始的tcp連接配接（syn）請求學習到client端和server端的mac位址，并與此tcp的session資訊同樣cache起來，用作轉發，而不查詢arp和route表。這個特性僅僅生效于VS，而針對NetScaler系統的流量不起作用。NetScaler的MBF特性預設disable。

③ HA同步

NetScaler做HA支援自動同步，在primary裝置上做的配置會馬上同步到secondary裝置上，不能從secondary同步到primary裝置。而在secondary裝置做的任何配置（除系統配置之外，比如reboot以及網絡接口配置）都是無效配置，不會在本機上生效，更不會同步到primary裝置。NetScaler的HA支援人工同步，但是隻能從primary同步到secondary。同步的内容有：健康檢查狀态和persistence表，不同步session表即進行了HA切換後使用者的session會丢失進行重連，但是會進行保持。

④ HA monitor配置

HA monitor原理：針對每個綁定了HA monitor特性的接口做監控，一旦此接口不可用後，系統會根據這個做一些動作。比如進行HA切換。如果是好幾個接口LA做了綁定，那麼可以僅針對LA做HA monitor，而且可以設定帶寬少于多少後進行HA切換。比如說有4個GE接口綁定成LA/1，可以在LA/1上設定少于3000（機關Mbps）時做HA切換。也就是說down掉一個接口不用做HA切換，隻有down掉2個或2個以上即少于3000的帶寬時進行HA切換。如下圖：

<a href="http://ipneter.blog.51cto.com/attachment/200912/19/341177_12612001286IkS.jpg"></a>

本文轉自 chris_lee 51CTO部落格，原文連結：http://blog.51cto.com/ipneter/245716，如需轉載請自行聯系原作者