Высокая доступность в режиме Shadow на UniFi Cloud Gateways

Режим Shadow (Shadow Mode) обеспечивает высокую доступность шлюза путем бесперебойной передачи функций шлюза и управления на вторичное устройство в случае выхода из строя основного. Используя протокол резервирования виртуальных маршрутизаторов (VRRP) и отслеживание состояния подключений брандмауэра, этот переход практически не заметен для конечных пользователей, поддерживая непрерывную продуктивность.

Режим Shadow — это всего лишь один компонент комплексного решения UniFi для высокой доступности и резервирования. Для получения дополнительной информации см. наш Обзор высокой доступности.

Требования

• Два стоечных облачных шлюза (Cloud Gateways) одной модели (UDM-Pro-Max, UDM-Pro, UDM-SE или EFG) под управлением UniFi OS v4.0.6 или новее, либо два шлюза UXG Enterprise под управлением v4.3.1 или новее.
• Привилегии владельца или администратора в учетной записи, настраивающей режим Shadow.

Настройка режима Shadow

1. Убедитесь, что основной Cloud Gateway настроен и работает под управлением UniFi OS 4.0.6 или новее.
2. Убедитесь, что шлюз Shadow находится в состоянии заводских настроек по умолчанию.
3. Подключите WAN-порт шлюза Shadow к:
   1. Порту 1-6 или 8 на UDM-Pro-Max, UDM-Pro или UDM-SE*.
   2. Порту 3-6 на EFG*.
4. Перейдите в Настройки > Уровень управления > Консоль на основном шлюзе и установите для вторичного шлюза значение Режим Shadow.
5. После завершения настройки шлюз Shadow автоматически обновится до версии UniFi OS, соответствующей основной.
6. Шлюз Shadow также автоматически синхронизирует свою конфигурацию с основной. Это может занять до пятнадцати минут.
   1. Чтобы принудительно выполнить синхронизацию, выберите шлюз Shadow и нажмите Синхронизировать сейчас.
7. После завершения синхронизации из шага 6 выберите Включить автоматическое переключение (Automatic Failover), чтобы настроить подключение высокой доступности.
8. При появлении запроса подключите:
   1. Порт 7 к порту 7 на UDM-Pro-Max, UDM-Pro или UDM-SE.
   2. Порт 2 к порту 2 на EFG.
9. Проверьте соединение и приступите к настройке кластера высокой доступности.
10. Отключите WAN-подключение шлюза Shadow от основного шлюза, установленное на шаге 3.
11. Отразите WAN-подключение основного шлюза, подключив одного и того же интернет-провайдера к соответствующим WAN-портам на обоих устройствах.
12. Отразите LAN-подключения основного шлюза, подключив LAN-порты шлюза Shadow к тем же устройствам.

* Порт 7 на UDM-Pro-Max / UDM-Pro / UDM-SE и порт 2 на EFG используются для выделенного подключения высокой доступности и не должны использоваться для подключения WAN шлюза Shadow.

Примечание: Используйте мобильное приложение UniFi для обновления шлюза Shadow, если он не обнаружен.

Сценарий переключения при отказе

В случае аппаратного сбоя основного шлюза шлюз Shadow автоматически возьмет на себя управление.

1. Таблицы состояний брандмауэра и подключений синхронизируются между основным и теневым шлюзом, что позволяет теневому шлюзу взять на себя управление за считанные секунды без прерывания подключения клиентов.
2. Если используется, извлеките HDD из основного устройства и вставьте его в шлюз Shadow.
3. Отключите и извлеките основной шлюз из стойки.
4. Перейдите в UniFi OS > Настройки приложений, выберите шлюз Shadow и нажмите, чтобы повысить его до основного. Теперь шлюз Shadow взял на себя роль основного.
5. Установите новый шлюз и повторите шаги 1-10 выше.

Агрегация каналов на нескольких шасси (MC-LAG)

MC-LAG повышает высокую доступность для ваших основных коммутаторов агрегации ECS, улучшая надежность и устраняя единые точки отказа в вашей сети. Инструкции по настройке см. здесь.

Часто задаваемые вопросы

Что вызывает переключение на шлюз Shadow?

Переключение срабатывает, если шлюз Shadow обнаруживает потерю связи с основным шлюзом.

Следует ли вставлять HDD как в основной, так и в шлюз Shadow?

Мы рекомендуем вставлять HDD только в основной шлюз. Это гарантирует, что все данные будут переданы на шлюз Shadow при его замене в процессе переключения при отказе.

Что делать, если шлюз Shadow не обнаружен?

Используйте мобильное приложение UniFi для обновления шлюза Shadow. Альтернативно, настройте шлюз Shadow как обычно, обновите его и затем выполните сброс к заводским настройкам. Хотя это и не рекомендуется, для обновления в состоянии заводских настроек по умолчанию также можно использовать SSH.

Я хочу использовать автоматическое переключение, и у меня есть GPON от интернет-провайдера. Могу ли я использовать сплиттер для одновременного подключения основного и теневого шлюза?

Нет, в этой настройке подключите оптоволоконное соединение от интернет-провайдера к вышестоящему коммутатору, а затем разделите подключения на коммутаторе с использованием либо Ethernet, модулей SFP, либо DAC-кабелей.

Я хочу использовать автоматическое переключение, но у меня есть только одно подключение от интернет-провайдера. Как я могу разделить порты?

Если ваш интернет-провайдер предоставляет только один аплинк, вы можете использовать UniFi WAN Switch для упрощения настройки. Это управляемое устройство является частью экосистемы UniFi и позволяет подключить интернет-провайдера один раз и автоматически распределить подключение как на основной, так и на теневой шлюзы. Он также поддерживает обнаружение сбоев и полностью управляется в UniFi Network.

В качестве альтернативы можно использовать стандартный коммутатор. С коммутатором UniFi создайте новую виртуальную сеть и установите для ее типа маршрутизатора значение "Сторонний шлюз". Затем перейдите в Диспетчер портов и выберите три порта — один для интернет-провайдера, один для основного шлюза и один для теневого шлюза. Назначьте новую сеть в качестве родной VLAN на всех трех портах и установите для управления тегированными VLAN значение "Блокировать все". При использовании неуправляемого коммутатора вы можете просто подключить аплинк от интернет-провайдера и оба шлюза, хотя это обеспечивает меньшую видимость и контроль.

Нужны ли мне несколько IP-адресов от интернет-провайдера для использования автоматического переключения?

Нет, необходим только один IP-адрес. Шлюз Shadow точно зеркалирует основной шлюз, но держит WAN-подключение в режиме ожидания до наступления события переключения.