文档介绍:该【防火墙双机热备配置案例 】是由【春天资料屋】上传分享,文档一共【40】页,该文档可以免费在线阅读,需要了解更多关于【防火墙双机热备配置案例 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。双机热备
网络卫士防火墙能够实现多种方式下的冗余备份,包括:双机热备模式、负载平衡模
式和连结保护模式。
在双机热备模式下(最多支持九台设施),任何时刻都只有一台防火墙(主墙)处于
工作状态,担当报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何
一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过磋商后,由优先级高
的防火墙接替主墙的工作,进行数据转发。
在负载平衡模式下(最多支持九台设施),两台/多台防火墙并行工作,都处于正常
的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同
的组之间能够互相备份,以便保证某台设施故障时,其他的设施能够接替其工作。
在连结保护模式下(最多支持九台设施),防火墙之间只同步连结信息,其实不相同步状
态信息。当两台/多台防火墙均正常工作时,由上下游的设施经过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设施经过磋商后会将其上的数据流经过其他防火墙转发。
双机热备模式
基本需求
1双机热备模式的网络拓扑图
上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火
墙的Eth2接口为心跳口,由心跳线连结用来磋商状态,同步对象及配置信息。
配置要点
设置HA心跳口属性
?设置除心跳口以外的其他通讯接口属于VRID2
指定HA的工作模式及心跳口的当地地点和对端地点
主从防火墙的配置同步
WEBUI配置步骤
1)配置HA心跳口和其他通讯接口地点
HA心跳口必定工作在路由模式下,而且要配置同一网段的IP以保证互相通讯。接口
属性必定要勾选“ha-static”选项,否则HA心跳口的IP地点信息会在主从墙运行配置同步时被对方覆盖。
?主墙
a)配置HA心跳口地点。
①点击网络管理>接口,尔后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,以以下列图所示。
点击“确定”按钮保留配置。
②点击eth2接口后的“设置”图标,在“路由模式”下方配置心跳口的IP地点,尔后点击“增添”按钮,以以下列图所示。
“ha-static”选项必定勾选,否则运行状态同步时IP地点信息也会被同步。
点击“确定”按钮保留配置。
b)配置Eth1和Eth0口的IP地点。
配置Eth1和Eth0的IP地点分别为和,详细操作请拜会配置HA心跳口地点。
说明
互为备份的接口必定配置相同的IP地点,因此主墙的Eth1口必定与从墙地点相同,主墙的Eth0口必定与从墙Eth0口的IP地点相同。
�
Eth1口的
�
IP
从墙
a)配置HA心跳口地点。
配置从墙HA心跳口地点为,详细步骤请拜会主墙的配置,此处不再赘述。
b)配置Eth1和Eth0口的IP地点。
配置从墙Eth1和Eth0的IP地点分别为和,详细步骤请拜会主墙的配置,此处不再赘述。
2)设置除心跳口以外的其他通讯接口属于VRID2。
主备模式下,只能配置一个VRRP备份组,而且通讯接口必定加入到详细的
中,防火墙才会依照此接口的up、down状态,来判断本机的工作状态,以进行
内主备状态的切换。
?主墙
�
VRID
VRID
�
组
组
a)选择网络管理>接口,尔后选择“物理接口”页签,在除心跳口以外的接口后
点击“设置”图标(以eth0为例)。
b)勾选“高级属性”后的复选框,设置该接口属于vrid2,以以下列图所示。
c)参数设置达成后,点击“确定”按钮保留配置。
从墙
详细步骤请拜会主墙的配置,此处不再赘述。
3)指定HA的工作模式及心跳口的当地地点和对端地点。
需要设置HA工作在“双机热备”模式下,并设置目前防火墙为主墙或从墙,心跳口
的当地及对端IP地点信息、心跳间隔等属性。
主墙
a)选择高可用性>双机热备,选中“双机热备”前的单项选择按钮,配置基本信息,
以以下列图所示。
设置本机地点为心跳口eth2的IP地点();
设置对端地点为从墙心跳口eth2的IP地点(),高出两台设施时,必定将“对端地点”设为当地地点所在子网的子网广播地点(最多支持八台对端设施);
心跳探测间隔能够使用默认值(1秒),心跳探测间隔是两个防火墙间互通状态信息
报文的时间间隔,也是用于检测对端设施可否异样的重要参数,互为热备的防火墙的此参数必定设置一致,否则很可能致使从墙的主从状态的往返切换;
设置热备组为通讯接口的VRID(2);
选择身份为“主机”;
“抢占”模式,是指主墙宕机后,从头恢复正常工作时,可否从头夺回主墙的地位。只有当主墙与从墙对照有显然的性能差别时,才需要配置主墙工作在“抢占”模式,否则当主墙恢复工作时主从墙的再次切换浪费系统资源,没有必要。案例中两台防火墙相同,因此主墙不需要配置为“抢占”模式。
b)勾选“高级配置”左侧的复选框,进行高级配置,以以下列图所示。
c)参数设置达成后,点击“应用”按钮保留配置。
d)点击“启用”按钮,启动该主备模式,心跳口连结成立,以以下列图所示。
从墙
配置操作和主墙的基真相同,但注意身份为“隶属机”,本机地点为,对端
地点为,不选择“抢占”。
4)主从防火墙的配置同步
在主墙点击“从本机同步到对端机”,将主墙的目前配置同步到从墙。
至此,主墙和从墙的双机热备就能够正常使用了。
CLI配置步骤
1)配置HA的交互IP(心跳线相连的两个端口)
?
主墙
#networkinterface
eth0vrid
2
#networkinterface
eth1vrid2
?
从墙
#networkinterface
eth0vrid
2
#networkinterface
eth1vrid2
2)指定HA网口当地地点以及对端地点
主墙
hamodeas
haas-vrid2
#havrid2priority254
havrid2preemptdisable
haenable
从墙
hamodeas
haas-vrid2
#havrid2priority100
havrid2preemptdisable
haenable
注意事项
1)当主墙或从墙配置发生改正后,手工同步配置能够保证主从墙配置的一致性。
2)防火墙的接口均为自适应接口,HA接口之间的连结能够使用交叉线也能够使用
直连线。
路由接口下的负载平衡模式
基本需求
图2路由接口下负载平衡模式的网络拓扑图
上图是一个简单的利用物理接口进行负载平衡的拓扑图,
�
防火墙
�
1和防火墙
�
2并联工
作,两个防火墙的
�
Eth3
�
接口间由一条心跳线相连用来同步状态及配置信息;两个防火墙
的
�
Eth1
�
口属于同一
�
vrid1(防火墙
�
1的优先级高于防火墙
�
2);接口
�
Eth2
�
属于同一
�
vrid2
(防火墙
�
2的优先级高于防火墙
�
1)。
两台防火墙均正常工作时,
�
网段
�
1经过防火墙
�
1利用电信链路上网,网段
�
2经过防火
墙2利用网通链路上网。当其中一条链路发生故障时,其上的数据流会自动切换,经过另
一台防火墙转发,进而实现两台防火墙的负载平衡。
配置要点
配置eth0口
配置VRID组内接口
配置心跳口
配置防火墙的不相同VRID组的优先级
配置HA功能
WEBUI配置步骤
1)配置eth0口
防火墙1
a)点击网络管理>接口,尔后选择“物理接口”页签,点击接口eth0条目后的“设
置”图标,设定其IP地点为“24”,以以下列图所示。
参数设置达成后,点击“增添”按钮即可。
b)点击“确定”按钮保留配置。
防火墙2
配置防火墙2的IP地点为“,详细步骤请拜会防火墙1的配置。
2)配置备份接口
设定两台防火墙上
�
eth1口和
�
eth2口互相备份。两台防火墙的
�
eth1口需要设定相同的
IP
�
地点和
�
VRID
�
;两台防火墙的
�
eth2口也需要设定相同的
�
IP
�
地点和
�
VRID
�
。
?防火墙
�
1
a)点击网络管理
�
>接口,尔后选择“物理接口”页签,点击
�
eth1接口后的“设置”
图标,配置eth1接口IP地点为,以以下列图所示。
选中“高级属性”后的复选框,设置eth1的vrid值为1,以以下列图所示。
参数设置达成后,点击“确定”按钮即可。
b)点击eth2接口后的“设置”图标,配置eth2接口IP地点为,以以下列图所示。
选中“高级属性”后的复选框,设置eth2的vrid值为2,以以下列图所示。
参数设置达成后,点击“确定”按钮即可。
防火墙2
防火墙2的配置与防火墙1完满一致,详细操作请拜会防火墙1。
3)配置心跳口
连结心跳线的HA通讯接口必定工作在路由模式下,设放心跳口IP为同一个网段的
不相同IP(分别为和),而且必定要勾选“ha-static”选项。
?防火墙1
a)点击网络管理>接口,尔后选择“物理接口”页签,在eth3接口后点击“设置”
图标,配置该接口为进行同步HA设置的IP地点,以以下列图所示。
b)参数设置达成后,点击“增添”按钮,尔后点击“确定”按钮即可。