防火墙双机热备3.3配置案例.doc

《防火墙双机热备3.3配置案例.doc》由会员分享，可在线阅读，更多相关《防火墙双机热备3.3配置案例.doc（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、. .双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。在双机热备模式下最多支持九台设备，任何时刻都只有一台防火墙主墙处于工作状态，承当报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口不包括心跳口出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进展数据转发。在负载均衡模式下最多支持九台设备，两台/多台防火墙并行工作，都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID一样的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。在连接保护模式

2、下最多支持九台设备，防火墙之间只同步连接信息，并不同步状态信息。当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进展冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。双机热备模式根本需求图 1 双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对

3、端地址 主从防火墙的配置同步WEBUI配置步骤1配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static选项，否那么HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 主墙a配置HA心跳口地址。 点击 网络管理 接口，然后选择“物理接口页签，点击eth2接口后的“设置图标，配置根本信息，如下列图所示。点击“确定按钮保存配置。 点击eth2接口后的“设置图标，在“路由模式下方配置心跳口的IP地址，然后点击“添加按钮，如下列图所示。“ha-static选项必须勾选，否那么运行状态同步时IP地址信息也会被

4、同步。点击“确定按钮保存配置。b配置Eth1和Eth0口的IP地址。配置Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20，具体操作请参见 配置HA心跳口地址。说明 互为备份的接口必须配置一样的IP地址，所以主墙的Eth1口必须与从墙Eth1口的IP地址一样，主墙的Eth0口必须与从墙Eth0口的IP地址一样。 从墙a配置HA心跳口地址。配置从墙HA心跳口地址为10.1.1.2，具体步骤请参见主墙的配置，此处不再赘述。b配置Eth1和Eth0口的IP地址。配置从墙Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20，具体步骤

5、请参见主墙的配置，此处不再赘述。2设置除心跳口以外的其余通信接口属于VRID2。主备模式下，只能配置一个VRRP备份组，而且通信接口必须参加到具体的VRID组中，防火墙才会根据此接口的up、down状态，来判断本机的工作状态，以进展VRID组内主备状态的切换。 主墙a选择 网络管理 接口，然后选择“物理接口页签，在除心跳口以外的接口后点击“设置图标以eth0为例。b勾选“高级属性后的复选框，设置该接口属于vrid2，如下列图所示。c参数设置完成后，点击“确定按钮保存配置。 从墙具体步骤请参见主墙的配置，此处不再赘述。3指定HA的工作模式及心跳口的本地地址和对端地址。需要设置HA工作在“双机热备

6、模式下，并设置当前防火墙为主墙或从墙，心跳口的本地及对端IP地址信息、心跳间隔等属性。 主墙a选择高可用性 双机热备，选中“双机热备前的单项选择按钮，配置根本信息，如下列图所示。设置本机地址为心跳口eth2的IP地址10.1.1.1；设置对端地址为从墙心跳口eth2的IP地址10.1.1.2，超过两台设备时，必须将“对端地址设为本地地址所在子网的子网播送地址最多支持八台对端设备；心跳探测间隔可以使用默认值1秒，心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否那么很可能导致从墙的主从状态的来回切换；设置热备组为

7、通信接口的VRID2；选择身份为“主机；“抢占模式，是指主墙宕机后，重新恢复正常工作时，是否重新夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时，才需要配置主墙工作在“抢占模式，否那么当主墙恢复工作时主从墙的再次切换浪费系统资源，没有必要。案例中两台防火墙一样，所以主墙不需要配置为“抢占模式。b勾选“高级配置左侧的复选框，进展高级配置，如下列图所示。c参数设置完成后，点击“应用按钮保存配置。d点击“启用按钮，启动该主备模式，心跳口连接建立，如下列图所示。 从墙配置操作和主墙的根本一样，但注意身份为“附属机，本机地址为10.1.1.2，对端地址为10.1.1.1，不选择“抢占。4主从防火墙

8、的配置同步在主墙点击“从本机同步到对端机，将主墙的当前配置同步到从墙。至此，主墙和从墙的双机热备就可以正常使用了。CLI配置步骤1配置HA的交互IP心跳线相连的两个端口 主墙# network interface eth2ipadd10.1.1.1 mask 255.255.255.0 ha-static#network interface eth0vrid2#network interfaceeth1vrid2 从墙# network interface eth2ip add 10.1.1.2mask255.255.255.0ha-static#network interface eth0v

9、rid2#network interface eth1 vrid22指定HA网口本地地址以及对端地址 主墙# ha mode as# ha local10.1.1.1# ha peer10.1.1.2# ha as-vrid 2#ha vrid 2 priority 254# ha vrid 2preempt disable# ha enable 从墙# ha mode as# ha local 10.1.1.2# ha peer10.1.1.1# ha as-vrid 2# ha vrid2priority 100# ha vrid 2preempt disable# ha enable考前

10、须知1当主墙或从墙配置发生变更后，手工同步配置可以保证主从墙配置的一致性。2TOS3.3防火墙的接口均为自适应接口，HA接口之间的连接可以使用穿插线也可以使用直连线。. .word.zl. .路由接口下的负载均衡模式根本需求图 2 路由接口下负载均衡模式的网络拓扑图上图是一个简单的利用物理接口进展负载均衡的拓扑图，防火墙1和防火墙2并联工作，两个防火墙的Eth3接口间由一条心跳线相连用来同步状态及配置信息；两个防火墙的Eth1口属于同一vrid1防火墙1的优先级高于防火墙2；接口Eth2属于同一vrid2防火墙2的优先级高于防火墙1。两台防火墙均正常工作时，网段1通过防火墙1利用电信链路上网，

11、网段2通过防火墙2利用网通链路上网。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点 配置eth0口 配置VRID组内接口 配置心跳口 配置防火墙的不同VRID组的优先级 配置HA功能WEBUI配置步骤1配置eth0口 防火墙1a点击 网络管理 接口，然后选择“物理接口页签，点击接口eth0条目后的“设置图标，设定其IP地址为“192.168.83.237/24”，如下列图所示。参数设置完成后，点击“添加按钮即可。b点击“确定按钮保存配置。 防火墙2配置防火墙2的IP地址为“202.1.1.2/24，具体步骤请参见防火墙1的配置。2

12、配置备份接口设定两台防火墙上eth1口和eth2口互相备份。两台防火墙的eth1口需要设定一样的IP地址和VRID；两台防火墙的eth2口也需要设定一样的IP地址和VRID。 防火墙1a点击 网络管理 接口，然后选择“物理接口页签，点击eth1接口后的“设置图标，配置eth1接口IP地址为172.16.0.2/24，如下列图所示。选中“高级属性后的复选框，设置eth1的vrid值为1，如下列图所示。参数设置完成后，点击“确定按钮即可。b点击eth2接口后的“设置图标，配置eth2接口IP地址为172.16.1.3/24，如下列图所示。选中“高级属性后的复选框，设置eth2的vrid值为2，如下

13、列图所示。参数设置完成后，点击“确定按钮即可。 防火墙2防火墙2的配置与防火墙1完全一致，具体操作请参见防火墙1。3配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口IP为同一个网段的不同IP分别为10.0.0.1/24和10.0.0.2/24，并且必须要勾选“ha-static选项。 防火墙1a点击 网络管理 接口，然后选择“物理接口页签，在eth3接口后点击“设置图标，配置该接口为进展同步HA设置的IP地址，如下列图所示。b参数设置完成后，点击“添加按钮，然后点击“确定按钮即可。 防火墙2配置防火墙2的eth3口IP地址为“10.0.0.2/24，具体操作请参见防火墙1的配

14、置。4指定防火墙的不同VRID组的优先级。设定防火墙1的vrid1的优先级为200，vrid2的优先级为100。设定防火墙2的vrid1的优先级为100，vrid2的优先级为200。设置完成后，对于vrid1来说，防火墙1为主墙，防火墙2为备墙；对于vrid2来说，防火墙2为主墙，防火墙1为备墙。并且设置主墙为“抢占模式，即主墙能在失效后，重新恢复正常工作时，重获主墙地位。 防火墙1a选择高可用性 双机热备，选中“负载均衡前的单项选择按钮，然后点击“应用按钮。b点击“Vrid右侧的“添加，配置vrid1的优先级为200，“抢占模式，如下列图所示。参数配置完成后，点击“确定按钮。c配置vrid2

15、的优先级为100，如下列图所示。参数配置完成后，点击“确定按钮。 防火墙2a选择高可用性 双机热备，选中“负载均衡前的单项选择按钮，然后点击“应用按钮。b点击“Vrid右侧的“添加，配置vrid1的优先级为100，如下列图所示。参数配置完成后，点击“确定按钮。c配置vrid2的优先级为200，“抢占模式，如下列图所示。参数配置完成后，点击“确定按钮。5配置HA功能 防火墙1a点击 高可用性 双机热备，然后选中“负载均衡前的单项选择按钮，配置根本属性，如下列图所示。设置“本机地址为心跳口eth3的IP地址10.0.0.1。设置“对端地址为另一台墙心跳口eth3的IP地址10.0.0.2，超过两台

16、设备时，必须将“对端地址设为本地地址所在子网的子网播送地址最多支持八台对端设备。“心跳间隔可以使用默认值1秒，心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否那么很可能导致从墙的主从状态的来回切换。b勾选“高级配置左侧的复选框，配置高级属性，如下列图所示。c参数设置完成后，点击“应用按钮保存配置。d点击“启用按钮，启动该主备模式，心跳口连接建立，如下列图所示。 防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.0.0.2，对端地址为10.0.0.1。CLI配置步骤1设置eth0口的IP地址。

17、 防火墙1#network interface eth0ip add 192.168.83.237mask255.255.255.0 防火墙2#network interfaceeth0ip add202.1.1.2mask255.255.255.02设置备份接口属性。分别在防火墙1和防火墙2上进展配置。#network interfaceeth1ip add172.16.0.2mask255.255.255.0#network interfaceeth2 ip add 172.16.1.3mask255.255.255.0#network interfaceeth1vrid1#network

18、 interface eth2vrid23设置心跳口属性 防火墙1#network interfaceeth3 ip add10.0.0.1mask255.255.255.0ha-static 防火墙2#network interfaceeth3ipadd10.0.0.2mask255.255.255.0ha-static4指定防火墙的不同VRID组的优先级。 防火墙1#ha vrid1priority200#ha vrid1preempt enable#ha vrid2priority100#ha vrid2 preemptdisable 防火墙2#ha vrid1priority100#h

19、a vrid1preemptdisable#ha vrid2priority200#ha vrid2preemptenable5指定HA网口本地地址以及对端地址。 防火墙1#ha modeaa#ha local10.0.0.1#ha peer10.0.0.2# ha rtosync ack enable#ha rtconfig-sync enable#ha enable 防火墙2#ha modeaa#ha local10.0.0.2#ha peer10.1.1.1# ha rtosync ack enable#ha rtconfig-sync enable#ha enable考前须知无。Tru

20、nk口下的负载均衡模式根本需求图 3 Trunk口下负载均衡模式的网络拓扑图上图是一个简单的利用Trunk接口进展负载均衡的拓扑图，防火墙1和防火墙2并联工作，两个防火墙的Eth2接口间由一条心跳线相连用来同步状态及配置信息，两个防火墙的Eth1口为trunk口，同时属于vlan1和vlan2，vlan1属于同一vrid1防火墙1的优先级高于防火墙2、vlan2属于同一vrid2防火墙2的优先级高于防火墙1，这样两台防火墙均正常工作时，网段1通过防火墙1利用电信链路上网，网段2通过防火墙2利用网通链路上网。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火

21、墙的负载均衡。配置要点 配置eth0口 配置VRID组内接口 配置心跳口 配置防火墙的不同VRID组的优先级 配置HA功能WEBUI配置步骤1配置eth0口 防火墙1a点击 网络管理 接口，然后选择“物理接口页签，点击接口eth0条目后的“设置图标，设定其IP地址为“192.168.83.237/24”，如下列图所示。参数设置完成后，点击“添加按钮即可。b点击“确定按钮保存配置。 防火墙2配置防火墙2的通信用IP地址为“202.1.1.2/24，具体步骤请参见防火墙1的配置。2配置两台防火墙上eth1口为trunk口，属于VLAN1和VLAN2。配置两台防火墙的eth1口为trunk口，属于V

22、LAN1和VLAN2；VLAN1虚接口互相备份，VLAN2虚接口也互相备份，需要设定一样的IP地址和vrid。 防火墙1和防火墙2a选择 网络管理 接口，然后选择“物理接口页签，点击eth1接口后的“设置图标，配置接口信息，如下列图所示。参数设置完成后，点击“确定即可。b点击 网络管理 二层网络，并选择“VLAN页签，点击“添加/删除VLANX围添加VLAN，设置VLAN虚接口的属性，如下列图所示。参数设置完成后，点击“确定按钮即可。c点击 网络管理 二层网络，然后选择“VLAN页签，点击vlan.0001后的“修改字段，设置VLAN虚接口vlan.0001的IP地址为172.16.0.2/2

23、4，如下列图所示。参数设置完成后，点击“添加按钮即可。点击“高级属性后的复选框，设置vlan.0001接口属于vrid1，如下列图所示。参数设置完成后，点击“确定按钮即可。d点击 网络管理 二层网络，然后选择“VLAN页签，点击vlan.0002后的“修改字段，设置VLAN虚接口vlan.0002的IP地址为172.16.1.3/24，如下列图所示。参数设置完成后，点击“添加按钮即可。点击“高级属性后的复选框，设置vlan.0002接口属于vrid2，如下列图所示。参数设置完成后，点击“确定按钮即可。3配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口IP为同一个网段的不同IP

24、分别为10.0.0.1/24和10.0.0.2/24，并且必须勾选“ha-static选项。 防火墙1a点击 网络管理 接口，然后选择“物理接口页签，在eth2接口后点击“设置图标，为该接口配置进展同步HA设置的地址，如下列图所示。b参数设置完成后，点击“添加按钮，然后点击“确定按钮即可。 防火墙2配置防火墙2的eth2口IP地址为“10.0.0.2/24，具体操作请参见防火墙1。4配置防火墙的不同VRID组的优先级。设定防火墙1的vrid1的优先级为200，vrid2的优先级为100。设定防火墙2的vrid1的优先级为100，vrid2的优先级为200。设定后对vrid1来说防火墙1为主墙，

25、防火墙2为备墙，对于vrid2来说防火墙2为主墙，防火墙1为备墙。并且设置主墙为“抢占模式，即主墙能在失效后,重新恢复正常工作时，重获主墙地位。 防火墙1a选择高可用性 双机热备，选中“负载均衡前的单项选择按钮，然后点击“应用按钮。b点击“Vrid右侧的“添加，配置vrid1的优先级为200，“抢占模式，如下列图所示。参数配置完成后，点击“确定按钮。c配置vrid2的优先级为100，如下列图所示。参数配置完成后，点击“确定按钮。 防火墙2a选择高可用性 双机热备，选中“负载均衡前的单项选择按钮，然后点击“应用按钮。b点击“Vrid右侧的“添加，配置vrid1的优先级为100，如下列图所示。参数

26、配置完成后，点击“确定按钮。c配置vrid2的优先级为200，“抢占模式，如下列图所示。参数配置完成后，点击“确定按钮。5配置HA功能 防火墙1a点击 高可用性 双机热备，然后选中“负载均衡前的单项选择按钮，配置根本信息，如下列图所示。设置“本机地址为心跳口eth2的IP地址10.0.0.1。设置“对端地址为另一台墙心跳口eth2的IP地址10.0.0.2，超过两台设备时，必须将“对端地址设为本地地址所在子网的子网播送地址最多支持八台对端设备。“心跳间隔可以使用默认值1秒，心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须

27、设置一致，否那么很可能导致从墙的主从状态的来回切换。b勾选“高级配置左侧的复选框，配置高级信息，如下列图所示。c参数设置完成后，点击“应用按钮保存配置。d点击“启用按钮，启动该主备模式，心跳口连接建立，如下列图所示。 防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.0.0.2，对端地址为10.0.0.1。CLI配置步骤1设置eth1口的IP地址。 防火墙1#network interface eth1ip add 192.168.83.237mask255.255.255.0 防火墙2#network interfaceeth1ip add202.1.1.2mask255.

28、255.255.02设置备份接口属性。分别在防火墙1和防火墙2上进展配置。#network interfaceeth0switchportmodetrunk# network interfaceeth0switchporttrunk allowed-vlan 1,2# network vlan add range 1-2#network interface vlan.0001ip add172.16.0.2mask255.255.255.0#network interfacevlan.0002ip add172.16.1.3mask255.255.255.0#network interface

29、vlan.0001vrid1#network interfacevlan.0001vrid23设置心跳口属性 防火墙1#network interfaceeth2ip add10.0.0.1mask255.255.255.0 ha-static 防火墙2#network interface eth2ip add10.0.0.2mask255.255.255.0ha-static4指定防火墙的不同VRID组的优先级。 防火墙1#ha vrid1priority200#ha vrid1preemptenable#ha vrid2priority100#ha vrid 2preemptdisable

30、 防火墙2#ha vrid1priority 100#ha vrid1preemptdisable#ha vrid 2priority 200#ha vrid2preemptenable5指定HA网口本地地址以及对端地址。 防火墙1#ha modeaa#ha local10.0.0.1#ha peer10.0.0.2# ha rtosync ack enable#ha rtconfig-sync enable#ha enable 防火墙2#ha modeaa#ha local 10.0.0.2#ha peer10.0.0.1# ha rtosync ack enable#ha rtconfig

31、-sync enable#ha enable考前须知无。. .word.zl. .连接保护模式根本需求图 4 连接保护模式拓扑图上图是一个简单的连接保护模式拓扑图，四台防火墙并行工作，防火墙的Eth2口为心跳口IP地址分别为“10.1.1.1/24、“10.1.1.2/24、“10.1.1.3/24和“10.1.1.4/24，通过HUB或交换机相连用来协商状态及同步对象和配置。当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进展冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发

32、。配置要点 配置防火墙心跳口 配置防火墙中除心跳口以外的接口 配置HA属性 设置关闭连接表的严格状态检测功能WEBUI配置步骤1配置防火墙心跳口。 防火墙1HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static选项。a点击 网络管理 接口，然后选择“物理接口页签，点击eth2接口后的“设置图标，配置根本信息，如下列图所示。点击“确定按钮保存配置。b点击eth2接口后的“设置图标，在“路由模式下方配置心跳口的IP地址，然后点击“添加按钮，如下列图所示。“ha-static选项必须勾选，否那么运行状态同步时IP地址信息也会被同步。点击“确定按

33、钮保存配置。 防火墙2设置防火墙2的心跳口IP地址为“10.1.1.2/24，其操作与防火墙1的设置方法一样，具体请参加防火墙1的配置步骤。 防火墙3设置防火墙3的心跳口IP地址为“10.1.1.3/24，其操作与防火墙1的设置方法一样，具体请参加防火墙1的配置步骤。 防火墙4设置防火墙4的心跳口IP地址为“10.1.1.4/24，其操作与防火墙1的设置方法一样，具体请参加防火墙1的配置步骤。2配置防火墙中除心跳口以外的接口。 防火墙1a配置Eth0口IP为172.16.1.2。点击 网络管理 接口，然后选择“物理接口页签，点击eth0接口后的“设置图标。在“路由模式下方配置Eth0口的IP地

34、址，然后点击“添加按钮，如下列图所示。点击“确定按钮保存配置。b配置Eth1口IP为10.10.10.2。点击 网络管理 接口，然后选择“物理接口页签，点击eth1接口后的“设置图标。在“路由模式下方配置Eth1口的IP地址，然后点击“添加按钮，如下列图所示。点击“确定按钮保存配置。 防火墙2a配置Eth0口IP为172.16.1.3。b配置Eth1口IP为10.10.10.3。操作步骤与防火墙1完全一致，请参照防火墙1进展配置。 防火墙3a配置Eth0口IP为172.16.1.4。b配置Eth1口IP为10.10.10.4。操作步骤与防火墙1完全一致，请参照防火墙1进展配置。 防火墙4a配置

35、Eth0口IP为172.16.1.5。b配置Eth1口IP为10.10.10.5。操作步骤与防火墙1完全一致，请参照防火墙1进展配置。3配置HA属性。指定HA网口本地地址以及对端地址，并启用运行对象同步功能。 防火墙1a点击 高可用性 双机热备，选中“连接保护前的单项选择按钮，配置根本信息，如下列图所示。设置本机地址为心跳口Eth2的IP地址10.1.1.1；设置对端地址为eth2口的子网播送地址10.1.1.255，当只有两台防火墙并行工作时，建议设置为单播地址；b勾选“高级配置左侧的复选框，配置高级信息，如下列图所示。c参数设置完成后，点击“应用按钮保存配置。d点击“启用按钮，启动该连接保

36、护模式，心跳口连接建立，如下列图所示。 防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.2，对端地址为10.1.1.255。 防火墙3防火墙3的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.3，对端地址为10.1.1.255。 防火墙4防火墙4的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.4，对端地址为10.1.1.255。4设置关闭连接表的严格状态检测功能。 防火墙1、防火墙2、防火墙3和防火墙4a点击 系统管理 配置，然后选择“系统参数页签，选中“高级属性前的复选框，在“网络参数处设置关闭连接完整性检查功能，如下列图所示。b参数设置完成

37、后，点击“应用按钮即可。CLI配置步骤1配置防火墙心跳口属性。 防火墙1#network interfaceeth2ip add10.1.1.1mask255.255.255.0 ha-static 防火墙2#network interfaceeth2ip add10.1.1.2mask255.255.255.0 ha-static 防火墙3#network interfaceeth2ip add10.1.1.3mask255.255.255.0 ha-static 防火墙4#network interfaceeth2ip add10.1.1.4mask255.255.255.0 ha-sta

38、tic2配置防火墙中除心跳口以外的接口属性。 防火墙1、防火墙2、防火墙3和防火墙4#network vlan add id 100#network interface eth0 switchport#network interfaceeth0switchport modetrunk#network interfaceeth0switchport modetrunkallowed-vlan100#network interface eth1switchport#network interfaceeth1switchport modetrunk#network interfaceeth1swit

39、chport modetrunkallowed-vlan1003配置HA的工作模式及心跳口的本地地址和对端地址。 防火墙1#ha mode lb#ha local 10.1.1.1#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-sync enable 防火墙2#ha mode lb#ha local 10.1.1.2#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-sync enable 防火墙3#ha mode lb#ha local 10.1.1.3#ha peer 1

40、0.1.1.255# ha rtosync ack enable#ha rtconfig-sync enable 防火墙4#ha mode lb#ha local 10.1.1.4#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-sync enable4设置关闭连接表的严格状态检测功能。 防火墙1、防火墙2、防火墙3和防火墙4#network session session-integrityoff考前须知如果用户网络拓扑中有可能存在这样的情况：建立连接请求发送的SYN包经过一台防火墙，而返回的SYN/ACK包通过另一台防火墙转发，那

41、么必须要关闭严格状态检测开关。当SYN包通过墙A时，墙A上建立了一条状态为handshake的连接，同步到B墙上时，为了防止重复同步连接，B墙上连接状态为ESTABLISHED状态；此时如果SYN/ACK报文从B墙的路径返回，发现墙上已经有一条ESTABLISHED的连接，就会把ACK包丢弃，导致client和server端无法真正建立起连接来，通信失败。此时，如果把严格状态检测开关off的话，ACK包到达B墙，虽然发现已经有一条ESTABLISHED的连接，但也会放过，报文回复到client端时，就可以握手成功了。子接口的负载均衡模式根本需求图 5 子接口负载均衡模式的网络示意图上图是一个简

42、单的利用子接口进展负载均衡的示意图。防火墙A和防火墙B并联工作，两个防火墙的Eth0接口间由一条心跳线相连用来同步状态及配置信息；两个防火墙的子接口veth1.01和veth2.01属于VRID10防火墙B的优先级高于防火墙A；两个防火墙的子接口veth1.02和veth2.02属于VRID20防火墙A的优先级高于防火墙B。这样，两台防火墙均正常工作时，网段“172.16.0.0/24的流量通过防火墙A进展转发，网段“172.16.1.0/24的流量通过防火墙B进展转发。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点 配置备份子接口 配置心跳口 配置防火墙的不同VRID组的优先级 配置HA功能WEBUI配置步骤1配置备份子接口 防火墙Aa点击 网络管理 接口，激活“子接口页签，然后点击“添加/删除子接口，添加eth1接口的子接口veth1.01和veth1.02。b点击 网络管理 接口，激活“子接口页签，然后点击“添加/删除子接口，添加eth2接口的子接口ve