2022年防火墙双机热备.配置案例 .pdf
( 4.5 )《2022年防火墙双机热备.配置案例 .pdf》由会员分享,可在线阅读,更多相关《2022年防火墙双机热备.配置案例 .pdf(40页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、. . 双机热备网络卫士防火墙可以实现多种方式下的冗余备份,包括: 双机热备模式、 负载均衡模式和连接保护模式。在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态, 承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP 备份组,两台/多台防火墙中VRID 相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能
2、够接替其工作。在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP 或 HSRP 进行冗余备份, 以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。双机热备模式基本需求图 1 双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的 Eth2 接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。名师资料总结 - - -精品资料欢迎下载 - - - - - - - -
3、 - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 40 页 - - - - - - - - - . . 配置要点设置 HA 心跳口属性设置除心跳口以外的其余通信接口属于VRID2 指定 HA 的工作模式及心跳口的本地地址和对端地址主从防火墙的配置同步WEBUI 配置步骤1)配置 HA 心跳口和其他通讯接口地址HA 心跳口必须工作在路由模式下,而且要配置同一网段的IP 以保证相互通信。 接口属性必须要勾选“ha-static”选项,否则HA 心跳口的 IP 地址信息会在主从墙运行配置同步时被对方覆盖。主墙a)配置 HA 心跳口地址。 点击 网络管
4、理 接口 ,然后选择 “物理接口” 页签,点击 eth2 接口后的 “设置”图标,配置基本信息,如下图所示。点击“确定”按钮保存配置。 点击 eth2 接口后的“设置”图标,在“路由模式”下方配置心跳口的IP 地址,然后点击“添加”按钮,如下图所示。“ha-static” 选项必须勾选,否则运行状态同步时IP 地址信息也会被同步。点击“确定”按钮保存配置。b)配置 Eth1 和 Eth0 口的 IP 地址。配置 Eth1 和 Eth0 的 IP 地址分别为192.168.83.219 和 172.16.1.20, 具体操作请参见配置 HA 心跳口地址。说明名师资料总结 - - -精品资料欢迎下
5、载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 40 页 - - - - - - - - - . . 互为备份的接口必须配置相同的IP 地址,所以主墙的Eth1 口必须与从墙Eth1 口的 IP地址相同,主墙的Eth0 口必须与从墙Eth0 口的 IP 地址相同。从墙a)配置 HA 心跳口地址。配置从墙 HA 心跳口地址为10.1.1.2,具体步骤请参见主墙的配置,此处不再赘述。b)配置 Eth1 和 Eth0 口的 IP 地址。配置从墙 Eth1 和 Eth0 的 IP 地址分别为192.168.83.21
6、9 和 172.16.1.20,具体步骤请参见主墙的配置,此处不再赘述。2)设置除心跳口以外的其余通信接口属于VRID2 。主备模式下, 只能配置一个VRRP 备份组, 而且通信接口必须加入到具体的VRID 组中,防火墙才会根据此接口的up、down 状态,来判断本机的工作状态,以进行VRID 组内主备状态的切换。主墙a)选择网络管理 接口 ,然后选择“物理接口”页签,在除心跳口以外的接口后点击“设置”图标(以eth0 为例)。b)勾选“高级属性”后的复选框,设置该接口属于vrid2,如下图所示。c)参数设置完成后,点击“确定”按钮保存配置。从墙具体步骤请参见主墙的配置,此处不再赘述。名师资料
7、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 40 页 - - - - - - - - - . . 3)指定 HA 的工作模式及心跳口的本地地址和对端地址。需要设置 HA 工作在“双机热备”模式下,并设置当前防火墙为主墙或从墙,心跳口的本地及对端IP 地址信息、心跳间隔等属性。主墙a)选择高可用性 双机热备 ,选中“双机热备”前的单选按钮,配置基本信息,如下图所示。设置本机地址为心跳口eth2 的 IP 地址( 10.1.1.1);设置对端地址为从墙心跳口eth2 的 IP 地
8、址(10.1.1.2),超过两台设备时, 必须将“对端地址”设为本地地址所在子网的子网广播地址(最多支持八台对端设备);心跳探测间隔可以使用默认值(1 秒),心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔, 也是用于检测对端设备是否异常的重要参数,互为热备的防火墙的此参数必须设置一致,否则很可能导致从墙的主从状态的来回切换;设置热备组为通信接口的VRID (2);选择身份为“主机”;“抢占”模式,是指主墙宕机后,重新恢复正常工作时,是否重新夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时,才需要配置主墙工作在“抢占”模式,否则当主墙恢复工作时主从墙的再次切换浪费系统资源,没有必要。
9、案例中两台防火墙相同,所以主墙不需要配置为“抢占”模式。b)勾选“高级配置”左侧的复选框,进行高级配置,如下图所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 40 页 - - - - - - - - - . . c)参数设置完成后,点击“应用”按钮保存配置。d)点击“启用”按钮,启动该主备模式,心跳口连接建立,如下图所示。从墙配置操作和主墙的基本相同,但注意身份为“从属机”,本机地址为10.1.1.2,对端地址为 10.1.1.1,不选择“抢占”。4)主从防火墙的配
10、置同步在主墙点击“从本机同步到对端机”,将主墙的当前配置同步到从墙。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 40 页 - - - - - - - - - . . 至此,主墙和从墙的双机热备就可以正常使用了。CLI 配置步骤1)配置 HA 的交互 IP(心跳线相连的两个端口)主墙# network interface eth2 ip add 10.1.1.1 mask 255.255.255.0 ha-static#network interface eth0 vr
11、id 2 #network interface eth1 vrid 2从墙# network interface eth2 ip add 10.1.1.2 mask 255.255.255.0 ha-static#network interface eth0 vrid 2#network interface eth1 vrid 22)指定 HA 网口本地地址以及对端地址主墙# ha mode as# ha local 10.1.1.1# ha peer 10.1.1.2# ha as-vrid 2 #ha vrid 2 priority 254# ha vrid 2 preempt disab
12、le# ha enable 从墙# ha mode as # ha local 10.1.1.2 # ha peer 10.1.1.1# ha as-vrid 2# ha vrid 2 priority 100 # ha vrid 2 preempt disable# ha enable 注意事项1)当主墙或从墙配置发生变更后,手工同步配置可以保证主从墙配置的一致性。2)TOS3.3 防火墙的接口均为自适应接口,HA 接口之间的连接可以使用交叉线也可以使用直连线。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 -
13、- - - - - - 第 6 页,共 40 页 - - - - - - - - - . . 路由接口下的负载均衡模式基本需求图 2 路由接口下负载均衡模式的网络拓扑图上图是一个简单的利用物理接口进行负载均衡的拓扑图,防火墙 1 和防火墙2 并联工作,两个防火墙的Eth3 接口间由一条心跳线相连用来同步状态及配置信息;两个防火墙的 Eth1 口属于同一vrid1 (防火墙 1 的优先级高于防火墙2);接口Eth2 属于同一vrid2(防火墙2 的优先级高于防火墙1)。两台防火墙均正常工作时,网段 1 通过防火墙1 利用电信链路上网,网段 2 通过防火墙 2 利用网通链路上网。当其中一条链路发生
14、故障时,其上的数据流会自动切换,通过另一台防火墙转发,从而实现两台防火墙的负载均衡。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 40 页 - - - - - - - - - . . 配置要点配置 eth0 口配置 VRID 组内接口配置心跳口配置防火墙的不同VRID 组的优先级配置 HA 功能WEBUI 配置步骤1)配置 eth0 口防火墙 1 a)点击 网络管理 接口 , 然后选择 “物理接口” 页签,点击接口eth0 条目后的 “设置”图标,设定其IP 地址为“
15、192.168.83.237/24”,如下图所示。参数设置完成后,点击“添加”按钮即可。b)点击“确定”按钮保存配置。防火墙 2 配置防火墙2的 IP 地址为“ 202.1.1.2/24”,具体步骤请参见防火墙1 的配置。2)配置备份接口设定两台防火墙上eth1 口和 eth2 口互相备份。两台防火墙的eth1口需要设定相同的IP 地址和 VRID ;两台防火墙的eth2 口也需要设定相同的IP 地址和 VRID 。防火墙 1 a)点击 网络管理 接口 ,然后选择“物理接口”页签,点击eth1 接口后的 “设置”图标,配置eth1 接口 IP 地址为 172.16.0.2/24,如下图所示。名
16、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 40 页 - - - - - - - - - . . 选中“高级属性”后的复选框,设置eth1 的 vrid 值为 1,如下图所示。参数设置完成后,点击“确定”按钮即可。b)点击 eth2 接口后的“设置”图标,配置eth2 接口 IP 地址为 172.16.1.3/24,如下图所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - -
17、- - - 第 9 页,共 40 页 - - - - - - - - - . . 选中“高级属性”后的复选框,设置eth2 的 vrid 值为 2,如下图所示。参数设置完成后,点击“确定”按钮即可。防火墙 2 防火墙 2 的配置与防火墙1 完全一致,具体操作请参见防火墙1。3)配置心跳口连接心跳线的HA 通信接口必须工作在路由模式下,设定心跳口IP 为同一个网段的不同 IP(分别为 10.0.0.1/24 和 10.0.0.2/24),并且必须要勾选“ha-static” 选项。防火墙 1 a)点击 网络管理 接口 ,然后选择“物理接口”页签,在eth3 接口后点击“设置”图标,配置该接口为进
18、行同步HA 设置的 IP 地址,如下图所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 40 页 - - - - - - - - - . . b)参数设置完成后,点击“添加”按钮,然后点击“确定”按钮即可。防火墙 2 配置防火墙2的 eth3 口 IP 地址为“ 10.0.0.2/24”,具体操作请参见防火墙1的配置。4)指定防火墙的不同VRID 组的优先级。设定防火墙1的 vrid1 的优先级为200,vrid2 的优先级为100。设定防火墙2 的 vrid1的优
19、先级为100,vrid2 的优先级为200。设置完成后,对于vrid1 来说,防火墙1 为主墙,防火墙 2 为备墙;对于vrid2 来说,防火墙2 为主墙,防火墙1 为备墙。并且设置主墙为“抢占”模式,即主墙能在失效后,重新恢复正常工作时,重获主墙地位。防火墙 1 a)选择高可用性 双机热备 ,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。b)点击“ Vrid ”右侧的“添加”,配置vrid1 的优先级为200,“抢占”模式,如下图所示。参数配置完成后,点击“确定”按钮。c)配置 vrid2 的优先级为100,如下图所示。参数配置完成后,点击“确定”按钮。防火墙 2 a)选择高可用性 双
20、机热备 ,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。b)点击“ Vrid ”右侧的“添加”,配置vrid1 的优先级为100,如下图所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 40 页 - - - - - - - - - . . 参数配置完成后,点击“确定”按钮。c)配置 vrid2 的优先级为200,“抢占”模式,如下图所示。参数配置完成后,点击“确定”按钮。5)配置 HA 功能防火墙 1 a)点击高可用性 双机热备 ,然后选中“负载均衡”前的单选
21、按钮,配置基本属性,如下图所示。设置“本机地址”为心跳口eth3 的 IP 地址( 10.0.0.1)。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 40 页 - - - - - - - - - . . 设置“对端地址”为另一台墙心跳口eth3 的 IP 地址( 10.0.0.2),超过两台设备时,必须将“对端地址”设为本地地址所在子网的子网广播地址(最多支持八台对端设备)。“心跳间隔”可以使用默认值(1 秒),心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔,
22、也是用于检测对端设备是否异常的重要参数,互为热备的防火墙的此参数必须设置一致,否则很可能导致从墙的主从状态的来回切换。b)勾选“高级配置”左侧的复选框,配置高级属性,如下图所示。c)参数设置完成后,点击“应用”按钮保存配置。d)点击“启用”按钮,启动该主备模式,心跳口连接建立,如下图所示。防火墙 2 防火墙 2 的操作请参见防火墙1 的配置,需要设置本机地址为10.0.0.2,对端地址为10.0.0.1。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 40 页 - -
23、- - - - - - - . . CLI 配置步骤1)设置 eth0 口的 IP 地址。防火墙 1 #network interface eth0 ip add 192.168.83.237 mask 255.255.255.0防火墙 2 #network interface eth0 ip add 202.1.1.2 mask 255.255.255.0 2)设置备份接口属性。分别在防火墙1 和防火墙 2 上进行配置。#network interface eth1 ip add 172.16.0.2 mask 255.255.255.0#network interface eth2 ip
24、add 172.16.1.3 mask 255.255.255.0#network interface eth1 vrid 1#network interface eth2 vrid 23)设置心跳口属性防火墙 1 #network interface eth3 ip add 10.0.0.1 mask 255.255.255.0 ha-static防火墙 2 #network interface eth3 ip add 10.0.0.2 mask 255.255.255.0 ha-static4)指定防火墙的不同VRID 组的优先级。防火墙 1 #ha vrid 1 priority 200
25、#ha vrid 1 preempt enable #ha vrid 2 priority 100#ha vrid 2 preempt disable 防火墙 2 #ha vrid 1 priority 100#ha vrid 1 preempt disable #ha vrid 2 priority 200#ha vrid 2 preempt enable 5)指定 HA 网口本地地址以及对端地址。防火墙 1 #ha mode aa#ha local 10.0.0.1#ha peer 10.0.0.2# ha rtosync ack enable #ha rtconfig-sync enab
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年防火墙双机热备.配置案例 2022 防火墙 双机 配置 案例
淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
限制150内