联想网御强五防火墙PowerV案例-HA热备.pdf

《联想网御强五防火墙PowerV案例-HA热备.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、联想网御科技（北京）有限公司HA热备模式功能配置案例背景在对网络可靠性要求较高的环境下，防火墙的HA热备功能是最基本的。2台防火墙同时接入到网络中，一个处于工作状态为主墙；而另一个处于等待状态作为从墙。当主墙发生故障或者业务口断线时，从墙立即接替主墙处理网络流量。本案例详细介绍HA热备功能的配置方法。案例拓扑192.168.100.254192.168.101.254FW1PC1192.168.100.100PC2192.168.101.100FW2第1页声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出版或发行，违者必

2、究联想网御科技（北京）有限公司配置步骤1．如图所示，PC1通过交换机和FW1，FW2的fe3口相连，PC2通过交换机和FW1，FW2的fe4口相连。FW1和FW2用fe2接口之直接相连。PC1网关指向192.168.100.254;PC2网关指向192.168.101.254。2．在FW1上配置全通防火墙规则后，配置HA参数如图。a)启动fe2HA接口b)启动HA接口后，配置热备参数和主从参数c)配置监控端口，选择业务端口。3.在FW2上配置HA参数，配置时与FW1不同的只是HA网口IP为1.1.1.2,节点值为2，其他都一样。第2页声明：文档所包含文字和图片版

3、权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出版或发行，违者必究联想网御科技（北京）有限公司验证和调试1．FW2的HA参数配置完成后重启FW2，启动后配置将自动同步完成，此时FW1为主设备。在PC2上用HTTP协议从PC1下载文件，下载的同时关掉FW1后者拔掉FW1上的一个业务端口，FW2会接替为主设备，下载不会中断。2．如果在主设备上修改了配置，务必要在页面中手工同步配置。3．注意，如果是在root下用命令行修改的配置，HA是无法同步的，所以建议尽量在页面上做配置。4．HA网口将使用物理设备fe2，请在设置HA网口前，先确定fe2设备是否工作

4、在路由模式下。若fe2工作在透明方式下，请先将fe2从桥设备中剥离；若fe2工作在路由模式，请不要让fe2绑定在VLAN设备、VPN设备等其它设备上。第3页声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出版或发行，违者必究联想网御科技（北京）有限公司5．HA热备功能的建议配置步骤是：主墙上完成策略和HA参数包括监听端口的配置；在从墙上完成HA参数包括监听端口的配置；关掉从墙，用网线将2台防火墙的fe2接口相连；重启从墙等待配置完成同步；将防火墙业务端口连接到网络中。6．可以在HA状态页面辨别主从状态，如图，优先级为1的

5、是主墙。第4页声明：文档所包含文字和图片版权均属联想网御科技（北京）有限公司所有，任何单位或个人不得擅自出版或发行，违者必究