欢迎来到天天文库
浏览记录
ID:6821430
大小:485.50 KB
页数:40页
时间:2018-01-27
《防火墙双机热备3.3配置案例》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、双机热备网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。
2、在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。双机热备模式基本需求图1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。配置要点Ø设置HA心跳口属性Ø设置除心跳口以外的其余通信接口属于VRID2Ø指定HA的工作模式及心
3、跳口的本地地址和对端地址Ø主从防火墙的配置同步WEBUI配置步骤1)配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。Ø主墙a)配置HA心跳口地址。①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。点击“确定”按钮保存配置。②点击eth2接口后的“设置”图标,在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮,如下图所示。“ha-static”选项必须勾选,否则
4、运行状态同步时IP地址信息也会被同步。点击“确定”按钮保存配置。b)配置Eth1和Eth0口的IP地址。配置Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20,具体操作请参见配置HA心跳口地址。说明²互为备份的接口必须配置相同的IP地址,所以主墙的Eth1口必须与从墙Eth1口的IP地址相同,主墙的Eth0口必须与从墙Eth0口的IP地址相同。Ø从墙a)配置HA心跳口地址。配置从墙HA心跳口地址为10.1.1.2,具体步骤请参见主墙的配置,此处不再赘述。b)配置Eth1和Eth0口的IP地址。配置从墙Eth1和Eth0的IP地址分别为192.168.83
5、.219和172.16.1.20,具体步骤请参见主墙的配置,此处不再赘述。2)设置除心跳口以外的其余通信接口属于VRID2。主备模式下,只能配置一个VRRP备份组,而且通信接口必须加入到具体的VRID组中,防火墙才会根据此接口的up、down状态,来判断本机的工作状态,以进行VRID组内主备状态的切换。Ø主墙a)选择网络管理>接口,然后选择“物理接口”页签,在除心跳口以外的接口后点击“设置”图标(以eth0为例)。b)勾选“高级属性”后的复选框,设置该接口属于vrid2,如下图所示。c)参数设置完成后,点击“确定”按钮保存配置。Ø从墙具体步骤请参见主墙的配置,此处不再赘述。3)指定HA的工
6、作模式及心跳口的本地地址和对端地址。需要设置HA工作在“双机热备”模式下,并设置当前防火墙为主墙或从墙,心跳口的本地及对端IP地址信息、心跳间隔等属性。Ø主墙a)选择高可用性>双机热备,选中“双机热备”前的单选按钮,配置基本信息,如下图所示。设置本机地址为心跳口eth2的IP地址(10.1.1.1);设置对端地址为从墙心跳口eth2的IP地址(10.1.1.2),超过两台设备时,必须将“对端地址”设为本地地址所在子网的子网广播地址(最多支持八台对端设备);心跳探测间隔可以使用默认值(1秒),心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔,也是用于检测对端设备是否异常的重要参数,互为热
7、备的防火墙的此参数必须设置一致,否则很可能导致从墙的主从状态的来回切换;设置热备组为通信接口的VRID(2);选择身份为“主机”;“抢占”模式,是指主墙宕机后,重新恢复正常工作时,是否重新夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时,才需要配置主墙工作在“抢占”模式,否则当主墙恢复工作时主从墙的再次切换浪费系统资源,没有必要。案例中两台防火墙相同,所以主墙不需要配置为“抢占”模式。b)勾选“高级配置”左侧的复选
此文档下载收益归作者所有