防火墙双机热备配置案例精编WORD版.docx
《防火墙双机热备配置案例精编WORD版.docx》由会员分享,可在线阅读,更多相关《防火墙双机热备配置案例精编WORD版.docx(28页珍藏版)》请在冰点文库上搜索。
防火墙双机热备配置案例精编WORD版
IBMsystemofficeroom【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
防火墙双机热备配置案例精编WORD版
双机热备
网络卫士防火墙可以实现多种方式下的冗余备份,包括:
双机热备模式、负载均衡模式和连接保护模式。
在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。
当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。
在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。
每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。
在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。
当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式
基本需求
图1双机热备模式的网络拓扑图
上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。
配置要点
设置HA心跳口属性
设置除心跳口以外的其余通信接口属于VRID2
指定HA的工作模式及心跳口的本地地址和对端地址
主从防火墙的配置同步
WEBUI配置步骤
1)配置HA心跳口和其他通讯接口地址
HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。
接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。
主墙
a)配置HA心跳口地址。
①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。
点击“确定”按钮保存配置。
②点击eth2接口后的“设置”图标,在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮,如下图所示。
“ha-static”选项必须勾选,否则运行状态同步时IP地址信息也会被同步。
点击“确定”按钮保存配置。
b)配置Eth1和Eth0口的IP地址。
配置Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20,具体操作请参见配置HA心跳口地址。
说明
互为备份的接口必须配置相同的IP地址,所以主墙的Eth1口必须与从墙Eth1口的IP地址相同,主墙的Eth0口必须与从墙Eth0口的IP地址相同。
从墙
a)配置HA心跳口地址。
配置从墙HA心跳口地址为10.1.1.2,具体步骤请参见主墙的配置,此处不再赘述。
b)配置Eth1和Eth0口的IP地址。
配置从墙Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20,具体步骤请参见主墙的配置,此处不再赘述。
2)设置除心跳口以外的其余通信接口属于VRID2。
主备模式下,只能配置一个VRRP备份组,而且通信接口必须加入到具体的VRID组中,防火墙才会根据此接口的up、down状态,来判断本机的工作状态,以进行VRID组内主备状态的切换。
主墙
a)选择网络管理>接口,然后选择“物理接口”页签,在除心跳口以外的接口后点击“设置”图标(以eth0为例)。
b)勾选“高级属性”后的复选框,设置该接口属于vrid2,如下图所示。
c)参数设置完成后,点击“确定”按钮保存配置。
从墙
具体步骤请参见主墙的配置,此处不再赘述。
3)指定HA的工作模式及心跳口的本地地址和对端地址。
需要设置HA工作在“双机热备”模式下,并设置当前防火墙为主墙或从墙,心跳口的本地及对端IP地址信息、心跳间隔等属性。
主墙
a)选择高可用性>双机热备,选中“双机热备”前的单选按钮,配置基本信息,如下图所示。
设置本机地址为心跳口eth2的IP地址(10.1.1.1);
设置对端地址为从墙心跳口eth2的IP地址(10.1.1.2),超过两台设备时,必须将“对端地址”设为本地地址所在子网的子网广播地址(最多支持八台对端设备);
心跳探测间隔可以使用默认值(1秒),心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔,也是用于检测对端设备是否异常的重要参数,互为热备的防火墙的此参数必须设置一致,否则很可能导致从墙的主从状态的来回切换;
设置热备组为通信接口的VRID
(2);
选择身份为“主机”;
“抢占”模式,是指主墙宕机后,重新恢复正常工作时,是否重新夺回主墙的地位。
只有当主墙与从墙相比有明显的性能差异时,才需要配置主墙工作在“抢占”模式,否则当主墙恢复工作时主从墙的再次切换浪费系统资源,没有必要。
案例中两台防火墙相同,所以主墙不需要配置为“抢占”模式。
b)勾选“高级配置”左侧的复选框,进行高级配置,如下图所示。
c)参数设置完成后,点击“应用”按钮保存配置。
d)点击“启用”按钮,启动该主备模式,心跳口连接建立,如下图所示。
从墙
配置操作和主墙的基本相同,但注意身份为“从属机”,本机地址为10.1.1.2,对端地址为10.1.1.1,不选择“抢占”。
4)主从防火墙的配置同步
在主墙点击“从本机同步到对端机”,将主墙的当前配置同步到从墙。
至此,主墙和从墙的双机热备就可以正常使用了。
CLI配置步骤
1)配置HA的交互IP(心跳线相连的两个端口)
主墙
#networkinterfaceeth2ipadd10.1.1.1mask255.255.255.0ha-static
#networkinterfaceeth0vrid2
#networkinterfaceeth1vrid2
从墙
#networkinterfaceeth2ipadd10.1.1.2mask255.255.255.0ha-static
#networkinterfaceeth0vrid2
#networkinterfaceeth1vrid2
2)指定HA网口本地地址以及对端地址
主墙
#hamodeas
#halocal10.1.1.1
#hapeer10.1.1.2
#haas-vrid2
#havrid2priority254
#havrid2preemptdisable
#haenable
从墙
#hamodeas
#halocal10.1.1.2
#hapeer10.1.1.1
#haas-vrid2
#havrid2priority100
#havrid2preemptdisable
#haenable
注意事项
1)当主墙或从墙配置发生变更后,手工同步配置可以保证主从墙配置的一致性。
2)TOS3.3防火墙的接口均为自适应接口,HA接口之间的连接可以使用交叉线也可以使用直连线。
路由接口下的负载均衡模式
基本需求
图2路由接口下负载均衡模式的网络拓扑图
上图是一个简单的利用物理接口进行负载均衡的拓扑图,防火墙1和防火墙2并联工作,两个防火墙的Eth3接口间由一条心跳线相连用来同步状态及配置信息;两个防火墙的Eth1口属于同一vrid1(防火墙1的优先级高于防火墙2);接口Eth2属于同一vrid2(防火墙2的优先级高于防火墙1)。
两台防火墙均正常工作时,网段1通过防火墙1利用电信链路上网,网段2通过防火墙2利用网通链路上网。
当其中一条链路发生故障时,其上的数据流会自动切换,通过另一台防火墙转发,从而实现两台防火墙的负载均衡。
配置要点
配置eth0口
配置VRID组内接口
配置心跳口
配置防火墙的不同VRID组的优先级
配置HA功能
WEBUI配置步骤
1)配置eth0口
防火墙1
a)点击网络管理>接口,然后选择“物理接口”页签,点击接口eth0条目后的“设置”图标,设定其IP地址为“192.168.83.237/24”,如下图所示。
参数设置完成后,点击“添加”按钮即可。
b)点击“确定”按钮保存配置。
防火墙2
配置防火墙2的IP地址为“202.1.1.2/24”,具体步骤请参见防火墙1的配置。
2)配置备份接口
设定两台防火墙上eth1口和eth2口互相备份。
两台防火墙的eth1口需要设定相同的IP地址和VRID;两台防火墙的eth2口也需要设定相同的IP地址和VRID。
防火墙1
a)点击网络管理>接口,然后选择“物理接口”页签,点击eth1接口后的“设置”图标,配置eth1接口IP地址为172.16.0.2/24,如下图所示。
选中“高级属性”后的复选框,设置eth1的vrid值为1,如下图所示。
参数设置完成后,点击“确定”按钮即可。
b)点击eth2接口后的“设置”图标,配置eth2接口IP地址为172.16.1.3/24,如下图所示。
选中“高级属性”后的复选框,设置eth2的vrid值为2,如下图所示。
参数设置完成后,点击“确定”按钮即可。
防火墙2
防火墙2的配置与防火墙1完全一致,具体操作请参见防火墙1。
3)配置心跳口
连接心跳线的HA通信接口必须工作在路由模式下,设定心跳口IP为同一个网段的不同IP(分别为10.0.0.1/24和10.0.0.2/24),并且必须要勾选“ha-static”选项。
防火墙1
a)点击网络管理>接口,然后选择“物理接口”页签,在eth3接口后点击“设置”图标,配置该接口为进行同步HA设置的IP地址,如下图所示。
b)参数设置完成后,点击“添加”按钮,然后点击“确定”按钮即可。
防火墙2
配置防火墙2的eth3口IP地址为“10.0.0.2/24”,具体操作请参见防火墙1的配置。
4)指定防火墙的不同VRID组的优先级。
设定防火墙1的vrid1的优先级为200,vrid2的优先级为100。
设定防火墙2的vrid1的优先级为100,vrid2的优先级为200。
设置完成后,对于vrid1来说,防火墙1为主墙,防火墙2为备墙;对于vrid2来说,防火墙2为主墙,防火墙1为备墙。
并且设置主墙为“抢占”模式,即主墙能在失效后,重新恢复正常工作时,重获主墙地位。
防火墙1
a)选择高可用性>双机热备,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。
b)点击“Vrid”右侧的“添加”,配置vrid1的优先级为200,“抢占”模式,如下图所示。
参数配置完成后,点击“确定”按钮。
c)配置vrid2的优先级为100,如下图所示。
参数配置完成后,点击“确定”按钮。
防火墙2
a)选择高可用性>双机热备,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。
b)点击“Vrid”右侧的“添加”,配置vrid1的优先级为100,如下图所示。
参数配置完成后,点击“确定”按钮。
c)配置vrid2的优先级为200,“抢占”模式,如下图所示。
参数配置完成后,点击“确定”按钮。
5)配置HA功能
防火墙1
a)点击高可用性>双机热备,然后选中“负载均衡”前的单选按钮,配置基本属性,如下图所示。
设置“本机地址”为心跳口eth3的IP地址(10.0.0.1)。
设置“对端地址”为另一台墙心跳口eth3的IP地址(10.0.0.2),超过两台设备时,必须将“对端地址”设为本地地址所在子网的子网广播地址(最多支持八台对端设备)。
“心跳间隔”可以使用默认值(1秒),心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔,也是用于检测对端设备是否异常的重要参数,互为热备的防火墙的此参数必须设置一致,否则很可能导致从墙的主从状态的来回切换。
b)勾选“高级配置”左侧的复选框,配置高级属性,如下图所示。
c)参数设置完成后,点击“应用”按钮保存配置。
d)点击“启用”按钮,启动该主备模式,心跳口连接建立,如下图所示。
防火墙2
防火墙2的操作请参见防火墙1的配置,需要设置本机地址为10.0.0.2,对端地址为10.0.0.1。
CLI配置步骤
1)设置eth0口的IP地址。
防火墙1
#networkinterfaceeth0ipadd192.168.83.237mask255.255.255.0
防火墙2
#networkinterfaceeth0ipadd202.1.1.2mask255.255.255.0
2)设置备份接口属性。
分别在防火墙1和防火墙2上进行配置。
#networkinterfaceeth1ipadd172.16.0.2mask255.255.255.0
#networkinterfaceeth2ipadd172.16.1.3mask255.255.255.0
#networkinterfaceeth1vrid1
#networkinterfaceeth2vrid2
3)设置心跳口属性
防火墙1
#networkinterfaceeth3ipadd10.0.0.1mask255.255.255.0ha-static
防火墙2
#networkinterfaceeth3ipadd10.0.0.2mask255.255.255.0ha-static
4)指定防火墙的不同VRID组的优先级。
防火墙1
#havrid1priority200
#havrid1preemptenable
#havrid2priority100
#havrid2preemptdisable
防火墙2
#havrid1priority100
#havrid1preemptdisable
#havrid2priority200
#havrid2preemptenable
5)指定HA网口本地地址以及对端地址。
防火墙1
#hamodeaa
#halocal10.0.0.1
#hapeer10.0.0.2
#hartosyncackenable
#hartconfig-syncenable
#haenable
防火墙2
#hamodeaa
#halocal10.0.0.2
#hapeer10.1.1.1
#hartosyncackenable
#hartconfig-syncenable
#haenable
注意事项
无。
Trunk口下的负载均衡模式
基本需求
图3Trunk口下负载均衡模式的网络拓扑图
上图是一个简单的利用Trunk接口进行负载均衡的拓扑图,防火墙1和防火墙2并联工作,两个防火墙的Eth2接口间由一条心跳线相连用来同步状态及配置信息,两个防火墙的Eth1口为trunk口,同时属于vlan1和vlan2,vlan1属于同一vrid1(防火墙1的优先级高于防火墙2)、vlan2属于同一vrid2(防火墙2的优先级高于防火墙1),这样两台防火墙均正常工作时,网段1通过防火墙1利用电信链路上网,网段2通过防火墙2利用网通链路上网。
当其中一条链路发生故障时,其上的数据流会自动切换,通过另一台防火墙转发,从而实现两台防火墙的负载均衡。
配置要点
配置eth0口
配置VRID组内接口
配置心跳口
配置防火墙的不同VRID组的优先级
配置HA功能
WEBUI配置步骤
1)配置eth0口
防火墙1
a)点击网络管理>接口,然后选择“物理接口”页签,点击接口eth0条目后的“设置”图标,设定其IP地址为“192.168.83.237/24”,如下图所示。
参数设置完成后,点击“添加”按钮即可。
b)点击“确定”按钮保存配置。
防火墙2
配置防火墙2的通信用IP地址为“202.1.1.2/24”,具体步骤请参见防火墙1的配置。
2)配置两台防火墙上eth1口为trunk口,属于VLAN1和VLAN2。
配置两台防火墙的eth1口为trunk口,属于VLAN1和VLAN2;VLAN1虚接口互相备份,VLAN2虚接口也互相备份,需要设定相同的IP地址和vrid。
防火墙1和防火墙2
a)选择网络管理>接口,然后选择“物理接口”页签,点击eth1接口后的“设置”图标,配置接口信息,如下图所示。
参数设置完成后,点击“确定”即可。
b)点击网络管理>二层网络,并选择“VLAN”页签,点击“添加/删除VLAN范围”添加VLAN,设置VLAN虚接口的属性,如下图所示。
参数设置完成后,点击“确定”按钮即可。
c)点击网络管理>二层网络,然后选择“VLAN”页签,点击vlan.0001后的“修改”字段,设置VLAN虚接口vlan.0001的IP地址为172.16.0.2/24,如下图所示。
参数设置完成后,点击“添加”按钮即可。
点击“高级属性”后的复选框,设置vlan.0001接口属于vrid1,如下图所示。
参数设置完成后,点击“确定”按钮即可。
d)点击网络管理>二层网络,然后选择“VLAN”页签,点击vlan.0002后的“修改”字段,设置VLAN虚接口vlan.0002的IP地址为172.16.1.3/24,如下图所示。
参数设置完成后,点击“添加”按钮即可。
点击“高级属性”后的复选框,设置vlan.0002接口属于vrid2,如下图所示。
参数设置完成后,点击“确定”按钮即可。
3)配置心跳口
连接心跳线的HA通信接口必须工作在路由模式下,设定心跳口IP为同一个网段的不同IP(分别为10.0.0.1/24和10.0.0.2/24),并且必须勾选“ha-static”选项。
防火墙1
a)点击网络管理>接口,然后选择“物理接口”页签,在eth2接口后点击“设置”图标,为该接口配置进行同步HA设置的地址,如下图所示。
b)参数设置完成后,点击“添加”按钮,然后点击“确定”按钮即可。
防火墙2
配置防火墙2的eth2口IP地址为“10.0.0.2/24”,具体操作请参见防火墙1。
4)配置防火墙的不同VRID组的优先级。
设定防火墙1的vrid1的优先级为200,vrid2的优先级为100。
设定防火墙2的vrid1的优先级为100,vrid2的优先级为200。
设定后对vrid1来说防火墙1为主墙,防火墙2为备墙,对于vrid2来说防火墙2为主墙,防火墙1为备墙。
并且设置主墙为“抢占”模式,即主墙能在失效后,重新恢复正常工作时,重获主墙地位。
防火墙1
a)选择高可用性>双机热备,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。
b)点击“Vrid”右侧的“添加”,配置vrid1的优先级为200,“抢占”模式,如下图所示。
参数配置完成后,点击“确定”按钮。
c)配置vrid2的优先级为100,如下图所示。
参数配置完成后,点击“确定”按钮。
防火墙2
a)选择高可用性>双机热备,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。
b)点击“Vrid”右侧的“添加”,配置vrid1的优先级为100,如下图所示。
参数配置完成后,点击“确定”按钮。
c)配置vrid2的优先级为200,“抢占”模式,如下图所示。
参数配置完成后,点击“确定”按钮。
5)配置HA功能
防火墙1
a)点击高可用性>双机热备,然后选中“负载均衡”前的单选按钮,配置基本信息,如下图所示。
设置“本机地址”为心跳口eth2的IP地址(10.0.0.1)。
设置“对端地址”为另一台墙心跳口eth2的IP地址(10.0.0.2),超过两台设备时,必须将“对端地址”设为本地地址所在子网的子网广播地址(最多支持八台对端设备)。
“心跳间隔”可以使用默认值(1秒),心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔,也是用于检测对端设备是否异常的重要参数,互为热备的防火墙的此参数必须设置一致,否则很可能导致从墙的主从状态的来回切换。
b)勾选“高级配置”左侧的复选框,配置高级信息,如下图所示。
c)参数设置完成后,点击“应用”按钮保存配置。
d)点击“启用”按钮,启动该主备模式,心跳口连接建立,如下图所示。
防火墙2
防火墙2的操作请参见防火墙1的配置,需要设置本机地址为10.0.0.2,对端地址为10.0.0.1。
CLI配置步骤
1)设置eth1口的IP地址。
防火墙1
#networkinterfaceeth1ipadd192.168.83.237mask255.255.255.0
防火墙2
#networkinterfaceeth1ipadd202.1.1.2mask255.255.255.0
2)设置备份接口属性。
分别在防火墙1和防火墙2上进行配置。
#networkinterfaceeth0switchportmodetrunk
#networkinterfaceeth0switchporttrunkallowed-vlan1,2
#networkvlanaddrange1-2
#networkinterfacevlan.0001ipadd172.16.0.2mask255.255.255.0
#networkinterfacevlan.0002ipadd172.16.1.3mask255.255.255.0
#networkinterfacevlan.0001vrid1
#networkinterfacevlan.0001vrid2
3)设置心跳口属性
防火墙1
#networkinterfaceeth2ipadd10.0.0.1mask255.255.255.0ha-static
防火墙2
#networkinterfaceeth2ipadd10.0.0.2mask255.255.255.0ha-static
4)指定防火墙的不同VRID组的优先级。
防火墙1
#havrid1priority200
#havrid1preemptenable
#havrid2priority100
#havrid2preemptdisable
防火墙2
#havrid1priority100
#havrid1preemptdisable
#havrid2priority200
#havrid2preemptenable
5)指定HA网口本地地址以及对端地址。
防火墙1
#hamodeaa
#halocal10.0.0.1
#hapeer10.0.0.2
#hartosyncackenable
#hartconfig-syncenable
#haenable
防火墙2
#hamod
升级会员 