資源描述:
《防火墻雙機熱備3.3配置案例》由會員上傳分享�����,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1�、雙機熱備網(wǎng)絡(luò)衛(wèi)士防火墻可以實現(xiàn)多種方式下的冗余備份,包括:雙機熱備模式�、負(fù)載均衡模式和連接保護模式。在雙機熱備模式下(最多支持九臺設(shè)備)�����,任何時刻都只有一臺防火墻(主墻)處于工作狀態(tài)�����,承擔(dān)報文轉(zhuǎn)發(fā)任務(wù)����,一組防火墻處于備份狀態(tài)并隨時接替任務(wù)���。當(dāng)主墻的任何一個接口(不包括心跳口)出現(xiàn)故障時��,處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后�,由優(yōu)先級高的防火墻接替主墻的工作����,進行數(shù)據(jù)轉(zhuǎn)發(fā)���。在負(fù)載均衡模式下(最多支持九臺設(shè)備),兩臺/多臺防火墻并行工作����,都處于正常的數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài)。每臺防火墻中設(shè)置多個VRRP備份組�����,兩臺/多臺防火墻中VRID相同的組之間可以相互備份����,以便確保某臺設(shè)備故障時,其他的設(shè)備能夠接替其工作�。
2、在連接保護模式下(最多支持九臺設(shè)備)��,防火墻之間只同步連接信息��,并不同步狀態(tài)信息���。當(dāng)兩臺/多臺防火墻均正常工作時���,由上下游的設(shè)備通過運行VRRP或HSRP進行冗余備份���,以便決定流量由哪臺防火墻轉(zhuǎn)發(fā),所有防火墻處于負(fù)載分擔(dān)狀態(tài)����,當(dāng)其中一臺發(fā)生故障時,上下游設(shè)備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)�����。雙機熱備模式基本需求圖1雙機熱備模式的網(wǎng)絡(luò)拓?fù)鋱D上圖是一個簡單的雙機熱備的主備模式拓?fù)鋱D��,主墻和一臺從墻并聯(lián)工作����,兩個防火墻的Eth2接口為心跳口,由心跳線連接用來協(xié)商狀態(tài)����,同步對象及配置信息���。配置要點?設(shè)置HA心跳口屬性?設(shè)置除心跳口以外的其余通信接口屬于VRID2?指定HA的工作模式及心
3���、跳口的本地地址和對端地址?主從防火墻的配置同步WEBUI配置步驟1)配置HA心跳口和其他通訊接口地址HA心跳口必須工作在路由模式下��,而且要配置同一網(wǎng)段的IP以保證相互通信��。接口屬性必須要勾選“ha-static”選項���,否則HA心跳口的IP地址信息會在主從墻運行配置同步時被對方覆蓋。?主墻a)配置HA心跳口地址����。①點擊網(wǎng)絡(luò)管理>接口,然后選擇“物理接口”頁簽��,點擊eth2接口后的“設(shè)置”圖標(biāo)��,配置基本信息����,如下圖所示。點擊“確定”按鈕保存配置���。②點擊eth2接口后的“設(shè)置”圖標(biāo)����,在“路由模式”下方配置心跳口的IP地址,然后點擊“添加”按鈕�,如下圖所示?���!癶a-static”選項必須勾選,否則
4����、運行狀態(tài)同步時IP地址信息也會被同步。點擊“確定”按鈕保存配置����。b)配置Eth1和Eth0口的IP地址。配置Eth1和Eth0的IP地址分別為192.168.83.219和172.16.1.20�,具體操作請參見配置HA心跳口地址。說明2互為備份的接口必須配置相同的IP地址�����,所以主墻的Eth1口必須與從墻Eth1口的IP地址相同����,主墻的Eth0口必須與從墻Eth0口的IP地址相同�。?從墻a)配置HA心跳口地址����。配置從墻HA心跳口地址為10.1.1.2���,具體步驟請參見主墻的配置�����,此處不再贅述����。b)配置Eth1和Eth0口的IP地址��。配置從墻Eth1和Eth0的IP地址分別為192.168.83
5����、.219和172.16.1.20,具體步驟請參見主墻的配置��,此處不再贅述�����。2)設(shè)置除心跳口以外的其余通信接口屬于VRID2。主備模式下�,只能配置一個VRRP備份組,而且通信接口必須加入到具體的VRID組中�����,防火墻才會根據(jù)此接口的up���、down狀態(tài)���,來判斷本機的工作狀態(tài),以進行VRID組內(nèi)主備狀態(tài)的切換��。?主墻a)選擇網(wǎng)絡(luò)管理>接口���,然后選擇“物理接口”頁簽����,在除心跳口以外的接口后點擊“設(shè)置”圖標(biāo)(以eth0為例)����。b)勾選“高級屬性”后的復(fù)選框,設(shè)置該接口屬于vrid2�,如下圖所示����。c)參數(shù)設(shè)置完成后���,點擊“確定”按鈕保存配置。?從墻具體步驟請參見主墻的配置�����,此處不再贅述����。3)指定HA的工
6、作模式及心跳口的本地地址和對端地址��。需要設(shè)置HA工作在“雙機熱備”模式下��,并設(shè)置當(dāng)前防火墻為主墻或從墻�����,心跳口的本地及對端IP地址信息���、心跳間隔等屬性��。?主墻a)選擇高可用性>雙機熱備�����,選中“雙機熱備”前的單選按鈕�����,配置基本信息��,如下圖所示�。設(shè)置本機地址為心跳口eth2的IP地址(10.1.1.1);設(shè)置對端地址為從墻心跳口eth2的IP地址(10.1.1.2)��,超過兩臺設(shè)備時��,必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址(最多支持八臺對端設(shè)備)��;心跳探測間隔可以使用默認(rèn)值(1秒)�����,心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔���,也是用于檢測對端設(shè)備是否異常的重要參數(shù)��,互為熱
7��、備的防火墻的此參數(shù)必須設(shè)置一致���,否則很可能導(dǎo)致從墻的主從狀態(tài)的來回切換���;設(shè)置熱備組為通信接口的VRID(2);選擇身份為“主機”��;“搶占”模式���,是指主墻宕機后,重新恢復(fù)正常工作時��,是否重新奪回主墻的地位�。只有當(dāng)主墻與從墻相比有明顯的性能差異時,才需要配置主墻工作在“搶占”模式�,否則當(dāng)主墻恢復(fù)工作時主從墻的再次切換浪費系統(tǒng)資源,沒有必要����。案例中兩臺防火墻相同,所以主墻不需要配置為“搶占”模式����。b)勾選“高級配置”左側(cè)的復(fù)選
