防火墻雙機熱備配置案例

1、雙機熱備網(wǎng)絡(luò)衛(wèi)士防火墻可以實現(xiàn)多種方式下的冗余備份，包括：雙機熱備模式、負載均衡模式和連接保護模式。在雙機熱備模式下（最多支持九臺設(shè)備），任何時刻都只有一臺防火墻（主墻）處于工作狀態(tài)，承擔報文轉(zhuǎn)發(fā)任務(wù)，一組防火墻處于備份狀態(tài)并隨時接替任務(wù)。當主墻的任何一個接口（不包括心跳口）出現(xiàn)故障時，處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后，由優(yōu) 先級高的防火墻接替主墻的工作，進行數(shù)據(jù)轉(zhuǎn)發(fā)。在負載均衡模式下（最多支持九臺設(shè)備），兩臺 / 多臺防火墻并行工作，都處于正 常的數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài)。每臺防火墻中設(shè)置多個 VRRP備份組，兩臺/多臺防火墻中VRID 相同的組之間可以相互備份，以便確保某臺設(shè)備故障時，其他的設(shè)備能夠接替

2、其工作。在連接保護模式下（最多支持九臺設(shè)備），防火墻之間只同步連接信息，并不同步狀態(tài)信息。當兩臺/多臺防火墻均正常工作時，由上下游的設(shè)備通過運行 VRRP或HSRP進行冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)，所有防火墻處于負載分擔狀態(tài)，當其 中一臺發(fā)生故障時，上下游設(shè)備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。雙機熱備模式基本需求圖 1 雙機熱備模式的網(wǎng)絡(luò)拓撲圖上圖是一個簡單的雙機熱備的主備模式拓撲圖，主墻和一臺從墻并聯(lián)工作，兩個防 火墻的Eth2接口為心跳口，由心跳線連接用來協(xié)商狀態(tài)，同步對象及配置信息。配置要點設(shè)置HA心跳口屬性設(shè)置除心跳口以外的其余通信接口屬于 VRID2指定HA的工

3、作模式及心跳口的本地地址和對端地址主從防火墻的配置同步WEBUI配置步驟1配置HA心跳口和其他通訊接口地址HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的 IP以保證相互通信。接 口屬性必須要勾選“ ha-static選項，否則HA心跳口的IP地址信息會在主從墻運行配 置同步時被對方覆蓋。主墻a）配置HA心跳口地址。 點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊 eth2接口后的“設(shè) 置”圖標，配置基本信息，如下圖所示。點擊“確定”按鈕保存配置 點擊eth2接口后的“設(shè)置”圖標，在“路由模式”下方配置心跳口的IP地址,然后點擊“添加”按鈕，如下圖所示。“ha-static選項必須勾

4、選，否則運行狀態(tài)同步時IP地址信息也會被同步。點擊“確定”按鈕保存配置。b）配置Eth1和EthO 口的IP地址。配置Eth1和EthO的IP地址分別為192.168.83.21和172.16.1.20具體操作請參見 配置HA心跳口地址。說明互為備份的接口必須配置相同的IP地址，所以主墻的Eth1 口必須與從墻Eth1 口的IP地址相同，主墻的Eth0 口必須與從墻Eth0口的IP地址相同。從墻a）配置HA心跳口地址。配置從墻HA心跳口地址為10.1.1.2具體步驟請參見主墻的配置，此處不再贅述。b）配置Eth1和Eth0 口的IP地址。配置從墻Eth1和Eth0的IP地址分別為192.168

5、.83.21和 172.16.1.20具體步驟請參見主墻的配置，此處不再贅述2）設(shè)置除心跳口以外的其余通信接口屬于 VRID2主備模式下，只能配置一個 VRRP備份組，而且通信接口必須加入到具體的 VRID 組中，防火墻才會根據(jù)此接口的up、down狀態(tài)，來判斷本機的工作狀態(tài)，以進行VRID 組內(nèi)主備狀態(tài)的切換。主墻a）選擇 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，在除心跳口以外的接口 后點擊“設(shè)置”圖標（以ethO為例）。b） 勾選“高級屬性”后的復選框，設(shè)置該接口屬于vrid2，如下圖所示。c）參數(shù)設(shè)置完成后，點擊“確定”按鈕保存配置。從墻具體步驟請參見主墻的配置，此處不再贅述。3）指定

6、HA的工作模式及心跳口的本地地址和對端地址。需要設(shè)置HA工作在“雙機熱備”模式下，并設(shè)置當前防火墻為主墻或從墻，心跳 口的本地及對端IP地址信息、心跳間隔等屬性。主墻a）選擇高可用性 雙機熱備，選中“雙機熱備”前的單選按鈕，配置基本信息， 如下圖所示設(shè)置本機地址為心跳口 eth2的IP地址（10.1.1.1 ；設(shè)置對端地址為從墻心跳口 eth2的IP地址（10.1.1.2，超過兩臺設(shè)備時，必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設(shè)備）；心跳探測間隔可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信 息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)

7、，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導致從墻的主從狀態(tài)的來回切換；設(shè)置熱備組為通信接口的VRID（2）；選擇身份為“主機”；“搶占”模式，是指主墻宕機后，重新恢復正常工作時，是否重新奪回主墻的地位。只有當主墻與從墻相比有明顯的性能差異時，才需要配置主墻工作在“搶占”模式，否 則當主墻恢復工作時主從墻的再次切換浪費系統(tǒng)資源，沒有必要。案例中兩臺防火墻相同，所以主墻不需要配置為“搶占”模式。b）勾選“高級配置”左側(cè)的復選框，進行高級配置，如下圖所示。c）參數(shù)設(shè)置完成后，點擊“應(yīng)用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。從墻配置操作和主墻的基本

8、相同，但注意身份為“從屬機”，本機地址為10.1.1.2對端地址為10.1.1.1不選擇“搶占”。4）主從防火墻的配置同步在主墻點擊“從本機同步到對端機”，將主墻的當前配置同步到從墻 至此，主墻和從墻的雙機熱備就可以正常使用了。CLI配置步驟1）配置HA的交互IP （心跳線相連的兩個端口）主墻# network interfaceeth2 ip add10.1.1.1mask255.255.255.0ia-static#n etwork in terface eth0vrid 2#n etwork in terface eth1 vrid 2從墻# network in terfaceeth2

9、 ip add 10.1.1.2mask255.255.255.（ha-static#network interfaceeth0 vrid 2#network interfaceeth1 vrid 22）指定HA網(wǎng)口本地地址以及對端地址主墻# ha mode as# ha locallO.1.1.1# ha peer10.1.1.2# ha as-vrid 2#ha vrid 2 priority 254# ha vrid 2 preempt disable# ha en able從墻# ha mode as# ha local 10.1.1.2# ha peer10.1.1.1# ha as

10、-vrid 2# ha vrid 2 priority 100# ha vrid 2 preempt disable# ha enable注意事項1) 當主墻或從墻配置發(fā)生變更后，手工同步配置可以保證主從墻配置的一致性。2) TOS3.3防火墻的接口均為自適應(yīng)接口， HA接口之間的連接可以使用交叉線也可以使用直連線。路由接口下的負載均衡模式基本需求圖2路由接口下負載均衡模式的網(wǎng)絡(luò)拓撲圖上圖是一個簡單的利用物理接口進行負載均衡的拓撲圖，防火墻1和防火墻2并聯(lián)工作，兩個防火墻的Eth3接口間由一條心跳線相連用來同步狀態(tài)及 配置信息；兩個防火墻的 Eth1 口屬于同一 vridl （防火墻1的優(yōu)先級

11、高于防火 墻2）;接口 Eth2屬于同一 vrid2 （防火墻2的優(yōu)先級高于防火墻1）。兩臺防火墻均正常工作時，網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段 2通過防火墻2利用網(wǎng)通鏈路上網(wǎng)。當其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù) 流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點配置ethO 口配置VRID組內(nèi)接口配置心跳口配置防火墻的不同VRID組的優(yōu)先級配置HA功能WEBUI配置步驟1）配置 ethO 口防火墻1a） 點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊接口ethO 條目后的“設(shè)置”圖標，設(shè)定其IP地址為“ 192.168.83.237/24，如下圖所示。

12、參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。b）點擊“確定”按鈕保存配置。防火墻2配置防火墻2的IP地址為“ 202.1.1.2/24,具體步驟請參見防火墻1的配 置。2）配置備份接口設(shè)定兩臺防火墻上eth1 口和eth2 口互相備份。兩臺防火墻的eth1 口需要 設(shè)定相同的IP地址和VRID ;兩臺防火墻的eth2口也需要設(shè)定相同的IP地址 和 VRID。防火墻1a）點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊 eth1接口后的“設(shè)置”圖標，配置 eth1接口 IP地址為172.16.0.2/24如下圖所示選中“高級屬性”后的復選框，設(shè)置ethl的vrid值為1,如下圖所示。參數(shù)設(shè)置完成后

13、，點擊“確定”按鈕即可。b）點擊eth2接口后的“設(shè)置”圖標，配置eth2接口 IP地址為172.16.1.3/24 如下圖所示。選中“高級屬性”后的復選框，設(shè)置eth2的vrid值為2,如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。防火墻2防火墻2的配置與防火墻1完全一致，具體操作請參見防火墻1。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口 IP為同一 個網(wǎng)段的不同IP（分別為10.0.0.1/24和10.0.0.2/24,并且必須要勾選“ha-statiC 選項。防火墻1a）點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，在 eth3接口后 點擊“設(shè)置”圖標，

14、配置該接口為進行同步 HA設(shè)置的IP地址，如下圖所示。b）參數(shù)設(shè)置完成后，點擊“添加”按鈕，然后點擊“確定”按鈕即可防火墻2配置防火墻2的eth3 口 IP地址為“ 10.0.0.2/24,具體操作請參見防火墻1的配置。4）指定防火墻的不同VRID組的優(yōu)先級。設(shè)定防火墻1的vridl的優(yōu)先級為200, vrid2的優(yōu)先級為100。設(shè)定防火墻2的vrid1的優(yōu)先級為100, vrid2的優(yōu)先級為200。設(shè)置完成后，對于vrid1來說，防火墻1為主墻，防火墻2為備墻；對于vrid2來說，防火墻2為主墻， 防火墻1為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失效后，重新恢 復正常工作時，重獲主墻地

15、位。防火墻1a）選擇 高可用性 雙機熱備，選中“負載均衡”前的單選按鈕，然后 點擊“應(yīng)用”按鈕。b） 點擊“ Vrid ”右側(cè)的“添加”，配置vrid1的優(yōu)先級為200,“搶占”模 式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為100,如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕防火墻2a）選擇 高可用性 雙機熱備，選中“負載均衡”前的單選按鈕，然后 點擊“應(yīng)用”按鈕。b）點擊“Vrid”右側(cè)的“添加”，配置vridl的優(yōu)先級為100,如下圖所示參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為200,“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“

16、確定”按鈕。5）配置HA功能防火墻1a）點擊高可用性 雙機熱備，然后選中“負載均衡”前的單選按鈕， 配置基本屬性，如下圖所示。設(shè)置“本機地址”為心跳口 eth3的IP地址（10.0.0.1 。設(shè)置“對端地址”為另一臺墻心跳口 eth3的IP地址（10.0.0.2，超過兩 臺設(shè)備時，必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多 支持八臺對端設(shè)備）?！靶奶g隔”可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導致從墻的主從狀態(tài)的來回切換。b）勾選“高級配置”左側(cè)的復選

17、框，配置高級屬性，如下圖所示。c）參數(shù)設(shè)置完成后，點擊“應(yīng)用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。 防火墻2防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機地址為10.0.0.2對端地址為10.0.0.1CLI配置步驟1）設(shè)置eth0 口的IP地址。防火墻1#n etwork in terface eth0ip add 192.168.83.23mask255.255.255.0防火墻2#n etwork in terface eth0ip add 202.1.1.2mask255.255.255.02）設(shè)置備份接口屬性。分別在防火墻1和防火墻2上進

18、行配置#network interfaceethl ip add 172.16.0.2mask255.255.255.0#n etwork in terfaceeth2 ip add 172.16.1.3mask255.255.255.0#n etwork in terfaceethl vrid 1#n etwork in terface eth2vrid 23) 設(shè)置心跳口屬性防火墻1#n etwork in terfaceeth3 ip add 10.0.0.1mask255.255.255.0ia-static防火墻2#network interfaceeth3ip add 10.0.0

19、.2mask255.255.255.(ha-static4) 指定防火墻的不同VRID組的優(yōu)先級。防火墻1#ha vrid 1 priority 200#ha vrid 1 preempt en able#ha vrid 2 priority 100#ha vrid 2 preempt disable防火墻2#ha vrid 1 priority 100#ha vrid 1 preempt disable#ha vrid 2 priority 200#ha vrid 2 preempt enable5）指定HA網(wǎng)口本地地址以及對端地址 防火墻1#ha mode aa#ha local 10.0

20、.0.1#ha peer10.0.0.2# ha rtos ync acke nable#ha rtcon fig-s yncen able#ha en able防火墻2#ha mode aa#ha local 10.0.0.2#ha peer 10.1.1.1# ha rtosync ackenable#ha rtconfig-syncenable#ha enable注意事項無。Trunk 口下的負載均衡模式基本需求圖 3 Trunk 口下負載均衡模式的網(wǎng)絡(luò)拓撲圖上圖是一個簡單的利用 Trunk 接口進行負載均衡的拓撲圖，防火墻 1和防 火墻 2并聯(lián)工作，兩個防火墻的 Eth2 接口間由一條

21、心跳線相連用來同步狀態(tài) 及配置信息，兩個防火墻的 Eth1 口為 trunk 口，同時屬于 vlan1 和 vlan2，vlan1 屬于同一 vridl （防火墻1的優(yōu)先級高于防火墻2）、vian2屬于同一 vrid2 （防 火墻 2的優(yōu)先級高于防火墻 1），這樣兩臺防火墻均正常工作時，網(wǎng)段 1 通過 防火墻 1 利用電信鏈路上網(wǎng)，網(wǎng)段 2通過防火墻 2利用網(wǎng)通鏈路上網(wǎng)。當其中 一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點配置ethO 口配置VRID組內(nèi)接口配置心跳口配置防火墻的不同VRID組的優(yōu)先級配置HA功能WEBUI配置步驟1）

22、配置 ethO 口防火墻1a） 點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊接口ethO 條目后的“設(shè)置”圖標，設(shè)定其IP地址為“ 192.168.83.237/24，如下圖所示。參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。b）點擊“確定”按鈕保存配置。防火墻2配置防火墻2的通信用IP地址為“ 202.1.1.2/24,具體步驟請參見防火墻1的配置。2）配置兩臺防火墻上 ethl 口為trunk 口，屬于VLAN1和VLAN2配置兩臺防火墻的ethl 口為trunk 口，屬于VLAN1和VLAN2 ; VLAN1虛 接口互相備份，VLAN2虛接口也互相備份，需要設(shè)定相同的IP地址和vrid。

23、防火墻1和防火墻2a）選擇 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊 ethl接口 后的“設(shè)置”圖標，配置接口信息，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”即可。b）點擊網(wǎng)絡(luò)管理 二層網(wǎng)絡(luò)，并選擇“ VLAN ”頁簽，點擊“添加/刪 除VLAN范圍”添加VLAN，設(shè)置VLAN虛接口的屬性，如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。c）點擊網(wǎng)絡(luò)管理 二層網(wǎng)絡(luò)，然后選擇“ VLAN ”頁簽，點擊vian.OOO1 后的“修改”字段，設(shè)置 VLAN虛接口 vian.0001的IP地址為172.16.0.2/24 如下圖所示。參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。點擊“高級屬性”后的復選

24、框，設(shè)置vian.0001接口屬于vridl,如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕即可d）點擊網(wǎng)絡(luò)管理 二層網(wǎng)絡(luò)，然后選擇“ VLAN ”頁簽，點擊vian.0002 后的“修改”字段，設(shè)置 VLAN虛接口 vian.0002的IP地址為172.16.1.3/24 如下圖所示。參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。點擊“高級屬性”后的復選框，設(shè)置vlan.0002接口屬于vrid2,如下圖所示。參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口 IP為同一 個網(wǎng)段的不同IP （分別為10.0.0.1/24和 10.0.0.2/2

25、4，并且必須勾選“ha-statiC 選項。防火墻1a） 點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，在 eth2接口后 點擊“設(shè)置”圖標，為該接口配置進行同步HA設(shè)置的地址，如下圖所示。b）參數(shù)設(shè)置完成后，點擊“添加”按鈕，然后點擊“確定”按鈕即可。防火墻2配置防火墻2的eth2 口 IP地址為“ 10.0.0.2/24,具體操作請參見防火墻1。4）配置防火墻的不同VRID組的優(yōu)先級設(shè)定防火墻1的vridl的優(yōu)先級為200, vrid2的優(yōu)先級為100。設(shè)定防火墻2的vridl的優(yōu)先級為100, vrid2的優(yōu)先級為200。設(shè)定后對vridl來說防火墻1 為主墻，防火墻2為備墻，對于vr

26、id2來說防火墻2為主墻，防火墻1為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失效后，重新恢復正常工作時，重獲 主墻地位。防火墻1a）選擇 高可用性 雙機熱備，選中“負載均衡”前的單選按鈕，然后 點擊“應(yīng)用”按鈕。b） 點擊“ Vrid ”右側(cè)的“添加”，配置vrid1的優(yōu)先級為200, “搶占”模 式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為100,如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。防火墻2a）選擇 高可用性 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應(yīng)用”按鈕b） 點擊“Vrid”右側(cè)的“添加”，配置vridl的優(yōu)先級為100,如下圖

27、所示參數(shù)配置完成后，點擊“確定”按鈕。c） 配置vrid2的優(yōu)先級為200,“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。5）配置HA功能防火墻1a）點擊高可用性 雙機熱備，然后選中“負載均衡”前的單選按鈕， 配置基本信息，如下圖所示。設(shè)置“本機地址”為心跳口 eth2的IP地址（10.0.0.1 。設(shè)置“對端地址”為另一臺墻心跳口eth2的IP地址（10.0.0.2，超過兩臺設(shè)備時，必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多 支持八臺對端設(shè)備）。“心跳間隔”可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互 通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異

28、常的重要參數(shù)，互 為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導致從墻的主從狀態(tài)的來 回切換。b）勾選“高級配置”左側(cè)的復選框，配置高級信息，如下圖所示c）參數(shù)設(shè)置完成后，點擊“應(yīng)用”按鈕保存配置d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。 防火墻2防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機地址為10.0.0.2對端地址為10.0.0.1CLI配置步驟1）設(shè)置ethl 口的IP地址。防火墻1#n etwork in terface eth1 ip add 192.168.83.23mask255.255.255.0 防火墻2#n etwork in terface

29、eth1 ip add 202.1.1.2mask255.255.255.02）設(shè)置備份接口屬性。分別在防火墻1和防火墻2上進行配置。#n etwork in terface eth0 switchport mode trunk# n etwork in terface eth0 switchport tr unk allowed-vla n1,2# n etwork vla n add ran ge1-2#n etwork in terface via n.OOOlip add172.16.0.2mask255.255.255.0#n etwork in terface via n.0002

30、ip add172.16.1.3mask255.255.255.0#n etwork in terfacevia n.0001vrid 1#n etwork in terfacevia n.0001vrid 23）設(shè)置心跳口屬性防火墻1#n etwork in terfaceeth2ip add 10.0.0.1mask255.255.255.0ia-static防火墻2#n etwork in terface eth2ip add 10.0.0.2mask255.255.255.0ia-static4）指定防火墻的不同VRID組的優(yōu)先級。防火墻1#ha vrid 1 priority 200

31、#ha vrid 1 preempt en able#ha vrid 2 priority 100#ha vrid 2 preempt disable防火墻2#ha vrid 1 priority 100#ha vrid 1 preempt disable#ha vrid 2 priority 200#ha vrid 2 preempt enable5）指定HA網(wǎng)口本地地址以及對端地址 防火墻1#ha mode aa#ha local 10.0.0.1#ha peer10.0.0.2# ha rtos ync acke nable#ha rtcon fig-s yncen able#ha en

32、 able防火墻2#ha mode aa#ha local 10.0.0.2#ha peer 10.0.0.1# ha rtosync ackenable#ha rtconfig-syncenable#ha enable注意事項無。連接保護模式基本需求圖4連接保護模式拓撲圖上圖是一個簡單的連接保護模式拓撲圖，四臺防火墻并行工作，防火墻的 Eth2 口為心跳口（IP 地址分別為 “ 10.1.1.1/24、“ 10.1.1.2/24、“ 10.1.1.3/24和“10.1.1.4/24），通過HUB （或交換機）相連用來協(xié)商狀態(tài)及同步對象 和配置。當兩臺/多臺防火墻均正常工作時，由上下游的設(shè)備通

33、過運行VRRP或HSRP進行冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)，所有防火墻處于負 載分擔狀態(tài)，當其中一臺發(fā)生故障時，上下游設(shè)備經(jīng)過協(xié)商后會將其上的數(shù) 據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。配置要點配置防火墻心跳口配置防火墻中除心跳口以外的接口配置HA屬性設(shè)置關(guān)閉連接表的嚴格狀態(tài)檢測功能WEBUI配置步驟1）配置防火墻心跳口。防火墻1HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ ha-statiC選項。a）點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊eth2接口 后的“設(shè)置”圖標，配置基本信息，如下圖所示。點擊“確定”按鈕保存配置。b）點擊eth2接

34、口后的“設(shè)置”圖標，在“路由模式”下方配置心跳口的IP地址，然后點擊“添加”按鈕，如下圖所示?！癶a-static選項必須勾選，否則運行狀態(tài)同步時IP地址信息也會被同步。點擊“確定”按鈕保存配置。防火墻2設(shè)置防火墻2的心跳口 IP地址為“ 10.1.1.2/24，其操作與防火墻1的設(shè) 置方法相同，具體請參加防火墻1的配置步驟。防火墻3 設(shè)置防火墻3的心跳口 IP地址為“ 10.1.1.3/24,其操作與防火墻1的設(shè)置方法相同，具體請參加防火墻1的配置步驟。防火墻4設(shè)置防火墻4的心跳口 IP地址為“ 10.1.1.4/24，其操作與防火墻1的設(shè)置方法相同，具體請參加防火墻1的配置步驟。2）配置防

35、火墻中除心跳口以外的接口。防火墻1a）配置 Eth0 口 IP 為 172.16.1.2點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊eth0接口后的“設(shè)置”圖標。在“路由模式”下方配置Eth0 口的IP地址，然后點擊“添加”按鈕，如 下圖所示。點擊“確定”按鈕保存配置。b）配置 Eth1 口 IP 為 10.10.10.2點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，點擊eth1接口后的“設(shè)置”圖標。在“路由模式”下方配置Eth1 口的IP地址，然后點擊“添加”按鈕，如下圖所示。點擊“確定”按鈕保存配置。 防火墻2a）配置 Eth0 口 IP 為 172.16.1.3b）配置 Eth

36、1 口 IP 為 10.10.10.3操作步驟與防火墻1完全一致，請參照防火墻1進行配置 防火墻3a）配置 Eth0 口 IP 為 172.16.1.4b）配置 Eth1 口 IP 為 10.10.10.4操作步驟與防火墻1完全一致，請參照防火墻1進行配置 防火墻4a）配置 Eth0 口 IP 為 172.16.1.5b）配置 Eth1 口 IP 為 10.10.10.5操作步驟與防火墻1完全一致，請參照防火墻1進行配置3）配置HA屬性。指定HA網(wǎng)口本地地址以及對端地址，并啟用運行對象同步功能防火墻1a）點擊高可用性 雙機熱備，選中“連接保護”前的單選按鈕，配置 基本信息，如下圖所示。設(shè)置本機

37、地址為心跳口 Eth2的IP地址（10.1.1.1 ；設(shè)置對端地址為eth2 口的子網(wǎng)廣播地址（10.1.1.255，當只有兩臺防火 墻并行工作時，建議設(shè)置為單播地址；b）勾選“高級配置”左側(cè)的復選框，配置高級信息，如下圖所示。c）參數(shù)設(shè)置完成后，點擊“應(yīng)用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該連接保護模式，心跳口連接建立，如下圖 所示。防火墻2防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機地址為10.1.1.2對端地址為10.1.1.255防火墻3防火墻3的操作請參見防火墻1的配置，需要設(shè)置本機地址為10.1.1.3對端地址為10.1.1.255防火墻4防火墻4的操作請參見防火墻1的

38、配置，需要設(shè)置本機地址為10.1.1.4對端地址為10.1.1.2554）設(shè)置關(guān)閉連接表的嚴格狀態(tài)檢測功能。防火墻1、防火墻2、防火墻3和防火墻4a） 點擊系統(tǒng)管理 配置，然后選擇“系統(tǒng)參數(shù)”頁簽，選中“高級屬 性”前的復選框，在“網(wǎng)絡(luò)參數(shù)”處設(shè)置關(guān)閉連接完整性檢查功能，如下圖 所示。b）參數(shù)設(shè)置完成后，點擊“應(yīng)用”按鈕即可。CLI配置步驟1）配置防火墻心跳口屬性。防火墻1#n etwork in terfaceeth2ip add 10.1.1.1mask255.255.255.0ia-static防火墻2#n etwork in terfaceeth2ip add 10.1.1.2mask

39、255.255.255.（ha-static防火墻3#n etwork in terfaceeth2ip add 10.1.1.3mask255.255.255.（ha-static防火墻4#n etwork in terfaceeth2ip add 10.1.1.4mask255.255.255.0ia-static2）配置防火墻中除心跳口以外的接口屬性。防火墻1、防火墻2、防火墻3和防火墻4#n etwork vlan add id 100#n etwork in terface eth0 switchport#n etwork in terface eth0 switchport mod

40、e trunk#n etwork in terface eth0 switchport mode trunk allowed-vla n100#n etwork in terface eth1 switchport#n etwork in terfaceeth1 switchport mode trunk#n etwork in terfaceeth1 switchport mode trunk allowed-vla n1003）配置HA的工作模式及心跳口的本地地址和對端地址。防火墻1#ha mode lb#ha local 10.1.1.1#ha peer 10.1.1.255# ha r

41、tos ync acke nable#ha rtcon fig-s yncen able防火墻2#ha mode lb#ha local 10.1.1.2#ha peer 10.1.1.255# ha rtos ync acke nable#ha rtcon fig-s yncen able防火墻3#ha mode lb#ha local 10.1.1.3#ha peer 10.1.1.255# ha rtos ync acke nable#ha rtcon fig-s yncen able防火墻4#ha mode lb#ha local 10.1.1.4#ha peer 10.1.1.255

42、# ha rtos ync acke nable#ha rtcon fig-s yncen able4）設(shè)置關(guān)閉連接表的嚴格狀態(tài)檢測功能。防火墻1、防火墻2、防火墻3和防火墻4#n etwork sessi on sessi on-i ntegrityff注意事項如果用戶網(wǎng)絡(luò)拓撲中有可能存在這樣的情況：建立連接請求發(fā)送的 SYN 包經(jīng)過一臺防火墻，而返回的 SYN/ACK包通過另一臺防火墻轉(zhuǎn)發(fā)，則必須 要關(guān)閉嚴格狀態(tài)檢測開關(guān)。當SYN包通過墻A時，墻A上建立了一條狀態(tài)為handshake的連接，同 步到B墻上時，為了避免重復同步連接，B墻上連接狀態(tài)為ESTABLISHED狀態(tài)；此時如果SYN/

43、ACK報文從B墻的路徑返回，發(fā)現(xiàn)墻上已經(jīng)有一條ESTABLISHED的連接，就會把 ACK包丟棄，導致client和server端無法真正建立起連接來，通信失敗。此時，如果把嚴格狀態(tài)檢測開關(guān)off的話，ACK 包到達B墻，雖然發(fā)現(xiàn)已經(jīng)有一條ESTABLISHED的連接，但也會放過，報 文回復到client端時，就可以握手成功了。子接口的負載均衡模式基本需求圖5子接口負載均衡模式的網(wǎng)絡(luò)示意圖上圖是一個簡單的利用子接口進行負載均衡的示意圖。防火墻A和防火墻B并聯(lián)工作，兩個防火墻的EthO接口間由一條心跳線相連用來同步狀態(tài)及 配置信息；兩個防火墻的子接口 veth1.01和veth2.01屬于VRI

44、D10 （防火墻B 的優(yōu)先級高于防火墻A）;兩個防火墻的子接口 veth1.02和veth2.02屬于 VRID20 （防火墻A的優(yōu)先級高于防火墻B）。這樣，兩臺防火墻均正常工作 時，網(wǎng)段“ 172.16.0.0/24的流量通過防火墻A進行轉(zhuǎn)發(fā)，網(wǎng)段“ 172.16.1.0/24 的流量通過防火墻B進行轉(zhuǎn)發(fā)。當其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流 會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點配置備份子接口配置心跳口配置防火墻的不同VRID組的優(yōu)先級配置HA功能WEBUI配置步驟1）配置備份子接口防火墻Aa）點擊 網(wǎng)絡(luò)管理 接口，激活“子接口”頁簽，然后點擊“添加/刪

45、除子接口”，添加 ethl接口的子接口 vethl.01和veth1.02b） 點擊 網(wǎng)絡(luò)管理 接口，激活“子接口”頁簽，然后點擊“添加/刪除子接口”，添加 eth2接口的子接口 veth2.01和veth2.02c）在子接口列表中，分別點擊各個子接口條目右側(cè)的“屬性”圖標，配置 veth1.01 的 IP 地址為 192.168.0.1 屬于 VRID10 ;配置 veth1.02的 IP 地址 為 192.168.0.2 屬于 VRID20;配置 veth2.01 的 IP 地址為 172.16.0.1 屬于 VRID10 ;配置veth2.02的IP地址為172.16.1.1屬于VRID

46、20，如下圖所示。防火墻B配置防火墻B的備份子接口，與防火墻 A的配置完全相同，此處不再贅 述。2）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口IP為同一個網(wǎng)段的不同IP （分別為10.0.0.1/24和10.0.0.2/24,并且必須勾選“ ha-stati（” 選項。防火墻Aa）點擊 網(wǎng)絡(luò)管理 接口，然后選擇“物理接口”頁簽，在eth0接口后點擊“設(shè)置”圖標，為該接口配置進行同步HA設(shè)置的地址，如下圖所示。b）參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。防火墻B配置防火墻B的eth0 口 IP地址為“ 10.0.0.2/24,具體操作請參見防火 墻A。3）配置防火墻的不同

47、VRID組的優(yōu)先級。設(shè)定防火墻A的VRID10的優(yōu)先級為100, VRID20的優(yōu)先級為200。設(shè) 定防火墻B的VRID 10的優(yōu)先級為200, VRID 20的優(yōu)先級為100=因此，對 VRID 10來說防火墻B為主墻，防火墻A為備墻；對于VRID 20來說防火墻 A為主墻，防火墻B為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失 效后，重新恢復正常工作時，重獲主墻地位。防火墻Aa）選擇 高可用性 雙機熱備，然后選中“負載均衡”前的單選按鈕 b）點擊“熱備組”右側(cè)的“添加”，配置 VRID 10的優(yōu)先級為100,如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置VRID20的優(yōu)先級為200,“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。防火墻Ba）選擇 高可用性 雙機熱備，然后選中“負載均衡”前的單選按鈕。b）點擊“熱備組”右側(cè)的“添加”，配置 VRID10的優(yōu)先級為200, “搶 占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置VRID20的優(yōu)先級為100,如下圖所示。