SonicWALL 防火墙 HA 配置

SonicWALL 防火墙 HA 配置

网络连接如下图所示：

SonicWALL HA是Active/Passive方式的HA，配置界面相当简单，所有配置只需要在主设备上配置，备用设备会自动同步主设备的配置。配置主设备时，不要打开备用设备电源，待主设备配置完毕之后，连接好物理线路，打开备用设备电源，备用设备自动与主设备同步全部的配置信息。

注意：备用设备要和主设备采用同样的操作系统版本号。如果备用设备启用UTM的功能，那么备用设备要提前注册，拿到全部的UTM的授权。主设备的UTM License不会同步到备用设备。

1．进入主设备的管理界面https://192.168.168.168, 默认的LAN口IP地址，用户名是 admin, 密码password

2．进入Network->Interfaces界面，配置X1口（WAN），X0口（LAN）的IP地址。这里X1口是WAN口，IP 地址218.247.156.9, 这个地址将成为HA发生切换之后WAN口的虚拟地址，从WAN外部通过

218.247.156.9能访问到当前工作的设备，即如果主设备宕机，那么通过这个地址访问到的是备用设备。

X0 口IP地址用默认的 192.168.168.168. 这个地址将成为HA发生切换之后LAN口的虚拟地址，从LAN 内部通过192.168.168.168能访问到当前工作的设备，即如果主设备宕机，那么通过这个地址访问到的是备用设备。

3．进入Hardware Failover->Setting 界面，选中Enable Hardware Failover激活HA配置，点右上角的Apply按钮使HA生效。如果希望主设备恢复后立刻切换回到主设备工作，那么选中Enable Preempt Mode，点右上角的Apply按钮使之生效.

4．进入Hardware Failover->Monitoring界面，点X0口的配置按钮，

5．在Interface X0 Monitoring Settings界面的Primary IP Address, Backup IP Address分别填写主/备设备的管理IP地址。通过192.168.168.169访问到的永远是主设备, 通过192.168.168.170访问到的永远是备用设备。即使因为主设备故障发生了切换也是如此（如果主设备故障时间还可以被访问的话）。Probe IP Address是探测地址，通常设置成与防火墙相连的三层交换的端口地址，探测此条路径是否正常。这个探测结果也可以触发HA切换。如主设备到与防火墙相连的三层交换的端口探测失败，而备用设备的探测成功，那么将发生主备切换。

6．在Interface X1 Monitoring Settings界面的Primary IP Address, Backup IP Address分别填写主/备设备的管理IP地址。通过218.247.156.10访问到的永远是主设备, 通过218.247.156.11访问到的永远是备用设备。即使因为主设备故障发生了切换也是如此（如果主设备故障时间还可以被访问的话）

Probe IP Address是探测地址，通常设置成防火墙上游路由器的IP地址，探测此条路径是否正常。这个探测结果也可以触发HA切换。如主设备到上游路由器的IP地址探测失败，而备用设备的探测成功，那么将发生主备切换。

7．如图连接好线路，打开备用设备的电源。备用设备的配置会与主设备同步，然后自动重新启动。

HA配置全部完成。

在第五，六两个步骤里配置的X0和X1口的Primary IP Address, Backup IP Address只是用来管理主设备和备用设备。本例中的192.168.168.168，218.247.156.9在发生切换时，在两个设备上浮动，既备用设备处于活动状态时，内部发给192.168.168.168的数据将被处于活动状态的备用设备处理。那么是如何实现的呢？

ARP表的更新

当发生主备设备切换时，由于主设备和备用设备的Ethernet网卡的MAC地址不同，防火墙上游路由器和下游的三层交换机（如果有的话）的ARP表必须及时更新。否则发生切换之后，如果下游三层交换机送给地址 192.168.168.168的数据仍然使用主设备X0 口的MAC地址，那么放火墙将丢弃所有的数据，因为MAC 地址不是备用设备X0口的MAC地址。同样，上游的路由器的ARP表也必须更新，否则送给218.247.156.9的数据如果采用主设备的X1口的MAC地址，放火墙也会丢弃全部到达的数据。

SonicWALL 强制 ARP 表更新

为了避免上述讨论的ARP可能导致的问题，发生主备设备切换的同时，SonicWALL切换到活动状态的设备会在X0 口，X1 口分别广播ARP包，告诉上游路由器和下游的三层交换机或其它服务器更新ARP表，使它们知道到达虚拟IP地址192.168.168.168 , 218.247.156.9，分别发送到备用设备的X0口和X1口的MAC 地址。

注意：

目前的HA操作不是全状态切换。发生HA切换时，TCP连接要重新建立。现有的TCP连接，如FTP将会断开。IPSec VPN隧道也要重新建立，IPSec数据传输会短暂的中断，带新的VPN隧道协商完成后继续。

对于要求严格的环境，如银行要求的防火墙和VPN的全状态切换，发生切换时防火墙TCP连接，VPN隧道都不中断，目前的版本还不支持。

标签：SonicWALL防火墙HA配置

分类：Technical Doc