防火墙双机热备3.3配置案例
双机热备安装部署方案(heartbeat pacemaker)
双机热备安装部署方案(heartbeat 3.x +pacemaker)by——商胜前言双击热备用一句通俗易懂的话来说就是避免服务器因临时故障而导致服务中断的一种备份技术,这也就是所谓的高可用性。
本文主要是用heartbeat来针对resin下的服务做服务热备。
例如,在resin下现有三个服务server1 、server2 、server3 以及访问这三个服务的虚拟ip——vip:10.3.255.36 。
现在的需求是要保证这三个服务的高可用性,即当三个服务中的任何一个宕掉了以后,heartbeat首先要做的是判断这些服务是否有故障的,如果存在有故障的服务,heartbeat首先会在本机重启该故障服务,一旦该服务无法启动,则停止本机的server1、server2 、server3,切换虚拟ip到从机并在从机上启动这三个服务。
一.测试环境搭建测试环境说明:操作系统:Red Hat Enterprise Linux Server release 5.4 (Tikanga) 64位操作系统Heartbeat版本:heartbeat-3.0.3-2 附录中有heartbeat简介以及版本说明操作系统配置主服务器备用服务器主机名HB_Node01 HB_Node02Ip Eth0: 10.3.43.99Eth1: 192.168.254.12 Eth0: 10.3.43.99Eth1: 192.168.254.12vip 10.3.43.101(由heartbeat中生成)添加用户、用户组添加用户:hacluster useradd -M hacluster添加用户组:haclient groupadd haclient并且hacluster 属于用户组haclient usermod -G haclient hacluster主机名配置方式:设置主机名[root@localhost ~]# hostname HB_Node01[root@localhost ~]# vi /etc/hosts[root@localhost ~]# vi /etc/sysconfig/networkIp配置方式配置ip[root@HB_Node01 ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0 [root@HB_Node01 ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth1(这里给出的是命令行配置方式,也可以进入图形界面进行配置)注意的问题:配置外网ip时配置默认网关,但在配置heartbeat1之间通信的ip时网关不要配置,因为这里再配置网关则会覆盖之前配置的默认网关导致通信异常。
防火墙双机热备配置案例
双机热备网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。
在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。
当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。
在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。
每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。
在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。
当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。
配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1)配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。
接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。
➢主墙a)配置HA心跳口地址。
①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。
点击“确定”按钮保存配置。
防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置
7)??在NGFW_D上配置IPSec。
双机热备状态成功建立后,NGFW_C上配置的ACL、IPSec策略(包括其中的IPSec安全提议,IKE对等体)等都会自动备份到NGFW_D上。只有在接口上应用IPSec策略的配置不会备份,需要在此手动配置。
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]?ike-peerngfw_b?
HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]?quit
6)??配置在Tunnel接口上应用IPSec策略。
【强叔点评】之前点评中提到我们需要在NGFW_C的tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道,这是通过在应用IPSec策略时设定active或standby参数来实现的。
1、??如何使两台防火墙形成双机热备负载分担状态?
两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrptrack命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置
论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSecVPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSecVPN又该如何操作呢?有什么需要注意的地方呢?
这个想法很好,但是如何实现呢?我们可以在NGFW_C上创建两个tunnel接口,然后在tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道。同理在NGFW_D的tunnel1上与NGFW_A建立一条备份隧道,在tunnel2上与NGFW_B建立一条主用隧道。这里需要注意的是NGFW_C上的tunnel1(tunnel2)地址需要与NGFW_D上的tunnel1(tunnel2)地址保持一致。
【8A版】SecPath-防火墙双机热备典型配置
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
实例解读:网络设备热备部署的三种模式
实例解读:⽹络设备热备部署的三种模式在⽹络和数据中⼼的核⼼区域,⽹络和服务器的热备部署已是⾮常普遍的部署模式。
下⾯就⽤三则实例介绍⽹络中,⽹络设备常⽤的热备部署模式。
以便⼤家在以后的⼯作中,能够根据⾃⼰的⽹络实际情况,选择正确的⽹络设备热备部署模式。
图1 ⼆层交换机的热备份部署模式⼀、⼆层交换机的热备份部署模式这种热备份部署模式在⽹络中也是最常见、最简单的部署⽅式,⼀般在⽹络的分布层⽐较常见。
为了实现交换机的冗余性,或者为了保障连接在交换机上的服务器的持续稳定运⾏,通常采⽤这种部署⽅式。
因为服务器的运⾏,⼀般都要保证7X24⼩时的连续运转。
所以,采⽤这种部署模式也⽐较合适。
如图1所⽰,是⼆层交换机的热备份部署拓扑图,共包括两台Cisoc 2960交换机和两台服务器,结构⽐较清晰。
设备间的连接情况如下所⽰:Cisco2960A GigabitEthernet0/1 <-----> Server1 Eth0Cisco2960A GigabitEthernet0/2 <-----> Server2 Eth0Cisco2960B GigabitEthernet0/1 <-----> Server1 Eth1Cisco2960B GigabitEthernet0/2 <-----> Server2 Eth1Cisco2960A GigabitEthernet0/24 <-----> Cisco2960B GigabitEthernet0/24Server1 Eth2 <-----> Server2 Eth2Server1的IP地址为192.168.2.11,⼦⽹掩码为255.255.255.0,Server2的IP地址为192.168.2.12,⼦⽹掩码为255.255.255.0。
两台服务器上的Eth0和Eth1两块⽹卡是绑定在⼀起的,例如Server1的Eth0和Eth1的两块⽹卡与外部进⾏数据通信时,两个⽹卡使⽤的IP地址都是192.168.2.11/24,若⼀块⽹卡故障的话,另⼀块⽹卡会继续保持与外界的通信,并不会影响服务器的正常运⾏。
华为防火墙(VRRP)双机热备配置及组网
防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。
防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
HRP命令行配置说明HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP 是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。
不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。
在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。
两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。
防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
USG防火墙双机热备业务特性与配置
前言
在当前的组网应用中,用户对网络可靠性的要求越来越高, 特别是在一些重要的业务入口或接入点上需要保证网络不间 断运行。对于这些重要的业务点如何保证网络的不间断传输, 成为必须解决的一个问题。 本胶片主要介绍防火墙的双机热备份技术原理和具体配置, 以及在USG防火墙上实施双机热备份技术所使用的三种协议: VRRP、VGMP和HRP。
VGMP数据通道
TrustUSG A来自A1Master
A3
A2
A4
A4-B4
DMZ
B1
B4
B2
B3
Backup
USG B
Untrust
防火墙状态信息的备份
VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙 出现故障时,所有流量都将切换到备防火墙。但USG防火墙 是状态防火墙,如果备防火墙上没有原来主防火墙上的连接 状态数据,则切换到备防火墙的很多流量将无法通过,造成 现有的连接中断,此时用户必须重新发起连接。 为了实现主用设备出现故障时能由备用设备平滑地接替工作, 需要在主、备用设备之间备份关键配置命令和会话表状态等 关键信息。
Trust
备份组1
Virtual IP Address 10.100.10.1
USG A Master
10.100.10.0/24 DMZ
10.100.20.0/24
备份组2 Virtual IP Address
10.100.20.1
USG B Backup
Untrust
备份组3 Virtual IP Address
混合模式是指USG的业务端口工作在透明模式下,而HRP备份通 道接口工作在路由模式下。
路由模式和混合模式都包含两种组网方式:
SecPath_防火墙双机热备典型配置
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
双机热备网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。
在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。
当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。
在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。
每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。
在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。
当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。
配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1)配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。
接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。
➢主墙a)配置HA心跳口地址。
①点击网络管理> 接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。
点击“确定”按钮保存配置。
②点击eth2接口后的“设置”图标,在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮,如下图所示。
“ha-static”选项必须勾选,否则运行状态同步时IP地址信息也会被同步。
点击“确定”按钮保存配置。
b)配置Eth1和Eth0口的IP地址。
配置Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20,具体操作请参见配置HA心跳口地址。
说明✧互为备份的接口必须配置相同的IP地址,所以主墙的Eth1口必须与从墙Eth1口的IP地址相同,主墙的Eth0口必须与从墙Eth0口的IP地址相同。
➢从墙a)配置HA心跳口地址。
配置从墙HA心跳口地址为10.1.1.2,具体步骤请参见主墙的配置,此处不再赘述。
b)配置Eth1和Eth0口的IP地址。
配置从墙Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20,具体步骤请参见主墙的配置,此处不再赘述。
2)设置除心跳口以外的其余通信接口属于VRID2。
主备模式下,只能配置一个VRRP备份组,而且通信接口必须加入到具体的VRID组中,防火墙才会根据此接口的up、down状态,来判断本机的工作状态,以进行VRID组内主备状态的切换。
➢主墙a)选择网络管理> 接口,然后选择“物理接口”页签,在除心跳口以外的接口后点击“设置”图标(以eth0为例)。
b)勾选“高级属性”后的复选框,设置该接口属于vrid2,如下图所示。
c)参数设置完成后,点击“确定”按钮保存配置。
➢从墙具体步骤请参见主墙的配置,此处不再赘述。
3)指定HA的工作模式及心跳口的本地地址和对端地址。
需要设置HA工作在“双机热备”模式下,并设置当前防火墙为主墙或从墙,心跳口的本地及对端IP地址信息、心跳间隔等属性。
➢主墙a)选择高可用性> 双机热备,选中“双机热备”前的单选按钮,配置基本信息,如下图所示。
设置本机地址为心跳口eth2的IP地址(10.1.1.1);设置对端地址为从墙心跳口eth2的IP地址(10.1.1.2),超过两台设备时,必须将“对端地址”设为本地地址所在子网的子网广播地址(最多支持八台对端设备);心跳探测间隔可以使用默认值(1秒),心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔,也是用于检测对端设备是否异常的重要参数,互为热备的防火墙的此参数必须设置一致,否则很可能导致从墙的主从状态的来回切换;设置热备组为通信接口的VRID(2);选择身份为“主机”;“抢占”模式,是指主墙宕机后,重新恢复正常工作时,是否重新夺回主墙的地位。
只有当主墙与从墙相比有明显的性能差异时,才需要配置主墙工作在“抢占”模式,否则当主墙恢复工作时主从墙的再次切换浪费系统资源,没有必要。
案例中两台防火墙相同,所以主墙不需要配置为“抢占”模式。
b)勾选“高级配置”左侧的复选框,进行高级配置,如下图所示。
c)参数设置完成后,点击“应用”按钮保存配置。
d)点击“启用”按钮,启动该主备模式,心跳口连接建立,如下图所示。
➢从墙配置操作和主墙的基本相同,但注意身份为“从属机”,本机地址为10.1.1.2,对端地址为10.1.1.1,不选择“抢占”。
4)主从防火墙的配置同步在主墙点击“从本机同步到对端机”,将主墙的当前配置同步到从墙。
至此,主墙和从墙的双机热备就可以正常使用了。
CLI配置步骤1)配置HA的交互IP(心跳线相连的两个端口)➢主墙# network interface eth2ip add10.1.1.1 mask 255.255.255.0 ha-static#network interface eth0vrid2#network interface eth1vrid2➢从墙# network interface eth2ip add 10.1.1.2mask255.255.255.0ha-static#network interface eth0 vrid2#network interface eth1 vrid22)指定HA网口本地地址以及对端地址➢主墙# ha mode as# ha local10.1.1.1# ha peer10.1.1.2# ha as-vrid 2#ha vrid 2 priority 254# ha vrid 2preempt disable# ha enable➢从墙# ha mode as# ha local 10.1.1.2# ha peer 10.1.1.1# ha as-vrid 2# ha vrid2priority 100# ha vrid 2preempt disable# ha enable注意事项1)当主墙或从墙配置发生变更后,手工同步配置可以保证主从墙配置的一致性。
2)TOS3.3防火墙的接口均为自适应接口,HA接口之间的连接可以使用交叉线也可以使用直连线。
路由接口下的负载均衡模式基本需求图 2路由接口下负载均衡模式的网络拓扑图上图是一个简单的利用物理接口进行负载均衡的拓扑图,防火墙1和防火墙2并联工作,两个防火墙的Eth3接口间由一条心跳线相连用来同步状态及配置信息;两个防火墙的Eth1口属于同一vrid1(防火墙1的优先级高于防火墙2);接口Eth2属于同一vrid2(防火墙2的优先级高于防火墙1)。
两台防火墙均正常工作时,网段1通过防火墙1利用电信链路上网,网段2通过防火墙2利用网通链路上网。
当其中一条链路发生故障时,其上的数据流会自动切换,通过另一台防火墙转发,从而实现两台防火墙的负载均衡。
配置要点➢配置eth0口➢配置VRID组内接口➢配置心跳口➢配置防火墙的不同VRID组的优先级➢配置HA功能WEBUI配置步骤1)配置eth0口➢防火墙1a)点击网络管理> 接口,然后选择“物理接口”页签,点击接口eth0条目后的“设置”图标,设定其IP地址为“192.168.83.237/24”,如下图所示。
参数设置完成后,点击“添加”按钮即可。
b)点击“确定”按钮保存配置。
➢防火墙2配置防火墙2的IP地址为“202.1.1.2/24”,具体步骤请参见防火墙1的配置。
2)配置备份接口设定两台防火墙上eth1口和eth2口互相备份。
两台防火墙的eth1口需要设定相同的IP地址和VRID;两台防火墙的eth2口也需要设定相同的IP地址和VRID。
➢防火墙1a)点击网络管理> 接口,然后选择“物理接口”页签,点击eth1接口后的“设置”图标,配置eth1接口IP地址为172.16.0.2/24,如下图所示。
选中“高级属性”后的复选框,设置eth1的vrid值为1,如下图所示。
参数设置完成后,点击“确定”按钮即可。
b)点击eth2接口后的“设置”图标,配置eth2接口IP地址为172.16.1.3/24,如下图所示。
选中“高级属性”后的复选框,设置eth2的vrid值为2,如下图所示。
参数设置完成后,点击“确定”按钮即可。
➢防火墙2防火墙2的配置与防火墙1完全一致,具体操作请参见防火墙1。
3)配置心跳口连接心跳线的HA通信接口必须工作在路由模式下,设定心跳口IP为同一个网段的不同IP(分别为10.0.0.1/24和10.0.0.2/24),并且必须要勾选“ha-static”选项。
➢防火墙1a)点击网络管理> 接口,然后选择“物理接口”页签,在eth3接口后点击“设置”图标,配置该接口为进行同步HA设置的IP地址,如下图所示。
b)参数设置完成后,点击“添加”按钮,然后点击“确定”按钮即可。
➢防火墙2配置防火墙2的eth3口IP地址为“10.0.0.2/24”,具体操作请参见防火墙1的配置。
4)指定防火墙的不同VRID组的优先级。
设定防火墙1的vrid1的优先级为200,vrid2的优先级为100。
设定防火墙2的vrid1的优先级为100,vrid2的优先级为200。
设置完成后,对于vrid1来说,防火墙1为主墙,防火墙2为备墙;对于vrid2来说,防火墙2为主墙,防火墙1为备墙。
并且设置主墙为“抢占”模式,即主墙能在失效后,重新恢复正常工作时,重获主墙地位。
➢防火墙1a)选择高可用性> 双机热备,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。
b)点击“Vrid”右侧的“添加”,配置vrid1的优先级为200,“抢占”模式,如下图所示。
参数配置完成后,点击“确定”按钮。
c)配置vrid2的优先级为100,如下图所示。
参数配置完成后,点击“确定”按钮。
➢防火墙2a)选择高可用性> 双机热备,选中“负载均衡”前的单选按钮,然后点击“应用”按钮。
b)点击“Vrid”右侧的“添加”,配置vrid1的优先级为100,如下图所示。