SecPath-防火墙双机热备典型配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换
摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:
目录
1 特性简介 (3)
1.1 双机热备的工作机制 (3)
2 特性使用指南 (4)
2.1 使用场合 (4)
2.2 配置指南 (4)
2.2.1 双机热备组网应用配置指南 (4)
2.2.2 双机热备应用涉及的配置 (4)
2.3 注意事项 (4)
3 支持的设备和版本 (5)
3.1 设备版本 (5)
3.2 支持的设备 (5)
3.3 配置保存 (5)
4 配置举例 (6)
4.1 典型组网 (6)
4.2 设备基本配置 (9)
4.2.1 其他共同配置: (9)
4.3 双机热备业务典型配置举例 (9)
4.3.1 透明模式+主备模式 (9)
4.3.2 透明模式+负载分担模式 (14)
4.3.3 路由模式+主备模式 (17)
4.3.4 路由模式+负载分担模式 (19)
4.3.5 路由模式+主备模式+支持非对称路径 (21)
4.3.6 路由模式+负载分担模式+支持非对称路径 (28)
4.3.7 动态路由模式组网 (33)
5 相关资料 (33)
1 特性简介
双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制
互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。另外需要使用专有的备份链路口进行会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高可靠性及高性能。
A.在命令行下无法配置双机热备,只能在WEB页面上配置;
WEB配置页面:
B.必须配置心跳口,心跳口也须在WEB页面上配置,指定一个物理口后保存,重启,
心跳口开始工作,心跳口在命令行和WEB页面下的接口管理中都不可见,但是双机
热备配置页面下可见。
C.没有主备设备之分,工作中的设备称为主用设备比较合适些,两台防火墙的会话信
息相互备份,主用设备上产生的会话会自动通过心跳口备份到备用设备上,目前只
有稳态的会话才会进行备份;
D.主要有两种模式的组网:静态路由模式和动态路由模式,静态路由模式组网依赖于
VRRP,当一台设备Down机后,Vrrp的主备状态发生切换,工作的防火墙随之切换;
动态路由模式依赖于动态路由协议,由于动态路由协议进行路由学习比VRRP切换
慢,所以路由模式的双机热备主用设备切换时间较长;在这两种组网的基础上又可
以配置为双主用模式、主备用模式;
E.目前版本仅支持对称路径的双机热备份,即报文来回都要通过同一台防火墙;若出
报文从A出,回来的报文从B返回的话,称为非对称路径,在以后的版本将支持非对
称的报文转发。
2 特性使用指南
2.1 使用场合
Secpath防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。
2.2 配置指南
2.2.1 双机热备组网应用配置指南
双机热备典型组网应用包括以下内容:
●透明模式+主备模式
●透明模式+负载分担模式
●路由模式+主备模式
●路由模式+负载分担模式
●路由模式+主备模式+支持非对称路径
●路由模式+负载分担模式+支持非对称路径
2.2.2 双机热备应用涉及的配置
用户必须在Web设置双机热备功能,命令行无法配置。
2.3 注意事项
双机热备关于Web配置根据具体实例再作说明。
3 支持的设备和版本
3.1 设备版本
[f5000a-1]_dis ver
H3C Comware Platform Software
Comware Software, Version 5.20, Beta 3203
Comware Platform Software Version COMWAREV500R002B62D001
H3C SecPath F5000-A5 Software Version V300R002B01D012
Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
Compiled Oct 31 2008 14:56:27, RELEASE SOFTWARE
H3C SecPath F5000-A5 uptime is 0 week, 0 day, 0 hour, 51 minutes
CPU type: RMI XLR732 1000MHz CPU
2048M bytes DDR2 SDRAM Memory
4M bytes Flash Memory
MPUA PCB Version:Ver.A
SWBA PCB Version:Ver.A
MPUA Basic Logic Version:133.0
MPUA Extend Logic Version:133.0
SWBA Logic Version:132.0
MPUA LX30T FPGA Version: 3.08
Basic BootWare Version: 1.02
Extend BootWare Version: 1.02
[FIXED PORT] CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0
[FIXED PORT] AUX (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0
[FIXED PORT] M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0
[SUBCARD 1] NSQ1GT8C40 (Hardware)Ver.A, (Driver)1.0, (Cpld)134.0
[SUBSLOT 2] The SubCard is not present
[SUBSLOT 3] The SubCard is not present
[SUBSLOT 4] The SubCard is not present
3.2 支持的设备
Secpath F5000-A5
3.3 配置保存
每次配置完成后,注意进行配置的保存。
系统管理 > 配置维护 > 配置保存,点击<确定>。