1.1 业务需求
如图1-1所示,防火墙作为网络边界安全防护设备,连接企业内部网络和Internet。防火墙的上下行业务接口均为透明模式,上下行连接交换机。为增强业务稳定性,使用两台防火墙进行HA组网,两台设备同时处理业务,提高业务处理能力,充分利用硬件资源。当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
主备设备通过指定接口来进行远程带外管理。
设备 |
用途 |
接口 |
地址规划 |
Device A |
业务接口 |
Ge0/1 |
透明模式,br0 |
Ge0/2 |
透明模式,br0 |
||
Ge0/3 |
透明模式,br1 |
||
Ge0/4 |
透明模式,br1 |
||
HA心跳接口 |
Ge0/6 |
路由模式,1.1.1.1/24 |
|
HA数据同步接口 |
Ge0/7 |
路由模式,2.2.2.1/24 |
|
管理接口 |
Ge0/0 |
路由模式,172.17.149.202/24 |
|
Device B |
业务接口 |
Ge0/1 |
透明模式,br0 |
Ge0/2 |
透明模式,br0 |
||
Ge0/3 |
透明模式,br1 |
||
Ge0/4 |
透明模式,br1 |
||
HA心跳接口 |
Ge0/6 |
路由模式,1.1.1.2/24 |
|
HA数据同步接口 |
Ge0/7 |
路由模式,2.2.2.2/24 |
|
管理接口 |
Ge0/0 |
路由模式,172.17.149.204/24 |
1.2 配置限制与说明
l 目前组成HA的两台防火墙之间的接口配置支持同步,但是HA心跳接口、数据同步接口和管理接口的配置不支持同步。
l 在HA协商成功之前,组成HA的两台防火墙之间的HA配置不同步,所以在HA组网前配置设备运行模式、心跳接口、数据同步接口、心跳间隔、抢占模式、抢占延时时间和虚MAC前缀时需要人工来保证一致。
l 支持主备同步的配置,备设备上不支持配置修改;不支持主备同步的配置,备设备上支持配置修改。
l 心跳接口和数据同步接口支持物理接口和聚合接口。
l 管理接口只支持物理口。
l 组配置内的接口监控只支持物理口、聚合口和子接口,每个HA组内应至少配置2个接口监控。
1.3 前置条件
已规划好HA心跳接口、数据同步接口对应的IP地址,配置时注意以下几点:
l Device A和Device B的软件版本和设备型号需要保证一致。
l Device A的心跳接口、数据同步接口需要分别与Device B的心跳接口、数据同步接口选择编号相同的接口,并保证IP地址在同一网段。
l Device A和Device B使用的管理接口名称需要一致(例如都使用Ge0/0),管理接口地址需要不同。
1.4 配置步骤
1.4.1 配置接口
1. Device A接口配置
(1) 配置管理接口Ge0/0。
说明:
主备设备均支持使用默认管理接口进行设备管理,若使用设备默认管理接口来管理设备,可跳过本步骤。
在备设备HA配置中,必须设置管理口,否则将无法管理备设备。
设备默认管理接口为MGMT,默认IP为192.168.1.200/24。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/0进行编辑:
○ 模式:路由模式
○ 所属区域:trust
○ 接口类型:LAN口
○ IP/网络掩码:172.17.149.202/24
(2) 配置HA组0业务接口Ge0/1。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/1进行编辑:
○ 模式:透明模式
○ 所属桥接口:br0
○ 所属区域:trust
○ 接口类型:LAN口
(3) 配置HA组0业务接口Ge0/2。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/2进行编辑:
○ 模式:透明模式
○ 所属桥接口:br0
○ 所属区域:untrust
○ 接口类型:WAN口
(4) 配置HA组1业务接口Ge0/3。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/3进行编辑:
○ 模式:透明模式
○ 所属桥接口:br1(若br1不存在,点击“新增桥接口”,创建br1)
○ 所属区域:trust
○ 接口类型:LAN口
(5) 配置HA组1业务接口Ge0/4。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/4进行编辑:
○ 模式:透明模式
○ 所属桥接口:br1
○ 所属区域:untrust
○ 接口类型:WAN口
(6) 配置HA心跳接口。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/6进行编辑:
○ 模式:路由模式
○ 所属区域:trust
○ 接口类型:LAN口
○ IP/网络掩码:1.1.1.1/24
○ 访问管理:允许PING
(7) 配置HA数据同步接口。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/7进行编辑:
○ 模式:路由模式
○ 所属区域:trust
○ 接口类型:LAN口
○ IP/网络掩码:2.2.2.1/24
○ 访问管理:允许PING
2. Device B接口配置
(1) 配置管理接口Ge0/0。
说明:
主备设备均支持使用默认管理接口进行设备管理,若使用设备默认管理接口来管理设备,可跳过本步骤。
在备设备HA配置中,必须设置管理口,否则将无法管理备设备。
设备默认管理接口为Ge0/0,默认IP为192.168.1.200/24。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/0进行编辑:
○ 模式:路由模式
○ 所属区域:trust
○ 接口类型:LAN口
○ IP/网络掩码:172.17.149.204/24
(2) 配置HA组0业务接口Ge0/1。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/1进行编辑:
○ 模式:透明模式
○ 所属桥接口:br0
○ 所属区域:trust
○ 接口类型:LAN口
(3) 配置HA组0业务接口Ge0/2。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/2进行编辑:
○ 模式:透明模式
○ 所属桥接口:br0
○ 所属区域:untrust
○ 接口类型:WAN口
(4) 配置HA组1业务接口Ge0/3。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/3进行编辑:
○ 模式:透明模式
○ 所属桥接口:br1(若br1不存在,点击“新增桥接口”,创建br1)
○ 所属区域:trust
○ 接口类型:LAN口
(5) 配置HA组1业务接口Ge0/4。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/4进行编辑:
○ 模式:透明模式
○ 所属桥接口:br1
○ 所属区域:untrust
○ 接口类型:WAN口
(6) 配置HA心跳接口。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/6进行编辑:
○ 模式:路由模式
○ 所属区域:trust
○ 接口类型:LAN口
○ IP/网络掩码:1.1.1.2/24
○ 访问管理:允许PING
(7) 配置HA数据同步接口。
点击[网络]>>[接口]>>[物理接口],选择物理接口Ge0/7进行编辑:
○ 模式:路由模式
○ 所属区域:trust
○ 接口类型:LAN口
○ IP/网络掩码:2.2.2.2/24
○ 访问管理:允许PING
1.4.2 配置HA
1. Device A HA配置
(1) 点击[系统]>>[高可靠性]>>[高可靠性配置]进行编辑:
l 点击<启用HA>按钮,开启HA
l 运行模式:主主负载
l HA安全:默认为无认证,本例开启认证,开启认证后,需要配置密码。本端设置的认证密码应需与对端密码相同
l 心跳接口:
○ 选择接口Ge0/6
○ 配置对端IP地址为Device B的心跳接口地址1.1.1.2
l (可选)数据同步接口:开启HA后,不支持配置数据同步接口,需要将HA功能关闭后才能添加数据同步接口,建议配置数据同步接口。
○ 选择接口Ge0/7
○ 配置对端IP地址为Device B的心跳接口地址2.2.2.2
l 组0配置:
○ 优先级:200
○ 接口监控:接口选择Ge0/1和Ge0/2
○ (可选)链路探测配置(选配):默认不配置,可按需点击<新增>添加链路探测节点
l 组1配置:
○ 优先级:100
○ 接口监控:接口选择Ge0/3和Ge0/4
○ (可选)链路探测配置:默认不配置,可按需点击<新增>添加链路探测节点
l (可选)高级配置:
○ 抢占模式:默认关闭,允许修改。两台设备需要保持一致
○ 抢占延时时间:默认为60秒,允许修改。两台设备需要保持一致
○ 虚MAC前缀:默认为00:00:5e,允许修改。两台设备需要保持一致
○ 心跳报文间隔:默认为1000毫秒,允许修改。两台设备需要保持一致
○ 心跳报文警戒值:默认为3个,允许修改
○ 切换后发送邻居通告次数:默认为5个,允许修改
○ 会话表同步:开启
○ 邻居表同步:开启
○ 管理接口:选择接口Ge0/0(也可选择设备默认管理口)。两台设备使用的管理接口名称需要一致,管理接口地址需要不同。
管理流量必须通过管理口收发报文,否则会出现备机无法管理的问题。
(2) 点击<保存>按钮,下发HA配置。
2. Device B HA配置
(1) 点击[系统]>>[高可靠性]>>[高可靠性配置]进行编辑:
l 点击<启用HA>按钮,开启HA
l 运行模式:主主负载
l HA安全:默认为无认证,本例开启认证,开启认证后,需要配置密码。本端设置的认证密码应需与对端密码相同
l 心跳接口:
○ 选择接口Ge0/6
○ 配置对端IP地址为Device A的心跳接口地址1.1.1.1
l (可选)数据同步接口:开启HA后,不支持配置数据同步接口,需要将HA功能关闭后才能添加数据同步接口,建议配置数据同步接口。
○ 选择接口Ge0/7
○ 配置对端IP地址为Device A的心跳接口地址2.2.2.1
l 组0配置:
○ 优先级:100
○ 接口监控:接口选择Ge0/1和Ge0/2
○ (可选)链路探测配置(选配):默认不配置,可按需点击<新增>添加链路探测节点
l 组1配置:
○ 优先级:200
○ 接口监控:接口选择Ge0/3和Ge0/4
○ (可选)链路探测配置:默认不配置,可按需点击<新增>添加链路探测节点
l (可选)高级配置:
○ 抢占模式:默认关闭,允许修改。两台设备需要保持一致
○ 抢占延时时间:默认为60秒,允许修改。两台设备需要保持一致
○ 虚MAC前缀:默认为00:00:5e,允许修改。两台设备需要保持一致
○ 心跳报文间隔:默认为1000毫秒,允许修改。两台设备需要保持一致
○ 心跳报文警戒值:默认为3个,允许修改
○ 切换后发送邻居通告次数:默认为5个,允许修改
○ 会话表同步:开启
○ 邻居表同步:开启
○ 管理接口:选择接口Ge0/0(也可选择设备默认管理口)。两台设备使用的管理接口名称需要一致,管理接口地址需要不同。
管理流量必须通过管理口收发报文,否则会出现备机无法管理的问题。
(2) 点击<保存>按钮,下发HA配置。
1.5 验证配置结果
1.5.1 查看Device A结果
使用HA配置中指定的管理口IP重新登录设备(本例管理口为Ge0/0,IP为172.17.149.202/24)。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],即可查看到HA的状态信息。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],点击“本端设备”的“切换日志”,即可查看到HA的切换信息。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],即可查看到本端设备信息。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],即可查看到配置同步信息。
1.5.2 查看Device B结果
使用HA配置中指定的管理口IP重新登录设备(本例管理口为Ge0/0,IP为172.17.149.204/24)。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],即可查看到HA的状态信息。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],点击“本端设备”的“切换日志”,即可查看到HA的切换信息。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],即可查看到本端设备信息。
l 点击[系统]>>[高可靠性]>>[高可靠性状态],即可查看到配置同步信息。
