防火墙双机热备3.3配置案例.docx

资料. 资料. 资料. 资料. 双机热备 网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模 式和连接保护模式。 在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于 工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何 一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高 的防火墙接替主墙的工作，进行数据转发。 在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常 的数据转发状态。每台防火墙中设萱多个VRRP备份组，两台/多台防火墙中VRID相同 的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。 在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状 态信息。当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进 行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一 台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 Internet 丄/ Internet 丄 / 图】双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火 墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对倉及配責信息。 配置要点 > 设責HA心跳口属性 设責除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配萱同步 WEBUI配置步骤 1）配萱ha心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下，而旦要配責同一网段的IP以保证相互通信。接口 属性必须要勾选“ho-stotic”选项，否则HA心跳口的IP地址信息会在主从墙运行配萱 同步时被对方覆盖。 a）配MHA心跳口地址。 ①点击网络管理 > 接口，然后选择“物理接口”页签，点击eth2接口后的“设 畫刀图标，配萱基本信息，如下图所示。 点击“确定”按钮保存配萱。 ②点击eth2接口后的％殳萱”图标，在“路由模式”下方配萱心跳口的IP地址, 然后点击"添加”按钮，如下图所示。 地址掩码属性删除 地址 掩码 属性 删除 地址/掩码；".Li」 |255.255.255.0 "ha-static^选项必须勾选，否则运行状态同步时IP地址信息也会被同步。 点击“确定”按钮保存配萱。 b）配責Ethl和EthO 口的IP地址。 配MEthl和EthO的IP地址分别为192」68.83.219和172.16.1.20,具体操作请参 见配萱HA心跳口地址。 说明 ? 互为备份的接口必须配蚤相同的IP地址，所以主墙的Ethl 口必须与从墙Ethl 口的IP 地址相同，主墙的EthO 口必须与从墙EthO 口的IP地址相同。 > 从墙 a） 配責HA心跳口地址。 配責从墙HA心跳口地址为10.1.1.2,具体步骤请参见主墙的配責，此处不再赘述。 b） 配萱Ethl和EthO 口的IP地址。 配責从墙Ethl和曰h0的IP地址分别为192.168.83.219和172.16.1.20,具体步骤 请参见主墙的配責，此处不再赘述。 2）设直除心跳口以外的其余通信接口属于VRID2。 主备模式下，只能配直一个VRRP备份组，而旦通信接口必须加入到具体的VRID组 中，防火墙才会根据此接口的up、down状态，来判断本机的工作状态，以进行VRID 组内主备状态的切换。 ? 主墙 a） 选择网络管理 > 接口，然后选择“物理接口”页签，在除心跳口以外的接口后 点击“设責”图标（以ethO为例）。 b） 勾选“高级属性”后的复选框，设盲该接口属于vrid2,如下图所示。 高级Ji性V HTV : 1500 [68-1500] MAC : 00：13；32:02:23:F6 恢复跛省MAC | [格式如 Ak:BB:CC：DD:EE E：FF] Q自动协裔「手工设遂 协商複式： 烹率：|10N J 敕工模式：|双工 vsid ? 0 [0-254] vrid ： 2 [0-255] 免费arp发送间 隔: 0 [0-1800]秒 rtfl ITISSJF关： 关 zJ n■心值? [200-1460] 反向路径查询: 关二1 HA-metric : 0 [o-ioo] C）参数设萱完成后，点击“确定”按钮保存配萱。 r 从墙 具体步骤请参见主墙的配萱，此处不再赘述。 3）指定HA的工作模式及心跳口的本地地址和对端地址。 需要设直HA工作在“双机热备”模式下，并设査当前防火墙为主墙或从墙，心跳口 的本地及对端IP地址信息、心跳间隔等属性。 尸主墙 a）选择高可用性 > 双