产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【WALL1600下一代防火墙】下一代防火墙HA主备路由模式基本配置

发布时间:2013-09-15
点击量:3933

一、组网需求

为保证企业内部网络服务的连续性和安全强度,防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,需要一条备用的线路来做备份。

非抢占模式:如下图拓扑所示,当红色的那条主线断掉后,蓝色的备用线路就能启用,所有的流量都切换到蓝色的线路上;当红色的那条线路恢复正常后,蓝色线路依然作为当前可用的链路,不再做切换,保证网络的稳定。

抢占模式下:如下图拓扑所示,当红色的那条主线断掉后,蓝色的备用线路就能启用,所有的流量都切换到蓝色的线路上;当红色的那条线路恢复正常后,所有的流量又会重新切换到这条线路上.

 

二、组网拓扑

以下拓扑中,两台核心的防火墙以路由模式串接在网络中,1600CC-1和1600CC-2的GE1和GE2口都是路由口;内网用户的网段是192.168.10.0  ;

S3750的F0/11、F0/12与两台防火墙的GE1口处于同一个网段内:192.168.1.0(本案例中F0/11与F0/12同属于VLan 1);

S3750上配置默认路由,主默认路由的下一跳IP:192.168.1.1

两台防火墙之间用GE10口作为HA心跳线;

两台防火墙与出口路由器(本案例是EG1000S)之间通过S2150交换机互连,互连的网段是192.168.2.0网段(此案例中S2150交换机是空配置);  

    

 

 

 

 

 

三、相关名词简介

1、HA接口:HA接口是主机和备机之间同步信息的接口,HA口不用配IP地址,采用二层报文方式通讯。两设备间的HA口用网线直连作为心跳线。

2、被监控接口:被监控接口为正常业务网口,HA启动后会实时监视这些接口的状态。当被监控接口的down后会触发HA主备状态的切换。配置时可以选择多个接口作为监控接口。

3、备机管理地址:即设备的Lookback口地址,无论设备为主还是备,此地址均可以用来管理设备。当设备作为备时,不会转发数据,但使用lop地址仍可以管理到此设备。 4、监控地址:配置后HA会定期向监控地址发探测报文(如ping此地址),当监测地址不可达时,会触发HA主备状态的切换。

 

四、配置要点

配置HA主备的前提工作:

1、做主备HA的两台NGFW设备需要型号相同、软件版本相同。

2、两台设备的HA接口必须采用相同的物理接口(例如都采用GE0口),监控口也必须是相同接口(例如都监控GE6和GE8口)。

3、建议先导出配置文件,以防HA配置失败导致旧配置丢失而恢复不了网络。

启用HA时的注意事项:

1、开启HA功能时NGFW会清除所有已存在的流连接,如果设备有人在上网的情况下开启HA功能会造成所有业务暂时中断。

2、两台设备之间的心跳线一定要用好的网线,不要随意插拔心跳线,否则主备切换就会出问题。

3、HA主备切换的条件:被监控接口shutdown、网线断开、监控地址探测失败、设备重启、3秒内备份设备没有收到主设备心跳报文的情况下会切换。

HA配置后不生效后的排查点:

1、NGFW设备只能自动同步通过Web配置的命令,所以如果从命令行(CONSOLE或TELNET)配置了主设备,就需再次从主设备同步配置到备设备来使配置相同。

2、两台设备型号或版本不同,不同型号的设备接口数目可能不一样,这样配置永远不相同。

3、未开启自动同步功能,导致主备NGFW设备配置不同。

主备HA方式路由部署模式下的切换原理为:当备份设备发现需要进行主备切换时,根据自身端口地址向上、下游发送ARP更新报文(免费ARP包),以便上下游路由设备根据新的ARP表进行转发。

当配置目的NAT时,备切换只对目标地址为主机地址的规则有效。即,主备模式下,如果配制目的NAT的目标地址为一个网段或地址范围时,切换会导致通讯中断,需要手工清流。或者说,主备HA模式下,不支持通过目的NAT进行服务器负载分担的功能。

 

五、配置步骤简介

配置HA之前,先确保当前的网络已经是可以正常使用,能够在内网正常的管理NGFW防火墙。

1、配置S3750核心交换机

a、划分vlan

b、给接口划分vlan,设置vlan的网关地址

c、配置默认路由

2、配置S2150(空配置即可)

3、配置出口EG路由器

a、配置内网接口

b、配置外网接口

c、配置NAT地址转换

d、配置默认路由和静态路由

4、配置1600CC-1防火墙的基本上网功能

a、 配置接口IP地址

b、配置默认路由和静态路由

配置默认路由的作用有两个:1、转发去往互联网的网络数据   2、当开启HA配置的“监控地址”探测功能的时候,如果探测的目标地址是互联网上的某个公网地址(如运营商DNS)。

配置静态路由:配置去往内网用户网段(本案例是192.168.10.0网段)的路由,使管理员可以在内网跨网段来管理防火墙。

c、配置安全策略:允许内、外网的网络数据经过防火墙

本案例中,1600CC-1先是做主设备,1600CC-2做备机,后续做了HA配置后,主设备会把自己的配置同步给备机,所以这里无需为1600CC-2配置多余的上网功能。

 

以下是非抢占模式下的操作步骤:

5、配置1600CC-1(主)并开启HA功能

a、通过WEB界面,按照用户实际需求配置一台NGFW设备,包括路由、地址转换、VPN和安全策略等。(此部分是配置HA前就已经应该配置好的)

b、将该设备名称更改为一个明确的标识(本案例为1600CC-1)。

c、启用HA主备功能,选择主备模式,并开启各项同步功能。此时建议导出配置文件备用。

d、点击“存盘”,保存以上操作的配置

e、将该NGFW设备正常接入网络中,此时网络应可正常使用。

注意:开启HA功能时NGFW会清除所有已存在的连接,如果是在已实际运行的设备上开启HA功能会造成现有业务暂时中断。

 

6、配置1600CC-2(备)并开启HA功能

a、采用WEB方式,通过默认IP地址配置备份NGFW设备,此时备份NGFW设备应与网络及主NGFW设备没有任何连接。

b、更改备份设备名称为一个明确标识(本案例为1600CC-2)。

c、备份NGFW设备只需开启HA主备功能,选择主备模式,开启各项同步功能。

d、点击“存盘”,保存以上操作的配置

e、无需配置策略、路由或其他功能(备机会从主机那边同步配置)

7、同步配置

a、重启当前处于备机状态的1600CC-2。

b、用网线将备份NGFW设备的HA接口和主NGFW设备的HA接口相连,确保接口协商正确,各指示灯显示正常。

c、在主设备上通过web界面观察HA状态,当备份NGFW设备重启后约5分钟,在WEB界面的监视器里确认是否HA状态是预期的主备关系

以下是抢占模式下的操作:

抢占“主”模式和“备”模式需成对配置,即一台设备抢占为“主”,则另一台须抢占为“备”。仅在一台设备上启用抢占模式,或者两台设备均抢占为“主”或者“备”都会导致该功能不正常。HA主备抢占模式在透明组网时的其余注意事项与主备透明模式非抢占模式一样。

 

六、配置详细步骤

配置HA之前,先确保当前的网络已经是可以正常使用,能够在内网正常的管理NGFW防火墙。

1、配置S3750核心交换机

a、划分vlan

vlan 1

vlan 10

b、给接口划分vlan,设置vlan的网关地址

interface FastEthernet 0/10

  switchport access vlan 10

 

interface FastEthernet 0/11

  switchport access vlan 1

interface FastEthernet 0/12

switchport access vlan 1

 

interface VLAN 10

  no ip proxy-arp

  ip address 192.168.10.1 255.255.255.0

 

interface VLAN    1

  no ip proxy-arp

  ip address 192.168.1.2 255.255.255.0

c、配置默认路由

ip route 0.0.0.0 0.0.0.0 192.168.1.1    //配置默认路由,192.1681.1是主设备的下连口IP地址

 

2、配置S2150(由于S2150是作为汇聚交换机使用,所以是空配置)

3、配置出口EG路由器

配置内网口IP地址:           

interface GigabitEthernet 0/0

  ip nat inside

  ip address 192.168.2.3 255.255.255.0

配置外网口IP地址:

interface GigabitEthernet 0/1

  ip nat outside

  ip address 192.168.33.51 255.255.255.0

配置NAT地址池ruijie及NAT转换:

access-list 1 permit any

ip nat inside source list 1 pool ruijie 

ip nat pool ruijie prefix-length 24

  address 192.168.33.51 192.168.33.51 match interface GigabitEthernet 0/1

配置默认路由:

ip route 0.0.0.0 0.0.0.0 192.168.33.1   //本案例是测试环境,192.168.33.1是外网网关地址

配置回指静态路由:

ip route  192.168.10.0 255.255.255.0   192.168.2.1  //192.168.2.1是主设备(相对与备机而言)的上连口的接口IP

4、配置1600CC-1防火墙的基本上网功能

a、 配置接口IP地址

b、配置默认路由和静态路由

配置默认路由的作用有两个:1、转发去往互联网的网络数据   2、当开启HA配置的“监控地址”探测功能的时候,如果探测的目标地址是互联网上的某个公网地址(如运营商DNS)

配置静态路由:配置去往内网用户网段(本案例是192.168.10.0网段)的路由,使管理员可以在跨网段来管理防火墙。

 

c、配置安全策略:允许内、外网的网络数据经过防火墙

 

最终配置显示如下:必须勾选“启用”选项,否则内网安全策略是不生效的。

本案例中,1600CC-1先是做主设备,1600CC-2做备机,后续做了HA配置后,主设备会把自己的配置同步给备机,所以这里无需为1600CC-2配置多余的上网功能。

 

---------------以上的配置保证在配置HA之前,网络是能正常通信的,以下的配置才是HA的配置------------------------------------

 

5、配置1600CC-1(主)并开启HA功能

a、通过WEB界面,按照用户实际需求配置一台NGFW设备,包括路由、地址转换、VPN和安全策略等。(此部分是配置HA前就已经应该配置好的)

b、将该设备名称更改为一个明确的标识(本案例为1600CC-1)。

 

c、启用HA主备功能,选择主备模式,并开启各项同步功能。但是不勾选“启用抢占模式”。此时建议导出配置文件备用。

   GE6和GE8分别是上联口和下联口   ;    备机管理地址:GE6-192.168.1.4    GE8-192.168.2.4  

 

d、点击“存盘”,保存以上操作的配置

保存后需要重启设备。

e、将该NGFW设备正常接入网络中,此时网络应可正常使用。

 

 

6、配置1600CC-2(备)并开启HA功能

a、采用WEB方式,通过默认IP地址配置备份NGFW设备,此时备份NGFW设备应与网络及主NGFW设备没有任何连接。

b、更改备份设备名称为一个明确标识(本案例为1600CC-2)。

c、备份NGFW设备只需开启HA主备功能,选择主备模式,开启各项同步功能。但是不勾选“启用抢占模式”

备机管理IP地址:GE6-192.168.1.3   GE8-192.168.2.2

 

监控地址是网络链路中的地址,配置后HA会定期向监控地址发探测报文,当监测到目标地址不可达时,会导致HA主备状态的切换,此处可选择不配置

 

d、点击“存盘”,保存以上操作的配置

e、无需配置策略、路由或其他功能(备机会从主机那边同步配置)

 

7、同步配置

a、保存备份NGFW设备配置并重启设备。

b、用网线将备份NGFW设备的HA接口和主NGFW设备的HA接口相连,确保接口协商正确,各指示灯显示正常。

c、在主设备上通过web界面观察HA状态,当备份NGFW设备重启后约5分钟,在WEB界面的监视器里确认是否HA状态是预期的主备关系

 

 

把本机状态为“主状态”的设备上的配置,同步给 对端设备,此时点击“同步配置”,会提示 对端设备要重启,同时重启后对端设备的旧配置会被覆盖(当然,除了HA配置以外)

 

 

等对端设备再次重启后,在主机这边显示的状态如下:

 

此时如果再点击以上的“主备倒换”,那么此时原本的主机和备机的身份就会对换

 

 

 

--------------------------------------------------------------------------------------------------------------------------------------------

 

以下是抢占模式下的操作:

抢占“主”模式和“备”模式需成对配置,即一台设备抢占为“主”,则另一台须抢占为“备”。仅在一台设备上启用抢占模式,或者两台设备均抢占为“主”或者“备”都会导致该功能不正常。HA主备抢占模式在透明组网时的其余注意事项与主备透明模式非抢占模式一样。

1600CC-1的HA配置如下:

 

1600CC-2的HA配置如下:

 

 

 

七、配置验证

 

1、非抢占模式下,拔掉1600CC-1的GE6口,此时会进行短暂的主备切换,ping外网地址8.8.8.8(谷歌DNS服务器)会出现1~2个的丢包(本案例是测试环境,可能与真实中的网络环境会有一定区别)

 

2、抢占模式下,拔掉1600CC-1的GE6口,ping外网地址8.8.8.8(谷歌DNS服务器)会出现1~2个的丢包(本案例是测试环境,可能与真实中的网络环境会有一定区别)

 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式