【WALL1600下一代防火墙】下一代防火墙HA主备透明模式基本配置

一、组网需求

为保证企业内部网络服务的连续性和安全强度，防止网络中由于单个网关产品的设备故障或链路故障导致网络中断，需要一条备用的线路来做备份。

非抢占模式：如下图拓扑所示，当红色的那条主线断掉后，蓝色的备用线路就能启用，所有的流量都切换到蓝色的线路上；当红色的那条线路恢复正常后，蓝色线路依然作为当前可用的链路，不再做切换，保证网络的稳定。

抢占模式下：如下图拓扑所示，当红色的那条主线断掉后，蓝色的备用线路就能启用，所有的流量都切换到蓝色的线路上；当红色的那条线路恢复正常后，所有的流量又会重新切换到这条线路上。

二、组网拓扑

以下拓扑中，两台核心的防火墙以透明模式串接在网络中，1600CC-1和1600CC-2的GE4和GE5口组成一对桥；内网用户的网段是192.168.10.0  ；

S3750的F0/11、F0/12与两台防火墙的桥管理IP地址处于同一个网段内：192.168.1.0（本案例中F0/11与F0/12同属于VLan 1）；

S3750上配置默认路由，下一跳地址配置为EG 路由器的内网口G0/0的IP:192.168.1.3

两台防火墙之间用GE3口作为HA心跳线；

在如下的拓扑接线中，建议在未完成HA主备同步配置之前，先不要连接GE4和GE5口的网线，防止网络数据跑到该条线路上。

三、相关名词简介

1、HA接口：HA接口是主机和备机之间同步信息的接口，HA口不用配IP地址，采用二层报文方式通讯。两设备间的HA口用网线直连作为心跳线。

2、被监控接口：被监控接口为正常业务网口，HA启动后会实时监视这些接口的状态。当被监控接口的down后会触发HA主备状态的切换。配置时可以选择多个接口作为监控接口。

3、备机管理地址：即设备的Lookback口地址，无论设备为主还是备，此地址均可以用来管理设备。当设备作为备时，不会转发数据，但使用lop地址仍可以管理到此设备。 4、监控地址：配置后HA会定期向监控地址发探测报文（如ping此地址），当监测地址不可达时，会触发HA主备状态的切换。

四、配置注意要点

配置HA主备的前提工作：

1、做主备HA的两台NGFW设备需要型号相同、软件版本相同。

2、两台设备的HA接口必须采用相同的物理接口（例如都采用GE0口），监控口也必须是相同接口（例如都监控GE6和GE8口）。

3、建议先导出配置文件，以防HA配置失败导致旧配置丢失而恢复不了网络。

启用HA时的注意事项：

1、开启HA功能时NGFW会清除所有已存在的流连接，如果设备有人在上网的情况下开启HA功能会造成所有业务暂时中断。

2、两台设备之间的心跳线一定要用好的网线，不要随意插拔心跳线，否则主备切换就会出问题。

3、HA主备切换的条件：被监控接口shutdown、网线断开、监控地址探测失败、设备重启、3秒内备份设备没有收到主设备心跳报文的情况下会切换。

HA配置后不生效后的排查点：

1、NGFW设备只能自动同步通过Web配置的命令，所以如果从命令行（CONSOLE或TELNET）配置了主设备，就需再次从主设备同步配置到备设备来使配置相同。

2、两台设备型号或版本不同，不同型号的设备接口数目可能不一样，这样配置永远不相同。

3、未开启自动同步功能，导致主备NGFW设备配置不同。

五、实施步骤

     1、配置S3750核心交换机

     a、划分vlan

     b、给接口划分vlan，设置vlan的网关地址

     c、配置默认路由

      2、配置S2150（空配置即可）

      3、配置出口EG路由器

     a、配置内网接口

     b、配置外网接口

     c、配置NAT地址转换

     d、配置默认路由和静态路由

      4、配置1600CC-1防火墙的基本上网功能

     a、配置桥组接口及桥管理IP地址

     b、配置默认路由和静态路由

     配置默认路由的作用：当开启HA配置的“监控地址”探测功能的时候，如果探测的目标地址是互联网上的某个公网地址（如运营商DNS）时需要路由可达。

     配置静态路由：配置去往内网用户网段（本案例是192.168.10.0网段）的路由，使管理员可以在内网跨网段来管理防火墙。

     c、配置安全策略：允许内、外网的网络数据经过防火墙

     本案例中，1600CC-1先是做主设备，1600CC-2做备机，后续做了HA配置后，主设备会把自己的配置同步给备机，所以这里无需为1600CC-2配置多余的上网功能。

      5、配置1600CC-1和1600CC-2的HA功能

以下先介绍非抢占模式下的配置方式

a、配置1600CC-1的HA

（1）为了区分主机和备机，将该设备名称更改为一个明确的标识：1600CC-1。

（2）启用HA主备功能，选择主备模式，并开启各项同步功能。此时建议导出配置文件备用。

（3）保存配置。点击“存盘”按钮保存当前的配置，否则防火墙意外重启后，之前做的配置会丢失，HA主备切换的功能也就失效了。

（4）重启设备。

b、配置1600CC-2的HA

（1）将该设备名称更改为一个明确的标识：1600CC-2。

（2）启用HA主备功能，选择主备模式，并开启各项同步功能。此时建议导出配置文件备用。

（3）保存备份NGFW设备配置并重启设备（点击“存盘”按钮保存当前的配置，否则防火墙意外重启后，之前做的配置会丢失，HA主备切换的功能也就失效了）。

（4）重启设备。

c、同步配置

（1）用网线将备份NGFW设备的HA接口和主NGFW设备的HA接口相连，确保接口协商正确，各指示灯显示正常。

以下先介绍抢占模式下的配置方式

1、抢占模式的操作步骤和非抢占模式下的步骤完全一样，唯一的区别是：一台要设置为主，另外一台要设置为备，不可以一边设置抢占，另一边设置为非抢占；

其他配置同非抢占模式。

六、配置详细步骤

1、配置S3750核心交换机

a、划分vlan

vlan 1

vlan 10

b、给接口划分vlan，设置vlan的网关地址

interface FastEthernet 0/10

  switchport access vlan 10

interface FastEthernet 0/11

  switchport access vlan 1

interface FastEthernet 0/12

switchport access vlan 1

interface VLAN 10

  ip address 192.168.10.1 255.255.255.0

interface VLAN    1

  ip address 192.168.1.4 255.255.255.0

c、配置默认路由

ip route 0.0.0.0 0.0.0.0 192.168.1.3    //配置默认路由，192.1681.3是EG的内网接口IP地址

2、配置S2150（由于S2150是作为汇聚交换机使用，所以是空配置）

3、配置出口EG路由器

配置内网口IP地址：           

interface GigabitEthernet 0/0

  ip nat inside

  ip address 192.168.1.3 255.255.255.0

配置外网口IP地址：

interface GigabitEthernet 0/1

  ip nat outside

  ip address 192.168.33.51 255.255.255.0

配置NAT地址池ruijie及NAT转换：

access-list 1 permit any

ip nat pool ruijie prefix-length 24

  address 192.168.33.51 192.168.33.51 match interface GigabitEthernet 0/1

ip nat inside source list 1 pool ruijie 

若想外网用户能管理NGFW，可将NGFW的443端口映射到公网上：

ip nat inside source static tcp 192.168.1.1  443  192.168.33.51 443  permit-inside     //192.168.1.1是1600CC-1的桥管理IP地址

配置默认路由：

ip route 0.0.0.0 0.0.0.0 192.168.33.1

配置回指静态路由：

ip route  192.168.10.0 255.255.255.0   192.168.1.4   //192.168.1.4是S3750的VLan 1的网关地址

4、配置1600CC-1防火墙的基本上网功能

a、配置桥组接口及桥管理IP地址：GE4和GE5划分到同一个桥组里，桥组标号为1，桥管理IP:192.168.1.1/24，开启基本的管理访问的功能

b、配置默认路由和静态路由

配置默认路由的作用：当开启HA配置的“监控地址”探测功能的时候，探测的目标地址是互联网上的某个公网地址（如运营商DNS）

配置静态路由：配置去往内网用户网段（本案例是192.168.10.0网段）的路由，使管理员可以在跨网段来管理防火墙

c、配置安全策略：允许内、外网的网络数据经过防火墙

配置完以后，记得把勾选“启用”按钮，否则该策略不生效

本案例中，1600CC-1先是做主设备，1600CC-2做备机，后续做了HA配置后，主设备会把自己的配置同步给备机，所以这里无需为1600CC-2配置多余的上网功能。

以下是非抢占模式下的配置：

A、1600CC-主的配置：

a、配置1600CC-1的HA

（1）为了方便区分主机和备机，我们将该设备名称更改为一个明确的标识：1600CC-1。

（2）启用HA主备功能，选择主备模式，并开启各项同步功能。（建议先导出配置文件，以防HA配置失败导致旧配置丢失而恢复不了网络）

配置备机管理IP地址，接口类型选择为lo(虚拟环回口），配置与桥管理接口同网段的IP:192.168.1.5/32（32表示掩码为255.255.255.255）

如果上图中配置了监控地址，且监控地址是个公网地址，那么在防火墙上就必须配置相应的路由

（3）保存配置。点击“存盘”按钮保存当前的配置，否则防火墙意外重启后，之前做的配置会丢失，HA主备切换的功能也就失效了。

保存后需要重启设备：

b、配置1600CC-2的HA

（1）将该设备名称更改为一个明确的标识：1600CC-2。

（2）采用WEB方式，通过默认IP地址配置备份NGFW设备，此时备份NGFW设备应与网络及主NGFW设备没有任何连接。。

配置备机管理IP地址，接口类型选择为lo(虚拟环回口），配置与1600CC-1的桥管理接口同网段的IP:192.168.1.2/32（32表示掩码为255.255.255.255）

（3）保存配置。点击“存盘”按钮保存当前的配置，否则防火墙意外重启后，之前做的配置会丢失，HA主备切换的功能也就失效了。

（4）重启设备。

c、同步配置

（1）、用网线将备份NGFW设备的HA接口和主NGFW设备的HA接口相连，确保接口协商正确，各指示灯显示正常。

（2）、在主设备上通过web界面观察HA状态，当备份NGFW设备重启后约5分钟，在WEB界面可观察到如下画面。

（3）点击同步配置，设备会把主NGFW设备的配置立刻同步到备份NGFW设备，此时备份NGFW设备会重启动一次。（因为会重启，所以之前的操作必须先对配置”存盘“）

5、将1600CC-2其他网络接口正常连接即可完成整个HA配置。此时去查看1600CC-1上监视器的HA状态

同步配置：当为主设备时，点击同步配置将手工同步主设备配置到备份设备。 

停止：当为主设备时，点击将暂停HA协商功能，设备维持当前状态不变。如果两台设备都为主模式，则不支持该功能） 

主备倒换：当为主设备时，点击将使状态切换，即原主状态变成备份状态，原备份状态变成主状态。（如果两台设备都为主模式，则不支持该功能） 

抢占模式下操作说明：

抢占“主”模式和“备”模式需成对配置，即一台设备抢占为“主”，则另一台须抢占为“备”。仅在一台设备上启用抢占模式，或者两台设备均抢占为“主”或者“备”都会 导致该功能不正常。HA主备抢占模式在透明组网时的注意事项与主备透明模式非抢占模式一样。

以下是1600CC-1开启抢占模式，并设置为“主”的配置

以下是1600CC-2开启抢占模式，并设置为“备”的配置

其它的配置都与非抢占模式下的一致，这里不再赘述。

六、配置验证

从客户端电脑去ping 出口路由器的内网口地址：192.168.1.3，测试能通，当把1600CC-1的GE4口（或GE5口），此时进行主备切换的过程中，会丢一个包（本测试是在实验环境下，具体环境中可能效果会有差别）

此时查看主备状态，1600CC-1会变成“备机状态”，1600CC-2变成“主状态”