防火墻雙機(jī)熱備配置案例

1、雙機(jī)熱備網(wǎng)絡(luò)衛(wèi)士防火墻可以實(shí)現(xiàn)多種方式下的冗余備份，包括：雙機(jī)熱備模式、負(fù)載均衡模式和連接保護(hù)模式。在雙機(jī)熱備模式下（最多支持九臺設(shè)備），任何時刻都只有一臺防火墻（主墻）處于工作狀態(tài)，承擔(dān)報文轉(zhuǎn)發(fā)任務(wù)，一組防火墻處于備份狀態(tài)并隨時接替任務(wù)。當(dāng)主墻的任何一個接口（不包括心跳口）出現(xiàn)故障時，處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后，由優(yōu)先級高 的防火墻接替主墻的工作，進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。在負(fù)載均衡模式下（最多支持九臺設(shè)備），兩臺/多臺防火墻并行工作，都處于正常的數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài)。每臺防火墻中設(shè)置多個VRRP備份組，兩臺/多臺防火墻中VRID相同的組之間可以相互備份，以便確保某臺設(shè)備故障時，其他的設(shè)備能夠接替其工作。在

2、連接保護(hù)模式下（最多支持九臺設(shè)備），防火墻之間只同步連接信息，并不同步狀態(tài)信息。當(dāng)兩臺/多臺防火墻均正常工作時，由上下游的設(shè)備通過運(yùn)行 VRRP或HSRP進(jìn) 行冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)， 所有防火墻處于負(fù)載分擔(dān)狀態(tài)， 當(dāng)其中一 臺發(fā)生故障時，上下游設(shè)備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。雙機(jī)熱備模式基本需求Internet主培圖1雙機(jī)熱備模式的網(wǎng)絡(luò)拓?fù)鋱D上圖是一個簡單的雙機(jī)熱備的主備模式拓?fù)鋱D，主墻和一臺從墻并聯(lián)工作，兩個防火墻的Eth2接口為心跳口，由心跳線連接用來協(xié)商狀態(tài)，同步對象及配置信息。配置要點(diǎn)設(shè)置HA心跳口屬性設(shè)置除心跳口以外的其余通信接口屬于VRID2指定

3、HA的工作模式及心跳口的本地地址和對端地址主從防火墻的配置同步WEBUI配置步驟1）配置HA心跳口和其他通訊接口地址HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ ha-static”選項(xiàng)，否則HA心跳口的IP地址信息會在主從墻運(yùn)行配置同 步時被對方覆蓋。? 主墻a）配置HA心跳口地址。 點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth2接口后的“設(shè)置” 圖標(biāo)，配置基本信息，如下圖所示。點(diǎn)擊“確定”按鈕保存配置。 點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，在“路由模式”下方配置心跳口的IP地址,然后點(diǎn)擊“添加”按鈕，如下圖所示。地扯碼；

4、10.1 t. 1ha-static I屆性“ha-static”選項(xiàng)必須勾選，否則運(yùn)行狀態(tài)同步時IP地址信息也會被同步。點(diǎn)擊“確定”按鈕保存配置。b）配置 Eth1和Eth0 口的IP地址。配置Eth1和Eth0的IP地址分別為和，具體操作請參見配置HA心跳口地址。說明互為備份的接口必須配置相同的IP地址，所以主墻的Eth1 口必須與從墻Eth1 口的IP地址相同，主墻的 Eth0 口必須與從墻Eth0 口的IP地址相同。? 從墻a）配置HA心跳口地址。配置從墻HA心跳口地址為10.1.1.2,具體步驟請參見主墻的配置，此處不再贅述。b）配置 Eth1和Eth0 口的IP地址。配置從墻Eth

5、1和Eth0的IP地址分別為和，具體步驟請參見主墻的配置，此處不再 贅述。2）設(shè)置除心跳口以外的其余通信接口屬于VRID2。主備模式下，只能配置一個 VRRP備份組，而且通信接口必須加入到具體的 VRID組 中，防火墻才會根據(jù)此接口的 up、down狀態(tài)，來判斷本機(jī)的工作狀態(tài)，以進(jìn)行 VRID組 內(nèi)主備狀態(tài)的切換。主墻a）選擇 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，在除心跳口以外的接口后點(diǎn)擊“設(shè)置”圖標(biāo)（以 eth0為例）。b）勾選“高級屬性”后的復(fù)選框，設(shè)置該接口屬于vrid2，如下圖所示。MTV：fflAC ；FKld '偵06&-150000:13：32:0

6、2:23:F6恢融省MAC移式如 M.:BB:OC:DD:EE:FFQ自動協(xié)彌廣手工設(shè)直理率：凹IF跟工檯式：|戒工_300-2542Q-25500-1600秒metricE00-14J&O0- 1C0c）參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕保存配置。? 從墻具體步驟請參見主墻的配置，此處不再贅述。3）指定HA的工作模式及心跳口的本地地址和對端地址。需要設(shè)置HA工作在“雙機(jī)熱備”模式下，并設(shè)置當(dāng)前防火墻為主墻或從墻，心跳口 的本地及對端IP地址信息、心跳間隔等屬性。? 主墻a）選擇 高可用性 > 雙機(jī)熱備，選中“雙機(jī)熱備”前的單選按鈕，配置基本信息, 如下圖所示。|當(dāng)前如I狀態(tài)：設(shè)有

7、啟動基事設(shè)査G雙機(jī)熱備鳳載均衞r連按保護(hù)啟用|應(yīng)定設(shè)置本機(jī)地址為心跳口eth2的IP地址（10.1.1.1）；設(shè)置對端地址為從墻心跳口 eth2的IP地址（10.1.1.2），超過兩臺設(shè)備時，必須將“對 端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設(shè)備）；心跳探測間隔可以使用默認(rèn)值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導(dǎo)致從墻的主從狀態(tài)的來回切換；設(shè)置熱備組為通信接口的VRID （ 2）；選擇身份為“主機(jī)”；“搶占”模式，是指主墻宕機(jī)后，重新恢復(fù)正常工作時，是否重新

8、奪回主墻的地位。只有當(dāng)主墻與從墻相比有明顯的性能差異時，才需要配置主墻工作在“搶占”模式，否則當(dāng)主墻恢復(fù)工作時主從墻的再次切換浪費(fèi)系統(tǒng)資源，沒有必要。案例中兩臺防火墻相同， 所以主墻不需要配置為“搶占”模式。b）勾選“高級配置”左側(cè)的復(fù)選框，進(jìn)行高級配置，如下圖所示。P高皺配畳配置實(shí)時同歩:両V運(yùn)行對象同步應(yīng)菩；麗_£應(yīng)答超時時間：10* 1U-500亳秒應(yīng)答報交靈跤次數(shù)：2* 0-5I啟用I停止l應(yīng)用C）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置。d）點(diǎn)擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。? 從墻配置操作和主墻的基本相同，但注意身份為“從屬機(jī)”，本機(jī)地址為10

9、.1.1.2，對端地址為，不選擇“搶占”。4）主從防火墻的配置同步在主墻點(diǎn)擊“從本機(jī)同步到對端機(jī)”，將主墻的當(dāng)前配置同步到從墻。至此，主墻和從墻的雙機(jī)熱備就可以正常使用了。CLI 配置步驟1）配置HA的交互IP （心跳線相連的兩個端口）? 主墻# network interfaceeth2 ip add 10.1.1.1 mask 255.0 ha interface eth0 vrid 2#network interfaceeth1 vrid 2從墻# network interfaceeth2 ip add 10.1.1.2 mask 255.0 ha interface eth0 vri

10、d 2#network interfaceeth1 vrid 22）指定 HA 網(wǎng)口本地地址以及對端地址 ? 主墻# ha mode as# ha local 10.1.1.1# ha peer 10.1.1.2# ha as-vrid 2#ha vrid 2 priority254# ha vrid 2 preempt disable# ha enable? 從墻# ha mode as# ha local 10.1.1.2# ha peer 10.1.1.1# ha as-vrid 2# ha vrid 2 priority100# ha vrid 2 preempt disable# h

11、a enable注意事項(xiàng)1）當(dāng)主墻或從墻配置發(fā)生變更后，手工同步配置可以保證主從墻配置的一致性。2）防火墻的接口均為自適應(yīng)接口， HA 接口之間的連接可以使用交叉線也可以使用 直連線。路由接口下的負(fù)載均衡模式基本需求上圖是一個簡單的利用物理接口進(jìn)行負(fù)載均衡的拓?fù)鋱D，防火墻1和防火墻2并聯(lián)工作，兩個防火墻的 Eth3接口間由一條心跳線相連用來同步狀態(tài)及配置信息；兩個防火墻 的Eth1 口屬于同一 vridl （防火墻1的優(yōu)先級高于防火墻 2）;接口 Eth2屬于同一 vrid2 （防火墻2的優(yōu)先級高于防火墻 1）。兩臺防火墻均正常工作時，網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火墻2利用

12、網(wǎng)通鏈路上網(wǎng)。 當(dāng)其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另臺防火墻轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)兩臺防火墻的負(fù)載均衡。配置要點(diǎn)配置ethO 口配置VRID組內(nèi)接口配置心跳口配置防火墻的不同 VRID組的優(yōu)先級配置HA功能WEBUI配置步驟1）配置 ethO 口? 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇"物理接口”頁簽，點(diǎn)擊接口 ethO條目后的"設(shè)置”圖標(biāo)，設(shè)定其IP地址為“ 24”，如下圖所示。地址f淹碼:1SZ.168.a3.23T/ £55.255.255.0|地址掩碼犀性刪除更0參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕即可。b）點(diǎn)擊“確定”按鈕保存配置

13、。? 防火墻21的配置。配置防火墻2的IP地址為“，具體步驟請參見防火墻2）配置備份接口設(shè)定兩臺防火墻上 ethl 口和eth2 口互相備份。兩臺防火墻的ethl 口需要設(shè)定相同的IP地址和VRID ;兩臺防火墻的eth2 口也需要設(shè)定相同的IP地址和VRID。? 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth1接口后的“設(shè)置”圖標(biāo)，配置eth1接口 IP地址為，如下圖所示。選中“高級屬性”后的復(fù)選框，設(shè)置ethl的vrid值為1,如下圖所示。MTU：150068-15C0WIAC!CO;L5;=52;02;£3;T5協(xié)商模式；VELvrid. I免

14、費(fèi)arp炭送閭 隔；mssFF -EMM值:反向路徑菱詢；T3籟式如 kA：BB.CC：BB：EE：Ff_ 吃目甲檢商廠手工役置 速率：ioii 雙工模式；陀參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。b）點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，配置eth2接口 IP地址為，如下圖所示。匱由粗式地址f掩碼；/ha-3tsiti c添加地址掩碼屬性擁隱172.16. 1.3255.255.2S5.0|n選中“高級屬性”后的復(fù)選框，設(shè)置eth2的vrid值為2,如下圖所示。地址/掩瑪：/I hf地址11性刪除17Z 16.0 2255. 255.255.0地址/掩碼：? E地址掩碼屬性172 16.1 325

15、5.255.255.0高領(lǐng)層性莊MTU：MAC：1500L6S-L50O0013；320Z；23；F&耦式如 U：EB:CC!DI?EE!FF 左目動協(xié)裔廣手工設(shè)置 務(wù)丨 雙工複式：px010M3 r0-254vri d :免費(fèi)arp發(fā)送司 隔：0-1800秒 2M開關(guān):L200-146060 02值:反商歸徑萱詢:0-100參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。防火墻2防火墻2的配置與防火墻1完全一致，具體操作請參見防火墻1。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口IP為同一個網(wǎng)段的不同IP （分別為10.0.0.1/24和），并且必須要勾選“ha-st

16、atic”選項(xiàng)。? 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，在eth3接口后點(diǎn)擊“設(shè)置”圖標(biāo)，配置該接口為進(jìn)行同步 HA設(shè)置的IP地址，如下圖所示。路由複式'II 地址J掩碼:I ID D 0 1/藥5 255 255 o| P血-肌豪|麗加地址掩碼屬性刪際高甑屬性廠確定 職消b）參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕，然后點(diǎn)擊“確定”按鈕即可。? 防火墻2配置防火墻2的eth3 口 IP地址為“ 10.0.0.2/24 ”，具體操作請參見防火墻1的配置。4）指定防火墻的不同 VRID組的優(yōu)先級。設(shè)定防火墻1的vridl的優(yōu)先級為200, vrid2的優(yōu)先級為1

17、00。設(shè)定防火墻2的vridl 的優(yōu)先級為100，vrid2的優(yōu)先級為200。設(shè)置完成后，對于 vrid1來說，防火墻1為主墻， 防火墻2為備墻；對于vrid2來說，防火墻2為主墻，防火墻1為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失效后，重新恢復(fù)正常工作時，重獲主墻地位。? 防火墻1a） 選擇高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用” 按鈕。b） 點(diǎn)擊“ Vrid ”右側(cè)的“添加”，配置 vrid1的優(yōu)先級為200，“搶占”模式，如下 圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置vrid2的優(yōu)先級為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按

18、鈕。? 防火墻2a）選擇高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用 按鈕。b）點(diǎn)擊“ Vrid ”右側(cè)的“添加”，配置 vrid1的優(yōu)先級為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置vrid2的優(yōu)先級為200, “搶占”模式，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。5）配置HA功能? 防火墻1a）點(diǎn)擊 高可用性 > 雙機(jī)熱備，然后選中“負(fù)載均衡”前的單選按鈕，配置基本屬 性，如下圖所示。當(dāng)前伏喜伏態(tài):沒有啟動基車設(shè)置廠恵機(jī)熱備金員羲均衡連接保護(hù)本地地址；10.0, a 1對端地址：lo a a £心跳J司隔：1* 1-3

19、HF探測:旺探測|廠高級配萱H 停止|應(yīng)用|設(shè)置“本機(jī)地址”為心跳口eth3的IP地址（10.0.0.1 ）。設(shè)置“對端地址”為另一臺墻心跳口eth3的IP地址（10.0.0.2），超過兩臺設(shè)備時，必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設(shè)備）?！靶奶g隔”可以使用默認(rèn)值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導(dǎo)致從墻的主從狀態(tài)的來回切換。b）勾選“高級配置”左側(cè)的復(fù)選框，配置高級屬性，如下圖所示。配置賣時同步:運(yùn)行對彖同步應(yīng)菩；開啟應(yīng)答超時阿間:10f

20、10-5 00 左秒應(yīng)答報文重踐次數(shù)：2 *【0-皺1啟甬停止| |應(yīng)用|c）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置。d）點(diǎn)擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。當(dāng)前狀憲狀態(tài)；屯魅口哄也連接逹立基車設(shè)晝效機(jī)熱備席負(fù)載均衡連接糅護(hù)啟用| 停止 應(yīng)用|熬備齟舔加Vrid搶占遵量值接口刪除1£00MASTER20-ttil.Si3ji2100di satLeBACICUP6.00? 防火墻2防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.0.0.2，對端地址為。CLI 配置步驟1）設(shè)置 eth0 口的 IP 地址。? 防火墻 1? #network in

21、terface eth0 ip add mask 防火墻 2#network interface eth0 ip add mask ）設(shè)置備份接口屬性。 分別在防火墻 1和防火墻 2 上進(jìn)行配置。#network interface eth1 ip add mask interface eth2 ip add mask interface eth1 vrid 1#network interface eth2 vrid 23）設(shè)置心跳口屬性? 防火墻 1? #network interface eth3 ip add 10.0.0.1 mask 255.0 ha 防火墻 2#network in

22、terface eth3 ip add 10.0.0.2 mask 255.0 ha ）指定防火墻的不同 VRID 組的 優(yōu)先級。? 防火墻 1#ha vrid1 priority 200#ha vrid1 preempt enable#ha vrid2 priority 100#ha vrid2 preempt disable防火墻 2#ha vrid1 priority 100#ha vrid1 preempt disable#ha vrid2 priority 200#ha vrid2 preempt enable5）指定HA 網(wǎng)口本地地址以及對端地址。防火墻 1#ha mode aa#

23、ha local 10.0.0.1#ha peer 10.0.0.2# ha rtosync ack enable #ha rtconfig-sync enable #ha enable? 防火墻 2#ha mode aa#ha local 10.0.0.2#ha peer 10.1.1.1# ha rtosync ack enable#ha rtconfig-sync enable#ha en able注意事項(xiàng)無。Trunk 口下的負(fù)載均衡模式基本需求ttbl: in ao. ihtlll!；Nl.UKHW?l：h»20L1.1.1EthZ：EM丄1V1tlhlblrhl Stru

24、nk U i LANl； 7110,24 V L «."4J：171UJ ,1'24Ertal 為trunk 口 tVLAM；1?1.16k&.2?24VL.A2t172 lb J JOI耐段1網(wǎng)段2YridlVridJ2并聯(lián)的優(yōu)先圖3 Trunk 口下負(fù)載均衡模式的網(wǎng)絡(luò)拓?fù)鋱D上圖是一個簡單的利用 Trunk接口進(jìn)行負(fù)載均衡的拓?fù)鋱D，防火墻1和防火墻工作，兩個防火墻的 Eth2接口間由一條心跳線相連用來同步狀態(tài)及配置信息，兩個防火墻的Eth1 口為trunk 口，同時屬于 vlan1和vlan2，vlan1屬于同一 vrid1 （防火墻1級高于防火墻2）、v

25、ian2屬于同一 vrid2 （防火墻2的優(yōu)先級高于防火墻 1）,這樣兩臺 防火墻均正常工作時，網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火墻2利用網(wǎng)通鏈路上網(wǎng)。當(dāng)其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)兩臺防火墻的負(fù)載均衡。配置要點(diǎn)? 配置ethO 口? 配置VRID組內(nèi)接口?配置心跳口?配置防火墻的不同 VRID組的優(yōu)先級? 配置HA功能WEBUI配置步驟1）配置 ethO 口防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊接口 ethO條目后的“設(shè)置”圖標(biāo)，設(shè)定其IP地址為“ 24”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“

26、添加”按鈕即可。b）點(diǎn)擊“確定”按鈕保存配置。? 防火墻2配置防火墻2的通信用IP地址為“，具體步驟請參見防火墻1的配置。2）配置兩臺防火墻上 eth1 口為trunk 口，屬于 VLAN1和VLAN2。配置兩臺防火墻的 eth1 口為trunk 口，屬于VLAN1和VLAN2 ； VLAN1虛接口互相 備份，VLAN2虛接口也互相備份，需要設(shè)定相同的IP地址和vrid。? 防火墻1和防火墻2a）選擇 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth1接口后的“設(shè)置”圖標(biāo)，配置接口信息，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”即可。b）點(diǎn)擊網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，并選擇“

27、VLAN ”頁簽，點(diǎn)擊“添加/刪除VLAN范圍”添加VLAN，設(shè)置VLAN虛接口的屬性，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。C）點(diǎn)擊網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，然后選擇“ VLAN ”頁簽，點(diǎn)擊后的“修改”字段, 設(shè)置VLAN虛接口的IP地址為，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕即可。點(diǎn)擊“高級屬性”后的復(fù)選框，設(shè)置接口屬于vridl，如下圖所示。IHU :俯講關(guān)：E5E值：成向掘徑查詢:vsid 3vrid =兔貴建1>崑送何隔；HA-mstri(?:確定 取消|參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。d)點(diǎn)擊網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，然后選擇“ VLAN

28、”頁簽，點(diǎn)擊后的“修改”字段, 設(shè)置VLAN虛接口的IP地址為，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕即可。點(diǎn)擊“高級屬性”后的復(fù)選框，設(shè)置接口屬于vrid2，如下圖所示。MTU : 心芥關(guān)； m時值： 度向路徑查詢:lid ：rrid ；免費(fèi)址I境謹(jǐn)間 隔：HA-m & tr 1 c "參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口IP為同一個網(wǎng)段的不同IP （分別為10.0.0.1/24和），并且必須勾選“ ha-static”選項(xiàng)。? 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽

29、，在eth2接口后點(diǎn)擊“設(shè)置”圖標(biāo)，為該接口配置進(jìn)行同步HA設(shè)置的地址，如下圖所示。b）參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕，然后點(diǎn)擊“確定”按鈕即可。? 防火墻2配置防火墻2的eth2 口 IP地址為“ 10.0.0.2/24 ”，具體操作請參見防火墻1。4）配置防火墻的不同VRID組的優(yōu)先級。設(shè)定防火墻1的vridl的優(yōu)先級為200，vrid2的優(yōu)先級為100。設(shè)定防火墻2的vridl 的優(yōu)先級為100，vrid2的優(yōu)先級為200。設(shè)定后對vrid1來說防火墻1為主墻，防火墻 2 為備墻，對于vrid2來說防火墻2為主墻，防火墻1為備墻。并且設(shè)置主墻為“搶占”模 式，即主墻能在失效后，重新恢復(fù)

30、正常工作時，重獲主墻地位。? 防火墻1a）選擇高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用” 按鈕。b）點(diǎn)擊“ Vrid ”右側(cè)的“添加”，配置 vrid1的優(yōu)先級為200，“搶占”模式，如下 圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置vrid2的優(yōu)先級為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。? 防火墻2a）選擇高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用 按鈕。b） 點(diǎn)擊“ Vrid ”右側(cè)的“添加”，配置 vridl的優(yōu)先級為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。5）配置HA功能? 防火墻1

31、a）點(diǎn)擊 高可用性 > 雙機(jī)熱備，然后選中“負(fù)載均衡”前的單選按鈕，配置基本信 息，如下圖所示。當(dāng)茜狀畫如：投右啟動基本邊晝廣取機(jī)熱備W負(fù)或均衡痙接保護(hù)廠高級配晝I啟用I停止I應(yīng)甫設(shè)置“本機(jī)地址”為心跳口eth2的IP地址（10.0.0.1 ）。設(shè)置“對端地址”為另一臺墻心跳口eth2的IP地址（10.0.0.2），超過兩臺設(shè)備時，必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設(shè)備）。“心跳間隔”可以使用默認(rèn)值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導(dǎo)致

32、從墻的主從狀態(tài)的來回切換。b）勾選“高級配置”左側(cè)的復(fù)選框，配置高級信息，如下圖所示。P高皺配晝配宣實(shí)時同步:麗三|運(yùn)行刑掠同步應(yīng)菩：麗3應(yīng)答超時時間：10*亳秒應(yīng)答報丈重岌次數(shù)：2*心-5歡停止應(yīng)用C）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置。d）點(diǎn)擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。敦機(jī)熱備悴負(fù)羲均衛(wèi)廠廷接保護(hù) 本地地址：10.0.0. 對諦地址：io.0.0.2 心跳閭隔：1 星i-2秒 血探測：TF探側(cè)廠高煩配置啟用| _停止應(yīng)用Vrid優(yōu)先純搶占度量值播口1200MASTER2000012100di s ableJACKUP600002刪隱傷改? 防火墻2防火

33、墻2的操作請參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.0.0.2,對端地址為。CLI配置步驟1）設(shè)置ethl 口的IP地址。? 防火墻1?#n etwork in terfaceeth1 ip add mask 防火墻 2#n etwork in terface eth1 ip add mask ）設(shè)置備份接口屬性。分別在防火墻1和防火墻2上進(jìn)行配置。#n etwork in terface eth0 switchport mode trunk# n etwork in terface eth0 switchport trunk allowed-vla n 1,2# n etwork vla

34、 n add range 1-2#n etwork in terface ip add mask in terface ip add mask in terfacevrid 1#n etwork in terface vrid 23）設(shè)置心跳口屬性? 防火墻1?#n etwork in terface eth2 ip add 10.0.0.1 mask 255.0 ha 防火墻 2#network interface eth2 ip add 10.0.0.2 mask 255.0 ha ）指定防火墻的不同 VRID 組的 優(yōu)先級。? 防火墻 1#ha vrid1 priority200#ha

35、vrid1 preemptenable#ha vrid2 priority100#ha vrid2 preemptdisable防火墻 2#ha vrid1 priority100#ha vrid1 preemptdisable#ha vrid2 priority200#ha vrid2 preemptenable5）指定 HA 網(wǎng)口本地地址以及對端地址。 ? 防火墻 1#ha mode aa#ha local 10.0.0.1#ha peer 10.0.0.2# ha rtosync ack enable#ha rtconfig-sync enable#ha enable? 防火墻 2#ha

36、 mode aa#ha local 10.0.0.2#ha peer 10.0.0.1# ha rtosync ack enable#ha rtconfig-sync enable#ha enable注意事項(xiàng)無。連接保護(hù)模式基本需求Hill場火韋I卜-丨1於火審工1 htvrnctthlErlif)叨火拙3iEiOkAi防火增4圖4連接保護(hù)模式拓?fù)鋱D上圖是一個簡單的連接保護(hù)模式拓?fù)鋱D，四臺防火墻并行工作，防火墻的Eth2 口HUB （或交換機(jī)）相連VRRP或HSRP進(jìn)行為心跳口（ IP地址分別為“ 10.1.1.1/24”、“、“和“），通過用來協(xié)商狀態(tài)及同步對象和配置。當(dāng)兩臺/多臺防火墻均正

37、常工作時，由上下游的設(shè)備通過運(yùn)行 冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)，所有防火墻處于負(fù)載分擔(dān)狀態(tài)，當(dāng)其中一 臺發(fā)生故障時，上下游設(shè)備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。配置要點(diǎn)配置防火墻心跳口配置防火墻中除心跳口以外的接口配置HA屬性 設(shè)置關(guān)閉連接表的嚴(yán)格狀態(tài)檢測功能WEBUI配置步驟1）配置防火墻心跳口。? 防火墻1HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。 接口屬性必須要勾選"ha-static”選項(xiàng)。a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇"物理接口”頁簽，點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，配置基本信息，如下圖所示。點(diǎn)擊

38、“確定”按鈕保存配置。b）點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，在“路由模式”下方配置心跳口的IP地址,然后點(diǎn)擊“添加”按鈕，如下圖所示。境由段式地址/掩碼:10.1.1. 12E5.255 25S.0F ha stati“ha-static”選項(xiàng)必須勾選，否則運(yùn)行狀態(tài)同步時IP地址信息也會被同步。點(diǎn)擊“確定”按鈕保存配置。? 防火墻2設(shè)置防火墻2的心跳口 IP地址為“ 10.1.1.2/24”，其操作與防火墻1的設(shè)置方法相同，具體請參加防火墻1的配置步驟。? 防火墻3設(shè)置防火墻3的心跳口 IP地址為“ 10.1.1.3/24”，其操作與防火墻1的設(shè)置方法相同，具體請參加防火墻1的配置步驟。防火墻

39、4設(shè)置防火墻4的心跳口 IP地址為“ 10.1.1.4/24”，其操作與防火墻1的設(shè)置方法相同，具體請參加防火墻 1的配置步驟。2）配置防火墻中除心跳口以外的接口。? 防火墻1a）配置 EthO 口 IP 為。點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊ethO接口后的“設(shè)置”圖標(biāo)。在“路由模式”下方配置 EthO 口的IP地址，然后點(diǎn)擊“添加”按鈕，如下圖所示。點(diǎn)擊“確定”按鈕保存配置。b）配置 Eth1 口 IP 為 10.10.10.2。點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth1接口后的“設(shè)置”圖標(biāo)。在“路由模式”下方配置 Eth1 口的IP

40、地址，然后點(diǎn)擊“添加”按鈕，如下圖所示。地址/掩碼:10.10. 10-2/ 255 255 255.0廠hart 吐讓忝加地址掩碼屬性刪除高皺屋性r1確足取消1點(diǎn)擊“確定”按鈕保存配置。? 防火墻2a）配置 EthO 口 IP 為。b）配置 Eth1 口 IP 為 10.10.10.3。操作步驟與防火墻1完全一致，請參照防火墻1進(jìn)行配置。? 防火墻3a）配置 EthO 口 IP 為。b）配置 Eth1 口 IP 為 10.10.10.4。操作步驟與防火墻1完全一致，請參照防火墻1進(jìn)行配置。? 防火墻4a）配置 EthO 口 IP 為。b）配置 Eth1 口 IP 為 10.10.10.5。操

41、作步驟與防火墻1完全一致，請參照防火墻1進(jìn)行配置。3）配置HA屬性。指定HA網(wǎng)口本地地址以及對端地址，并啟用運(yùn)行對象同步功能。? 防火墻1a）點(diǎn)擊高可用性 > 雙機(jī)熱備，選中“連接保護(hù)”前的單選按鈕，配置基本信息, 如下圖所示。設(shè)置本機(jī)地址為心跳口Eth2的IP地址（10.1.1.1 ）；設(shè)置對端地址為eth2 口的子網(wǎng)廣播地址（10.1.1.255），當(dāng)只有兩臺防火墻并行工作時，建議設(shè)置為單播地址；b）勾選“高級配置”左側(cè)的復(fù)選框，配置高級信息，如下圖所示。啟高皺配置配看實(shí)時同母:麗3運(yùn)行對象同店應(yīng)笞:I開啟二應(yīng)答超時時間:10* 10-50囿杪1應(yīng)菩搖史重發(fā)歡數(shù)：2+ 0-£

42、;次匸啟用：！停止應(yīng)用C）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置。d）點(diǎn)擊“啟用”按鈕，啟動該連接保護(hù)模式，心跳口連接建立，如下圖所示。防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.1.1.2為。? 防火墻3防火墻3的操作請參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.1.1.3為。? 防火墻4防火墻4的操作請參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.1.1.4防火墻2為。對端地址對端地址對端地址4）設(shè)置關(guān)閉連接表的嚴(yán)格狀態(tài)檢測功能。? 防火墻1、防火墻2、防火墻3和防火墻4a）點(diǎn)擊 系統(tǒng)管理 > 配置，然后選擇“系統(tǒng)參數(shù)”頁簽，選中“高級屬性”前的 復(fù)選框，在“網(wǎng)絡(luò)參數(shù)

43、”處設(shè)置關(guān)閉連接完整性檢查功能，如下圖所示。兀NIF重定向；TCP xeset ；赳校驗(yàn)和；連接完整性：|關(guān)-1快速連援重用：冊L5透傳：厭 £山-汀壬可曲犬宏亍"且空格隔并10-2000個/杪r限制為b）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕即可。CLI配置步驟1）配置防火墻心跳口屬性。? 防火墻1?#n etworkin terfaceeth2ipadd10.1.1.1mask255.0 ha 防火墻2?#n etworkin terfaceeth2ipadd10.1.1.2mask255.0 ha 防火墻3?#n etworkin terfaceeth2ipadd10.1.

44、1.3mask255.0 ha 防火墻4#n etwork in terfaceeth2 ip add 10.1.1.4 mask 255.0 ha）配置防火墻中除心跳口以外的接口屬性。? 防火墻1、防火墻2、防火墻3和防火墻4#n etwork vlan add id100#n etwork in terfaceeth0 switchport#n etwork in terfaceeth0 switchport mode trunk#n etwork in terfaceeth0 switchport mode trunk allowed-vlan 100#n etwork in terfa

45、ceeth1 switchport#n etwork in terface eth1 switchport mode trunk#network interface eth1 switchport mode trunk allowed-vlan 1003）配置 HA 的工作模式及心跳口的本地地址和對端地址。 ? 防火墻 1#ha mode lb#ha local 10.1.1.1#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-syncenable? 防火墻 2#ha mode lb#ha local 10.1.1.2#ha peer

46、 10.1.1.255# ha rtosync ack enable#ha rtconfig-syncenable? 防火墻 3#ha mode lb#ha local 10.1.1.3#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-syncenable? 防火墻 4#ha mode lb#ha local 10.1.1.4#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-sync enable 4）設(shè)置關(guān)閉連接表的嚴(yán)格狀態(tài)檢測功能。? 防火墻 1、防火墻 2、防火墻 3

47、和防火墻 4#network session session-integrity off注意事項(xiàng)如果用戶網(wǎng)絡(luò)拓?fù)渲杏锌赡艽嬖谶@樣的情況：建立連接請求發(fā)送的 SYN 包經(jīng)過一 臺防火墻，而返回的 SYN/ACK 包通過另一臺防火墻轉(zhuǎn)發(fā)，則必須要關(guān)閉嚴(yán)格狀態(tài)檢測 開關(guān)。當(dāng) SYN 包通過墻 A 時，墻 A 上建立了一條狀態(tài)為 handshake 的連接，同步到 B 墻 上時，為了避免重復(fù)同步連接， B 墻上連接狀態(tài)為 ESTABLISHED 狀態(tài)；此時如果 SYN/ACK 報文從 B 墻的路徑返回，發(fā)現(xiàn)墻上已經(jīng)有一條 ESTABLISHED 的連接，就會 把 ACK 包丟棄，導(dǎo)致 client 和

48、 server 端無法真正建立起連接來， 通信失敗。 此時，如果 把嚴(yán)格狀態(tài)檢測開關(guān) off 的話， ACK 包到達(dá) B 墻，雖然發(fā)現(xiàn)已經(jīng)有一條 ESTABLISHED 的連接，但也會放過，報文回復(fù)到 client 端時，就可以握手成功了。子接口的負(fù)載均衡模式基本需求GWi I7X16JD.I皿16J.IEZ4 GW: I72JI.I圖5子接口負(fù)載均衡模式的網(wǎng)絡(luò)示意圖上圖是一個簡單的利用子接口進(jìn)行負(fù)載均衡的示意圖。防火墻A和防火墻B并聯(lián)工作，兩個防火墻的 EthO接口間由一條心跳線相連用來同步狀態(tài)及配置信息；兩個防 火墻的子接口和屬于 VRID10 （防火墻B的優(yōu)先級高于防火墻 A）;兩個防火

49、墻的子接 口和屬于VRID20 （防火墻A的優(yōu)先級高于防火墻 B）。這樣，兩臺防火墻均正常工作 時，網(wǎng)段“的流量通過防火墻A進(jìn)行轉(zhuǎn)發(fā)，網(wǎng)段“的流量通過防火墻B進(jìn)行轉(zhuǎn)發(fā)。當(dāng)其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實(shí) 現(xiàn)兩臺防火墻的負(fù)載均衡。配置要點(diǎn)配置備份子接口配置心跳口?配置防火墻的不同 VRID組的優(yōu)先級? 配置HA功能WEBUI配置步驟1）配置備份子接口? 防火墻Aa） 點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，激活“子接口”頁簽，然后點(diǎn)擊“添加/刪除子接口”， 添加ethl接口的子接口和。b） 點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，激活“子接口”頁簽，然后點(diǎn)擊“添加/刪

50、除子接口”， 添加eth2接口的子接口和。c）在子接口列表中，分別點(diǎn)擊各個子接口條目右側(cè)的“屬性”圖標(biāo)，配置的IP地址為，屬于VRID10 ；配置的IP地址為，屬于VRID20 ；配置的IP地址為，屬于VRID10 ； 配置的IP地址為，屬于 VRID20，如下圖所示。物理接口 I孑接口 I越路眾合子撞口祈力“刪除子接口】名稱世址WTU雇性011 號.169.0. 1/55E. 255.255.01500啟用nvethl.02192. 163 0.2/255.255.255 01S00啟用nveth2.01172. 16.0 17255 255 2S5 01500眉用nveth202172.

51、16. 1 1/£55 255 £55 01500啟用a? 防火墻B配置防火墻B的備份子接口，與防火墻 A的配置完全相同，此處不再贅述。2）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口 IP為同一個網(wǎng)段的不同IP （分別為10.0.0.1/24和），并且必須勾選“ ha-static”選項(xiàng)。防火墻Aa）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇"物理接口”頁簽，在ethO接口后點(diǎn)擊"設(shè)置”圖標(biāo)，為該接口配置進(jìn)行同步HA設(shè)置的地址，如下圖所示。擁淮實(shí)口 I子接口 I體路壌合逐:狀態(tài)；3小于240字節(jié)地址/it碼：/廠 lia-Etati

52、 ?添加 |地址掩碼屬性10.0.C. 1255.255.255,0高皺屋性廠b）參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。? 防火墻B配置防火墻B的ethO 口 IP地址為“ 10.0.0.2/24”，具體操作請參見防火墻A。3）配置防火墻的不同 VRID組的優(yōu)先級。設(shè)定防火墻 A的VRID10的優(yōu)先級為100, VRID20的優(yōu)先級為200。設(shè)定防火墻B 的VRID 10的優(yōu)先級為200，VRID 20的優(yōu)先級為100。因此，對 VRID 10來說防火墻 B為主墻，防火墻 A為備墻；對于 VRID 20來說防火墻A為主墻，防火墻 B為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失效后，重新恢復(fù)正常工作時，重獲主墻地 位。? 防火墻Aa）選擇 高可用性 > 雙機(jī)熱備，然后選中“負(fù)載均衡”前的單選按鈕。b） 點(diǎn)擊“熱備組”右側(cè)的“添加”，配置 VRID 10的優(yōu)先級為100,如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置VRID20的優(yōu)先級為200, “搶占