防火墻雙機熱備3.3配置案例

1、雙機熱備網(wǎng)絡衛(wèi)士防火墻可以實現(xiàn)多種方式下的冗余備份，包括：雙機熱備模式、負載均衡模式和連接保護模式。在雙機熱備模式下（最多支持九臺設(shè)備），任何時刻都只有一臺防火墻（主墻）處于 工作狀態(tài)，承擔報文轉(zhuǎn)發(fā)任務，一組防火墻處于備份狀態(tài)并隨時接替任務。當主墻的任何一個接口（不包括心跳口）出現(xiàn)故障時，處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后，由優(yōu)先級高 的防火墻接替主墻的工作，進行數(shù)據(jù)轉(zhuǎn)發(fā)。在負載均衡模式下（最多支持九臺設(shè)備），兩臺/多臺防火墻并行工作，都處于正常的數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài)。每臺防火墻中設(shè)置多個VRRP備份組，兩臺/多臺防火墻中VRID相同的組之間可以相互備份，以便確保某臺設(shè)備故障時，其他的設(shè)備能夠接替其工作。

2、在連接保護模式下（最多支持九臺設(shè)備），防火墻之間只同步連接信息，并不同步狀態(tài)信息。當兩臺/多臺防火墻均正常工作時，由上下游的設(shè)備通過運行 VRRP或HSRP進行 冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)， 所有防火墻處于負載分擔狀態(tài)， 當其中一臺 發(fā)生故障時，上下游設(shè)備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。雙機熱備模式基本需求圖1雙機熱備模式的網(wǎng)絡拓撲圖上圖是一個簡單的雙機熱備的主備模式拓撲圖，主墻和一臺從墻并聯(lián)工作，兩個防火墻的Eth2接口為心跳口，由心跳線連接用來協(xié)商狀態(tài)，同步對象及配置信息。配置要點設(shè)置HA心跳口屬性設(shè)置除心跳口以外的其余通信接口屬于VRID2指定HA的工作模式及心

3、跳口的本地地址和對端地址主從防火墻的配置同步WEBU配置步驟1）配置HA心跳口和其他通訊接口地址HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ ha-static ”選項，否則 HAL、跳口的IP地址信息會在主從墻運行配置 同步時被對方覆蓋。主墻a）配置HA心跳口地址。 點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth2接口后的“設(shè)置”圖標，配置基本信息，如下圖所示。最多3葉宇符或者15個浜宇1點擊“確定”按鈕保存配置。 點擊eth2接口后的“設(shè)置”圖標，在“路由模式”下方配置心跳口的IP地址,然后點擊“添加”按鈕，如下圖所示。

4、路曲霍式地址/掩瑪：101 1.1.1/255. 255. 255帀療 htt'Etaticmt掩碼刪除“ha-static ”選項必須勾選，否則運行狀態(tài)同步時IP地址信息也會被同步。點擊“確定”按鈕保存配置。b）配置 Eth1和Eth0 口的IP地址。配置Eth1和Eth0的IP地址分別為192.168.83.219 和172.16.1.20,具體操作請參見配置HAL、跳口地址。說明互為備份的接口必須配置相同的IP地址，所以主墻的Eth1 口必須與從墻 Eth1 口的IP地址相同，主墻的 Eth0 口必須與從墻Eth0 口的IP地址相同。從墻a）配置HA心跳口地址。配置從墻HA心跳口

5、地址為10.1.1.2 ，具體步驟請參見主墻的配置，此處不再贅述。b）配置 Eth1和Eth0 口的IP地址。配置從墻Eth1和Eth0的IP地址分別為192.168.83.219 和172.16.1.20 ，具體步驟 請參見主墻的配置，此處不再贅述。2）設(shè)置除心跳口以外的其余通信接口屬于VRID2。主備模式下，只能配置一個 VRRP備份組，而且通信接口必須加入到具體的 VRID組中, 防火墻才會根據(jù)此接口的 up、down狀態(tài)，來判斷本機的工作狀態(tài)， 以進行VRID組內(nèi)主備 狀態(tài)的切換。主墻a）選擇 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，在除心跳口以外的接口后 點擊“設(shè)置”圖標

6、（以 eth0為例）。b）勾選“高級屬性”后的復選框，設(shè)置該接口屬于vrid2，如下圖所示。MTU：MAC：協(xié)茴複式：vsi d :vri d :150066-150000 l3：32：02：23：F6恢復駛省間臥格式如 aa：ee：cc：dd：ee：ff 命目孕協(xié)商手工設(shè)置 速率：10M三敦工模式：m沙值:反向路輕直詢:MA_metric :200-14600-100免費沖發(fā)送間c）參數(shù)設(shè)置完成后，點擊“確定”按鈕保存配置。從墻具體步驟請參見主墻的配置，此處不再贅述。3）指定HA的工作模式及心跳口的本地地址和對端地址。需要設(shè)置HA工作在“雙機熱備”模式下，并設(shè)置當前防火墻為主墻或從墻，心跳口

7、 的本地及對端IP地址信息、心跳間隔等屬性。主墻a）選擇高可用性 > 雙機熱備，選中“雙機熱備”前的單選按鈕，配置基本信息, 如下圖所示。當前狀玄伏態(tài):沒有啟動基本設(shè)置雙機熱備廣負載均衡廠連接保護啟用 停止 應用設(shè)置本機地址為心跳口 eth2的IP地址（10.1.1.1）；設(shè)置對端地址為從墻心跳口eth2的IP地址（10.1.1.2 ），超過兩臺設(shè)備時，必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設(shè)備）；心跳探測間隔可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息 報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須

8、設(shè)置一致，否則很可能導致從墻的主從狀態(tài)的來回切換；設(shè)置熱備組為通信接口的 VRID（2）；選擇身份為“主機”；“搶占”模式，是指主墻宕機后，重新恢復正常工作時，是否重新奪回主墻的地位。只有當主墻與從墻相比有明顯的性能差異時，才需要配置主墻工作在“搶占”模式，否則當主墻恢復工作時主從墻的再次切換浪費系統(tǒng)資源，沒有必要。案例中兩臺防火墻相同, 所以主墻不需要配置為“搶占”模式。b）勾選“高級配置”左側(cè)的復選框，進行高級配置，如下圖所示。兩高級配置配置實時同步:1開啟運行對象同步應答:1開啟zJ應答起時時間：10* LA50D毫秒應答報文重發(fā)次數(shù)：2* 0-5次啟用| 停止 應用C）參數(shù)設(shè)置完成后，

9、點擊“應用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。當前狀臺狀態(tài):業(yè)跳口呎B2連接建立工作狀喜:工作機齒雙機熱備負旣均衡連接保護啟用|停止Yr id憂先級搶占狀態(tài)度星值接口修改刪除2254nabl MASTER0ethDethl0從墻10.1.1.2 ，對配置操作和主墻的基本相同，但注意身份為“從屬機”，本機地址為 端地址為10.1.1.1 ，不選擇“搶占”。4）主從防火墻的配置同步在主墻點擊“從本機同步到對端機”，將主墻的當前配置同步到從墻。 至此，主墻和從墻的雙機熱備就可以正常使用了。CLI配置步驟1）配置HA的交互IP （心跳線相連的兩個端口）主墻

10、# n etwork in terfaceeth2 ip add 10.1.1.1 mask 255.255.255.0 ha-static#n etwork in terfaceeth0 vrid 2#n etwork in terfaceeth1 vrid 2從墻# n etwork in terfaceeth2 ip add 10.1.1.2 mask 255.255.255.0 ha-static#n etwork in terfaceeth0 vrid 2#n etwork in terfaceeth1 vrid 22）指定HA網(wǎng)口本地地址以及對端地址主墻# ha modeas# h

11、a local# ha peer# ha as-vrid2#ha vrid 2 priority254# ha vrid2 preemptdisable# ha en able從墻# ha modeas# ha local# ha peer# ha as-vrid2# ha vrid2 priority100# ha vrid2 preemptdisable# ha en able注意事項1) 當主墻或從墻配置發(fā)生變更后，手工同步配置可以保證主從墻配置的一致性。2) TOS3.3防火墻的接口均為自適應接口，HA接口之間的連接可以使用交叉線也可以 使用直連線。路由接口下的負載均衡模式基本需求圖2

12、路由接口下負載均衡模式的網(wǎng)絡拓撲圖上圖是一個簡單的利用物理接口進行負載均衡的拓撲圖，防火墻1和防火墻2并聯(lián)工作，兩個防火墻的 Eth3接口間由一條心跳線相連用來同步狀態(tài)及配置信息；兩個防火墻 的Eth1 口屬于同一 vridl （防火墻1的優(yōu)先級高于防火墻 2）；接口 Eth2屬于同一 vrid2 （防火墻2的優(yōu)先級高于防火墻 1）。兩臺防火墻均正常工作時， 網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火 墻2利用網(wǎng)通鏈路上網(wǎng)。 當其中一條鏈路發(fā)生故障時， 其上的數(shù)據(jù)流會自動切換， 通過另 一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點配置ethO 口配置VRID組內(nèi)接口配置心跳口

13、配置防火墻的不同 VRID組的優(yōu)先級配置HA功能WEBU配置步驟1）配置 ethO 口防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇"物理接口”頁簽，點擊接口 ethO條目后的"設(shè) 置”圖標，設(shè)定其 IP地址為“ 192.168.83.237/24”，如下圖所示。踣由裡式地址/掩碼：| 192.168.03 237/ 廠 ha-static地址淹碼屬性刪除高級屋性廠確定丨 取消參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。b）點擊"確定”按鈕保存配置。防火墻2配置防火墻2的IP地址為“ ”，具體步驟請參見防火墻 1的配置。2）配置備份接口設(shè)定兩臺防火墻上 eth1

14、口和eth2 口互相備份。兩臺防火墻的 eth1 口需要設(shè)定相同 的IP地址和VRID;兩臺防火墻的eth2 口也需要設(shè)定相同的IP地址和VRID。防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth1接口后的“設(shè)置”圖標，配置eth1接口 IP地址為，如下圖所示。路由複式地址/掩瑪：1/1 ha static地址掩碼雇性刪除1T2. 16 0.2255. 25S. 255.0n確定取消選中“高級屬性”后的復選框，設(shè)置ethl的vrid值為1，如下圖所示。路由模式地址/掩碼：| / |1 ha-stati c1添加地址掩碼屬性刪除25S. 255.255.0a高級屋

15、性P150060-150000：13：32：02:23:F5恢復缺省 HAC格式如 AA：BB:CC：D：HE：FFMTU：MAC :協(xié)商模式：vsid :vrid -免費up發(fā)送間 隔：開關(guān)：ESS值:反向路謹查詢：MA-metric-參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。b）點擊eth2接口后的“設(shè)置”圖標，配置eth2接口 IP地址為，如F圖所示。路由複式地址/掩碼：/1 hastatic 蘇加地址掩碼屬性刪除IT2. 161 3255.255,255.0n高級雇性廠確定 取消選中“高級屬性”后的復選框，設(shè)置eth2的vrid值為2，如下圖所示。路曲複式地址/掩碼：1| / |1 ha-

16、static地址掩碼屬性刪除172 MTU：150069-1500MAC :00:13;32:02:23:F6恢復缺省MAC格式如 AA:BB:CC:M:EE:FF忖自動協(xié)商廠手工設(shè)置協(xié)商模式：速率：110M雙工模式：1聖匚dvsid :°0-264vrid -20-255免費pp發(fā)送間 隔：00-1000秒EEE開關(guān)：皿壬值:200-1450反向路徑香詢：HA-metric :600-100參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。防火墻2防火墻2的配置與防火墻1完全一致，具體操作請參見防火墻1。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口 IP為同一個網(wǎng)段的

17、不同IP （分別為和10.0.0.2/24），并且必須要勾選“ ha-static ”選項。防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，在eth3接口后點擊“設(shè)置” 圖標，配置該接口為進行同步HA設(shè)置的IP地址，如下圖所示。路由複式地址/掩碼:地址10 0.0. 1掩瑪/ 2SS.2SS. 屬性刪除W|b）參數(shù)設(shè)置完成后，點擊“添加”按鈕，然后點擊“確定”按鈕即可。防火墻2配置防火墻2的eth3 口 IP地址為“ ”，具體操作請參見防火墻1的配置。4）指定防火墻的不同VRID組的優(yōu)先級。設(shè)定防火墻1的vridl的優(yōu)先級為200,vrid2的優(yōu)先級為100。設(shè)定防火墻2

18、的vridl 的優(yōu)先級為100，vrid2的優(yōu)先級為200。設(shè)置完成后，對于 vridl來說，防火墻1為主 墻，防火墻2為備墻；對于vrid2來說，防火墻2為主墻，防火墻1為備墻。并且設(shè)置主 墻為“搶占”模式，即主墻能在失效后，重新恢復正常工作時，重獲主墻地位。防火墻1a）選擇高可用性 > 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應用” 按鈕。b） 點擊“ Vrid ”右側(cè)的“添加”，配置 vrid1的優(yōu)先級為200,“搶占”模式，如 下圖所示。VridS 置v>i«:1優(yōu)先級;200搶占：P確定取消參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為

19、100，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。防火墻2a）選擇高可用性 > 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應用按鈕。b）點擊“ Vrid ”右側(cè)的“添加”，配置 vridl的優(yōu)先級為100,如下圖所示。Vri詛設(shè)置Vrid： 憂先飯： 搶占：1 *100 *匚確定砸消參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為200, “搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。5）配置HA功能防火墻1a）點擊 高可用性 > 雙機熱備，然后選中“負載均衡”前的單選按鈕，配置基本屬 性，如下圖所示?；吭O(shè)置雙機熱備金負我均衡連接保護設(shè)置“

20、本機地址”為心跳口eth3的IP地址（10.0.0.1 ）。設(shè)置“對端地址”為另一臺墻心跳口 eth3的IP地址（10.0.0.2 ）,超過兩臺設(shè)備時, 必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設(shè)備）?！靶奶g隔”可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導致從墻的主從狀態(tài)的來回切換。b）勾選“高級配置”左側(cè)的復選框，配置高級屬性，如下圖所示。療高級配置配置實時同步：麗運行對象同步應答:匡肓習應笞超時時間：10* 10-500毫秒應答報文重發(fā)

21、次數(shù)：2* 0-5次啟用停止 應用C）參數(shù)設(shè)置完成后，點擊“應用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。當前狀態(tài)伏態(tài)関6口寸出連接逹立基本設(shè)置歡機燥備R負載均衡連接傑護廠高僵配置啟用 停止 應用熱備組【添加Vrid優(yōu)先級搶占狀態(tài)度量值接口修改1200ensileMASTERZDethll.ol2100di sableBACKUP60ath2回151防火墻2防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機地址為，對端地址為 10.0.0.1 。CLI配置步驟1）設(shè)置ethO 口的IP地址。防火墻1#n etwork in terfaceethO ip a

22、dd 192.168.83.237 mask 防火墻2#n etwork in terfaceeth0 ip add 202.1.1.2 mask 2）設(shè)置備份接口屬性。分別在防火墻1和防火墻2上進行配置。#n etwork in terfaceeth1 ip addmask #n etwork in terfaceeth2 ip addmask #n etwork in terfaceeth1 vrid 1#n etwork in terfaceeth2 vrid 23）設(shè)置心跳口屬性防火墻1#n etwork in terfaceeth3 ip addmask 255.255.255.0

23、ha-static防火墻2#n etwork in terfaceeth3 ip addmask 255.255.255.0 ha-static4）指定防火墻的不同VRID組的優(yōu)先級。防火墻1#ha vrid 1 priority200#ha vrid 1 preempten able#ha vrid 2 priority100#ha vrid 2 preemptdisable防火墻2#ha vrid 1 priority100#ha vrid 1 preemptdisable#ha vrid 2 priority200#ha vrid 2 preempten able5）指定HA網(wǎng)口本地地址

24、以及對端地址。防火墻1#ha mode aa#ha local #ha peer # ha rtos ync ack en able#ha rtcon fig-s yncen able#ha en able防火墻2#ha mode aa#ha local #ha peer # ha rtos ync ack en able#ha rtcon fig-s yncen able#ha en able注意事項無。Trunk 口下的負載均衡模式基本需求XIXKrh(KEthl Strunk, iVLA>l:172.lfr.«.M4VLANl:l711d4.372420L1JJEiM:I

25、OJIA1Lfh2: 10 Aft. IkthLlrunk 口 lV I ASIH72.16.0.2. 24、期丹IMR2 Vrid I Vridl圖3 Trunk 口下負載均衡模式的網(wǎng)絡拓撲圖上圖是一個簡單的利用Trunk接口進行負載均衡的拓撲圖，防火墻1和防火墻2并聯(lián)工作，兩個防火墻的Eth2接口間由一條心跳線相連用來同步狀態(tài)及配置信息，兩個防火墻的Eth1 口為trunk 口，同時屬于 vlanl和vian2，vlanl屬于同一 vridl （防火墻1的 優(yōu)先級高于防火墻 2）、vian2屬于同一 vrid2 （防火墻2的優(yōu)先級高于防火墻1），這樣兩臺防火墻均正常工作時，網(wǎng)段1通過防火墻

26、1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火墻2利用網(wǎng)通鏈路上網(wǎng)。當其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點配置ethO 口配置VRID組內(nèi)接口配置心跳口配置防火墻的不同 VRID組的優(yōu)先級配置HA功能WEBU配置步驟1）配置 ethO 口防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇"物理接口”頁簽，點擊接口 ethO條目后的"設(shè) 置”圖標，設(shè)定其 IP地址為“ 192.168.83.237/24”，如下圖所示。踣由裡式地址/掩碼：| 192.168.03 237/ 廠 ha-static地址淹碼屬性刪除高級

27、屋性廠確定丨 取消參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。b）點擊"確定”按鈕保存配置。防火墻2配置防火墻2的通信用IP地址為“ ”，具體步驟請參見防火墻1的配置。2）配置兩臺防火墻上 eth1 口為trunk 口，屬于 VLAN1和VLAN2配置兩臺防火墻的 eth1 口為trunk 口，屬于VLAN1和VLAN? VLAN1虛接口互相備份， VLAN2虛接口也互相備份，需要設(shè)定相同的IP地址和vrid。防火墻1和防火墻2a）選擇 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth1接口后的“設(shè)置” 圖標，配置接口信息，如下圖所示。物理接口 I子接口 I搭路聚合基本信息最

28、多比個字符或者15個浜字0-££££；十六進制L1-4094L1-4D94格式50 ： 1-100,可以輸入窖個高疆屬性廠確走 取消參數(shù)設(shè)置完成后，點擊“確定”即可。b）點擊網(wǎng)絡管理 > 二層網(wǎng)絡，并選擇“ VLAN頁簽，點擊“添加/刪除VLAN范圍”添加VLAN設(shè)置VLAN虛接口的屬性，如下圖所示。AKF | VLAJT | NAC | CDF慕加vuji id : r添加VUK范圍:1- 2毗除皿ji范圍：r-注意：VUN IDJbI是1- 4094 ,總數(shù)最多是200個確定 取消參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。c）點擊網(wǎng)絡管理 >

29、 二層網(wǎng)絡，然后選擇“ VLAN頁簽，點擊vlan.0001后的“修改”字段，設(shè)置 VLAN虛接口 vlan.0001的IP地址為，如下圖所示。ARP | VLAH | MAC | CDP接口信息接口名稱:0001接口捲述：接口狀態(tài)啟用jj地址信自地址F掩碼：1弦-1&山2/ 255-255-255-D廠ha-stati c添加地址掩碼屬性刪除參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。點擊“高級屬性”后的復選框，設(shè)置Vian.0001接口屬于vridl ,如下圖所示。HTU：mu開關(guān)： mnsH，S '反向路徑查詢:vsid :vrid :U-metrie :免毀吐哉送間 隔：確定

30、 腿消參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。d）點擊網(wǎng)絡管理 > 二層網(wǎng)絡，然后選擇“ VLAN頁簽，點擊vlan.0002后的“修改”字段，設(shè)置 VLAN虛接口 vlan.0002的IP地址為，如下圖所示。砸P I VLWT | 收 | CDP接口信宜地址信貝地址#掩碼：172.16 1 3/ 廠 ha-stati e添I® |世址掩碼雇性刪除高級屬性廠確定取消參數(shù)設(shè)置完成后，點擊“添加”按鈕即可。點擊“高級屬性”后的復選框，設(shè)置vian.0002接口屬于vrid2，如下圖所示。1500(off二|200-1460(off二P0-£542C0-25500-1600秒

31、600-100MTU：mzs開關(guān)：2百值：反向路徑查詢:vsi d :vrid :免費arp發(fā)送間 隔：c ：確定 職消參數(shù)設(shè)置完成后，點擊“確定”按鈕即可。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口 IP為同一個網(wǎng)段的不同IP （分別為和10.0.0.2/24），并且必須勾選“ ha-static ”選項。防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，在eth2接口后點擊“設(shè)置” 圖標，為該接口配置進行同步HA設(shè)置的地址，如下圖所示。物理接口 I子接口基本信息蠱多30個字符或者15個漢字地址掩碼屬性刪除地址/掩碼：/ 255.255.255

32、,0高級馬性廠確定取消b）參數(shù)設(shè)置完成后，點擊“添加”按鈕，然后點擊“確定”按鈕即可。防火墻2配置防火墻2的eth2 口 IP地址為“ ”，具體操作請參見防火墻1。4）配置防火墻的不同VRID組的優(yōu)先級。設(shè)定防火墻1的vridl的優(yōu)先級為200,vrid2的優(yōu)先級為100。設(shè)定防火墻2的vridl 的優(yōu)先級為100，vrid2的優(yōu)先級為200。設(shè)定后對vridl來說防火墻1為主墻，防火墻2 為備墻，對于vrid2來說防火墻2為主墻，防火墻1為備墻。并且設(shè)置主墻為“搶占”模 式，即主墻能在失效后，重新恢復正常工作時，重獲主墻地位。防火墻1a）選擇高可用性 > 雙機熱備，選中“負載均衡”前的

33、單選按鈕，然后點擊“應用” 按鈕。b） 點擊“ Vrid ”右側(cè)的“添加”，配置 vrid1的優(yōu)先級為200,“搶占”模式，如 下圖所示。Vrid 置Vrid：1優(yōu)先級;200*搶占：P確定取消參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為100,如下圖所示。Vri d設(shè)置Vrid：憂先級: 搶占：確取消參數(shù)配置完成后，點擊“確定”按鈕。防火墻2a）選擇高可用性 > 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應用 按鈕。b） 點擊“ Vrid ”右側(cè)的“添加”，配置 vridl的優(yōu)先級為100，如下圖所示。Vri詛設(shè)置Vrid： 憂先級： 搶占：1 *100 *r

34、確定取消參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為200， “搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。5）配置HA功能防火墻1a）點擊高可用性 > 雙機熱備，然后選中“負載均衡”前的單選按鈕，配置基本信 息，如下圖所示。當前狀態(tài)狀彥：沒有啟動基本設(shè)置r舉機熱備忖負載均衡廣連接保護10 0 0 110.04).21* 17 秒TF探測|本地地址：10 0 0. 1對端地址：10.0?C,2心跳間隔：1+ 1-3秒口探測：TF探測|廠高級配置啟用|停|± |應用設(shè)置“本機地址”為心跳口eth2的IP地址（10.0.0.1 ）。設(shè)置“對端地址”為

35、另一臺墻心跳口 eth2的IP地址（10.0.0.2 ）,超過兩臺設(shè)備時,必須將“對端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設(shè)備）?！靶奶g隔”可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導致從墻的主從狀態(tài)的來回切換。b）勾選“高級配置”左側(cè)的復選框，配置高級信息，如下圖所示。配置實時同步 運行對象同步應答應答起時時間 應答報文重發(fā)枚數(shù)應用c）參數(shù)設(shè)置完成后，點擊“應用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。當前

36、狀態(tài)狀態(tài)：心跳口呎肚瘵接建立基本設(shè)置廣雙機熱備a負載均衡連接保護 本地地址：iaaai 對端地址：1DD0 2心跳間隔：1* 1-3秒店探測：IF探測廠高皺配養(yǎng)啟用停止| 應用|Yr id憂先級搶占狀態(tài)度量值接口修改1200enableMASTER20vlan. 000102100disableBACKUP&0vlan, tJCOC0忝加刪除防火墻2防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機地址為，對端地址為 10.0.0.1 。CLI配置步驟1）設(shè)置eth1 口的IP地址。防火墻1#n etwork in terfaceeth1 ip add 192.168.83.237 ma

37、sk 防火墻2#n etwork in terfaceeth1 ip add 202.1.1.2 mask 2）設(shè)置備份接口屬性。分別在防火墻1和防火墻2上進行配置。modetr unktrunk allowed-vlan1,2172.16.0.2 mask 172.16.1.3 mask #n etwork in terfaceeth0 switchport# n etwork in terfaceeth0 switchport# n etwork vlan add range 1-2#n etwork in terfacevla n.0001 ip add#n etwork in terf

38、acevla n.0002 ip add#n etwork in terfacevla n.0001 vrid 1#n etwork in terfacevla n.0001 vrid 23）設(shè)置心跳口屬性防火墻1#n etwork in terfaceeth2 ip add 10.0.0.1 mask 255.255.255.0 ha-static防火墻2#n etwork in terfaceeth2 ip add 10.0.0.2 mask 255.255.255.0 ha-static4）指定防火墻的不同VRID組的優(yōu)先級。防火墻1#ha vrid1 priority200#ha vr

39、id1 preempten able#ha vrid2 priority100#ha vrid2 preemptdisable防火墻2#ha vrid1 priority100#ha vrid1 preemptdisable#ha vrid2 priority200#ha vrid2 preempten able5）指定HA網(wǎng)口本地地址以及對端地址。防火墻1#ha mode aa #ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able#ha en able防火墻2#ha mode aa #ha local #h

40、a peer # ha rtos ync acken able#ha rtcon fig-s yncen able#ha en able注意事項無。連接保護模式基本需求訪火罟1(KtTh2場火fs八、舫火肺1圖4連接保護模式拓撲圖上圖是一個簡單的連接保護模式拓撲圖，四臺防火墻并行工作，防火墻的Eth2 口為心跳口（ IP 地址分別為“ 10.1.1.1/24”、“ 10.1.1.2/24”、“”和“10.1.1.4/24”），通過HUB（或交換機）相連用來協(xié)商狀態(tài)及同步對象和配置。當兩臺/多臺防火墻均正常工作時，由上下游的設(shè)備通過運行VRRP或HSRRS行冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)

41、，所有防火墻處于負載分擔狀態(tài)，當其中一臺 發(fā)生故障時，上下游設(shè)備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。配置要點配置防火墻心跳口配置防火墻中除心跳口以外的接口配置HA屬性 設(shè)置關(guān)閉連接表的嚴格狀態(tài)檢測功能WEBUSE置步驟1）配置防火墻心跳口。防火墻1HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選"ha-static ”選項。a）點擊 網(wǎng)絡管理 > 接口，然后選擇"物理接口”頁簽，點擊eth2接口后的“設(shè)置”圖標，配置基本信息，如下圖所示。基本信貝描述：肚畔跳口最多3時字符或者15個孜字1狀感:|啟用模式:j略由d點擊

42、“確定”按鈕保存配置。b）點擊eth2接口后的“設(shè)置”圖標，在“路由模式”下方配置心跳口的IP地址,然后點擊“添加”按鈕，如下圖所示。路曲桎式地址/掩瑪：10 1.1.1/255. 255. 25576"mt掩碼刪除“ha-static ”選項必須勾選，否則運行狀態(tài)同步時IP地址信息也會被同步。點擊“確定”按鈕保存配置。防火墻2設(shè)置防火墻2的心跳口 IP地址為“ ”，其操作與防火墻1的設(shè)置方法 相同，具體請參加防火墻1的配置步驟。防火墻3設(shè)置防火墻3的心跳口 IP地址為“ ”，其操作與防火墻1的設(shè)置方法 相同，具體請參加防火墻1的配置步驟。防火墻4設(shè)置防火墻4的心跳口 IP地址為“

43、”，其操作與防火墻1的設(shè)置方法 相同，具體請參加防火墻1的配置步驟。2）配置防火墻中除心跳口以外的接口。防火墻1a）配置 EthO 口 IP 為 。點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊ethO接口后的“設(shè)置”圖標。在“路由模式”下方配置 EthO 口的IP地址，然后點擊“添加”按鈕，如下圖所示。歸由複式地址/掩碼：1花一16一1.2/ L添加地址掩碼屬性刪除點擊“確定”按鈕保存配置。b）配置 Eth1 口 IP 為 。點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth1接口后的“設(shè)置”圖標。在“路由模式”下方配置 Eth1 口的IP地址，然后點擊“添

44、加”按鈕，如下圖所示。路曲複式地址/掩碼:10.10. 10.2/ 255.255.255 01 ka-stati c添加地址掩碼屬性刪除高級展性廠確定取消點擊“確定”按鈕保存配置。防火墻2a） 配置 EthO 口 IP 為 b） 配置 Eth1 口 IP 為 操作步驟與防火墻1完全一致，請參照防火墻 1進行配置。 防火墻3a） 配置 EthO 口 IP 為 。b） 配置 Eth1 口 IP 為 。操作步驟與防火墻1完全一致，請參照防火墻 1進行配置。 防火墻4a） 配置 EthO 口 IP 為 。b） 配置 Eth1 口 IP 為 。操作步驟與防火墻1完全一致，請參照防火墻 1進行配置。3）

45、配置HA屬性。指定HA網(wǎng)口本地地址以及對端地址，并啟用運行對象同步功能。防火墻1a）點擊高可用性 > 雙機熱備，選中“連接保護”前的單選按鈕，配置基本信息, 如下圖所示。當前狀嘉狀態(tài):沒有啟動基本設(shè)置艱機熱備負羲均衡金連接保護設(shè)置本機地址為心跳口Eth2的IP地址（10.1.1.1 ）；設(shè)置對端地址為eth2 口的子網(wǎng)廣播地址（10.1.1.255 ），當只有兩臺防火墻并行 工作時，建議設(shè)置為單播地址；b）勾選“高級配置”左側(cè)的復選框，配置高級信息，如下圖所示。P高藝配置配置實時同步：麗3運行對象同步應答:應答超時時間：io* lo-sao亳秒應答報文重拔次數(shù)：2* 卜5次啟用停止|應用

46、C）參數(shù)設(shè)置完成后，點擊“應用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該連接保護模式，心跳口連接建立，如下圖所示。當前伏態(tài)狀態(tài)：札射E口寸弦連接題立基本設(shè)置廣艱機熱備負我均衡恪連接保護本地地址：10. 1, 1 j*對端地址：1D丄1.255*廠高級配宣啟用| 停止| 應用|防火墻2的操作請參見防火墻1的配置，需要設(shè)置本機地址為為。防火墻3防火墻3的操作請參見防火墻1的配置，需要設(shè)置本機地址為為。防火墻4防火墻4的操作請參見防火墻1的配置，需要設(shè)置本機地址為防火墻2為 10.1.1.255 。，對端地址，對端地址，對端地址4）設(shè)置關(guān)閉連接表的嚴格狀態(tài)檢測功能。防火墻1、防火墻2、防火墻3和防

47、火墻4a）點擊 系統(tǒng)管理 > 配置，然后選擇“系統(tǒng)參數(shù)”頁簽，選中“高級屬性”前的以上參數(shù)恢復默認復選框，在“網(wǎng)絡參數(shù)”處設(shè)置關(guān)閉連接完整性檢查功能，如下圖所示。0-255,可以輸入多亍以空格隔開10-2003 47秒b）參數(shù)設(shè)置完成后，點擊“應用”按鈕即可。CLI配置步驟1）配置防火墻心跳口屬性。防火墻1#n etwork in terface防火墻2eth2ip add10.1.1.1mask ha-static#n etwork in terfaceeth2ip add10.1.1.2mask ha-static防火墻3#n etwork in terfaceeth2ip add1

48、0.1.1.3mask ha-static防火墻4#n etwork in terfaceeth2ip add10.1.1.4mask ha-static2）配置防火墻中除心跳口以外的接口屬性。防火墻1、防火墻2、防火墻3和防火墻4#n etwork vlan add id100#n etwork in terfaceethO switchport#n etwork in terfaceeth0 switchport mode trunk#n etwork in terfaceeth0switchport modetrunkallowed-vla n100#n etwork in terfac

49、eeth1switchport#n etwork in terfaceeth1switchport modetrunk#n etwork in terfaceeth1switchport modetrunkallowed-vla n1003）配置HA的工作模式及心跳口的本地地址和對端地址。 防火墻1#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able防火墻2#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fi

50、g-s yncen able防火墻3#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able防火墻4#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able4）設(shè)置關(guān)閉連接表的嚴格狀態(tài)檢測功能。防火墻1、防火墻2、防火墻3和防火墻4#n etwork sessi on sessi on-i ntegrityoff注意事項如果用戶網(wǎng)絡拓撲中有可能存在這樣的情況：建立連接請求發(fā)送的 SYN包經(jīng)

51、過一臺防火墻，而返回的SYN/ACK包通過另一臺防火墻轉(zhuǎn)發(fā)，則必須要關(guān)閉嚴格狀態(tài)檢測開關(guān)。當SYN包通過墻A時，墻A上建立了一條狀態(tài)為 handshake的連接，同步到 B墻上 時，為了避免重復同步連接，B墻上連接狀態(tài)為 ESTABLISHED狀態(tài)；此時如果 SYN/ACK報文從B墻的路徑返回，發(fā)現(xiàn)墻上已經(jīng)有一條 ESTABLISHE啲連接，就會把ACK包丟棄， 導致client和server端無法真正建立起連接來，通信失敗。此時，如果把嚴格狀態(tài)檢 測開關(guān)off的話，ACK包到達B墻，雖然發(fā)現(xiàn)已經(jīng)有一條ESTABLISHE啲連接，但也會放過，報文回復到 clie nt端時，就可以握手成功了。子接口的負載均衡模式基本需求圖5子接口負載均衡模式的網(wǎng)絡示意圖上圖是一個簡單的利用