實驗十一_雙機熱備(選修)

1、實驗十一、防火墻雙機熱備實驗實驗目的1. 了解什么是雙機熱備2. 為什么要采用雙機熱備應用環(huán)境為了保證網(wǎng)絡的高可用性與高可靠性，神州數(shù)碼E級別高端防火墻提供了雙機熱備份功能，即在同一個網(wǎng)絡節(jié)點使用兩個配置相同的防火墻。正常情況下主防火墻處于工作狀態(tài)，另一個防火墻處于備份狀態(tài)，稱為從防火墻。當主防火墻發(fā)生意外 down機、網(wǎng)絡鏈路發(fā)生 故障、硬件故障等情況時，從防火墻自動切換工作狀態(tài)，從防火墻代替主防火墻正常工作， 從而保證了網(wǎng)絡的正常使用。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時間少于1秒?？梢詫崿F(xiàn)主備防火墻的策略配置同步，并可以選擇主備同步的方向，選擇是否備份同步前的配置策略，是否立即

2、應用同步過來的策略。神州數(shù)碼DCFW-1800E-G防火墻的HA架構(gòu)設(shè)計，通過加強的 VRRP協(xié)議，為用戶提 供了最高可用性的產(chǎn)品，神州數(shù)碼DCFW-1800的HA功能具備以下特性：設(shè)備發(fā)生故障時自動切換鏈路發(fā)生故障時自動切換關(guān)鍵任務故障時自動切換手工宣告切換切換時間小于1秒實驗設(shè)備1. 防火墻設(shè)備兩臺（E級別以上）2. Con sole線兩條3. 交叉網(wǎng)絡線六條直通網(wǎng)絡線四條實驗拓撲實驗要求1. 對1800E防火墻進行雙機初始配置2. 設(shè)置兩臺設(shè)備的簡單安全規(guī)則3. 啟用防火墻的雙機熱備功能4. 進行實驗驗證：a）設(shè)備發(fā)生故障時自動切換b）鏈路發(fā)生故障時自動切換c）關(guān)鍵任務故障時自動切換d）

3、手工宣告切換實驗步驟ip地址如下所示:對1800E防火墻進行雙機初始配置按照前面實驗的方式將兩臺防火墻進行初始配置，假設(shè)其各端口的注：此時我們?nèi)赃x擇內(nèi)網(wǎng)PC1為管理主機，則初始配置如下：FWA配置# ifconfig if1 /24# admi nhost add 0# apply# save#將PC1的IP地址更新為 0，并設(shè)置其網(wǎng)關(guān)地址為（ 為我們作雙機熱備之后的虛擬防火墻內(nèi)網(wǎng)地址）。如下圖所示：在PC1上開啟IE瀏覽器，使用URL : :121

4、1進行圖形化界面連接，進行接下來的配置。將端口 WAN按照拓撲圖配置為 ，HA 口配置IP為如下圖所示：物理接口 VLAN 全局選項名稱IP/Maskbits10 iFQ/2 斗2® in/24Q iF2o.o/o0 iF3192468.3,2/24注：在本實驗中，進行ifO配置之前需要先將if2的地址改為/0,因為出廠設(shè)置的 IP地址與我們?yōu)閕fO規(guī)劃的IP地址屬同一個網(wǎng)段，防火墻不允許不同的兩個端口擁有同一 個網(wǎng)段的IP地址。FWB的設(shè)置過程同理。FWB設(shè)置：# ifconfig

5、 if1 /24# admi nhost add 0# apply# save#使用PC1開啟瀏覽器，URL : :1211進行接下來的配置，如下所示：魅I連接口VLAN全局選項名希IP/Maskbits:10和192-163.2.3/2 斗i-0 iFl192.169.1,3/2418 if2a.o.o.o/oie/24設(shè)置兩臺設(shè)備的簡單安全規(guī)則簡單設(shè)置FWA的安全規(guī)則為允許內(nèi)網(wǎng) PC1對外網(wǎng)的訪問，拒絕所有來自外網(wǎng)的訪問請 求，F(xiàn)WA和FWB設(shè)置過程如下：設(shè)置網(wǎng)絡對象trust_pc1 和

6、untrust_pc2o設(shè)置網(wǎng)絡對象trust_pc1 和untrust_pc2oFWA :靜増/修改網(wǎng)貉對象新增r修盤網(wǎng)絡對象FWB :新增r修敢冋路對象新増r俺改網(wǎng)絡對毬添加安全策略FWA :Trust_pc1-> un trust_pc2any permit新増r修改策咯Un trust_pc2->trust_pc1any denyFWB啟用防火墻的雙機熱備功能啟用雙機熱備功能在系統(tǒng)-雙機熱備中啟動雙機熱備功能如下:主機名稱 J日期/時間 j防火墻管理雙機熱備2網(wǎng)橋設(shè)置1 Anh-DoS配置莒理設(shè)置FWA為主機：雙機熱備設(shè)査狀態(tài)： 啟用：切換：Q Backupr啟用廣主機宦備

7、機狀態(tài)：O Backup啟用：硬啟用切換:k機廣備機取消點開設(shè)置標簽：將if3修改為心跳線，并設(shè)置虛擬接口IP地址為192.16831如下所示:修&虐擬接占旳將if0和if1的端口對應虛擬IP地址分別設(shè)置為和。如下所示:（標簽中if3對應的心跳線項將顯示紅心）取杭熱備I設(shè)-芝#接口固定功豈耄機IF*直扼比址右裁蛭族口修改L 1門192.166.2,2192,163.2,1QZ IF115Z.L65.!03 iF20.0.0.D0.0. D.DQ4 iH192J6SJ.J192.168.3/1囲第IJ偵轉(zhuǎn)到第工頁回應用配置，并保存?；⒁惨仓罚篒

8、12.168,3.1戸設(shè)為右閒戡接口確壘取消將端口 3設(shè)置為心跳線接口，并將虛擬地址設(shè)置為 （同F(xiàn)WA）。同樣設(shè)置ifO和if1對應的虛擬地址如下圖所示：|i& s幸援口囚定功譽卓機P虔按比址右軼踐接口修改L ifj192.16S.2.IZ iflJ1«.I6S.3J if 二0.0.0.D4 iF3192.166-3.31" 第H偵轉(zhuǎn)到第L頁回應用，保存配置。查看當前防火墻雙機熱備狀態(tài)按照如上配置，此時 FWA狀態(tài)顯示為20M-09-13 15:43:56主機口

9、FWB狀態(tài)則為:2006-09-13 15:46:53在雙機熱備的界面中顯示則為:FWA:歡機熱備設(shè)M 狀態(tài)：6 Master啟用:臣啟用切換：護主機廠備機FWB:裁機憩#、設(shè)畳、伏態(tài)：0 Backup啟用：回啟用切換：主機金備機進行實驗驗證:驗證過程使用ping命令進行，在 PC1中開啟ping -命令，在下面的切換方式下查看 ping命令的返回結(jié)果。未切換前狀態(tài)：C： Documents and Settin>pingf 192.168_ 2.20Pinning 192 .168.2 ,20 uith 32 es of data =Repli Reply Repl Feplsffro

10、m 192-168.2-20：from 192.1&8.2.20： from 192.168-2.20： fpom 192-168,2-20：bytes =32 bytes=32 bytes =32 bytes =32t ime<lms t ime<lis t ime<lns t ime<ln£TTL=128 TIL=128TTL=128TTL=12MPing statistics f oi* 192 .168.2 .20：Packets: Sent - 4” Received 4, Lost = 0 <0z loss fipproxinate

11、round trip tines in milli-seconds:Mininum = 0ns, Maxinun = 0ns, Auerae = 0ms設(shè)備發(fā)生故障時自動切換將主設(shè)備的電源拔下之后:觀察PC1中的ping結(jié)果f 192 ,168.2.20 =ReplV fron 0：Request 七ined. out _Reply From 1?220 =Repl fron 0：bytes =32 tine<lns TTL=128 bj/tes=32 t ine<lns TTL=128bytes=32 tine<lns TTL=1

12、28bytes=32 tine<lns TTL=128查看備用設(shè)備的雙機熱備狀態(tài)Z0O&-09-13 15:50:33主機一裁杭熱備、設(shè)置狀臺： 啟用： 切換：C Master 破啟用Q主機備機將原主設(shè)備電源重新打開，則狀態(tài)并不再發(fā)生改變，除非此時將現(xiàn)在的主機電源切斷。鏈路發(fā)生故障時自動切換將主設(shè)備的wan接口斷開之后:觀察PC1中的ping結(jié)果TTL=128TTL=128TTL=128TTL=128leply f rom 192 .168.2 .20> h9tes=32 t ine<lms ieply f rom 192 -168.2.20： bytes =32 t

13、 inke<lms lequest timed out.leply from 1?2.16B.2.20= bytes=32 tine<lms leply fr&n 0： bytes=32 tine<lms查看備用設(shè)備的雙機熱備狀態(tài)FWB （原主機）'雙機熱備l設(shè)置2006-09-13 15;56;05狀態(tài)：0 Backup啟用：療啟用切換：廣主機席備機FWA （原備機）設(shè)置2006-09-13 15:59:36主心|狀譽： 啟用：Q MasterF啟用席主機備機同回D電1共同思考如果在配置雙機熱備的防火墻各端口時，沒有配置鏈路檢測， 會影

14、響哪個環(huán)節(jié)的實驗驗證過程。課后練習不使用HA端口進行防火墻的雙機熱備實驗，嘗試寫出配置過程。相關(guān)配置命令詳解ha list描述該命令用于顯示系統(tǒng)是否啟用了雙機熱備，以及HA的配置信息。語法ha list例子如果未啟用雙機熱備，則顯示：# ha listStatus: Disabled如果啟用了雙機熱備，則顯示：# ha listStatus: BACKUPHeartbeat i nteface: if1Attached in terfaces:ifO vip=28status=<up>ifl vip=28status=<up>if2 vi

15、p=28status=<up>注意：由于HA每次啟動都是先進入備機狀態(tài) 3秒鐘，在檢測到符合切換條件（如網(wǎng)卡down、網(wǎng)絡故障、互備機狀態(tài)發(fā)生變化等）之后才真正進行狀態(tài)切換，所以，請在HA啟動3秒鐘之后再次確認HA狀態(tài)相關(guān)命令ha switch master, ha switch backup, ha en able, ha disable, ha attach, ha detach, ha ha set heartbeat-i nteface, ha syn crulesha switch master|backup描述該命令用于切換到主機狀態(tài)或備機狀態(tài)語法ha

16、switch master | backup例子# ha switch master相關(guān)命令ha list, ha enable, ha disable, ha attach, ha detach, ha ,ha set heartbeat-inteface, ha syn crulesha en able|disable描述該命令用于是否啟用雙機熱備功能語法ha enable | disable例子# ha disable# ha listStatus: Disabled相關(guān)命令ha list, ha switch master, ha switch backup, ha attach, h

17、a detach, ha,ha set heartbeat-i nteface, ha syn crulesha attach|detach描述該命令用于指定某一網(wǎng)口是否作為狀態(tài)檢測網(wǎng)口。語法ha attach|detach vinterface>參數(shù)interface網(wǎng)口，選用網(wǎng)絡接口卡保留字： if0,ifl,if2或其它自定義網(wǎng)口保留字if0外網(wǎng)口if1內(nèi)網(wǎng)口if2DMZ網(wǎng) 口例子# ha listAttached in terfaces:if0 vip: , status: <up>if1 vip: , status: <dow n&

18、gt;# ha detach ifO（指定外網(wǎng)口不作為狀態(tài)檢測網(wǎng)口）# ha listAttached in terfaces:if1 vip: , status: <dow n>相關(guān)命令ha list, ha enable, ha disable, ha switch heartbeat-i nterface, ha syn crulesmaster, ha switch backup, ha ，ha setha描述該命令用于配置網(wǎng)口的虛擬ip地址語法ha vinterface> <vip>參數(shù)interface網(wǎng)口vip虛擬IP地址保留字if0,

19、if1,if2分別指外網(wǎng)口，內(nèi)網(wǎng)口，DMZ網(wǎng) 口例子# ha ifO 2相關(guān)命令ha list, ha en able, ha disable, ha switch master, ha switch backup, ha attach, ha detach, ha set heartbeat-i nterface, ha syn crulesha set heartbeat- in terface描述該命令用于設(shè)置心跳線接在哪個網(wǎng)口。語法ha set heartbeat-interface vinterface>參數(shù)interface網(wǎng)口保留字if0,if1,if2分別

20、指外網(wǎng)口，內(nèi)網(wǎng)口，DMZ網(wǎng) 口例子# ha set heartbeat- in terface if1相關(guān)命令ha list, ha enable, ha disable, ha switch master, ha switch backup, ha attach, ha detach， ha., ha syn crulesha syncrules同步規(guī)則）描述該命令用于設(shè)置雙機熱備同步規(guī)則文件。語法ha syn crules push|push1|push2|pull|pull1|pull2說明：1、同步規(guī)則文件不會同步雙方的接口配置。2、ha syncrules push將本地的規(guī)則"推"向 HA對方，并將同步過去的規(guī)則文件保存為對方的第6個規(guī)則文件3、h