防火墻雙機(jī)熱備33配置案例

1、雙機(jī)熱備網(wǎng)絡(luò)衛(wèi)士防火墻可以實(shí)現(xiàn)多種方式下的冗余備份，包括：雙機(jī)熱備模式、負(fù)載均衡模式和連接保護(hù)模式。在雙機(jī)熱備模式下（最多支持九臺(tái)設(shè)備），任何時(shí)刻都只有一臺(tái)防火墻（主墻）處于工作狀態(tài)，承擔(dān)報(bào)文轉(zhuǎn)發(fā)任務(wù)，一組防火墻處于備份狀態(tài)并隨時(shí)接替任務(wù)。當(dāng)主墻的任何一個(gè)接口（不包括心跳口）出現(xiàn)故障時(shí)，處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后，由優(yōu)先級(jí)高的防火墻接替主墻的工作，進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。在負(fù)載均衡模式下（最多支持九臺(tái)設(shè)備），兩臺(tái)/多臺(tái)防火墻并行工作，都處于正常的數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài)。每臺(tái)防火墻中設(shè)置多個(gè)VRRP備份組，兩臺(tái)/多臺(tái)防火墻中VRID相同的組之間可以相互備份，以便確保某臺(tái)設(shè)備故障時(shí)，其他的設(shè)備能夠接替其工作。在連

2、接保護(hù)模式下（最多支持九臺(tái)設(shè)備），防火墻之間只同步連接信息，并不同步狀態(tài)信息。當(dāng)兩臺(tái)/多臺(tái)防火墻均正常工作時(shí)，由上下游的設(shè)備通過運(yùn)行VRRP或HSRP進(jìn)行冗余備份，以便決定流量由哪臺(tái)防火墻轉(zhuǎn)發(fā)，所有防火墻處于負(fù)載分擔(dān)狀態(tài)，當(dāng)其中一臺(tái)發(fā)生故障時(shí)，上下游設(shè)備經(jīng)過協(xié)商后會(huì)將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。雙機(jī)熱備模式基本需求圖 1 雙機(jī)熱備模式的網(wǎng)絡(luò)拓?fù)鋱D上圖是一個(gè)簡單的雙機(jī)熱備的主備模式拓?fù)鋱D，主墻和一臺(tái)從墻并聯(lián)工作，兩個(gè)防火墻的Eth2接口為心跳口，由心跳線連接用來協(xié)商狀態(tài)，同步對(duì)象及配置信息。配置要點(diǎn)Ø 設(shè)置HA心跳口屬性Ø 設(shè)置除心跳口以外的其余通信接口屬于VRID2&#

3、216; 指定HA的工作模式及心跳口的本地地址和對(duì)端地址Ø 主從防火墻的配置同步WEBUI配置步驟1）配置HA心跳口和其他通訊接口地址HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ha-static”選項(xiàng)，否則HA心跳口的IP地址信息會(huì)在主從墻運(yùn)行配置同步時(shí)被對(duì)方覆蓋。Ø 主墻a）配置HA心跳口地址。 點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，配置基本信息，如下圖所示。點(diǎn)擊“確定”按鈕保存配置。 點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，在“路由模式”下方配置心跳口的IP地址，然后點(diǎn)擊“

4、添加”按鈕，如下圖所示?！癶a-static”選項(xiàng)必須勾選，否則運(yùn)行狀態(tài)同步時(shí)IP地址信息也會(huì)被同步。點(diǎn)擊“確定”按鈕保存配置。b）配置Eth1和Eth0口的IP地址。配置Eth1和Eth0的IP地址分別為192.168.83.219和172.16.1.20，具體操作請(qǐng)參見 配置HA心跳口地址。說明² 互為備份的接口必須配置相同的IP地址，所以主墻的Eth1口必須與從墻Eth1口的IP地址相同，主墻的Eth0口必須與從墻Eth0口的IP地址相同。Ø 從墻a）配置HA心跳口地址。配置從墻HA心跳口地址為.2，具體步驟請(qǐng)參見主墻的配置，此處不再贅述。b）配置Eth1和Eth0口

5、的IP地址。配置從墻Eth1和Eth0的IP地址分別為192.168.83.219和172.16.1.20，具體步驟請(qǐng)參見主墻的配置，此處不再贅述。2）設(shè)置除心跳口以外的其余通信接口屬于VRID2。主備模式下，只能配置一個(gè)VRRP備份組，而且通信接口必須加入到具體的VRID組中，防火墻才會(huì)根據(jù)此接口的up、down狀態(tài)，來判斷本機(jī)的工作狀態(tài)，以進(jìn)行VRID組內(nèi)主備狀態(tài)的切換。Ø 主墻a）選擇 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，在除心跳口以外的接口后點(diǎn)擊“設(shè)置”圖標(biāo)（以eth0為例）。b）勾選“高級(jí)屬性”后的復(fù)選框，設(shè)置該接口屬于vrid2，如下圖所示。c）參數(shù)設(shè)置完

6、成后，點(diǎn)擊“確定”按鈕保存配置。Ø 從墻具體步驟請(qǐng)參見主墻的配置，此處不再贅述。3）指定HA的工作模式及心跳口的本地地址和對(duì)端地址。需要設(shè)置HA工作在“雙機(jī)熱備”模式下，并設(shè)置當(dāng)前防火墻為主墻或從墻，心跳口的本地及對(duì)端IP地址信息、心跳間隔等屬性。Ø 主墻a）選擇 高可用性 > 雙機(jī)熱備，選中“雙機(jī)熱備”前的單選按鈕，配置基本信息，如下圖所示。設(shè)置本機(jī)地址為心跳口eth2的IP地址（.1）；設(shè)置對(duì)端地址為從墻心跳口eth2的IP地址（.2），超過兩臺(tái)設(shè)備時(shí)，必須將“對(duì)端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺(tái)對(duì)端設(shè)備）；心跳探測間隔可以使用默認(rèn)值（1秒）

7、，心跳探測間隔是兩個(gè)防火墻間互通狀態(tài)信息報(bào)文的時(shí)間間隔，也是用于檢測對(duì)端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導(dǎo)致從墻的主從狀態(tài)的來回切換；設(shè)置熱備組為通信接口的VRID（2）；選擇身份為“主機(jī)”；“搶占”模式，是指主墻宕機(jī)后，重新恢復(fù)正常工作時(shí)，是否重新奪回主墻的地位。只有當(dāng)主墻與從墻相比有明顯的性能差異時(shí)，才需要配置主墻工作在“搶占”模式，否則當(dāng)主墻恢復(fù)工作時(shí)主從墻的再次切換浪費(fèi)系統(tǒng)資源，沒有必要。案例中兩臺(tái)防火墻相同，所以主墻不需要配置為“搶占”模式。b）勾選“高級(jí)配置”左側(cè)的復(fù)選框，進(jìn)行高級(jí)配置，如下圖所示。c）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置

8、。d）點(diǎn)擊“啟用”按鈕，啟動(dòng)該主備模式，心跳口連接建立，如下圖所示。Ø 從墻配置操作和主墻的基本相同，但注意身份為“從屬機(jī)”，本機(jī)地址為10.1.1.2，對(duì)端地址為10.1.1.1，不選擇“搶占”。4）主從防火墻的配置同步在主墻點(diǎn)擊“從本機(jī)同步到對(duì)端機(jī)”，將主墻的當(dāng)前配置同步到從墻。至此，主墻和從墻的雙機(jī)熱備就可以正常使用了。CLI配置步驟1）配置HA的交互IP（心跳線相連的兩個(gè)端口）Ø 主墻# network interface eth2 ip add .1 mask 255.255.255.0 ha-static#network interface eth0 vrid

9、2#network interface eth1 vrid 2Ø 從墻# network interface eth2 ip add .2 mask 255.255.255.0 ha-static#network interface eth0 vrid 2#network interface eth1 vrid 22）指定HA網(wǎng)口本地地址以及對(duì)端地址Ø 主墻# ha mode as# ha local .1# ha peer .2# ha as-vrid 2#ha vrid 2 priority 254# ha vrid 2 preempt disable# ha enab

10、leØ 從墻# ha mode as# ha local .2# ha peer .1# ha as-vrid 2# ha vrid 2 priority 100# ha vrid 2 preempt disable# ha enable注意事項(xiàng)1）當(dāng)主墻或從墻配置發(fā)生變更后，手工同步配置可以保證主從墻配置的一致性。2）TOS3.3防火墻的接口均為自適應(yīng)接口，HA接口之間的連接可以使用交叉線也可以使用直連線。路由接口下的負(fù)載均衡模式基本需求圖 2 路由接口下負(fù)載均衡模式的網(wǎng)絡(luò)拓?fù)鋱D上圖是一個(gè)簡單的利用物理接口進(jìn)行負(fù)載均衡的拓?fù)鋱D，防火墻1和防火墻2并聯(lián)工作，兩個(gè)防火墻的Eth3接口間

11、由一條心跳線相連用來同步狀態(tài)及配置信息；兩個(gè)防火墻的Eth1口屬于同一vrid1（防火墻1的優(yōu)先級(jí)高于防火墻2）；接口Eth2屬于同一vrid2（防火墻2的優(yōu)先級(jí)高于防火墻1）。兩臺(tái)防火墻均正常工作時(shí)，網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火墻2利用網(wǎng)通鏈路上網(wǎng)。當(dāng)其中一條鏈路發(fā)生故障時(shí)，其上的數(shù)據(jù)流會(huì)自動(dòng)切換，通過另一臺(tái)防火墻轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)兩臺(tái)防火墻的負(fù)載均衡。配置要點(diǎn)Ø 配置eth0口Ø 配置VRID組內(nèi)接口Ø 配置心跳口Ø 配置防火墻的不同VRID組的優(yōu)先級(jí)Ø 配置HA功能WEBUI配置步驟1）配置eth0口Ø 防火墻

12、1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊接口eth0條目后的“設(shè)置”圖標(biāo)，設(shè)定其IP地址為“24”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕即可。b）點(diǎn)擊“確定”按鈕保存配置。Ø 防火墻2配置防火墻2的IP地址為“”，具體步驟請(qǐng)參見防火墻1的配置。2）配置備份接口設(shè)定兩臺(tái)防火墻上eth1口和eth2口互相備份。兩臺(tái)防火墻的eth1口需要設(shè)定相同的IP地址和VRID；兩臺(tái)防火墻的eth2口也需要設(shè)定相同的IP地址和VRID。Ø 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth1接口后的“設(shè)置”圖標(biāo)，配置eth1接

13、口IP地址為172.16.0.2/24，如下圖所示。選中“高級(jí)屬性”后的復(fù)選框，設(shè)置eth1的vrid值為1，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。b）點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，配置，如下圖所示。選中“高級(jí)屬性”后的復(fù)選框，設(shè)置eth2的vrid值為2，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。Ø 防火墻2防火墻2的配置與防火墻1完全一致，具體操作請(qǐng)參見防火墻1。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口IP為同一個(gè)網(wǎng)段的不同IP（分別為.1/24和10.0.0.2/24），并且必須要勾選“ha-static”選項(xiàng)。Ø

14、 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，在eth3接口后點(diǎn)擊“設(shè)置”圖標(biāo)，配置該接口為進(jìn)行同步HA設(shè)置的IP地址，如下圖所示。b）參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕，然后點(diǎn)擊“確定”按鈕即可。Ø 防火墻2配置防火墻2的eth3口IP地址為“.2/24”，具體操作請(qǐng)參見防火墻1的配置。4）指定防火墻的不同VRID組的優(yōu)先級(jí)。設(shè)定防火墻1的vrid1的優(yōu)先級(jí)為200，vrid2的優(yōu)先級(jí)為100。設(shè)定防火墻2的vrid1的優(yōu)先級(jí)為100，vrid2的優(yōu)先級(jí)為200。設(shè)置完成后，對(duì)于vrid1來說，防火墻1為主墻，防火墻2為備墻；對(duì)于vrid2來說，防火墻2為主

15、墻，防火墻1為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失效后，重新恢復(fù)正常工作時(shí)，重獲主墻地位。Ø 防火墻1a）選擇 高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用”按鈕。b）點(diǎn)擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)先級(jí)為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置vrid2的優(yōu)先級(jí)為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。Ø 防火墻2a）選擇 高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用”按鈕。b）點(diǎn)擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)先級(jí)為1

16、00，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置vrid2的優(yōu)先級(jí)為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。5）配置HA功能Ø 防火墻1a）點(diǎn)擊 高可用性 > 雙機(jī)熱備，然后選中“負(fù)載均衡”前的單選按鈕，配置基本屬性，如下圖所示。設(shè)置“本機(jī)地址”為心跳口eth3的IP地址（.1）。設(shè)置“對(duì)端地址”為另一臺(tái)墻心跳口eth3的IP地址（.2），超過兩臺(tái)設(shè)備時(shí)，必須將“對(duì)端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺(tái)對(duì)端設(shè)備）。“心跳間隔”可以使用默認(rèn)值（1秒），心跳探測間隔是兩個(gè)防火墻間互通狀態(tài)信息報(bào)文的時(shí)間間隔，也是用于檢測對(duì)端設(shè)

17、備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導(dǎo)致從墻的主從狀態(tài)的來回切換。b）勾選“高級(jí)配置”左側(cè)的復(fù)選框，配置高級(jí)屬性，如下圖所示。c）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置。d）點(diǎn)擊“啟用”按鈕，啟動(dòng)該主備模式，心跳口連接建立，如下圖所示。Ø 防火墻2防火墻2的操作請(qǐng)參見防火墻1的配置，需要設(shè)置本機(jī)地址為.2，對(duì)端地址為10.0.0.1。CLI配置步驟1）設(shè)置eth0口的IP地址。Ø 防火墻1#network interface eth0 ip add mask Ø 防火墻2#network interface eth0 ip ad

18、d mask 2）設(shè)置備份接口屬性。分別在防火墻1和防火墻2上進(jìn)行配置。#network interface eth1 ip add mask #network interface eth2 ip add mask #network interface eth1 vrid 1#network interface eth2 vrid 23）設(shè)置心跳口屬性Ø 防火墻1#network interface eth3 ip add .1 mask 255.255.255.0 ha-staticØ 防火墻2#network interface eth3 ip add .2 mask

19、255.255.255.0 ha-static4）指定防火墻的不同VRID組的優(yōu)先級(jí)。Ø 防火墻1#ha vrid 1 priority 200#ha vrid 1 preempt enable#ha vrid 2 priority 100#ha vrid 2 preempt disableØ 防火墻2#ha vrid 1 priority 100#ha vrid 1 preempt disable#ha vrid 2 priority 200#ha vrid 2 preempt enable5）指定HA網(wǎng)口本地地址以及對(duì)端地址。Ø 防火墻1#ha mode aa

20、#ha local .1#ha peer .2# ha rtosync ack enable #ha rtconfig-sync enable#ha enableØ 防火墻2#ha mode aa#ha local .2#ha peer .1# ha rtosync ack enable #ha rtconfig-sync enable#ha enable注意事項(xiàng)無。Trunk口下的負(fù)載均衡模式基本需求圖 3 Trunk口下負(fù)載均衡模式的網(wǎng)絡(luò)拓?fù)鋱D上圖是一個(gè)簡單的利用Trunk接口進(jìn)行負(fù)載均衡的拓?fù)鋱D，防火墻1和防火墻2并聯(lián)工作，兩個(gè)防火墻的Eth2接口間由一條心跳線相連用來同步狀態(tài)

21、及配置信息，兩個(gè)防火墻的Eth1口為trunk口，同時(shí)屬于vlan1和vlan2，vlan1屬于同一vrid1（防火墻1的優(yōu)先級(jí)高于防火墻2）、vlan2屬于同一vrid2（防火墻2的優(yōu)先級(jí)高于防火墻1），這樣兩臺(tái)防火墻均正常工作時(shí)，網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火墻2利用網(wǎng)通鏈路上網(wǎng)。當(dāng)其中一條鏈路發(fā)生故障時(shí)，其上的數(shù)據(jù)流會(huì)自動(dòng)切換，通過另一臺(tái)防火墻轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)兩臺(tái)防火墻的負(fù)載均衡。配置要點(diǎn)Ø 配置eth0口Ø 配置VRID組內(nèi)接口Ø 配置心跳口Ø 配置防火墻的不同VRID組的優(yōu)先級(jí)Ø 配置HA功能WEBUI配置步驟1）配

22、置eth0口Ø 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊接口eth0條目后的“設(shè)置”圖標(biāo)，設(shè)定其IP地址為“24”，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕即可。b）點(diǎn)擊“確定”按鈕保存配置。Ø 防火墻2配置防火墻2的通信用IP地址為“”，具體步驟請(qǐng)參見防火墻1的配置。2）配置兩臺(tái)防火墻上eth1口為trunk口，屬于VLAN1和VLAN2。配置兩臺(tái)防火墻的eth1口為trunk口，屬于VLAN1和VLAN2；VLAN1虛接口互相備份，VLAN2虛接口也互相備份，需要設(shè)定相同的IP地址和vrid。Ø 防火墻1和防火墻2a）選擇

23、 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth1接口后的“設(shè)置”圖標(biāo)，配置接口信息，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”即可。b）點(diǎn)擊 網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，并選擇“VLAN”頁簽，點(diǎn)擊“添加/刪除VLAN范圍”添加VLAN，設(shè)置VLAN虛接口的屬性，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。c）點(diǎn)擊 網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，然后選擇“VLAN”頁簽，點(diǎn)擊vlan.0001后的“修改”字段，設(shè)置VLAN虛接口vlan.0001的IP地址為172.16.0.2/24，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕即可。點(diǎn)擊“高級(jí)屬性”后的復(fù)選框，設(shè)置vl

24、an.0001接口屬于vrid1，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。d）點(diǎn)擊 網(wǎng)絡(luò)管理 > 二層網(wǎng)絡(luò)，然后選擇“VLAN”頁簽，點(diǎn)擊vlan.0002后的“修改”字段，設(shè)置VLAN虛接口vlan.0002的IP地址為172.16.1.3/24，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕即可。點(diǎn)擊“高級(jí)屬性”后的復(fù)選框，設(shè)置vlan.0002接口屬于vrid2，如下圖所示。參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口IP為同一個(gè)網(wǎng)段的不同IP（分別為.1/24和10.0.0.2/24），并且必須勾選“ha-s

25、tatic”選項(xiàng)。Ø 防火墻1a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，在eth2接口后點(diǎn)擊“設(shè)置”圖標(biāo)，為該接口配置進(jìn)行同步HA設(shè)置的地址，如下圖所示。b）參數(shù)設(shè)置完成后，點(diǎn)擊“添加”按鈕，然后點(diǎn)擊“確定”按鈕即可。Ø 防火墻2配置防火墻2的eth2口IP地址為“.2/24”，具體操作請(qǐng)參見防火墻1。4）配置防火墻的不同VRID組的優(yōu)先級(jí)。設(shè)定防火墻1的vrid1的優(yōu)先級(jí)為200，vrid2的優(yōu)先級(jí)為100。設(shè)定防火墻2的vrid1的優(yōu)先級(jí)為100，vrid2的優(yōu)先級(jí)為200。設(shè)定后對(duì)vrid1來說防火墻1為主墻，防火墻2為備墻，對(duì)于vrid2來說防火

26、墻2為主墻，防火墻1為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失效后,重新恢復(fù)正常工作時(shí)，重獲主墻地位。Ø 防火墻1a）選擇 高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用”按鈕。b）點(diǎn)擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)先級(jí)為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置vrid2的優(yōu)先級(jí)為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。Ø 防火墻2a）選擇 高可用性 > 雙機(jī)熱備，選中“負(fù)載均衡”前的單選按鈕，然后點(diǎn)擊“應(yīng)用”按鈕。b）點(diǎn)擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)

27、先級(jí)為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置vrid2的優(yōu)先級(jí)為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。5）配置HA功能Ø 防火墻1a）點(diǎn)擊 高可用性 > 雙機(jī)熱備，然后選中“負(fù)載均衡”前的單選按鈕，配置基本信息，如下圖所示。設(shè)置“本機(jī)地址”為心跳口eth2的IP地址（.1）。設(shè)置“對(duì)端地址”為另一臺(tái)墻心跳口eth2的IP地址（.2），超過兩臺(tái)設(shè)備時(shí)，必須將“對(duì)端地址”設(shè)為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺(tái)對(duì)端設(shè)備）?！靶奶g隔”可以使用默認(rèn)值（1秒），心跳探測間隔是兩個(gè)防火墻間互通狀態(tài)信息報(bào)文的時(shí)間間隔，也是用于檢

28、測對(duì)端設(shè)備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設(shè)置一致，否則很可能導(dǎo)致從墻的主從狀態(tài)的來回切換。b）勾選“高級(jí)配置”左側(cè)的復(fù)選框，配置高級(jí)信息，如下圖所示。c）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置。d）點(diǎn)擊“啟用”按鈕，啟動(dòng)該主備模式，心跳口連接建立，如下圖所示。Ø 防火墻2防火墻2的操作請(qǐng)參見防火墻1的配置，需要設(shè)置本機(jī)地址為.2，對(duì)端地址為10.0.0.1。CLI配置步驟1）設(shè)置eth1口的IP地址。Ø 防火墻1#network interface eth1 ip add mask Ø 防火墻2#network interface eth1 i

29、p add mask 2）設(shè)置備份接口屬性。分別在防火墻1和防火墻2上進(jìn)行配置。#network interface eth0 switchport mode trunk# network interface eth0 switchport trunk allowed-vlan 1,2# network vlan add range 1-2#network interface vlan.0001 ip add mask #network interface vlan.0002 ip add mask #network interface vlan.0001 vrid 1#network int

30、erface vlan.0001 vrid 23）設(shè)置心跳口屬性Ø 防火墻1#network interface eth2 ip add .1 mask 255.255.255.0 ha-staticØ 防火墻2#network interface eth2 ip add .2 mask 255.255.255.0 ha-static4）指定防火墻的不同VRID組的優(yōu)先級(jí)。Ø 防火墻1#ha vrid 1 priority 200#ha vrid 1 preempt enable#ha vrid 2 priority 100#ha vrid 2 preempt d

31、isableØ 防火墻2#ha vrid 1 priority 100#ha vrid 1 preempt disable#ha vrid 2 priority 200#ha vrid 2 preempt enable5）指定HA網(wǎng)口本地地址以及對(duì)端地址。Ø 防火墻1#ha mode aa#ha local .1#ha peer .2# ha rtosync ack enable #ha rtconfig-sync enable#ha enableØ 防火墻2#ha mode aa#ha local .2#ha peer 10.0.0.1# ha rtosync

32、ack enable #ha rtconfig-sync enable#ha enable注意事項(xiàng)無。連接保護(hù)模式基本需求圖 4 連接保護(hù)模式拓?fù)鋱D上圖是一個(gè)簡單的連接保護(hù)模式拓?fù)鋱D，四臺(tái)防火墻并行工作，防火墻的Eth2口為心跳口（IP地址分別為“.1/24”、“”、“”和“”），通過HUB（或交換機(jī)）相連用來協(xié)商狀態(tài)及同步對(duì)象和配置。當(dāng)兩臺(tái)/多臺(tái)防火墻均正常工作時(shí)，由上下游的設(shè)備通過運(yùn)行VRRP或HSRP進(jìn)行冗余備份，以便決定流量由哪臺(tái)防火墻轉(zhuǎn)發(fā)，所有防火墻處于負(fù)載分擔(dān)狀態(tài)，當(dāng)其中一臺(tái)發(fā)生故障時(shí)，上下游設(shè)備經(jīng)過協(xié)商后會(huì)將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。配置要點(diǎn)Ø 配置防火墻心跳口&

33、#216; 配置防火墻中除心跳口以外的接口Ø 配置HA屬性Ø 設(shè)置關(guān)閉連接表的嚴(yán)格狀態(tài)檢測功能WEBUI配置步驟1）配置防火墻心跳口。Ø 防火墻1HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ha-static”選項(xiàng)。a）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，配置基本信息，如下圖所示。點(diǎn)擊“確定”按鈕保存配置。b）點(diǎn)擊eth2接口后的“設(shè)置”圖標(biāo)，在“路由模式”下方配置心跳口的IP地址，然后點(diǎn)擊“添加”按鈕，如下圖所示?！癶a-static”選項(xiàng)必須勾選，否則運(yùn)行狀

34、態(tài)同步時(shí)IP地址信息也會(huì)被同步。點(diǎn)擊“確定”按鈕保存配置。Ø 防火墻2設(shè)置防火墻2的心跳口IP地址為“.2/24”，其操作與防火墻1的設(shè)置方法相同，具體請(qǐng)參加防火墻1的配置步驟。Ø 防火墻3設(shè)置防火墻3的心跳口IP地址為“.3/24”，其操作與防火墻1的設(shè)置方法相同，具體請(qǐng)參加防火墻1的配置步驟。Ø 防火墻4設(shè)置防火墻4的心跳口IP地址為“.4/24”，其操作與防火墻1的設(shè)置方法相同，具體請(qǐng)參加防火墻1的配置步驟。2）配置防火墻中除心跳口以外的接口。Ø 防火墻1a）配置Eth0口IP為172.16.1.2。點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接

35、口”頁簽，點(diǎn)擊eth0接口后的“設(shè)置”圖標(biāo)。在“路由模式”下方配置Eth0口的IP地址，然后點(diǎn)擊“添加”按鈕，如下圖所示。點(diǎn)擊“確定”按鈕保存配置。b）配置Eth1口IP為.2。點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，點(diǎn)擊eth1接口后的“設(shè)置”圖標(biāo)。在“路由模式”下方配置Eth1口的IP地址，然后點(diǎn)擊“添加”按鈕，如下圖所示。點(diǎn)擊“確定”按鈕保存配置。Ø 防火墻2a）配置Eth0口IP為172.16.1.3。b）配置Eth1口IP為.3。操作步驟與防火墻1完全一致，請(qǐng)參照防火墻1進(jìn)行配置。Ø 防火墻3a）配置Eth0口IP為172.16.1.4。b）配置

36、Eth1口IP為.4。操作步驟與防火墻1完全一致，請(qǐng)參照防火墻1進(jìn)行配置。Ø 防火墻4a）配置Eth0口IP為172.16.1.5。b）配置Eth1口IP為.5。操作步驟與防火墻1完全一致，請(qǐng)參照防火墻1進(jìn)行配置。3）配置HA屬性。指定HA網(wǎng)口本地地址以及對(duì)端地址，并啟用運(yùn)行對(duì)象同步功能。Ø 防火墻1a）點(diǎn)擊 高可用性 > 雙機(jī)熱備，選中“連接保護(hù)”前的單選按鈕，配置基本信息，如下圖所示。設(shè)置本機(jī)地址為心跳口Eth2的IP地址（10.1.1.1）；設(shè)置對(duì)端地址為eth2口的子網(wǎng)廣播地址（10.1.1.255），當(dāng)只有兩臺(tái)防火墻并行工作時(shí)，建議設(shè)置為單播地址；b）勾選“

37、高級(jí)配置”左側(cè)的復(fù)選框，配置高級(jí)信息，如下圖所示。c）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕保存配置。d）點(diǎn)擊“啟用”按鈕，啟動(dòng)該連接保護(hù)模式，心跳口連接建立，如下圖所示。Ø 防火墻2防火墻2的操作請(qǐng)參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.1.1.2，對(duì)端地址為10.1.1.255。Ø 防火墻3防火墻3的操作請(qǐng)參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.1.1.3，對(duì)端地址為10.1.1.255。Ø 防火墻4防火墻4的操作請(qǐng)參見防火墻1的配置，需要設(shè)置本機(jī)地址為10.1.1.4，對(duì)端地址為10.1.1.255。4）設(shè)置關(guān)閉連接表的嚴(yán)格狀態(tài)檢測功能。Ø 防火

38、墻1、防火墻2、防火墻3和防火墻4a）點(diǎn)擊 系統(tǒng)管理 > 配置，然后選擇“系統(tǒng)參數(shù)”頁簽，選中“高級(jí)屬性”前的復(fù)選框，在“網(wǎng)絡(luò)參數(shù)”處設(shè)置關(guān)閉連接完整性檢查功能，如下圖所示。b）參數(shù)設(shè)置完成后，點(diǎn)擊“應(yīng)用”按鈕即可。CLI配置步驟1）配置防火墻心跳口屬性。Ø 防火墻1#network interface eth2 ip add 10.1.1.1 mask 255.255.255.0 ha-staticØ 防火墻2#network interface eth2 ip add 10.1.1.2 mask 255.255.255.0 ha-staticØ 防火墻3

39、#network interface eth2 ip add 10.1.1.3 mask 255.255.255.0 ha-staticØ 防火墻4#network interface eth2 ip add 10.1.1.4 mask 255.255.255.0 ha-static2）配置防火墻中除心跳口以外的接口屬性。Ø 防火墻1、防火墻2、防火墻3和防火墻4#network vlan add id 100#network interface eth0 switchport#network interface eth0 switchport mode trunk#net

40、work interface eth0 switchport mode trunk allowed-vlan 100#network interface eth1 switchport#network interface eth1 switchport mode trunk#network interface eth1 switchport mode trunk allowed-vlan 1003）配置HA的工作模式及心跳口的本地地址和對(duì)端地址。Ø 防火墻1#ha mode lb#ha local .1#ha peer .255# ha rtosync ack enable #ha

41、rtconfig-sync enableØ 防火墻2#ha mode lb#ha local .2#ha peer .255# ha rtosync ack enable #ha rtconfig-sync enableØ 防火墻3#ha mode lb#ha local .3#ha peer .255# ha rtosync ack enable #ha rtconfig-sync enableØ 防火墻4#ha mode lb#ha local .4#ha peer .255# ha rtosync ack enable #ha rtconfig-sync e

42、nable4）設(shè)置關(guān)閉連接表的嚴(yán)格狀態(tài)檢測功能。Ø 防火墻1、防火墻2、防火墻3和防火墻4#network session session-integrity off注意事項(xiàng)如果用戶網(wǎng)絡(luò)拓?fù)渲杏锌赡艽嬖谶@樣的情況：建立連接請(qǐng)求發(fā)送的SYN包經(jīng)過一臺(tái)防火墻，而返回的SYN/ACK包通過另一臺(tái)防火墻轉(zhuǎn)發(fā)，則必須要關(guān)閉嚴(yán)格狀態(tài)檢測開關(guān)。當(dāng)SYN包通過墻A時(shí)，墻A上建立了一條狀態(tài)為handshake的連接，同步到B墻上時(shí)，為了避免重復(fù)同步連接，B墻上連接狀態(tài)為ESTABLISHED狀態(tài)；此時(shí)如果SYN/ACK報(bào)文從B墻的路徑返回，發(fā)現(xiàn)墻上已經(jīng)有一條ESTABLISHED的連接，就會(huì)把ACK包

43、丟棄，導(dǎo)致client和server端無法真正建立起連接來，通信失敗。此時(shí)，如果把嚴(yán)格狀態(tài)檢測開關(guān)off的話，ACK包到達(dá)B墻，雖然發(fā)現(xiàn)已經(jīng)有一條ESTABLISHED的連接，但也會(huì)放過，報(bào)文回復(fù)到client端時(shí)，就可以握手成功了。子接口的負(fù)載均衡模式基本需求圖 5 子接口負(fù)載均衡模式的網(wǎng)絡(luò)示意圖上圖是一個(gè)簡單的利用子接口進(jìn)行負(fù)載均衡的示意圖。防火墻A和防火墻B并聯(lián)工作，兩個(gè)防火墻的Eth0接口間由一條心跳線相連用來同步狀態(tài)及配置信息；兩個(gè)防火墻的子接口veth1.01和veth2.01屬于VRID10（防火墻B的優(yōu)先級(jí)高于防火墻A）；兩個(gè)防火墻的子接口veth1.02和veth2.02屬于

44、VRID20（防火墻A的優(yōu)先級(jí)高于防火墻B）。這樣，兩臺(tái)防火墻均正常工作時(shí)，網(wǎng)段“”的流量通過防火墻A進(jìn)行轉(zhuǎn)發(fā)，網(wǎng)段“”的流量通過防火墻B進(jìn)行轉(zhuǎn)發(fā)。當(dāng)其中一條鏈路發(fā)生故障時(shí)，其上的數(shù)據(jù)流會(huì)自動(dòng)切換，通過另一臺(tái)防火墻轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)兩臺(tái)防火墻的負(fù)載均衡。配置要點(diǎn)Ø 配置備份子接口Ø 配置心跳口Ø 配置防火墻的不同VRID組的優(yōu)先級(jí)Ø 配置HA功能WEBUI配置步驟1）配置備份子接口Ø 防火墻Aa）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，激活“子接口”頁簽，然后點(diǎn)擊“添加/刪除子接口”，添加eth1接口的子接口veth1.01和veth1.02。b）點(diǎn)擊 網(wǎng)

45、絡(luò)管理 > 接口，激活“子接口”頁簽，然后點(diǎn)擊“添加/刪除子接口”，添加eth2接口的子接口veth2.01和veth2.02。c）在子接口列表中，分別點(diǎn)擊各個(gè)子接口條目右側(cè)的“屬性”圖標(biāo)，配置veth1.01的IP地址為192.168.0.1，屬于VRID10；配置veth1.02的IP地址為192.168.0.2，屬于VRID20；配置veth2.01的IP地址為172.16.0.1，屬于VRID10；配置veth2.02的IP地址為172.16.1.1，屬于VRID20，如下圖所示。Ø 防火墻B配置防火墻B的備份子接口，與防火墻A的配置完全相同，此處不再贅述。2）配置心跳

46、口連接心跳線的HA通信接口必須工作在路由模式下，設(shè)定心跳口IP為同一個(gè)網(wǎng)段的不同IP（分別為.1/24和10.0.0.2/24），并且必須勾選“ha-static”選項(xiàng)。Ø 防火墻Aa）點(diǎn)擊 網(wǎng)絡(luò)管理 > 接口，然后選擇“物理接口”頁簽，在eth0接口后點(diǎn)擊“設(shè)置”圖標(biāo)，為該接口配置進(jìn)行同步HA設(shè)置的地址，如下圖所示。b）參數(shù)設(shè)置完成后，點(diǎn)擊“確定”按鈕即可。Ø 防火墻B配置防火墻B的eth0口IP地址為“.2/24”，具體操作請(qǐng)參見防火墻A。3）配置防火墻的不同VRID組的優(yōu)先級(jí)。設(shè)定防火墻A的VRID10的優(yōu)先級(jí)為100，VRID20的優(yōu)先級(jí)為200。設(shè)定防火墻B

47、的VRID 10的優(yōu)先級(jí)為200，VRID 20的優(yōu)先級(jí)為100。因此，對(duì)VRID 10來說防火墻B為主墻，防火墻A為備墻；對(duì)于VRID 20來說防火墻A為主墻，防火墻B為備墻。并且設(shè)置主墻為“搶占”模式，即主墻能在失效后，重新恢復(fù)正常工作時(shí)，重獲主墻地位。Ø 防火墻Aa）選擇 高可用性 > 雙機(jī)熱備，然后選中“負(fù)載均衡”前的單選按鈕。b）點(diǎn)擊“熱備組”右側(cè)的“添加”，配置VRID 10的優(yōu)先級(jí)為100，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。c）配置VRID20的優(yōu)先級(jí)為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點(diǎn)擊“確定”按鈕。Ø 防火墻Ba）選擇 高可用性 > 雙機(jī)熱備，然后選中“負(fù)載均衡”前的單選按鈕。b）點(diǎn)擊“熱備組”右側(cè)的“添加”，配置VRID10的優(yōu)先級(jí)為20