飛塔防火墻HA主備模式配置步驟
HA主備A-P模式配置方法
一、HA網絡拓撲結構
註意:進行HA 的配置, 硬件和軟件版本需滿足如下要求:
① 防火墻硬件型號相同;
② 同型號硬件需要為相同的硬件版本,內存容量,CPU 型號,硬盤容量等相同;
③ 相同的軟件版本版本;
④ 設備的所有接口不能工作在 DHCP,PPPOE 模式下。沒有使用的接口的
二、HA配置步驟
步驟 1、配置設備1的HA
步驟 2、配置設備2的HA
步驟 3、組建HA
步驟 4、查看HA集群
三、HA配置建議
① 進行HA環境下更換設備前,進行配置備份,防止操作失誤而造成的配置丟失。
② 建議配置兩條以上的心跳線纜,防止單心跳故障造成HA機群崩潰,使用獨立的心跳接口,盡量避免與業務口混用。
③ 優先使用光纖接口。
④ 開啟會話同步。set session-pickup enable(默認關閉)或者在WEB上啟用"會話交接"。
⑤ 謹慎使用override功能。開啟override後設備選舉過程中HA優先級參數高於設備運行時間參數,可能造成期望成為備機的設備被選舉為主設備,造成反向同步配置信息。
⑥ 更改默認的HA組的ID,避免同一個廣播域內存在多個HA機群,而造成接口的虛擬MAC沖突。
⑦ 選擇正確的監控端口和心跳端口,在開啟vdom虛擬cluster時候,每個cluster需要單獨配置。
⑧ 如果開啟ping server功能,則需要再HA配置中添加相應的配置命令。
⑨ 建議將與防火墻相連的交換機接口配置為stp portfast模式,發生接口Up/Down切換時,交換機的接口可立刻進入轉發狀態,而不需要stp狀態進行偵聽、學習、轉發等延遲步驟後接口才轉發數據。
四、HA基礎配置
按照如下方法分別對要做HA的2臺防火墻做如下配置。
1. 配置主設備
進入菜單" 系統管理--配置--高可用性;模式選擇"主動-被動"模式,優先級配置
模式:單機模式、主動-被動、主動-主動。修改單機模式為HA模式的時候,需要確保所有接口的"IP地址模式"處於"自定義"的方式,不能有啟用PPPOE和DHCP的方式。
如果無法在命令行下配置A-P、A-A模式,命令行會提示:
"The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode."
HA的接口配置:
① 端口監控:HA監控的接口,作為HA切換依據之一;本案例中監控port9(外網口)、port10(外網口)、port11(外網口)、port12(外網口);
② 心跳接口:啟用兩個心跳接口:port14、port16
對防火墻進行基礎的HA配置步驟綜述:
① 定義工作模式,‘主動-被動‘或者‘主動-主動‘,在大多數網絡中會選擇‘主動-被動‘,即主設備進行業務處理,備機處於備份狀態,當主設備發生設備故障或者接口鏈路故障後,則由備機繼續處理業務。
② 定義設備優先級,優先級高的設備,優先被選為主設備。
③組名和密碼,使用默認即可,如設置則做HA的兩臺機器需要配置相同的參數。
④ 啟用會話交接,啟用。主墻和備墻之間實時進行會話信息的同步,當發生HA切換到時候,備墻上有同樣的會話信息會對原來的會話進行處理,不會產生會話中斷。
⑤ 定義2個心跳端口,port9、port10。用於配置同步,會話同步,對方存活心跳檢測等,為了集群的穩定建議配置2條或以上的線條線。在有多條心跳線路的情況下,心跳端口的 心跳優先級 決定了優先使用那條線路同步心跳(優先級高的端口連接的線路優先使用)
⑥ 定義監控端口,port13、port14、port17、port18 業務端口需要被防火墻監控,當端口出現故障時會進行切換,具有數量多的有效監控端口的設備會作為主墻處理數據。
⑦ 為該設備輸入新名字(可選),主要是便於識別和操作方便。
2. 配置從設備
除了優先級不同外(優先級低於主機),其他參數均與設備1相同。
3. 組建HA
① 連接心跳線,FGT-主的port9、port10,連接到 FGT-從的port9、port10;
② 防火墻開始協商建立HA集群,此時 會暫時失去和防火墻到連接,這是因為在HA協商過程中會改變防火墻接口到MAC地址。可以通過更新電腦的arp表來恢復連接,命令為arp -d 。
③ 連接業務口鏈路。
④ 組建好HA後,兩臺防火墻配置同步,具有相同的配置,通過訪問主防火墻來進行業務配置,如IP地址,策略等,更新的配置會自動同步。
4. 查看HA集群
進入菜單" 全局設置--配置--高可用性",就可以看到HA的建立情況。
同時首頁狀態面板也同樣能看到群組成員。
本文出自 “Abner_Huang” 博客,謝絕轉載!
飛塔防火墻HA主備模式配置步驟