|
AF+AC组合双机部署实施及注意事项
一、案例场景 客户客户购买了两台防火墙和两台行为管理,对内网用户上网行为进行管控,以及对内部的服务器和终端进行安全防护。现要求做到设备冗余,当一台设备坏了或者线路异常不会影响内网用户上网及内部的业务访问。
二、网络拓扑 根据实际需要,网络拓扑图规划如下图所示:
拓扑说明:两台防火墙做主备放在互联网出口,由于AC网桥部署不支持主备模式,所以两台AC设备使用主主模式网桥部署在AF和核心交换机之间。
三、实施前准备
3.1 工具准备 | | | 螺丝刀 | 设备上架 | 联系客户提供 | 网线 | 设备连接 | 设备自带两根,多的协调客户提供 | 电源线,电源插座 | 设备供电 | 设备自带,客户提供 | 交换机 | 用来接外网线路,再把外网分接到两个AD设备上 | 客户提供 | 笔记本 | 设备调试 | 自带 |
3.2 工作准备 3.2.1 设备网口及地址规划 | | | | | (联通)eth2 | | | (电信)eth3 | | | (内网口)eth1 | | | (主心跳口)eth4 | | | (备心跳口)eth5 | | | | (联通)eth2 | | | (电信)eth3 | | | (内网口)eth1 | | | (主心跳口)eth4 | | | (备心跳口)eth5 | | | | | | | | | | | | | | |
四、设备实施过程 4.1 AF设备配置 4.1.1 AF主机配置 1、网络配置 按照以上网口及IP地址规划进行网络配置如下: (1)内网口配置: (2)联通线路配置: (4)剩下心跳口按照规划配置,最终网络接口配置如下图所示: 2、路由配置 (1)静态路由配置 (2)策略路由配置 3、代理上网配置 4、应用控制策略配置 5、安全防护策略配置 6、高可用配置 (1)基本信息配置: (3)配置同步
4.1.2 AF备机配置 防火墙备机配置只需配置心跳口和高可用即可,其他网口及策略配置可以通过主控进行同步: 1、心跳口配置 按照规划进行心跳口配置如下: (2)双机热配配置
4.2 AC设备配置 4.2.1 AC-1配置 1、部署模式配置 AC规划网桥部署在AF和核心交换机之间,所以部署模式配置如下: 不使用单独的管理口,可以使用默认配置,下一步配置网关: 点击下一步,确认配置信息无误后,点击提交重启设备:
2、高可用配置 (1)AC网桥模式部署,所以选择主主模式部署,如下: 4.2.2 AC-2配置 1、部署模式配置 部署模式配置跟AC-1配置一样,只是网桥地址不同,最终配置信息如下:
五、双机测试效果 5.1 查看高可用状态 1、查看防火墙主机高可用状态: 3、查看AC-1高可用状态: 4、查看AC-2高可用状态: 5.2 主备切换测试 1、在AF主机上点击切换配置,查看切换后双机状态,发现主机已变成备,如下所示: 2、检测下面客户端上网情况,发现丢2个包,如下图所示: 5.3 其他切换测试方法 其他切换测试方法,可以参考POC测试用例进行测试,如下所示: 六、注意事项
1、AC网桥口选择的不能是一对bypass口 2、AC透明网桥部署,要开启多网桥链路同步 3、防火墙主心跳口建议使用链路聚合(主备方式) 4、AF上架先后顺序,AF主机先接线、开机,待完全启动且网络正常后,在开启AF备机。 5、AC为主主模式部署,所以无先后上架顺序。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-10-22 04:17
技术专家1级 
