|
一、网络拓扑 二、需求 客户现场网络有两台防火墙做出口网关部署,客户现需要使用防火墙的双机主备功能备份出口线路,保证上网线路通信安全稳定。 三、配置方式 A.准备事项:查看两台AF的是否支持组双机 AF双机建立的条件有: 1、设备软件版本、详细的版本信息(appversion)需要完全一致,且详细版本中补丁包的顺序也需要完全一致(软件版本不一致会导致无法同步) 2、设备型号可以不一致,但是网口数量需一致(数量不一致,会导致同步配置异常,从标准版本AF8.0.45开始【高可用性】功能里支持禁用多余接口来支持新老设备的接口数不同组双机) 3、cpu核心个数、内存大小、磁盘大小需一致(性能不一致,会导致处理性能不一致) 4、功能序列号一致(功能序列号不一致,会导致同步配置异常) 5、双机配置要一致。 双机同步配置要一致,这是双机配置与设备无关 双机vrrp组的配置要一致,这是双机配置与设备无关 注意:AF需要是虚拟网线模式、旁路模式或者是透明模式部署的才可以做双主,截止标准版本AF8.0.48,AF的路由模式下暂不支持做双主,以上至最新版本支持。 B. 操作步骤: 1. 在AF常规部署模式配置完成的状态下,选择其中一台AF做主机。 2. 登录控制台选择【系统】—【高可用性】 3. 进入双机配置界面: 【双机热备】:启用 【运行模式】:主备备份 【控制链路】和【数据链路】:客户选择AF设备的物理接口,本段IP为此物理接口的实际IP地址,(注意:这两个链路接口与AF之前版本配置心跳口方式一致,是两台防火墙之间的互联网口,接口IP地址自定义,不能与实际网络IP同网段。) 【镜像模式】双机模式主机会向备机同步配置,但是不会同步接口配置信息,开启镜像模式后,主机的全部配置包括接口信息会一并同步。(【镜像模式】不会同步【控制链路】与【数据链路】的IP地址) 注意:【镜像模式】只能在主备备份模式下设置,主主负载的模式中没有 【优先级】默认值为100,数值越打越优先。(主机建议将数值改大) 【主动抢占】设置启用,作用:当主机离线是备机可以做到及时切换。 【虚拟IP】:点击【新增】,新增虚拟IP需要选择【接口】和【IP地址】,新增虚拟IP时需要新增两个(上下行口各配置一个,而且主机备机添加的虚拟IP地址必须写成一摸一样的) 注意:【虚拟IP】和【镜像模式】所实现的功能是相同的,在勾选了【镜像模式】的情况下【虚拟IP】会自行消失,不可配置。 4. 再选择监视对象管理: 【监视对象管理】—【新增】监视对象 【监视组名称】:可自定义 【检测模式】:可以选择【同时满足】或者【任意满足】, 【同时满足】为全部接口出现故障时该监视组故障 【任意满足】为任意接口出现故障则监视组故障 按这次实际情况中选择的上下行接口,并且模式为任意满足。 【接口】可以选择需要监视的是【物理接口】或者【vlan接口】 接下来【AF备机】的配置方式与主机相同,备机在配置时要注意【控制链路】和【数据链路】的IP地址填写方式与主机填写为相反(例如:主机链路IP为10.10.1.1,对端IP为10.10.1.2;备机配置为本机链路IP为10.10.1.2,对端为10.10.1.1),备机填写优先级数值要比主机的值要小。 主机和备机的主备模式配置完成,先开主机接心跳线以及其他业务线,等主机AF开机完成后再开备机AF接心跳线以及其他业务线。建立双机后在【系统】—【高可用性】中可以看到双机状态信息。 四、总结注意事项 实施前准备: 1. 组建双机条件:软件版本、内存、网口和授权一致。 2. AF设备业务口(内网口、外网口IP根据客户实际网络情况设置)、控制链路与数据链路IP自行确定(不能使用客户实际网络中网段),虚拟IP也是自行确定并且不能使用客户实际网络中网段(注意:主备机选择的虚拟IP【接口】是一致的,其中配置的IP地址也是一致的)。 3. 主机已配置好透明部署模式以及相关安全策略。 4. 先配置主机信息,再配置备机。 实施过程: 1.【镜像模式】与【虚拟IP】只能选其中一个配置, 2.【镜像模式】只支持在主备模式中使用,主主模式不支持,【虚拟IP】既支持主备模式也支持主主模式。 | 
发表于 2024-5-3 10:50
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
