实验十一双机热备选修.docx

实验十一双机热备选修.docx

《实验十一双机热备选修.docx》由会员分享，可在线阅读，更多相关《实验十一双机热备选修.docx（17页珍藏版）》请在冰豆网上搜索。

实验十一双机热备选修

实验十一、防火墙双机热备实验

实验目的

1.了解什么是双机热备

2.为什么要采用双机热备

应用环境

为了保证网络的高可用性与高可靠性，神州数码E级别高端防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。

正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。

当主防火墙发生意外down机、网络链路发生故障、硬件故障等情况时，从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。

切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。

可以实现主备防火墙的策略配置同步，并可以选择主备同步的方向，选择是否备份同步前的配置策略，是否立即应用同步过来的策略。

神州数码DCFW-1800E-G防火墙的HA架构设计，通过加强的VRRP协议，为用户提供了最高可用性的产品，神州数码DCFW-1800的HA功能具备以下特性：

²设备发生故障时自动切换

²链路发生故障时自动切换

²关键任务故障时自动切换

²手工宣告切换

²切换时间小于1秒

实验设备

1.防火墙设备两台（E级别以上）

2.Console线两条

3.交叉网络线六条

4.直通网络线四条

实验拓扑

FWA

FWB

SC

SA

SB

PC1

PC2

22

24

20

WAN

WAN

LAN

LAN

11

12

12

11

10

HA

HA

实验要求

1.对1800E防火墙进行双机初始配置

2.设置两台设备的简单安全规则

3.启用防火墙的双机热备功能

4.进行实验验证：

a）设备发生故障时自动切换

b）链路发生故障时自动切换

c）关键任务故障时自动切换

d）手工宣告切换

实验步骤

对1800E防火墙进行双机初始配置

按照前面实验的方式将两台防火墙进行初始配置，假设其各端口的IP地址如下所示：

FWA

FWB

SC

SA

SB

PC1

PC2

22

24

20

192.168.2.2

11

12

12

11

10

HA

HA

192.168.2.3

192.168.1.2

192.168.1.3

192.168.2.20

192.168.1.10

192.168.3.2

192.168.3.3

注：

此时我们仍选择内网PC1为管理主机，则初始配置如下：

FWA配置

2/24

10

#apply

#save

#

。

如下图所示：

在PC1上开启IE浏览器，使用URL：

:

1211进行图形化界面连接，进行接下来的配置。

如下图所示：

注：

在本实验中，进行if0配置之前需要先将if2的地址改为.0/0，因为出厂设置的IP地址与我们为if0规划的IP地址属同一个网段，防火墙不允许不同的两个端口拥有同一个网段的IP地址。

FWB的设置过程同理。

FWB设置：

3/24

#apply

#save

#

使用PC1开启浏览器，URL：

3:

1211进行接下来的配置，如下所示：

设置两台设备的简单安全规则

简单设置FWA的安全规则为允许内网PC1对外网的访问，拒绝所有来自外网的访问请求，FWA和FWB设置过程如下：

设置网络对象trust_pc1和untrust_pc2。

FWA：

FWB：

添加安全策略

FWA：

Trust_pc1->untrust_pc2anypermit

Untrust_pc2->trust_pc1anydeny

FWB

设置同理，结果如下：

启用防火墙的双机热备功能

启用双机热备功能

在系统->双机热备中启动双机热备功能如下：

设置FWA为主机:

点开设置标签：

将if3修改为心跳线，如下所示：

应用配置，并保存。

同样设置FWB:

设置FWB为备机，启用双机热备功能。

将端口3设置为心跳线接口。

同样设置if0和if1对应的虚拟地址如下图所示：

应用，保存配置。

查看当前防火墙双机热备状态

按照如上配置，此时FWA状态显示为

FWB状态则为：

在双机热备的界面中显示则为：

FWA:

FWB:

进行实验验证：

验证过程使用ping命令进行，在PC1中开启ping–t命令，在下面的切换方式下查看ping命令的返回结果。

未切换前状态：

设备发生故障时自动切换

将主设备的电源拔下之后：

观察PC1中的ping结果

查看备用设备的双机热备状态

将原主设备电源重新打开，则状态并不再发生改变，除非此时将现在的主机电源切断。

链路发生故障时自动切换

将主设备的wan接口断开之后：

观察PC1中的ping结果

查看备用设备的双机热备状态

FWB（原主机）

FWA（原备机）:

共同思考

如果在配置双机热备的防火墙各端口时，没有配置链路检测，会影响哪个环节的实验验证过程。

课后练习

不使用HA端口进行防火墙的双机热备实验，尝试写出配置过程。

相关配置命令详解

halist

描述

该命令用于显示系统是否启用了双机热备，以及HA的配置信息。

语法

halist

例子

如果未启用双机热备，则显示：

#halist

Status:

Disabled

如果启用了双机热备，则显示：

#halist

Status:

BACKUP

Heartbeatinterface:

if1

Attachedinterfaces:

[if0]vip=.228status=

[if1]vip=.228status=

[if2]vip=.228status=

注意：

由于HA每次启动都是先进入备机状态3秒钟，在检测到符合切换条件（如网卡down、网络故障、互备机状态发生变化等）之后才真正进行状态切换，所以，请在HA启动3秒钟之后再次确认HA状态。

相关命令

haswitchmaster,haswitchbackup,haenable,hadisable,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules

haswitchmaster|backup

描述

该命令用于切换到主机状态或备机状态

语法

haswitchmaster｜backup

例子

#haswitchmaster

相关命令

halist,haenable,hadisable,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules

haenable|disable

描述

该命令用于是否启用双机热备功能

语法

haenable｜disable

例子

#hadisable

#halist

Status:

Disabled

相关命令

halist,haswitchmaster,haswitchbackup,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules

haattach|detach

描述

该命令用于指定某一网口是否作为状态检测网口。

语法

haattach|detach

参数

interface

网口，选用网络接口卡保留字：

if0,if1,if2或其它自定义网口

保留字

if0

外网口

if1

内网口

if2

DMZ网口

例子

#halist

......

Attachedinterfaces:

[if0]vip:

.0,status:

[if1]vip:

.0,status:

#hadetachif0（指定外网口不作为状态检测网口）

#halist

......

Attachedinterfaces:

[if1]vip:

.0,status:

相关命令

halist,haenable,hadisable,haswitchmaster,haswitchbackup,ha…,hasetheartbeat-interface,hasyncrules

ha……

描述

该命令用于配置网口的虚拟ＩＰ地址

语法

ha

参数

interface

网口

vip

虚拟IP地址

保留字

if0,if1,if2

分别指外网口，内网口，DMZ网口

例子

#haif0.32

相关命令

halist,haenable,hadisable,haswitchmaster,haswitchbackup,haattach,hadetach,hasetheartbeat-interface,hasyncrules

hasetheartbeat-interface

描述

该命令用于设置心跳线接在哪个网口。

语法

hasetheartbeat-interface

参数

interface

网口

保留字

if0,if1,if2

分别指外网口，内网口，DMZ网口

例子

#hasetheartbeat-interfaceif1

相关命令

halist,haenable,hadisable,haswitchmaster,haswitchbackup,haattach,hadetach，ha...,hasyncrules

hasyncrules（同步规则）

描述

该命令用于设置双机热备同步规则文件。

语法

hasyncrulespush|push1|push2|pull|pull1|pull2

说明：

1、同步规则文件不会同步双方的接口配置。

2、hasyncrulespush将本地的规则“推”向HA对方，并将同步过去的规则文件保存为对方的第6个规则文件。

3、hasyncrulespush1将本地的规则“推”向HA对方，将同步过去的规则文件保存为对方的第6个规则文件，将HA对方的当前配置保存为第7个规则文件，并加载同步过去的规则。

4、hasyncrulespush2将本地的规则“推”向HA对方，将同步过去的规则文件保存为对方的第6个规则文件，将HA对方的当前配置保存为第7个规则文件，加载同步过去的规则，并保存规则。

5、hasyncrulespull将HA对方的规则“拉”到本机，并将同步过来的规则文件保存为本机的第6个规则文件。

6、hasyncrulespull1将HA对方的规则“拉”到本机，将同步过来的规则文件保存为本机的第6个规则文件，将本机当前配置保存为第7个规则文件，并加载同步过来的规则。

7、hasyncrulespull2将HA对方的规则“拉”到本机，将同步过来的规则文件保存为本机的第6个规则文件，将本机当前配置保存为第7个规则文件，加载同步过来的规则，并保存规则。

例子

#hasyncrulespush

相关命令

halist,haenable,hadisable,haswitchmaster,haswitchbackup,ha…del，ha...,hasetheartbeat-interface

注意：

1、修改心跳口设置后，必须保证主机与备机的心跳口一致，并且应分别在主、备机上应用配置以使生效。

2、在删除或设置指定网口名称的虚拟ＩＰ之前，最好先通过ifconfiglist命令查看一下，以确定网口名称及其虚拟ＩＰ地址。