实验十一双机热备选修.docx

1、实验十一双机热备选修实验十一、防火墙双机热备实验实验目的1.了解什么是双机热备2.为什么要采用双机热备应用环境为了保证网络的高可用性与高可靠性，神州数码E级别高端防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。当主防火墙发生意外down 机、网络链路发生故障、硬件故障等情况时，从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。可以实现主备防火墙的策略配置同步，并可以选择主备同步的方向，选择是否备份同步前的配置策

2、略，是否立即应用同步过来的策略。神州数码DCFW-1800E-G防火墙的HA架构设计，通过加强的VRRP协议，为用户提供了最高可用性的产品，神州数码DCFW-1800的HA功能具备以下特性： 设备发生故障时自动切换 链路发生故障时自动切换 关键任务故障时自动切换 手工宣告切换 切换时间小于1秒实验设备1.防火墙设备两台（E级别以上）2.Console线两条3.交叉网络线六条4.直通网络线四条实验拓扑FWAFWBSCSASBPC1PC2222420WANWANLANLAN1112121110HAHA实验要求1.对1800E防火墙进行双机初始配置2.设置两台设备的简单安全规则3.启用防火墙的双机热

3、备功能4.进行实验验证：a)设备发生故障时自动切换b)链路发生故障时自动切换c)关键任务故障时自动切换d)手工宣告切换实验步骤对1800E防火墙进行双机初始配置按照前面实验的方式将两台防火墙进行初始配置，假设其各端口的IP地址如下所示：FWAFWBSCSASBPC1PC2222420192.168.2.21112121110HAHA192.168.2.3192.168.1.2192.168.1.3192.168.2.20192.168.1.10192.168.3.2192.168.3.3注：此时我们仍选择内网PC1为管理主机，则初始配置如下：FWA配置2/2410# apply# save#。

4、如下图所示：在PC1上开启IE浏览器，使用URL：:1211进行图形化界面连接，进行接下来的配置。如下图所示：注：在本实验中，进行if0配置之前需要先将if2的地址改为.0/0，因为出厂设置的IP地址与我们为if0规划的IP地址属同一个网段，防火墙不允许不同的两个端口拥有同一个网段的IP地址。FWB的设置过程同理。FWB设置：3/24# apply# save#使用PC1开启浏览器，URL：3:1211进行接下来的配置，如下所示：设置两台设备的简单安全规则简单设置FWA的安全规则为允许内网PC1对外网的访问，拒绝所有来自外网的访问请求，FWA和FWB设置过程如下：设置网络对象trust_pc1

5、和untrust_pc2。FWA：FWB：添加安全策略FWA：Trust_pc1-untrust_pc2 any permitUntrust_pc2-trust_pc1 any denyFWB设置同理，结果如下：启用防火墙的双机热备功能启用双机热备功能在系统-双机热备中启动双机热备功能如下：设置FWA为主机:点开设置标签：将if3修改为心跳线，如下所示：应用配置，并保存。同样设置FWB:设置FWB为备机，启用双机热备功能。将端口3设置为心跳线接口。同样设置if0和if1对应的虚拟地址如下图所示：应用，保存配置。查看当前防火墙双机热备状态按照如上配置，此时FWA状态显示为FWB状态则为：在双机热

6、备的界面中显示则为：FWA:FWB:进行实验验证：验证过程使用ping命令进行，在PC1中开启ping t命令，在下面的切换方式下查看ping 命令的返回结果。未切换前状态：设备发生故障时自动切换将主设备的电源拔下之后：观察PC1中的ping结果查看备用设备的双机热备状态将原主设备电源重新打开，则状态并不再发生改变，除非此时将现在的主机电源切断。链路发生故障时自动切换将主设备的wan接口断开之后：观察PC1中的ping结果查看备用设备的双机热备状态FWB（原主机）FWA（原备机）:共同思考如果在配置双机热备的防火墙各端口时，没有配置链路检测，会影响哪个环节的实验验证过程。课后练习不使用HA端口

7、进行防火墙的双机热备实验，尝试写出配置过程。相关配置命令详解ha list描述该命令用于显示系统是否启用了双机热备，以及HA的配置信息。语法ha list例子如果未启用双机热备，则显示：# ha listStatus: Disabled如果启用了双机热备，则显示：# ha listStatus: BACKUPHeartbeat interface: if1Attached interfaces: if0 vip=.228 status= if1 vip=.228 status= if2 vip=.228 status=注意：由于HA每次启动都是先进入备机状态3秒钟，在检测到符合切换条件（如网卡

8、down、网络故障、互备机状态发生变化等）之后才真正进行状态切换，所以，请在HA启动3秒钟之后再次确认HA状态。相关命令ha switch master, ha switch backup, ha enable, ha disable, ha attach, ha detach, ha ,ha set heartbeat-interface, ha syncrules ha switch master|backup描述该命令用于切换到主机状态或备机状态语法ha switch masterbackup例子# ha switch master相关命令ha list, ha enable, ha d

9、isable, ha attach, ha detach, ha, ha set heartbeat-interface, ha syncrules ha enable|disable描述该命令用于是否启用双机热备功能语法ha enabledisable例子# ha disable# ha listStatus: Disabled相关命令ha list, ha switch master, ha switch backup, ha attach, ha detach, ha,ha set heartbeat-interface, ha syncrules ha attach|detach描述该

10、命令用于指定某一网口是否作为状态检测网口。语法ha attach|detach 参数interface网口，选用网络接口卡保留字：if0,if1,if2或其它自定义网口保留字if0外网口if1内网口if2DMZ网口例子# ha list .Attached interfaces: if0 vip: .0, status: if1 vip: .0, status: # ha detach if0(指定外网口不作为状态检测网口）# ha list .Attached interfaces: if1 vip: .0, status: 相关命令ha list, ha enable, ha disabl

11、e, ha switch master, ha switch backup, ha ,ha set heartbeat-interface, ha syncrules ha 描述该命令用于配置网口的虚拟地址语法ha 参数interface网口vip虚拟IP地址保留字if0,if1,if2分别指外网口，内网口，DMZ网口例子# ha if0 .32 相关命令ha list, ha enable, ha disable, ha switch master, ha switch backup, ha attach, ha detach, ha set heartbeat-interface, ha

12、syncrules ha set heartbeat-interface 描述该命令用于设置心跳线接在哪个网口。语法ha set heartbeat-interface 参数interface网口保留字if0,if1,if2分别指外网口，内网口，DMZ网口例子# ha set heartbeat-interface if1相关命令ha list, ha enable, ha disable, ha switch master, ha switch backup, ha attach, ha detach，ha., ha syncrulesha syncrules(同步规则) 描述该命令用于设置

13、双机热备同步规则文件。语法ha syncrules push|push1|push2|pull|pull1|pull2说明：1、同步规则文件不会同步双方的接口配置。2、ha syncrules push将本地的规则“推”向HA对方，并将同步过去的规则文件保存为对方的第6个规则文件。3、ha syncrules push1将本地的规则“推”向HA对方，将同步过去的规则文件保存为对方的第6个规则文件，将HA对方的当前配置保存为第7个规则文件，并加载同步过去的规则。4、ha syncrules push2将本地的规则“推”向HA对方，将同步过去的规则文件保存为对方的第6个规则文件，将HA对方的当前配

14、置保存为第7个规则文件，加载同步过去的规则，并保存规则。5、ha syncrules pull将HA对方的规则“拉”到本机，并将同步过来的规则文件保存为本机的第6个规则文件。6、ha syncrules pull1将HA对方的规则“拉”到本机，将同步过来的规则文件保存为本机的第6个规则文件，将本机当前配置保存为第7个规则文件，并加载同步过来的规则。7、ha syncrules pull2将HA对方的规则“拉”到本机，将同步过来的规则文件保存为本机的第6个规则文件，将本机当前配置保存为第7个规则文件，加载同步过来的规则，并保存规则。例子# ha syncrules push相关命令ha list, ha enable, ha disable, ha switch master, ha switch backup, hadel，ha., ha set heartbeat-interface 注意： 1、修改心跳口设置后，必须保证主机与备机的心跳口一致，并且应分别在主、备机上应用配置以使生效。2、在删除或设置指定网口名称的虚拟之前，最好先通过ifconfig list命令查看一下，以确定网口名称及其虚拟地址。