实验十一双机热备选修Word格式.docx
- 文档编号:17925499
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:17
- 大小:261.34KB
实验十一双机热备选修Word格式.docx
《实验十一双机热备选修Word格式.docx》由会员分享,可在线阅读,更多相关《实验十一双机热备选修Word格式.docx(17页珍藏版)》请在冰豆网上搜索。
3.交叉网络线六条
4.直通网络线四条
实验拓扑
FWA
FWB
SC
SA
SB
PC1
PC2
22
24
20
WAN
LAN
11
12
10
HA
实验要求
1.对1800E防火墙进行双机初始配置
2.设置两台设备的简单安全规则
3.启用防火墙的双机热备功能
4.进行实验验证:
a)设备发生故障时自动切换
b)链路发生故障时自动切换
c)关键任务故障时自动切换
d)手工宣告切换
实验步骤
对1800E防火墙进行双机初始配置
按照前面实验的方式将两台防火墙进行初始配置,假设其各端口的IP地址如下所示:
192.168.2.2
192.168.2.3
192.168.1.2
192.168.1.3
192.168.2.20
192.168.1.10
192.168.3.2
192.168.3.3
注:
此时我们仍选择内网PC1为管理主机,则初始配置如下:
FWA配置
2/24
#apply
#save
#
。
如下图所示:
在PC1上开启IE浏览器,使用URL:
:
1211进行图形化界面连接,进行接下来的配置。
在本实验中,进行if0配置之前需要先将if2的地址改为.0/0,因为出厂设置的IP地址与我们为if0规划的IP地址属同一个网段,防火墙不允许不同的两个端口拥有同一个网段的IP地址。
FWB的设置过程同理。
FWB设置:
3/24
使用PC1开启浏览器,URL:
3:
1211进行接下来的配置,如下所示:
设置两台设备的简单安全规则
简单设置FWA的安全规则为允许内网PC1对外网的访问,拒绝所有来自外网的访问请求,FWA和FWB设置过程如下:
设置网络对象trust_pc1和untrust_pc2。
FWA:
FWB:
添加安全策略
Trust_pc1->
untrust_pc2anypermit
Untrust_pc2->
trust_pc1anydeny
设置同理,结果如下:
启用防火墙的双机热备功能
启用双机热备功能
在系统->
双机热备中启动双机热备功能如下:
设置FWA为主机:
点开设置标签:
将if3修改为心跳线,如下所示:
应用配置,并保存。
同样设置FWB:
设置FWB为备机,启用双机热备功能。
将端口3设置为心跳线接口。
同样设置if0和if1对应的虚拟地址如下图所示:
应用,保存配置。
查看当前防火墙双机热备状态
按照如上配置,此时FWA状态显示为
FWB状态则为:
在双机热备的界面中显示则为:
FWA:
FWB:
进行实验验证:
验证过程使用ping命令进行,在PC1中开启ping–t命令,在下面的切换方式下查看ping命令的返回结果。
未切换前状态:
设备发生故障时自动切换
将主设备的电源拔下之后:
观察PC1中的ping结果
查看备用设备的双机热备状态
将原主设备电源重新打开,则状态并不再发生改变,除非此时将现在的主机电源切断。
链路发生故障时自动切换
将主设备的wan接口断开之后:
FWB(原主机)
FWA(原备机):
共同思考
如果在配置双机热备的防火墙各端口时,没有配置链路检测,会影响哪个环节的实验验证过程。
课后练习
不使用HA端口进行防火墙的双机热备实验,尝试写出配置过程。
相关配置命令详解
halist
描述
该命令用于显示系统是否启用了双机热备,以及HA的配置信息。
语法
例子
如果未启用双机热备,则显示:
#halist
Status:
Disabled
如果启用了双机热备,则显示:
BACKUP
Heartbeatinterface:
if1
Attachedinterfaces:
[if0]vip=.228status=<
up>
[if1]vip=.228status=<
[if2]vip=.228status=<
注意:
由于HA每次启动都是先进入备机状态3秒钟,在检测到符合切换条件(如网卡down、网络故障、互备机状态发生变化等)之后才真正进行状态切换,所以,请在HA启动3秒钟之后再次确认HA状态。
相关命令
haswitchmaster,haswitchbackup,haenable,hadisable,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules
haswitchmaster|backup
该命令用于切换到主机状态或备机状态
haswitchmaster|backup
#haswitchmaster
halist,haenable,hadisable,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules
haenable|disable
该命令用于是否启用双机热备功能
haenable|disable
#hadisable
halist,haswitchmaster,haswitchbackup,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules
haattach|detach
该命令用于指定某一网口是否作为状态检测网口。
haattach|detach<
interface>
参数
interface
网口,选用网络接口卡保留字:
if0,if1,if2或其它自定义网口
保留字
if0
外网口
if1
内网口
if2
DMZ网口
#halist
......
[if0]vip:
.0,status:
<
[if1]vip:
down>
#hadetachif0(指定外网口不作为状态检测网口)
halist,haenable,hadisable,haswitchmaster,haswitchbackup,ha…,hasetheartbeat-interface,hasyncrules
ha……
该命令用于配置网口的虚拟IP地址
ha<
vip>
网口
vip
虚拟IP地址
if0,if1,if2
分别指外网口,内网口,DMZ网口
#haif0.32
halist,haenable,hadisable,haswitchmaster,haswitchbackup,haattach,hadetach,hasetheartbeat-interface,hasyncrules
hasetheartbeat-interface
该命令用于设置心跳线接在哪个网口。
hasetheartbeat-interface<
#hasetheartbeat-interfaceif1
halist,haenable,hadisable,haswitchmaster,haswitchbackup,haattach,hadetach,ha...,hasyncrules
hasyncrules(同步规则)
该命令用于设置双机热备同步规则文件。
hasyncrulespush|push1|push2|pull|pull1|pull2
说明:
1、同步规则文件不会同步双方的接口配置。
2、hasyncrulespush将本地的规则“推”向HA对方,并将同步过去的规则文件保存为对方的第6个规则文件。
3、hasyncrulespush1将本地的规则“推”向HA对方,将同步过去的规则文件保存为对方的第6个规则文件,将HA对方的当前配置保存为第7个规则文件,并加载同步过去的规则。
4、hasyncrulespush2将本地的规则“推”向HA对方,将同步过去的规则文件保存为对方的第6个规则文件,将HA对方的当前配置保存为第7个规则文件,加载同步过去的规则,并保存规则。
5、hasyncrulespull将HA对方的规则“拉”到本机,并将同步过来的规则文件保存为本机的第6个规则文件。
6、hasyncrulespull1将HA对方的规则“拉”到本机,将同步过来的规则文件保存为本机的第6个规则文件,将本机当前配置保存为第7个规则文件,并加载同步过来的规则。
7、hasyncrulespull2将HA对方的规则“拉”到本机,将同步过来的规则文件保存为本机的第6个规则文件,将本机当前配置保存为第7个规则文件,加载同步过来的规则,并保存规则。
#hasyncrulespush
halist,haenable,hadisable,haswitchmaster,haswitchbackup,ha…del,ha...,hasetheartbeat-interface
1、修改心跳口设置后,必须保证主机与备机的心跳口一致,并且应分别在主、备机上应用配置以使生效。
2、在删除或设置指定网口名称的虚拟IP之前,最好先通过ifconfiglist命令查看一下,以确定网口名称及其虚拟IP地址。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 十一 双机 备选
![提示](https://static.bdocx.com/images/bang_tan.gif)