实验十一双机热备选修.docx
- 文档编号:4972144
- 上传时间:2022-12-12
- 格式:DOCX
- 页数:17
- 大小:261.34KB
实验十一双机热备选修.docx
《实验十一双机热备选修.docx》由会员分享,可在线阅读,更多相关《实验十一双机热备选修.docx(17页珍藏版)》请在冰豆网上搜索。
实验十一双机热备选修
实验十一、防火墙双机热备实验
实验目的
1.了解什么是双机热备
2.为什么要采用双机热备
应用环境
为了保证网络的高可用性与高可靠性,神州数码E级别高端防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙。
正常情况下主防火墙处于工作状态,另一个防火墙处于备份状态,称为从防火墙。
当主防火墙发生意外down机、网络链路发生故障、硬件故障等情况时,从防火墙自动切换工作状态,从防火墙代替主防火墙正常工作,从而保证了网络的正常使用。
切换过程不需要人为操作和其他系统的参与,切换时间少于1秒。
可以实现主备防火墙的策略配置同步,并可以选择主备同步的方向,选择是否备份同步前的配置策略,是否立即应用同步过来的策略。
神州数码DCFW-1800E-G防火墙的HA架构设计,通过加强的VRRP协议,为用户提供了最高可用性的产品,神州数码DCFW-1800的HA功能具备以下特性:
²设备发生故障时自动切换
²链路发生故障时自动切换
²关键任务故障时自动切换
²手工宣告切换
²切换时间小于1秒
实验设备
1.防火墙设备两台(E级别以上)
2.Console线两条
3.交叉网络线六条
4.直通网络线四条
实验拓扑
FWA
FWB
SC
SA
SB
PC1
PC2
22
24
20
WAN
WAN
LAN
LAN
11
12
12
11
10
HA
HA
实验要求
1.对1800E防火墙进行双机初始配置
2.设置两台设备的简单安全规则
3.启用防火墙的双机热备功能
4.进行实验验证:
a)设备发生故障时自动切换
b)链路发生故障时自动切换
c)关键任务故障时自动切换
d)手工宣告切换
实验步骤
对1800E防火墙进行双机初始配置
按照前面实验的方式将两台防火墙进行初始配置,假设其各端口的IP地址如下所示:
FWA
FWB
SC
SA
SB
PC1
PC2
22
24
20
192.168.2.2
11
12
12
11
10
HA
HA
192.168.2.3
192.168.1.2
192.168.1.3
192.168.2.20
192.168.1.10
192.168.3.2
192.168.3.3
注:
此时我们仍选择内网PC1为管理主机,则初始配置如下:
FWA配置
2/24
10
#apply
#save
#
。
如下图所示:
在PC1上开启IE浏览器,使用URL:
:
1211进行图形化界面连接,进行接下来的配置。
如下图所示:
注:
在本实验中,进行if0配置之前需要先将if2的地址改为.0/0,因为出厂设置的IP地址与我们为if0规划的IP地址属同一个网段,防火墙不允许不同的两个端口拥有同一个网段的IP地址。
FWB的设置过程同理。
FWB设置:
3/24
#apply
#save
#
使用PC1开启浏览器,URL:
3:
1211进行接下来的配置,如下所示:
设置两台设备的简单安全规则
简单设置FWA的安全规则为允许内网PC1对外网的访问,拒绝所有来自外网的访问请求,FWA和FWB设置过程如下:
设置网络对象trust_pc1和untrust_pc2。
FWA:
FWB:
添加安全策略
FWA:
Trust_pc1->untrust_pc2anypermit
Untrust_pc2->trust_pc1anydeny
FWB
设置同理,结果如下:
启用防火墙的双机热备功能
启用双机热备功能
在系统->双机热备中启动双机热备功能如下:
设置FWA为主机:
点开设置标签:
将if3修改为心跳线,如下所示:
应用配置,并保存。
同样设置FWB:
设置FWB为备机,启用双机热备功能。
将端口3设置为心跳线接口。
同样设置if0和if1对应的虚拟地址如下图所示:
应用,保存配置。
查看当前防火墙双机热备状态
按照如上配置,此时FWA状态显示为
FWB状态则为:
在双机热备的界面中显示则为:
FWA:
FWB:
进行实验验证:
验证过程使用ping命令进行,在PC1中开启ping–t命令,在下面的切换方式下查看ping命令的返回结果。
未切换前状态:
设备发生故障时自动切换
将主设备的电源拔下之后:
观察PC1中的ping结果
查看备用设备的双机热备状态
将原主设备电源重新打开,则状态并不再发生改变,除非此时将现在的主机电源切断。
链路发生故障时自动切换
将主设备的wan接口断开之后:
观察PC1中的ping结果
查看备用设备的双机热备状态
FWB(原主机)
FWA(原备机):
共同思考
如果在配置双机热备的防火墙各端口时,没有配置链路检测,会影响哪个环节的实验验证过程。
课后练习
不使用HA端口进行防火墙的双机热备实验,尝试写出配置过程。
相关配置命令详解
halist
描述
该命令用于显示系统是否启用了双机热备,以及HA的配置信息。
语法
halist
例子
如果未启用双机热备,则显示:
#halist
Status:
Disabled
如果启用了双机热备,则显示:
#halist
Status:
BACKUP
Heartbeatinterface:
if1
Attachedinterfaces:
[if0]vip=.228status=
[if1]vip=.228status=
[if2]vip=.228status=
注意:
由于HA每次启动都是先进入备机状态3秒钟,在检测到符合切换条件(如网卡down、网络故障、互备机状态发生变化等)之后才真正进行状态切换,所以,请在HA启动3秒钟之后再次确认HA状态。
相关命令
haswitchmaster,haswitchbackup,haenable,hadisable,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules
haswitchmaster|backup
描述
该命令用于切换到主机状态或备机状态
语法
haswitchmaster|backup
例子
#haswitchmaster
相关命令
halist,haenable,hadisable,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules
haenable|disable
描述
该命令用于是否启用双机热备功能
语法
haenable|disable
例子
#hadisable
#halist
Status:
Disabled
相关命令
halist,haswitchmaster,haswitchbackup,haattach,hadetach,ha…,hasetheartbeat-interface,hasyncrules
haattach|detach
描述
该命令用于指定某一网口是否作为状态检测网口。
语法
haattach|detach
参数
interface
网口,选用网络接口卡保留字:
if0,if1,if2或其它自定义网口
保留字
if0
外网口
if1
内网口
if2
DMZ网口
例子
#halist
......
Attachedinterfaces:
[if0]vip:
.0,status:
[if1]vip:
.0,status:
#hadetachif0(指定外网口不作为状态检测网口)
#halist
......
Attachedinterfaces:
[if1]vip:
.0,status:
相关命令
halist,haenable,hadisable,haswitchmaster,haswitchbackup,ha…,hasetheartbeat-interface,hasyncrules
ha……
描述
该命令用于配置网口的虚拟IP地址
语法
ha
参数
interface
网口
vip
虚拟IP地址
保留字
if0,if1,if2
分别指外网口,内网口,DMZ网口
例子
#haif0.32
相关命令
halist,haenable,hadisable,haswitchmaster,haswitchbackup,haattach,hadetach,hasetheartbeat-interface,hasyncrules
hasetheartbeat-interface
描述
该命令用于设置心跳线接在哪个网口。
语法
hasetheartbeat-interface
参数
interface
网口
保留字
if0,if1,if2
分别指外网口,内网口,DMZ网口
例子
#hasetheartbeat-interfaceif1
相关命令
halist,haenable,hadisable,haswitchmaster,haswitchbackup,haattach,hadetach,ha...,hasyncrules
hasyncrules(同步规则)
描述
该命令用于设置双机热备同步规则文件。
语法
hasyncrulespush|push1|push2|pull|pull1|pull2
说明:
1、同步规则文件不会同步双方的接口配置。
2、hasyncrulespush将本地的规则“推”向HA对方,并将同步过去的规则文件保存为对方的第6个规则文件。
3、hasyncrulespush1将本地的规则“推”向HA对方,将同步过去的规则文件保存为对方的第6个规则文件,将HA对方的当前配置保存为第7个规则文件,并加载同步过去的规则。
4、hasyncrulespush2将本地的规则“推”向HA对方,将同步过去的规则文件保存为对方的第6个规则文件,将HA对方的当前配置保存为第7个规则文件,加载同步过去的规则,并保存规则。
5、hasyncrulespull将HA对方的规则“拉”到本机,并将同步过来的规则文件保存为本机的第6个规则文件。
6、hasyncrulespull1将HA对方的规则“拉”到本机,将同步过来的规则文件保存为本机的第6个规则文件,将本机当前配置保存为第7个规则文件,并加载同步过来的规则。
7、hasyncrulespull2将HA对方的规则“拉”到本机,将同步过来的规则文件保存为本机的第6个规则文件,将本机当前配置保存为第7个规则文件,加载同步过来的规则,并保存规则。
例子
#hasyncrulespush
相关命令
halist,haenable,hadisable,haswitchmaster,haswitchbackup,ha…del,ha...,hasetheartbeat-interface
注意:
1、修改心跳口设置后,必须保证主机与备机的心跳口一致,并且应分别在主、备机上应用配置以使生效。
2、在删除或设置指定网口名称的虚拟IP之前,最好先通过ifconfiglist命令查看一下,以确定网口名称及其虚拟IP地址。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 十一 双机 备选