码迷,mamicode.com
首页 > 其他好文 > 详细

飞塔防火墙HA主备模式配置步骤

时间:2017-10-18 19:47:44      阅读:468      评论:0      收藏:0      [点我收藏+]

标签:飞塔防火墙 ha 主备模式配置 fortinet

HA主备A-P模式配置方法

一、HA网络拓扑结构

技术分享


注意:进行HA 的配置, 硬件和软件版本需满足如下要求:

① 防火墙硬件型号相同;

② 同型号硬件需要为相同的硬件版本,内存容量,CPU 型号,硬盘容量等相同;

③ 相同的软件版本版本;

④ 设备的所有接口不能工作在 DHCPPPPOE 模式下。没有使用的接口的IP地址模式也需要选择为"自定义";

 

二、HA配置步骤

步骤 1、配置设备1HA

步骤 2、配置设备2HA

步骤 3、组建HA

步骤 4、查看HA集群

 

三、HA配置建议

① 进行HA环境下更换设备前,进行配置备份,防止操作失误而造成的配置丢失。

② 建议配置两条以上的心跳线缆,防止单心跳故障造成HA机群崩溃,使用独立的心跳接口,尽量避免与业务口混用。

③ 优先使用光纤接口。

④ 开启会话同步。set session-pickup enable(默认关闭)或者在WEB上启用"会话交接"。

⑤ 谨慎使用override功能。开启override后设备选举过程中HA优先级参数高于设备运行时间参数,可能造成期望成为备机的设备被选举为主设备,造成反向同步配置信息。

⑥ 更改默认的HA组的ID,避免同一个广播域内存在多个HA机群,而造成接口的虚拟MAC冲突。

⑦ 选择正确的监控端口和心跳端口,在开启vdom虚拟cluster时候,每个cluster需要单独配置。

⑧ 如果开启ping server功能,则需要再HA配置中添加相应的配置命令。

⑨ 建议将与防火墙相连的交换机接口配置为stp portfast模式,发生接口Up/Down切换时,交换机的接口可立刻进入转发状态,而不需要stp状态进行侦听、学习、转发等延迟步骤后接口才转发数据。

 

四、HA基础配置

 按照如下方法分别对要做HA2台防火墙做如下配置。

1. 配置主设备

进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置200(主机高于从机);组名/密码默认;勾选"启用会话交接"。

技术分享

模式:单机模式、主动-被动、主动-主动。修改单机模式为HA模式的时候,需要确保所有接口的"IP地址模式"处于"自定义"的方式,不能有启用PPPOEDHCP的方式。

如果无法在命令行下配置A-PA-A模式,命令行会提示:

"The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode."

HA的接口配置:

① 端口监控:HA监控的接口,作为HA切换依据之一;本案例中监控port9(外网口)、port10(外网口)、port11(外网口)、port12(外网口);

② 心跳接口:启用两个心跳接口:port14port16

技术分享

对防火墙进行基础的HA配置步骤综述:

① 定义工作模式,‘主动-被动‘或者‘主动-主动‘,在大多数网络中会选择‘主动-被动‘,即主设备进行业务处理,备机处于备份状态,当主设备发生设备故障或者接口链路故障后,则由备机继续处理业务。

② 定义设备优先级,优先级高的设备,优先被选为主设备。

③组名和密码,使用默认即可,如设置则做HA的两台机器需要配置相同的参数。

④ 启用会话交接,启用。主墙和备墙之间实时进行会话信息的同步,当发生HA切换到时候,备墙上有同样的会话信息会对原来的会话进行处理,不会产生会话中断。

⑤ 定义2个心跳端口,port9port10。用于配置同步,会话同步,对方存活心跳检测等,为了集群的稳定建议配置2条或以上的线条线。在有多条心跳线路的情况下,心跳端口的 心跳优先级 决定了优先使用那条线路同步心跳(优先级高的端口连接的线路优先使用)

⑥ 定义监控端口,port13port14port17port18 业务端口需要被防火墙监控,当端口出现故障时会进行切换,具有数量多的有效监控端口的设备会作为主墙处理数据。

⑦ 为该设备输入新名字(可选),主要是便于识别和操作方便。

2. 配置从设备

除了优先级不同外(优先级低于主机),其他参数均与设备1相同。

3. 组建HA

连接心跳线FGT-主的port9port10连接到 FGT-从的port9port10

② 防火墙开始协商建立HA集群,此时 会暂时失去和防火墙到连接,这是因为在HA协商过程中会改变防火墙接口到MAC地址。可以通过更新电脑的arp表来恢复连接,命令为arp -d

③ 连接业务口链路。

④ 组建好HA后,两台防火墙配置同步,具有相同的配置,通过访问主防火墙来进行业务配置,如IP地址,策略等,更新的配置会自动同步。

4. 查看HA集群

进入菜单" 全局设置--配置--高可用性",就可以看到HA的建立情况。

技术分享

同时首页状态面板也同样能看到群组成员。

技术分享



本文出自 “Abner_Huang” 博客,谢绝转载!

飞塔防火墙HA主备模式配置步骤

标签:飞塔防火墙 ha 主备模式配置 fortinet

原文地址:http://abnerhuang.blog.51cto.com/11314198/1973689

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!