HA主备A-P模式配置方法
一、HA网络拓扑结构
注意:进行HA 的配置, 硬件和软件版本需满足如下要求:
① 防火墙硬件型号相同;
② 同型号硬件需要为相同的硬件版本,内存容量,CPU 型号,硬盘容量等相同;
③ 相同的软件版本版本;
④ 设备的所有接口不能工作在 DHCP,PPPOE 模式下。没有使用的接口的IP地址模式也需要选择为"自定义";
二、HA配置步骤
步骤 1、配置设备1的HA
步骤 2、配置设备2的HA
步骤 3、组建HA
步骤 4、查看HA集群
三、HA配置建议
① 进行HA环境下更换设备前,进行配置备份,防止操作失误而造成的配置丢失。
② 建议配置两条以上的心跳线缆,防止单心跳故障造成HA机群崩溃,使用独立的心跳接口,尽量避免与业务口混用。
③ 优先使用光纤接口。
④ 开启会话同步。set session-pickup enable(默认关闭)或者在WEB上启用"会话交接"。
⑤ 谨慎使用override功能。开启override后设备选举过程中HA优先级参数高于设备运行时间参数,可能造成期望成为备机的设备被选举为主设备,造成反向同步配置信息。
⑥ 更改默认的HA组的ID,避免同一个广播域内存在多个HA机群,而造成接口的虚拟MAC冲突。
⑦ 选择正确的监控端口和心跳端口,在开启vdom虚拟cluster时候,每个cluster需要单独配置。
⑧ 如果开启ping server功能,则需要再HA配置中添加相应的配置命令。
⑨ 建议将与防火墙相连的交换机接口配置为stp portfast模式,发生接口Up/Down切换时,交换机的接口可立刻进入转发状态,而不需要stp状态进行侦听、学习、转发等延迟步骤后接口才转发数据。
四、HA基础配置
按照如下方法分别对要做HA的2台防火墙做如下配置。
1. 配置主设备
进入菜单" 系统管理--配置--高可用性;模式选择"主动-被动"模式,优先级配置200(主机高于从机);组名/密码默认;勾选"启用会话交接"。
模式:单机模式、主动-被动、主动-主动。修改单机模式为HA模式的时候,需要确保所有接口的"IP地址模式"处于"自定义"的方式,不能有启用PPPOE和DHCP的方式。
如果无法在命令行下配置A-P、A-A模式,命令行会提示:
"The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode."
HA的接口配置:
① 端口监控:HA监控的接口,作为HA切换依据之一;本案例中监控port9(外网口)、port10(外网口)、port11(外网口)、port12(外网口);
② 心跳接口:启用两个心跳接口:port14、port16
对防火墙进行基础的HA配置步骤综述:
① 定义工作模式,‘主动-被动‘或者‘主动-主动‘,在大多数网络中会选择‘主动-被动‘,即主设备进行业务处理,备机处于备份状态,当主设备发生设备故障或者接口链路故障后,则由备机继续处理业务。
② 定义设备优先级,优先级高的设备,优先被选为主设备。
③组名和密码,使用默认即可,如设置则做HA的两台机器需要配置相同的参数。
④ 启用会话交接,启用。主墙和备墙之间实时进行会话信息的同步,当发生HA切换到时候,备墙上有同样的会话信息会对原来的会话进行处理,不会产生会话中断。
⑤ 定义2个心跳端口,port9、port10。用于配置同步,会话同步,对方存活心跳检测等,为了集群的稳定建议配置2条或以上的线条线。在有多条心跳线路的情况下,心跳端口的 心跳优先级 决定了优先使用那条线路同步心跳(优先级高的端口连接的线路优先使用)
⑥ 定义监控端口,port13、port14、port17、port18 业务端口需要被防火墙监控,当端口出现故障时会进行切换,具有数量多的有效监控端口的设备会作为主墙处理数据。
⑦ 为该设备输入新名字(可选),主要是便于识别和操作方便。
2. 配置从设备
除了优先级不同外(优先级低于主机),其他参数均与设备1相同。
3. 组建HA
① 连接心跳线,FGT-主的port9、port10,连接到 FGT-从的port9、port10;
② 防火墙开始协商建立HA集群,此时 会暂时失去和防火墙到连接,这是因为在HA协商过程中会改变防火墙接口到MAC地址。可以通过更新电脑的arp表来恢复连接,命令为arp -d 。
③ 连接业务口链路。
④ 组建好HA后,两台防火墙配置同步,具有相同的配置,通过访问主防火墙来进行业务配置,如IP地址,策略等,更新的配置会自动同步。
4. 查看HA集群
进入菜单" 全局设置--配置--高可用性",就可以看到HA的建立情况。
同时首页状态面板也同样能看到群组成员。
本文出自 “Abner_Huang” 博客,谢绝转载!
原文地址:http://abnerhuang.blog.51cto.com/11314198/1973689