Active-ActiveA/A模式配置举例

本节介绍如何将两台设备配置为HA A/A冗余模式。在配置之前,确认搭建成HA典型组网模式的两台安全网关采用完全相同的硬件平台、固件版本,均启用VR及防病毒功能、安装防病毒许可证,并且两台设备使用同样的接口连接到网络。

配置完成后,两台设备均会开启HA功能。系统将安全网关A选举为group0的主设备。安全网关A向安全网关B进行同步配置。同步配置完成后,安全网关B抢占为group1的主设备。在正常情况下,两台设备独立运行各自的工作:安全网关A对财务部和研发部访问网络的流量进行转发;安全网关B对研发服务器群访问网络的流量进行转发。如果其中一台设备发生故障,另外一台设备可运行自身工作的同时接管故障设备的工作,保证工作不间断。例如:安全网关B故障无法工作,安全网关A在转发财务部和研发部访问网络流量的同时,将转发研发服务器群访问网络的流量。

组网图如下:

请按照以下步骤进行配置:

第一步:配置HA组。

安全网关A

  1. 访问“系统HA”,进入HA组列表配置页面。
  2. 点击<HA组列表>部分的『新建』按钮,进入HA组配置页面。具体配置信息如下:
  1. 点击『确定』按钮,完成创建HA0
  2. 点击<HA组列表>部分的『新建』按钮,进入HA组配置页面。具体配置信息如下:
  1. 点击『确定』按钮,完成创建HA1

安全网关B

  1. 访问“系统HA”,进入HA组列表配置页面。
  2. 点击<HA组列表>部分的『新建』按钮,进入HA组配置页面。具体配置信息如下:
  1. 点击『确定』按钮,完成创建HA0
  2. 点击<HA组列表>部分的『新建』按钮,进入HA组配置页面。具体配置信息如下:
  1. 点击『确定』按钮,完成创建HA1

第二步:在安全网关A上配置接口和域。

  1. 访问“网络安全域”,进入安全域列表配置页面。
  2. 点击<安全域列表>中『新建』按钮,进入安全域配置页面。
  3. 在<安全域名称>文本框中输入yanfa
  4. 点击『确定』按钮,完成创建安全域yanfa
  5. 重复步骤2至步骤4,创建安全域caiwu、internet和server
  6. 访问“网络接口”,进入接口列表页面。
  7. 点击<接口列表>中ethernet0/0对应的『编辑』按钮,进入接口基本配置页面。具体配置信息如下:
  1. 点击『确定』按钮,完成创建HA0的接口。
  2. 重复步骤6至步骤8,创建接口名称为ethernet0/1,所属安全域为caiwu,IP地址和网络掩码为10.1.1.1/255.255.255.0HA组组0接口。
  3. 访问“网络接口”,进入接口列表页面。
  4. 点击『新建』按钮,在弹出的菜单中选择<Virtual Forward接口>,进入接口基本配置页面。具体配置信息如下:
  1. 点击『确定』按钮,完成创建ethernet0/0:1
  2. 重复步骤10至步骤12,创建接口名称为ethernet0/1:1,所属安全域为yanfa,IP地址和网络掩码为10.1.1.2/255.255.255.0HA组组1的接口。
  3. 重复步骤10至步骤12,创建接口名称为ethernet0/3:1,所属安全域为server,IP地址和网络掩码为30.1.1.1/255.255.255.0HA组组1的接口。

第三步:配置监测对象。利用监测对象监控安全网关A接口和安全网关B接口的工作状态,一旦发现接口工作失败,则进行设备切换。

安全网关A

  1. 访问“对象监测对象”,进入监测对象列表页面。
  2. 点击『新建』按钮,进入监测对象配置页面。具体配置信息如下:
  1. 点击『应用』按钮。
  2. 点击<监测对象条目列表>部分的『新建』按钮,进入监测对象条目配置页面。具体配置信息如下:
  1. 点击『确定』按钮返回监测对象列表页面。
  2. 重复步骤1至步骤5,创建监测对象group1,警戒值为255;并配置监测对象条目ethernet0/1:1ethernet0/31,接口权值均为255。
  3. 访问“系统HA”,进入HA组列表配置页面。
  4. 点击<HA组列表>部分的组ID为0的条目相对应的『编辑』按钮,进入HA组配置页面。
  5. 在<监控>下拉菜单中选择group0
  6. 点击『确定』按钮,配置HA0的监测对象为group0,监控接口ethernet0/0
  7. 点击<HA组列表>部分的组ID为1的条目相对应的『编辑』按钮,进入HA组配置页面。
  8. 在<监控>下拉菜单中选择group1
  9. 点击『确定』按钮,配置HA1的监测对象为group1,监控接口ethernet0/1:1和ethernet0/3:1

安全网关B

在安全网关B上做相同的配置。创建监测对象group0,警戒值为255;并配置监测对象条目ethernet0/0,接口权值为255。创建监测对象group1,警戒值为255;并配置监测对象条目ethernet0/1:1和ethernet0/3:1,接口权值均为255。配置HA0的监测对象为group0HA1的监测对象为group1

第四步:配置HA连接接口。

安全网关A

  1. 访问“系统HA”。
  2. 在<HA配置>部分的<选择接口>下拉菜单中选择ethernet0/4,并点击『添加』按钮添加接口到系统中。
  3. 在<IP地址/网络掩码>文本框中输入100.0.0.1/24,并点击『确定』按钮。

安全网关B

  1. 访问“系统HA”。
  2. 在<HA配置>部分的<选择接口>下拉菜单中选择ethernet0/4,并点击『添加』按钮添加接口到系统中。
  3. 在<IP地址/网络掩码>文本框中输入100.0.0.100/24,并点击『确定』按钮。

第五步:在安全网关A上配置路由。

  1. 访问“网络路由目的路由”,进入目的路由列表页面。
  2. 点击<目的路由列表>部分的『新建』按钮,进入目的路由配置页面。具体配置信息如下:
  1. 点击『确定』按钮。
  2. 重复以上步骤,创建路由条目,参数值如下:

第六步:在安全网关A上配置SNAT。配置SNAT之前,用户需要首先配置地址簿。

  1. 访问“对象地址簿”,进入地址簿列表页面。
  2. 点击『新建』按钮,进入地址簿基本配置页面。
  3. 在<名称>文本框中输入caiwu
  4. 点击<成员列表>相对应的『添加』按钮,进入地址簿成员配置页面。具体配置信息如下:
  1. 点击『确定』按钮。
  2. 重复步骤1至步骤5,创建名称为yanfaIP地址为10.1.1.2/24的地址簿。
  3. 重复步骤1至步骤5,创建名称为serverIP地址为30.1.1.1/24的地址簿。
  4. 访问“防火墙NATNAT”,进入源NAT列表页面。
  5. 在<虚拟路由器>下拉菜单中选择trust-vr,然后点击『新建』按钮,在弹出菜单中选择<基本配置>,进入源NAT基本配置页面。具体配置信息如下:
  1. 点击『确定』按钮。
  2. 重复步骤8至步骤10,创建HA组组ID为1、源地址为yanfa,出接口为ethernet0/0:1的SNAT规则。

第七步:在安全网关A上配置策略。

  1. 访问“防火墙策略”,进入策略列表页面。
  2. 在<源安全域>下拉菜单中选择已配置的安全域caiwu,在<目的安全域>下拉菜单中选择internet,然后点击『新建』按钮,进入策略基本配置页面。具体配置信息如下:
  1. 点击『确定』按钮。
  2. 重复步骤1至步骤3再次创建策略,参数值如下:
  3. 重复步骤1至步骤3再次创建策略,参数值如下:

第八步:配置HA簇,开启HA功能。

  1. 访问“系统HA”。
  2. 在<HA配置>部分的<集群>下拉菜单中选择1
  3. 点击『确定』按钮。