Active-Passive(A/P)模式配置举例
本节介绍一个HA Active-Passive工作模式的典型配置实例。
两台安全网关采用完全相同的硬件平台、固件版本、VR、防病毒许可证和防病毒配置,组成Active-Passive工作模式,并且两台设备使用同样的接口连接到网络。
系统会将安全网关A选举为主设备,进行流量转发。安全网关B为备份设备。安全网关A会将其配置信息以及状态数据同步到安全网关B。当安全网关A出现故障不能正常转发流量或安全网关A的ethernet0/0接口断开时,安全网关B会在不影响用户通信的状态下切换为主设备,继续转发流量。
组网图如下:
请按照以下步骤进行配置:
第一步:配置安全网关A的监测对象。监控主设备ethernet0/0的工作状态,一旦发现接口工作失败,则进行主备切换。
- 访问“对象
监测对象”,进入监测对象列表页面。
- 点击『新建』按钮,进入监测对象配置页面。具体配置信息如下:
- 点击『应用』按钮。
- 点击<监测对象条目列表>部分的『新建』按钮,进入监测对象条目配置页面。具体配置信息如下:
- 类型:接口
- 接口:ethernet0/0
- 接口权值:255
- 点击『确定』按钮。
第二步:配置HA组。
安全网关A
- 访问“系统HA”,进入HA组列表配置页面。
- 点击<HA组列表>部分的『新建』按钮,进入HA组配置页面。具体配置信息如下:
- 组ID:从下拉菜单中选择“0”
- 优先级:10
- 监控:trackobj1
- 点击『确定』按钮。
安全网关B
- 访问“系统HA”,进入HA组列表配置页面。
- 点击<HA组列表>部分的『新建』按钮,进入HA组配置页面。具体配置信息如下:
- 点击『确定』按钮。
第三步:配置安全网关A的接口及策略。
- 访问“网络接口”,打开接口列表页面。
- 点击<接口列表>中ethernet0/0对应的『编辑』按钮,进入接口基本配置页面。具体配置信息如下:
- 接口名:ethernet0/0
- 安全域类型:三层安全域
- 安全域:从下拉菜单中选择“untrust”
- IP类型:静态IP
- IP/网络掩码:100.1.1.4/29
- 点击『确定』按钮保存所做配置并返回主配置页面。
- 点击<接口列表>中ethernet0/1相对应的『编辑』按钮,进入接口基本配置页面。具体配置信息如下:
- 接口名:ethernet0/1
- 安全域类型:三层安全域
- 安全域:从下拉菜单中选择“trust”
- IP类型:静态IP
- IP/网络掩码:192.168.1.4/29
- 点击『确定』按钮保存所做配置。
- 访问“防火墙策略”,进入策略列表页面。
- 在<源安全域>下拉菜单中选择trust,在<目的安全域>下拉菜单中选择untrust,然后点击『新建』按钮,进入策略基本配置页面。具体配置信息如下:
- 源安全域:trust
- 源地址:Any
- 目的安全域:untrust
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮。
第四步:配置HA连接接口。
安全网关A
- 访问“系统HA”。
- 在<HA配置>部分的<选择接口>下拉菜单中选择ethernet0/2,并点击『添加』按钮添加接口到系统中。
- 在<IP地址/网络掩码>文本框中输入1.1.1.1/24,并点击『确定』按钮。
- 在<HA配置>部分的<选择接口>下拉菜单中选择ethernet0/3,并点击『添加』按钮。
安全网关B
- 访问“系统HA”。
- 在<HA配置>部分的<选择接口>下拉菜单中选择ethernet0/2,并点击『添加』按钮添加接口到系统中。
- 在<IP地址/网络掩码>文本框中输入1.1.1.2/24,并点击『确定』按钮。
- 在<HA配置>部分的<选择接口>下拉菜单中选择ethernet0/3,并点击『添加』按钮。
第五步:配置HA簇,开启HA功能。
- 访问“系统HA”。
- 在<HA配置>部分的<集群>下拉菜单中选择1。
- 点击『确定』按钮。
第六步:主备同步完成后,配置主设备与备份设备的管理IP。
安全网关A
- 访问“网络接口”,进入接口列表页面。
- 点击<接口列表>中ethernet0/1对应的『编辑』按钮,进入接口基本配置页面。
- 在<管理IP>文本框中输入192.168.1.253。
- 点击『确定』按钮。
安全网关B
- 访问“网络接口”,进入接口列表页面。
- 点击<接口列表>中ethernet0/1对应的『编辑』按钮,进入接口基本配置页面。
- 在<管理IP>文本框中输入192.168.1.254。
- 点击『确定』按钮。