一、HA网络拓扑结构
注意:进行HA 的配置, 硬件和软件版本需满足如下要求:
1) 防火墙硬件型号相同;
2) 同型号硬件需要为相同的硬件版本,内存容量,CPU 型号,硬盘容量等相同;
3) 相同的软件版本版本;
4) 设备的所有接口不能工作在 DHCP,PPPOE 模式下。没有使用的接口的IP地址模式也需要选择为"自定义";
二、HA配置步骤
步骤1、配置设备1的HA
步骤2、配置设备2的HA
步骤3、组建HA
步骤4、查看HA集群
三、HA配置建议
1)进行HA环境下更换设备前,进行配置备份,防止操作失误而造成的配置丢失。
2)建议配置两条以上的心跳线缆,防止单心跳故障造成HA机群崩溃,使用独立的心跳接口,尽量避免与业务口混用。
3)优先使用光纤接口。
4)开启会话同步. set session-pickup enable(默认关闭)或者在WEB上启用"会话交接"
5)谨慎使用override功能。开启override后设备选举过程中HA优先级参数高于设备运行时间参数,可能造成期望成为备机的设备被选举为主设备,造成反向同步配置信息。
6)更改默认的HA组的ID,避免同一个广播域内存在多个HA机群,而造成接口的虚拟MAC冲突
7)选择正确的监控端口和心跳端口,在开启vdom虚拟cluster时候,每个cluster需要单独配置。
8)如果开启ping server功能,则需要再HA配置中添加相应的配置命令。
9)建议将与防火墙相连的交换机接口配置为stp portfast模式,发生接口Up/Down切换时,交换机的接口可立刻进入转发状态,而不需要stp状态进行侦听、学习、转发等延迟步骤后接口才转发数据。
四、HA基础配置
按照如下方法分别对要做HA的2台防火墙做如下配置。
1、配置主设备
进入菜单" 系统管理--高可用性;模式选择"主动-被动"模式,优先级配置200(主机高于从机);组名/密码默认;勾选"启用会话交接"。
模式:单机模式、主动-被动、主动-主动。修改单机模式为HA模式的时候,需要确保所有接口的"IP地址模式"处于"自定义"的方式,不能有启用PPPOE和DHCP的方式。
如果无法在命令行下配置A-P、A-A模式,命令行会提示:
"The system may run in HA A-A or HA A-P mode only when all interfaces are NOT using DHCP/PPPoE as an addressing mode."
HA的接口配置:
a)、端口监控:HA监控的接口,作为HA切换依据之一;本案例中监控port1(外网口)和port2(内网口);
b)、心跳接口:启用两个心跳接口:port3、port4
对防火墙进行基础的HA配置步骤综述:
a)定义工作模式,'主动-被动'或者'主动-主动',在大多数网络中会选择'主动-被动',即主设备进行业务处理,备机处于备份状态,当主设备发生设备故障或者接口链路故障后,则由备机继续处理业务。
b)定义设备优先级,优先级高的设备,优先被选为主设备。
c)组名和密码,使用默认即可,如设置则做HA的两台机器需要配置相同的参数。
d)启用会话交接,启用。主墙和备墙之间实时进行会话信息的同步,当发生HA切换到时候,备墙上有同样的会话信息会对原来的会话进行处理,不会产生会话中断。
e)定义2个心跳端口,port3、port4。用于配置同步,会话同步,对方存活心跳检测等,为了集群的稳定建议配置2条或以上的线条线。
在有多条心跳线路的情况下,心跳端口的 心跳优先级 决定了优先使用那条线路同步心跳(优先级高的端口连接的线路优先使用)
f)定义监控端口,port1、port2业务端口需要被防火墙监控,当端口出现故障时会进行切换,具有数量多的有效监控端口的设备会作为主墙处理数据。
g) 为该设备输入新名字(可选),主要是便于识别和操作方便。
2、配置从设备
除了优先级不同外(优先级低于主机),其他参数均与设备1相同。
3、组建HA
a)连接心跳线,FGT-主的port3、port4,连接到 FGT-从的port3、port4;
b)防火墙开始协商建立HA集群,此时 会暂时失去和防火墙到连接,这是因为在HA协商过程中会改变防火墙接口到MAC地址。可以通过更新电脑的arp表来恢复连接,命令为arp -d 。
c)连接业务口链路。
d)组建好HA后,两台防火墙配置同步,具有相同的配置,通过访问主防火墙来进行业务配置,如IP地址,策略等,更新的配置会自动同步。
说明: HA建立完成后,只能通过主机进行访问、管理主机。如果需要登陆备机管理,请参考"HA集群带外管理"配置章节。
4、查看HA集群
进入菜单" 系统管理--高可用性",就可以看到HA的建立情况。
