Active-Passive(A/P)模式配置举例
本节介绍一个HA Active-Passive工作模式的典型配置实例。
两台安全网关采用完全相同的硬件平台、固件版本、VR、防病毒许可证和防病毒配置,组成Active-Passive工作模式,并且两台设备使用同样的接口连接到网络。
系统会将安全网关A选举为主设备,进行流量转发。安全网关B为备份设备。安全网关A会将其配置信息以及状态数据同步到安全网关B。当安全网关A出现故障不能正常转发流量或安全网关A的ethernet0/0接口断开时,安全网关B会在不影响用户通信的状态下切换为主设备,继续转发流量。
组网图如下:
请按照以下步骤进行操作:
第一步:配置安全网关A的监测对象。监控主设备ethernet0/0的工作状态,一旦发现接口工作失败,则进行主备切换。
- 从工具栏的<对象用户>下拉菜单选择『监测对象』,弹出<监测对象>对话框。
- 点击列表左上方的『新建』按钮,弹出<新建监测对象>对话框。具体配置信息如下:
- 名称:trackobj1
- 警戒值:255
- 监测类型:选择<接口>单选按钮,并点击『添加』按钮
- 接口:ethernet0/0
- 权值:255
- 点击『确定』按钮保存所做配置并返回<监测对象>对话框。
第二步:配置HA组。
安全网关A
- 从工具栏的<系统管理>下拉菜单选择『HA』,弹出<HA>对话框。 在<组0>处配置如下信息:
- 点击『确定』按钮保存所做配置。
安全网关B
- 从工具栏的<系统管理>下拉菜单选择『HA』,弹出<HA>对话框。
- 在<组0>处的<优先级>下拉菜单中选择“100”。
- 点击『确定』按钮保存所做配置。
第三步:配置安全网关A的接口及策略。
- 从页面左侧导航树选择并点击“配置
网络网络连接”,进入网络连接页面。
- 选中接口列表中“ethernet0/0”对应的复选框,点击接口列表左上方的『编辑』按钮,系统弹出<接口配置>对话框。具体配置信息如下:
- 绑定安全域:三层安全域
- 安全域:从下拉菜单中选中“untrust”
- 类型:静态IP
- IP地址:100.1.1.4
- 网络掩码:29
- 点击『确定』按钮保存所做配置并返回网络连接页面。
- 选中接口列表中“ethernet0/1”对应的复选框,点击接口列表左上方的『编辑』按钮,系统弹出<接口配置>对话框。具体配置信息如下:
- 绑定安全域:三层安全域
- 安全域:从下拉菜单中选中“trust”
- 类型:静态IP
- IP地址:192.168.1.4
- 网络掩码:29
- 点击『确定』按钮保存所做配置并返回网络连接页面。
- 从页面左侧导航树选择并点击“配置安全策略”,进入策略页面。
- 点击策略列表左上方的『新建』按钮,弹出<策略配置>对话框。具体配置信息如下:
- 源安全域:trust
- 目的安全域:untrust
- 源地址:Any
- 目的地址:Any
- 服务簿:Any
- 行为:允许
- 点击『确定』按钮保存所做配置并返回策略页面。
第四步:配置HA连接接口,并开启HA功能。
安全网关A
- 从工具栏的<系统管理>下拉菜单选择『HA』,弹出<HA>对话框。 具体配置信息如下:
- HA连接接口1:ethernet0/2
- 接口2:ethernet0/3
- IP地址:1.1.1.1/24
- HA簇ID:1
- 点击『确定』按钮保存所做配置。
安全网关B
- 从工具栏的<系统管理>下拉菜单选择『HA』,弹出<HA>对话框。具体配置信息如下:
- HA连接接口1:ethernet0/2
- 接口2:ethernet0/3
- IP地址:1.1.1.2/24
- HA簇ID:1
- 点击『确定』按钮保存所做配置。
第五步:主备同步完成后,配置主设备与备份设备的管理IP。
安全网关A
- 从页面左侧导航树选择并点击“配置网络网络连接”,进入网络连接页面。
- 选中接口列表中“ethernet0/1”对应的复选框,点击接口列表左上方的『编辑』按钮,系统弹出<接口配置>对话框。
- 在『常规』标签页的<IP配置>部分,点击『高级选项』,弹出<高级选项>对话框,配置接口的管理IP。
- 在<IP地址>文本框中输入192.168.1.253。
- 点击『确定』按钮保存所做配置并返回<接口配置>对话框。
- 点击『确定』按钮保存所做配置并返回网络连接页面。
安全网关B:使用同样的配置方式,指定安全网关B的ethernet0/1接口的管理IP为192.168.1.254。