checkpoint双机热备.docVIP

Cluster XL-高可用性和负载均衡介绍Cluster XLCheck Point防火墙的ClusterXL功能是一个基于软件的高可用性和负载分担解决方案。它能够在属于同一个ClusterXL群组里面的checkpoint网关上分配网络流量。并且一个checkpoint网关出现故障不能工作的情况下，其他同组成员能过接替他的工作，保证网络能过正常、安全的为企业服务。ClusterXL工作的条件是：Cluster 需要两台以上的checkpoint 防火墙，而且这两台防火墙的系统平台要一致，软件版本也要一致.拓扑图如下所示：群控制协议Cluster Control Protocol (CCP)将checkpoint网关加入的一个群组。Ccp使用udp8116端口，群组内的设备使用此端口发送保活数据包报告他们的状态，同步成员时钟。高可用性在故障切换期间能过保持所有链接的弹性安全，包括vpn链接。如果一个主用网关不可用，所有的会话无需终端就可以安全的继续下去。用户不需要重新连接和重新认证，也不需要知道备用网关接管了业务。负载均衡通过负载均衡，在多个网关之见分配流量，ClusterXL可以扩展vpn的性能能力。一个集群最多可以部署五个网关。配置说明以两台checkpoint防火墙为例说明集群的配置过程。实计环境如下：说明防火墙A、B使用三台交换机相连一台用于连入外网（outside）一台用于连入内网（inside）一台用于连接集群防火墙实现防火墙同步（心跳线）注意：若只有两台防火墙做集群心跳线可用网线直接相连 1、新安装两台checkpoint防火墙（处不同地方均不在做说明）l 从https登陆设备安装防火墙组件l 选择安装组件集群中的checkpoint防火墙此界面只选择安全网关VPN-1 Power，不需要在每个集群成员中安装管理服务Smartcenter。Smartcenter组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员。l 选择网关类型 我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。l 输入认证码因为VPN-1和Smartcenter不在一体上，所以需要输入一个认证码，用于和Smartcenter建立联系进行认证。l 产品的确认和安装 集群中的各个防火墙均安装以上方式配置，ip地址划分是只需要分别和各自区域属于同一子网即可。2、安装Smartcenter用于连接集群中的网关Smartcenter可以在Linux下安装也可在Windows下安装。但是在安装Smartcenter的计算机上不能安装任何checkpoint防火墙的组件。l Linux下安装：此步只选择management server中的smartcenter（用于连接并统一管理集群成员设备）。l Windows下安装： 放入光盘自动运行或者双击Setup.exe文件。 许可协议 询问防火墙的安装版本（power） 选择全新安装 询问安装组件网关组件已在集群成员上安装，这里只需要安装SmartCenter，如果在此计算机上需要安装控制台则需要SmartCenter和SmartConsole。 询问是否是安装主smartcenter 服务器还是辅smartcenter 服务器还是只安装log 服务器：在这里我们选择安装主smartcenter 服务器。 之后点击一下步进入安装界面。3、安装完smartcenter后再Windows下基本设置l 添加licenses不添也可以，但是加只能使用15天，如果没有添加licenses会弹出告警询问是否继续，选择“是”即可。l 添加GUI管理员 添加管理员的用户名密码。l 添加GUI管理IP添加any表示所有人都能够通过GUI控制台访问，点“下一步”会后又告警，确认即可。l 配置内部CA内部CA不需要改动，否则会出现问题。此步骤结束后需要重启计算机，完成整个安装过程。4、在SmartDashboard上配置集群l 添加集群成员添加需要配置为集群成员的网关-选择“VPN-1 Power/UTM Gateway”。选择Class mod。 添加相应参数红框中为需要注意的地方点击后出现下图： Activation Key处输入安装VPN-1时所写入的认证码，出现右图提示表明SmartCenter成功连接到防火墙。 配置网络拓扑点击“Get”选择第二项得到相应防火墙各个接口信息后配置网络拓扑。 配置日志信息集群中的防火墙配置需要相同。确定后成功添加到SmartCenter，结果如下： l 配置集群添加需要配置集群-选择“VPN-1 Power/UTM Cluster” 配置基本信息 在集群中添加网关通过红框山中的按钮设置网关优先级。 选择集群模式集群模式可以分为主备模式和负载分担模式，主备模式（High Availability）可分为以下两个模式： New：使用虚拟地址的方式 Legacy：将两个防火墙的地址都配成一样的，不使用虚地址，这是早期的方式，现已淘汰当高优先级网关down机后重新上线后可分以下两种模式：l Maintain：当前活跃设备继续作为活跃设备l Switch：优先级高的设备作为活跃设备负载均衡模式（Load Sharing）也有以下两个模式： Multicast：要求前后端交换机支持组播 Unicast 配置网络拓扑点编辑进入拓扑编辑页面此界面显示了所有集群成员的物理接口信息以及等待被配置集群的虚拟接口信息。选择网络接口的作用：Cluster为集群成员；Cluster+* Sync为集群成员并且起到同步作用；* Sync为心跳线。 配置集群的中虚拟的接口名、IP地址、子网以及接口所在区域。 配置日志信息 完成集群的配置5、测试高可用性和负载均衡l 通过SmartMinitor产看各个网关于行状态防火