SonicWALL 防火墙 HA 配置.docx

SonicWALL 防火墙 HA 配置用户需求：设备实现双机热备，当主设备故障，备用设备自动接管，保证网络受到的影响最小化。网络连接如下图所示： SonicWALL HA是Active/Passive方式的HA，配置界面相当简单，所有配置只需要在主设备上配置，备用设备会自动同步主设备的配置。配置主设备时，不要打开备用设备电源，待主设备配置完毕之后，连接好物理线路，打开备用设备电源，备用设备自动与主设备同步全部的配置信息。注意：备用设备要和主设备采用同样的操作系统版本号。如果备用设备启用UTM的功能，那么备用设备要提前注册，拿到全部的UTM的授权。 主设备的UTM License不会同步到备用设备。1进入主设备的管理界面68, 默认的LAN口IP地址，用户名是 admin, 密码password2进入Network-Interfaces界面，配置X1口（WAN），X0口（LAN）的IP地址。这里X1口是WAN口，IP 地址, 这个地址将成为HA发生切换之后WAN口的虚拟地址，从WAN外部通过能访问到当前工作的设备，即如果主设备宕机，那么通过这个地址访问到的是备用设备。 X0 口IP地址用默认的 68. 这个地址将成为HA发生切换之后LAN口的虚拟地址，从LAN内部通过68能访问到当前工作的设备，即如果主设备宕机，那么通过这个地址访问到的是备用设备。3进入Hardware Failover-Setting 界面，选中Enable Hardware Failover激活HA配置，点右上角的Apply按钮使HA生效。如果希望主设备恢复后立刻切换回到主设备工作，那么选中Enable Preempt Mode，点右上角的Apply按钮使之生效. 4进入Hardware Failover-Monitoring 界面，点X0口的配置按钮，5在Interface X0 Monitoring Settings 界面的Primary IP Address, Backup IP Address分别填写主/备设备的管理IP地址。 通过69访问到的永远是主设备, 通过70访问到的永远是备用设备。即使因为主设备故障发生了切换也是如此（如果主设备故障时间还可以被访问的话）。Probe IP Address是探测地址，通常设置成与防火墙相连的三层交换的端口地址，探测此条路径是否正常。这个探测结果也可以触发HA切换。如主设备到与防火墙相连的三层交换的端口探测失败，而备用设备的探测成功，那么将发生主备切换。6在Interface X1 Monitoring Settings 界面的Primary IP Address, Backup IP Address分别填写主/备设备的管理IP地址。 通过0访问到的永远是主设备, 通过1访问到的永远是备用设备。即使因为主设备故障发生了切换也是如此（如果主设备故障时间还可以被访问的话）Probe IP Address是探测地址，通常设置成防火墙上游路由器的IP地址，探测此条路径是否正常。这个探测结果也可以触发HA切换。如主设备到上游路由器的IP地址探测失败，而备用设备的探测成功，那么将发生主备切换。7 如图连接好线路，打开备用设备的电源。 备用设备的配置会与主设备同步，然后自动重新启动。 HA配置全部完成。总结：在第五，六两个步骤里配置的X0和X1口的Primary IP Address, Backup IP Address只是用来管理主设备和备用设备。 本例中的68，在发生切换时，在两个设备上浮动，既备用设备处于活动状态时，内部发给68的数据将被处于活动状态的备用设备处理。那么是如何实现的呢？ARP表的更新当发生主备设备切换时，由于主设备和备用设备的Ethernet网卡的MAC地址不同，防火墙上游路由器和下游的三层交换机（如果有的话）的ARP表必须及时更新。否则发生切换之后，如果下游三层交换机送给地址 68的数据仍然使用主设备X0 口的MAC地址，那么放火墙将丢弃所有的数据，因为MAC地址不是备用设备X0口的MAC地址。 同样，上游的路由器的ARP表也必须更新，否则送给的数据如果采用主设备的X1口的MAC地址，放火墙也会丢弃全部到达的数据。 SonicWALL 强制 ARP 表更新为了避免上述讨论的ARP可能导致的问题，发生主备设备切换的同时，SonicWALL切换到活动状态的设备会在X0 口，X1 口分别广播ARP包，告诉上游路由器和下游的三层交换机或其它服务器更新ARP表，使它们知道到达虚拟IP地址 68 , ，分别发送到备用设备的X0口和X1口的MAC地址。注意：目前的HA操作不是全状态切换。 发生HA切换时，TCP连接要重新建立。 现有的TCP连接，如FTP将会断开。IPSec VPN隧道也要重新建立，IPSec数据传输会短暂的中断，带新的