SANGFOR_NGAF_V5.8_2015年度渠道高级认证培训05_高可用性_经典案例1

SANGFORNGAF双机部署路由模式-单VRRP部署方案,学习目的,掌握NGAF路由模式下单组VRRP场景的部署掌握此部署方式的实施过程及注意事项掌握此部署方式的优缺点分析能够给客户提供更优方案,原始环境描述：客户原有防火墙做主备路由模式部署在企业网络出口正常情况下数据从经由图中左侧【三层交换A】【防火墙A】路径上网当左侧链路出现故障时能够及时切换到右侧链路从【三层交换B】【防火墙B】上网,防火墙A,防火墙B,三层交换A,三层交换B,单vrrp主/备,单vrrp主/备,原始环境介绍,Internet,切换过程正常情况下数据从经由图中左侧【三层交换A】【防火墙A】路径上网当防火墙和交换机之间的链路出现故障导致【防火墙A】的【2】或者【三层交换A】的【1】口接口状态为down时防火墙和三层交换均切换到右侧链路切换后数据流经由图中右侧【三层交换B】【防火墙B】路径上网,防火墙A,防火墙B,三层交换A,三层交换B,单vrrp主/备,单vrrp主/备,原始环境切换过程,Internet,故障切换,故障切换,数据流方向,最终拓扑需要替换原防火墙位置，实现原有防火墙功能最终双机切换条件需和替换前一致，即当左侧链路出现故障时能够及时切换到右侧链路从【三层交换B】【防火墙B】上网,防火墙A,防火墙B,三层交换A,三层交换B,单vrrp主/备,单vrrp主/备,部署方案分析,Internet,防火墙A,防火墙B,三层交换A,三层交换B,单vrrp主/备,单vrrp主/备,部署方案切换过程,Internet,切换过程和原始环境一致,故障切换,故障切换,数据流方向,防火墙A,防火墙B,三层交换A,三层交换B,单vrrp主/备,单vrrp主/备,部署方案和原始环境对比,Internet,实现原有防火墙路由部署及相关安全防护功能实现原有的双机功能（切换条件不变）,故障切换,故障切换,数据流方向,防火墙A（主）,防火墙B（备）,三层交换A（主）,三层交换B（备）,单vrrp主/备,单vrrp主/备,部署方案准备,Internet,WAN：183.37.240.41,LAN：10.10.10.1,心跳主：2.2.2.1,心跳备：2.2.2.2,3SW：10.10.10.2,3SW：10.10.10.2,LAN：10.10.10.1,WAN：183.37.240.41,部署方案配置概要,部署方案配置过程,配置前需确认：主备机网口数量一致主备机序列号保持一致主备机/app/appversion文件的md5一致配置主防火墙接口配置：【网络配置】-【接口/区域】-【物理接口】,心跳口IP地址后加-HA,部署方案配置过程,2.配置主防火墙默认路由：【网络配置】-【路由】-【静态路由】新增默认路由、回包路由等3.配置主防火墙地址转换（略）4.配置主防火墙应用控制、安全策略等（略）,部署方案配置过程,5.配置主防火墙双机配置：【系统】-【高可用性】【基本信息】选择本机地址（心跳口2.2.2.1），填写对端地址2.2.2.2，点击【保存】【双机热备】启用双机热备，配置如右图【配置同步】启用配置同步，配置如下图,部署方案配置过程,配置备机配置备机防火墙接口配置：【网络配置】-【接口/区域】-【物理接口】备机仅配置心跳口，其他接口配置后续上架从主设备同步,心跳口IP地址后加-HA,部署方案配置过程,2.配置备机防火墙双机配置：【系统】-【高可用性】【基本信息】选择本机地址（心跳口2.2.2.2），填写对端地址2.2.2.1，点击【保存】【双机热备】启用双机热备，配置如右图【配置同步】启用配置同步，但不勾选同步内容，如下图,部署方案上架过程,配置完成后，上架前告知客户上架会造成业务中断，得到客户允许后上架主防火墙上架、加电、接线、测试网络通信是否正常、策略配置是否合理备防火墙上架、加电、接线主防火墙【系统】-【高可用性】-【基本信息】中测试心跳与对端通信是否正常主防火墙【系统】-【高可用性】-【配置同步】中【手动同步配置】来向备机同步配置登录备防火墙webui检查配置是否已经完全同步,部署方案上架过程,上架完成后验证双机功能，初始化环境测试双机是否有效主防火墙【系统】-【高可用性】-【双机热备】检查设备“状态”是否为主备防火墙【系统】-【高可用性】-【双机热备】检查设备“状态”是否为备2.如果非上述状态，可以在主防火墙【系统】-【高可用性】-【双机热备】开启抢占，待主防火墙“状态”是为主后关闭抢占，完成初始化环境确保内网上网数据流从主防火墙设备通过4.拔掉主防火墙内网口eth2和三层交换机上联口的网线5.观察状态原主防火墙状态：【主】【故障】观察状态原备防火墙状态：【备】【主】6.确认数据流从原备防火墙通过，业务正常7.恢复初始化环境，上架结束,部署方案总结,方案对比原始双机方案和替换后双机方案对比：实现功能相同，双机切换条件一致,部署方案总结,更优推荐推荐原因：上述环境中会出现如下两种情况导致双机切换失败：防火墙上联口【1】故障导致防火墙切换而三层交换不切换三层交换机下联口【2】故障导致三层交换机切换而防火墙未切换,防火墙A,防火墙B,三层交换A,三层交换B,单vrrp主/备,单vrrp主/备,Internet,部署方案总结,方案建议：交换机开启track（cisco）、NQA（H3C）功能结合我们防火墙的【接口链路监控】功能实现在如图场景下双机切换：防火墙对内、外网的链路监控来防止三层交换机切换而防火墙未切换三层交换对外网的链路监控来防止防火墙切换而交换机未切换难度因素：此功能需要客户懂交换机双机配置并同意按此要求更改,防火墙A,防火墙B,三层交换A,三层交换B,单vrrp主/备,单vrrp主/备,Internet,部署方案总结,3.注意事项【系统】-【高可用性】-【双机热备】中的“网口监视”功能不支持聚合口心跳通信故障会导致两台防火墙均为主状态，公网IP冲突导致客户断网【系统】-【高可用性】-【配置同步】中备机配置如无需向主机同步则需启用配置同步但不要勾选同步内容，防止因设备上架顺序不对导致备机将配置同步