实验十一_双机热备(选修)

1、实验十一、防火墙双机热备实验实验目的1. 了解什么是双机热备2. 为什么要采用双机热备应用环境为了保证网络的高可用性与高可靠性，神州数码E级别高端防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下主防火墙处于工作状态，另一个防火墙处于备份状态，称为从防火墙。当主防火墙发生意外 down机、网络链路发生 故障、硬件故障等情况时，从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作， 从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间少于1秒。可以实现主备防火墙的策略配置同步，并可以选择主备同步的方向，选择是否备份同步前的配置策略，是否立即

2、应用同步过来的策略。神州数码DCFW-1800E-G防火墙的HA架构设计，通过加强的 VRRP协议，为用户提 供了最高可用性的产品，神州数码DCFW-1800的HA功能具备以下特性：设备发生故障时自动切换链路发生故障时自动切换关键任务故障时自动切换手工宣告切换切换时间小于1秒实验设备1. 防火墙设备两台（E级别以上）2. Con sole线两条3. 交叉网络线六条直通网络线四条实验拓扑实验要求1. 对1800E防火墙进行双机初始配置2. 设置两台设备的简单安全规则3. 启用防火墙的双机热备功能4. 进行实验验证：a）设备发生故障时自动切换b）链路发生故障时自动切换c）关键任务故障时自动切换d）

3、手工宣告切换实验步骤ip地址如下所示:对1800E防火墙进行双机初始配置按照前面实验的方式将两台防火墙进行初始配置，假设其各端口的注：此时我们仍选择内网PC1为管理主机，则初始配置如下：FWA配置# ifconfig if1 /24# admi nhost add 0# apply# save#将PC1的IP地址更新为 0，并设置其网关地址为（ 为我们作双机热备之后的虚拟防火墙内网地址）。如下图所示：在PC1上开启IE浏览器，使用URL : :121

4、1进行图形化界面连接，进行接下来的配置。将端口 WAN按照拓扑图配置为 ，HA 口配置IP为如下图所示：物理接口 VLAN 全局选项名称IP/Maskbits10 iFQ/2 斗2® in/24Q iF2o.o/o0 iF3192468.3,2/24注：在本实验中，进行ifO配置之前需要先将if2的地址改为/0,因为出厂设置的 IP地址与我们为ifO规划的IP地址属同一个网段，防火墙不允许不同的两个端口拥有同一 个网段的IP地址。FWB的设置过程同理。FWB设置：# ifconfig

5、 if1 /24# admi nhost add 0# apply# save#使用PC1开启浏览器，URL : :1211进行接下来的配置，如下所示：魅I連接口VLAN全局选项名希IP/Maskbits:10和192-163.2.3/2 斗i-0 iFl192.169.1,3/2418 if2a.o.o.o/oie/24设置两台设备的简单安全规则简单设置FWA的安全规则为允许内网 PC1对外网的访问，拒绝所有来自外网的访问请 求，FWA和FWB设置过程如下：设置网络对象trust_pc1 和

6、untrust_pc2o设置网络对象trust_pc1 和untrust_pc2oFWA :静増/修改网貉对象新增r修盘网絡对象FWB :新增r修敢冋路对象新増r俺改网络对毬添加安全策略FWA :Trust_pc1-> un trust_pc2any permit新増r修改策咯Un trust_pc2->trust_pc1any denyFWB启用防火墙的双机热备功能启用双机热备功能在系统-双机热备中启动双机热备功能如下:主机名称 J日期/时间 j防火墙管理双机热备2网桥设置1 Anh-DoS配置莒理设置FWA为主机：双机热备设査状态： 启用：切换：Q Backupr启用广主机宦备

7、机状态：O Backup启用：硬启用切换:k机广备机取消点开设置标签：将if3修改为心跳线，并设置虚拟接口IP地址为192.16831如下所示:修&虐拟接占旳将if0和if1的端口对应虚拟IP地址分别设置为和。如下所示:（标签中if3对应的心跳线项将显示红心）取杭熱备I设-芝#接口固定功岂耄机IF*直扼比址右裁蛭族口修改L 1门192.166.2,2192,163.2,1QZ IF115Z.L65.!03 iF20.0.0.D0.0. D.DQ4 iH192J6SJ.J192.168.3/1囲第IJ侦转到第工页回应用配置，并保存。虎也也址：I

8、12.168,3.1戸设为右閒戡接口确垒取消将端口 3设置为心跳线接口，并将虚拟地址设置为 （同FWA）。同样设置ifO和if1对应的虚拟地址如下图所示：|i& s幸援口囚定功誉卓机P虔按比址右軼践接口修改L ifj192.16S.2.IZ iflJ1«.I6S.3J if 二0.0.0.D4 iF3192.166-3.31" 第H侦转到第L页回应用，保存配置。查看当前防火墙双机热备状态按照如上配置，此时 FWA状态显示为20M-09-13 15:43:56主机口

9、FWB状态则为:2006-09-13 15:46:53在双机热备的界面中显示则为:FWA:欢机热备设M 状态：6 Master启用:臣启用切换：护主机厂备机FWB:裁机憩#、设畳、伏态：0 Backup启用：回启用切换：主机金备机进行实验验证:验证过程使用ping命令进行，在 PC1中开启ping -命令，在下面的切换方式下查看 ping命令的返回结果。未切换前状态：C： Documents and Settin>pingf 192.168_ 2.20Pinning 192 .168.2 ,20 uith 32 es of data =Repli Reply Repl Feplsffro

10、m 192-168.2-20：from 192.1&8.2.20： from 192.168-2.20： fpom 192-168,2-20：bytes =32 bytes=32 bytes =32 bytes =32t ime<lms t ime<lis t ime<lns t ime<ln£TTL=128 TIL=128TTL=128TTL=12MPing statistics f oi* 192 .168.2 .20：Packets: Sent - 4” Received 4, Lost = 0 <0z loss fipproxinate

11、round trip tines in milli-seconds:Mininum = 0ns, Maxinun = 0ns, Auerae = 0ms设备发生故障时自动切换将主设备的电源拔下之后:观察PC1中的ping结果f 192 ,168.2.20 =ReplV fron 0：Request 七ined. out _Reply From 1?220 =Repl fron 0：bytes =32 tine<lns TTL=128 bj/tes=32 t ine<lns TTL=128bytes=32 tine<lns TTL=1

12、28bytes=32 tine<lns TTL=128查看备用设备的双机热备状态Z0O&-09-13 15:50:33主机一裁杭热备、设置状臺： 启用： 切换：C Master 破启用Q主机备机将原主设备电源重新打开，则状态并不再发生改变，除非此时将现在的主机电源切断。链路发生故障时自动切换将主设备的wan接口断开之后:观察PC1中的ping结果TTL=128TTL=128TTL=128TTL=128leply f rom 192 .168.2 .20> h9tes=32 t ine<lms ieply f rom 192 -168.2.20： bytes =32 t

13、 inke<lms lequest timed out.leply from 1?2.16B.2.20= bytes=32 tine<lms leply fr&n 0： bytes=32 tine<lms查看备用设备的双机热备状态FWB （原主机）'双机热备l设置2006-09-13 15;56;05状态：0 Backup启用：疗启用切换：广主机席备机FWA （原备机）设置2006-09-13 15:59:36主心|状誉： 启用：Q MasterF启用席主机备机同回D电1共同思考如果在配置双机热备的防火墙各端口时，没有配置链路检测， 会影

14、响哪个环节的实验验证过程。课后练习不使用HA端口进行防火墙的双机热备实验，尝试写出配置过程。相关配置命令详解ha list描述该命令用于显示系统是否启用了双机热备，以及HA的配置信息。语法ha list例子如果未启用双机热备，则显示：# ha listStatus: Disabled如果启用了双机热备，则显示：# ha listStatus: BACKUPHeartbeat i nteface: if1Attached in terfaces:ifO vip=28status=<up>ifl vip=28status=<up>if2 vi

15、p=28status=<up>注意：由于HA每次启动都是先进入备机状态 3秒钟，在检测到符合切换条件（如网卡down、网络故障、互备机状态发生变化等）之后才真正进行状态切换，所以，请在HA启动3秒钟之后再次确认HA状态相关命令ha switch master, ha switch backup, ha en able, ha disable, ha attach, ha detach, ha ha set heartbeat-i nteface, ha syn crulesha switch master|backup描述该命令用于切换到主机状态或备机状态语法ha

16、switch master | backup例子# ha switch master相关命令ha list, ha enable, ha disable, ha attach, ha detach, ha ,ha set heartbeat-inteface, ha syn crulesha en able|disable描述该命令用于是否启用双机热备功能语法ha enable | disable例子# ha disable# ha listStatus: Disabled相关命令ha list, ha switch master, ha switch backup, ha attach, h

17、a detach, ha,ha set heartbeat-i nteface, ha syn crulesha attach|detach描述该命令用于指定某一网口是否作为状态检测网口。语法ha attach|detach vinterface>参数interface网口，选用网络接口卡保留字： if0,ifl,if2或其它自定义网口保留字if0外网口if1内网口if2DMZ网 口例子# ha listAttached in terfaces:if0 vip: , status: <up>if1 vip: , status: <dow n&

18、gt;# ha detach ifO（指定外网口不作为状态检测网口）# ha listAttached in terfaces:if1 vip: , status: <dow n>相关命令ha list, ha enable, ha disable, ha switch heartbeat-i nterface, ha syn crulesmaster, ha switch backup, ha ，ha setha描述该命令用于配置网口的虚拟ip地址语法ha vinterface> <vip>参数interface网口vip虚拟IP地址保留字if0,

19、if1,if2分别指外网口，内网口，DMZ网 口例子# ha ifO 2相关命令ha list, ha en able, ha disable, ha switch master, ha switch backup, ha attach, ha detach, ha set heartbeat-i nterface, ha syn crulesha set heartbeat- in terface描述该命令用于设置心跳线接在哪个网口。语法ha set heartbeat-interface vinterface>参数interface网口保留字if0,if1,if2分别

20、指外网口，内网口，DMZ网 口例子# ha set heartbeat- in terface if1相关命令ha list, ha enable, ha disable, ha switch master, ha switch backup, ha attach, ha detach， ha., ha syn crulesha syncrules同步规则）描述该命令用于设置双机热备同步规则文件。语法ha syn crules push|push1|push2|pull|pull1|pull2说明：1、同步规则文件不会同步双方的接口配置。2、ha syncrules push将本地的规则"推"向 HA对方，并将同步过去的规则文件保存为对方的第6个规则文件3、h