当前位置:文档之家› Day2-7 - 高级双机热备配置指导(FW)

Day2-7 - 高级双机热备配置指导(FW)


FW 2 VLAN 设置:
说明:创建其他 VLAN,避免与网络中默认的 VLAN1 产生业务冲突。
(2) 访问:基本 > 网络管理 > 接口管理 > 组网配置,配置接口参数 FW 1 组网配置:
FW 2 组网配置:
第 2 页
应用防火墙典型配置案例
公开
说明:为避免地址冲突,心跳接口建议使用 30 位地址掩码。
FW2
Server IP:172.16.2.100/24 GW:172.16.2.1
防火墙默认只放行成功建立会话的数据报文, 当双向会话均在同一台设备上时则 正常转发;当设备上仅有单向会话时则被丢弃,如 FW2 收到 SYN-ACK 报文时查找 不到与其匹配的 SYN,则 SYN-ACK 数据报文被丢弃。
问题描述
---------------------------------------------【常见问题 1】 ---------------------------------------------在开启高级双机热备后,主、备设备会同步会话,但不同步数据流。以 TCP 数据 包为例,仅有当三次握手完成后才能建立会话,因此备设备仅同步 TCP 建立状态, 如 Established、 TIME_WAIT、 SYN_Sent 等, 不会同步三次握手的数据报文, 如 SYN、 SYN-ACK、ACK。
第 4 页
应用防火墙典型配置案例
公开
---------------------------------------------【常见问题 2】 ----------------------------------------------
FW1
PC IP:172.16.1.100/24 GW:172.16.1.1
(3) 访问:业务 > 高可靠性 > 双机热备(双机热备) ,配置高级双机热备 FW 1 高级双机热备配置:
FW 2 高级双机热备配置:
-------------------------------------------【配置同步部分】------------------------------------------(4) 访问:基本 > 网络管理 > 网络对象 > 安全域,配置安全域
第 5 页
应用防火墙典型配置案例
公开
Hale Waihona Puke FW1PC IP:172.16.1.100/24 GW:172.16.1.1
FW2
Server IP:172.16.2.100/24 GW:172.16.2.1
解决方案:开启“非对称双机热备” ,并关闭“TCP 全状态检测” 。 PC 向 Server 发起 TCP 连接时,FW1 放行 SYN 并建立会话同步至 FW2,FW2 放 行 SYN-ACK,FW1 放行 ACK,因此“非对称双机热备”可解决单边会话导致业务 不通问题。
应用防火墙典型配置案例
公开
1.1.1 高级双机热备配置指导
1.1.1.1 功能简介 某企业需要通过防火墙实现内网区、外网区的安全隔离以及访问控制,并使用防 火墙的 NAT 功能实现内部私网访问外部 Internet 的需求, 出口安全网关采用双机冗余 部署,使用高级双机热备方式保障企业网络高效、稳定、安全的运行。 1.1.1.2 网络拓扑 某公司内网,办公区 PC 和服务器区 Server 网关分别在各自三层交换机上,两台 FW 二层模式部署,开启高级双机热备,同步相关配置和会话。
FW1
Vlan-if2 172.16.1.1/24
Gige0_6 192.168.255.253/30 Gige0_6 192.168.255.254/30
Vlan-if2 172.16.2.1/24
PC IP:172.16.1.100/24 GW:172.16.1.1
Vlan-if3 172.16.3.1/24
第 3 页
应用防火墙典型配置案例
公开
1.1.1.5 功能验证 登陆其中一台 FW,配置安全域、包过滤等功能时,配置同步到另一台 FW;办 公区 PC 访问服务器区 server,两台 FW 都存在相关会话。 1.1.1.6 常见问题 序号
1 2 高级双机热备会话同步问题 双机热备在非对称组网中的应用问题
第 6 页
Vlan-if3 172.16.3.2/24
Server IP:172.16.2.100/24 GW:172.16.2.1
FW2
1.1.1.3 配置概览 序号
1 2 3 4
配置功能
VLAN 设置 组网配置 高级双机热备 安全域 转发
配置目的
配置逻辑接口(VLAN-IF)的参数信息,用于设备管理机业务 配置物理接口的参数信息,用于设备管理及业务转发 通过配置高级双机热备,可实现两台设备的配置参数及会话状 态时时同步 将设备接口(物理/逻辑)加入到指定安全域,根据域优先级进 行安全隔离,实现数据访问控制
1.1.1.4 详细配置 【说明】本案例配置方法为先配置两台设备差异化功能模块,再连接心跳线通过“配 置同步”功能完成相同功能模块。 (1) 访问:基本 > 网络管理 > 接口管理 > VLAN 设置(VLAN 配置) ,创建 VLAN
第 1 页
应用防火墙典型配置案例
公开
并配置 VLAN-IF 地址 FW 1 VLAN 设置:
相关主题

相关文档推荐: