序言:
最近有个业务需求,需要用2台山石的防火墙替代正在运行的天融信防火墙,经过一番实践和折腾,当前HA主备防火墙运行正常,本篇文章将HA主备防火墙配置教程、遇到的问题及解决方法和小伙伴分享一下。
一、业务需求
2台墙跑HA主备模式,一台墙down了另外一台正常工作;主墙上下行链路down了,自动切换到备墙,网络不受影响。
二、网络拓扑
备注:上下行路由器和防火墙都是H3C的,中间防火墙是山石R6P14版本。
三、实施步骤
1、防火墙型号及版本说明
品牌:hillstone(山石)
应急平台:SG-6000-P932
启动文件:SG600-M-3-5.5R6P14.bin
ps:做HA主备的防火墙需要品牌型号和版本一样(当前都是R6P14)。
2、网络接口配置
(1)网络接口配置包含:管理口、HA互联口、上下行链路接口。
(2)管理口IP配置
说明:主墙和备墙各配置管理口IP,这里面有个注意点:
(1)登陆运行中的HA主备模式防火墙时发现两个墙管理口IP显示一样的,那我们平时连接备墙的地址在哪里?其实备墙点击“高级选项”发现还有个IP是我们平时连接备墙的管理口地址了,原因见第2条。
(2)当不配置管理口IP为Local IP时,防火墙主备切换后备墙的管理口会自动同步和主墙一样的地址。所以在HA主备切换后会发现备墙在工作,但是无法管理了。可以通过两种方法解决:
A、配置防火墙管理口IP时,选择配置为Local IP,这样就不会同步为主墙地址了。
B、主备切换后,通过console口连接防火墙,在管理口配置中加入一个管理口IP即可,命令为manage ip 地址(先进入到该接口下),如下图。
(3)上行接口配置
(4)下行接口配置
3、HA配置
(1)主墙HA配置:
IP地址:主备地址不一样。HA簇ID和节点ID:HA主备模式,簇ID是一样的,节点ID必须不一样,或者不配置,让防火墙自己选。优先级:默认为100,主墙优先级要高,设置50。抢占时间:主墙配置3s,备墙不配置。检测对象:HA,这是在对象选项卡--检测对象--创建名称为HA,成员为上下行接口。这是为了检测主墙有异常,自动切换到备墙的必要条件。一般防火墙上架上下行链路都通了后再添加检测。
(2)HA备墙配置:
IP地址:主备地址不一样。HA簇ID和节点ID,HA主备模式,簇ID是一样的,节点ID必须不一样,或者不配置,让防火墙自己选。优先级:默认为100,保持100就可以。抢占时间:备墙不配置抢占时间。检测对象:HA,原理同主墙。
4、HA主备切换测试
(1)准备工作:
HA主备2台墙工作正常(主HA指示灯绿色常亮,备墙橙色灯闪烁);主备墙HA设置监测对象已配置;测试网络是否正常,tracert -d IP追踪路由各节点信息(默认走R1)。防火墙主备可以通过HA指示灯、SSH连接、web界面HA状态查看,主-master,备-backup。(2)拔掉主墙FW1的上行路由器光纤,查看HA主是否切换到FW2,查看网络是否正常,路由追踪节点是否变化(这时路由走R2)。
(3)恢复主墙FW1的上行路由器光纤,查看HA的主是否自动抢占为FW1,查看网络是否正常,路由追踪节点是否变化(这时路由走R1)。
(4)同理拔掉主墙FW1的下行交换机光纤,测试网络和追踪路由。
(5)恢复主墙FW1的下行交换机光纤,测试网络和路由追踪变化。
四、问题汇总和解决方案
1、未上线前防火墙HA主备切换,将2台强都弄成master主了?
解决方法:按照上面方法排查,原来是主备墙节点ID设置一样,配置不一样后恢复主备模式。
2、上线后HA主备切换,拔掉主墙FW1的上行路由器光纤,HA切换正常,网络正常;但是拔掉主墙FW1的下行交换机光纤,HA切换正常,网络异常,不通?
ps:一般情况配置监测对象不会出现这样情况的,之前的R4P16等版本都不要配置接口联动组就能正常主备切换,R6P14是为了使用策略分组工作,刚好都升级到这个版本测试下运行情况。
解决方法:经过排查FW1的下行交换机网线拔了,上行路由器还有流量,导致上面的路由器VRRP没有切换。在主墙上配置接口联动功能,SSH连接,配置接口组,将上下行接口加进去,这样任意一个接口down了,这个组接口都down了。方法如下:
说明:进入到配置模式,然后输入3条命令:
interface-group HA type linkage
interface ethernet0/7
interface ethernet0/8
这样再次测试,无论断开FW1的上行还是下行光纤,HA切换正常,网络正常。
五、总结
实践是检验真理的唯一标准,多操作,多试验才能出真知!