【简介】为了保证业务不会因为设备故障而中断,很多关键设备都会采用HA技术,通过多台设备出现故障后自动切换,来保证业务不被中断。这里我们详细介绍飞塔防火墙的HA设置。
为了更接近实际环境的操作,这里采用两台FortiGate 200D防火墙,每一步的配置都会记录下来。在配置之前首先要做一些准备工作。
① 首先通过命令execute factoryrest,将防火墙恢复出厂设置。
② 再次登录防火墙,选择菜单【Network】-【Settings】,Host name字段填写主机名称,由于HA会用到最少两台防火墙,主机名称可以在HA中快速识别设备。Time Zone字段选择北京时间,这样日志信息就准确了。Idel timeout字段,表示空闲多久没操作,防火墙就会退出登录。刚开始不熟练的时候,我们可以把时间设置长一些,比如30分钟。最后Language字段,选择简体中文。点击【Applay】,所有修改的配置就开始生效了。
③ 刷新浏览器后,可以看到界面已经变成了中文,选择菜单【网络】-【接口】,可以看到FortiGate 200D,有两个DMZ接口,两个Wan接口,一个管理接口,再就是一个交换接口。飞塔防火墙HA具有接口监控功能,当接口出现故障时,防火墙会进行切换,但是,它并不支持交换接口。因此,我们需要将内网接入一个独立的接口。
④ 双击lan接口,可以看到由port1~port16口组成,每个接口右边有个叉,点击port1、port2、port3和port4右边的叉,然后点击【确认】,会释放四个接口。
⑤ 可以看到port1~port4都是独立接口了。在配置HA之前,需要关闭所有接口的DHCP或PPPoE,由于设备刚刚恢复出厂配置,所以接口上是没有PPPoE的,那么DHCP呢,lan和mgmt接口都有可能开启,下一步,我们就要关闭这些接口的DHCP。
⑥ 编辑lan口,可以看到DHCP服务器是启用的,选择关闭,点击【确认】。
⑦ 编辑mgmt管理接口,可以看到DHCP服务器也是启用的,选择关闭,点击【确认】。DMZ和Wan口,默认情况下都是不启用DHCP的,刚刚释放的port1到port4,默认情况下没有IP地址,也是没有启用DHCP的,这样,所有接口的DHCP都是关闭状态。
⑧ HA需要使用相同型号的设备,固件版本也要相同,这里的型号是FortiGate 200D,固件版本是6.0.6,那么另一台防火墙也必须是FortiGate 200D,固件也必须为6.0.6,否则HA会建立不起来。
准备工作完成后,就可以开始配置HA了。
① 选择菜单【系统管理】-【高可靠性】,点击Mode下拉菜单,可以看到有三种模式,分别是单机模式、主动-主动和主动-被动,选择【主动-被动】,点击【确认】。
主动-主动:由一个主设备组成,主设备接收所有的通信会话,并在主设备和所有从设备之间进行负载均衡,但是只负载均衡UTM的流量,普通流量仍只有主设备进行处理。适合对UTM功能需求比较高且集群所有设备都购买了UTM服务的情况下使用。
主动-被动:由处理通信会话的主设备和一个或多个从设备组成,从设备连接到网络和主设备,但不处理通信会话,处于待机状态,当主设备出现故障,从设备立即替换,以保证业务的连续性。这是最常用的模式。
② 进入配置界面,主动-主动模式与主动-被动模式的配置界面都是相同的。
设备优先级:HA里的防火墙在相同的条件下,可以通过设备优先级来确认谁是主机,数字大优先。默认为128,通常我们会把备机的优先级改为小于128。如果主机、备机的设备优先级相同,例如都是128,那么会根据序列号的大小来确定谁是主机。
组名称:用组名称来标示HA集群。最大长度为32个字符。在所有防火墙形成集群之前,所有的防火墙组名称必须相同。形成集群后可以修改组名称,组名更改会同步到集群所有防火墙。
密码:和组名称一样,可以用密码来标识HA集群。在所有防火墙形成集群之前,所有的防火墙密码必须相同。形成集群后可以修改密码。同一网络上的两个集群不能具有相同的密码。(组名称和密码都是自己定义的)
会话交接:如果启用会话交接,在主备切换的时候,原有的通信会话不会断。对会话要求比较高并且设备型号也比较高的情况下可以使用,但桌面型防火墙就不建议启用,因为会占用资源,以及增加同步带宽。这里我们暂不启用。
监控接口:HA会监控指定的接口,如果被监控的接口出现故障或网络断开连接,防火墙会进行切换。通常我们会用来监控内网和外网连接。由于一般会先配置HA,然后才配置内外网接口,因此,这里暂时不选择监控接口,后期再配置。
心跳接口:集群里的防火墙,通过心跳接口进行连接,心跳接口不断地通信HA状态和同步信息,以确保集群正常运行。在只有两台防火墙做HA的情况下,只要用普通网线将防火墙的心跳接口直接连接就可以了。有的防火墙有专门的HA心跳接口,FortiGate 200D没有,因此,这里选择Port3、Port4两个接口作为心跳接口。
心跳接口优先级:由于心跳接口在不停的传输HA状态,一旦接口出现故障或网线断开,HA就会失效,因此建议选择两个心跳接口。同样也可以设置心跳接口的优先级,数字大的优先。例如光纤接口优先级大于网线接口,则光纤接口优先。如果优先级都相同,接口号排在前面的优先,port3优先port4。
管理接口保留:大部分防火墙都会有一个专用的MGMT管理接口,这个接口只用来登录防火墙,保留此管理接口后,可以为HA集群里每台防火墙的管理口配置不同的IP地址及静态路由,将所有设备的管理接口接入交换机,就可以随时登录并管理不同的防火墙了。下面还会详细介绍管理接口保留配置。
Unicast Heartbeat(单播心跳):单播心跳用于FortiGate VM虚拟环境,因为在虚拟环境中不支持广播通信,因此在单播心跳里直接指定HA集群中其它FortiGate VM心跳接口的IP地址。这里我们用不上。
③ 启用【管理接口保留】,在接口字段选择mgmt管理口。
④ 网关可以根据实际网络情况填写,假设我要将所有设备的管理口接入到内网的一个独立VLAN,那就要设置网关,这样就可以在内网登录HA中的防火墙了。
⑤ 点击【确认】后,第一台防火墙的HA配置就完成了,建议在所有配置完成之前,心跳线不要连接,所有设备都配置好启动好后再连接。
⑥ 配置完HA后,可以看到防火墙面板上的HA亮红灯。这是正常现象,要等全部配置好并连接网线后,HA工作正常了就会转成绿灯。
第二台防火墙的配置和第一台的几乎一模一样,只不过主机名称改为OldMei-2,以和第一台防火墙区分。
① 将第二台防火墙的管理接口IP地址由192.168.1.99改为192.168.1.98,以和第一台的管理接口IP区别开,当把两台防火墙的管理接口都接入一台交换机之后,就可以同时登录并管理HA的两台防火墙了。即使只有主机在工作,仍然可以登录备机。记得关闭管理接口的DHCP服务。
② 第二台防火墙的HA设置与第一台几乎一模一样,唯一不同的就是优先级,因为这台打算做备机。
两台防火墙都配置好后,就可以连接心跳口了,这里设置的Port3和Port4为心跳口,只要将两台防火墙的Port3和Port4用网线对接起来就可以了。
① 连接心跳线后,两台防火墙的HA灯都是绿色,表示HA工作正常。
② 登录第一台防火墙,也就是主防火墙,查看高可靠性,可以看到和刚开始设置不一样了,除了有本机的信息外,还有备机的信息也显示出来了。
③ 这是通过管理口登录第二台防火墙,也就备机,显示的高可靠性内容,也有两台防火墙的信息显示出来了。HA初步就配置好了!
4517
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
