【简介】HA配置界面上,有个会话交接的选项,它会加大心跳接口的流量,增加防火墙的负担,桌面式的飞塔防火墙不建议启用,默认也是不启用。那启用不启用到底有什么不同呢?我们下面来看一下。
HA配置完成后,两台防火墙就成为一个完整的个体,只要在主防火墙上进行配置,备防火墙就会同步配置内容。
① 上面拓朴图是一个常见的HA连接,两台HA的防火墙互相连接心跳接口,向上同时接入路由器或接入交换机。向下同时接入核心交换机。如果是固定IP宽带,可以使用普通二层交换机将宽带一分为二接入两台防火墙,如果是ADSL拨号宽带,建议使用路由器,再接入两台防火墙。当然也可以使用二层交换机接入,只是两台防火墙切换时需要重新获取ADSL的IP地址。
② 登录主防火墙,选择菜单【系统管理】-【高可靠性】,可以看到一号防火墙现在是主防火墙,优先级是128。
③ 选择菜单【网络】-【接口】,编辑port1接口,设置为Wan接口,连接的路由器IP是172.16.0.1,因此Wan的IP设置为172.16.0.2,虽然用DHCP也可以获得IP,但是不希望Wan口IP经常改动的话,还是手动设置比较好一些。
④ Wan口设置好后还需要配置网关,选择菜单【网络】-【静态路由】,新建静态路由,目地地址默认为0.0.0.0/0.0.0.0,接口选择刚刚设置的Wan口,网关地址就是上层的路由器的内网接口地址了。
⑤ 配置完Wan口后,就可以配置内网接口了。这里设置内网接口port2的IP地址为192.168.8.1,并且启用DHCP,DNS服务器如果保持默认设置的话,将会得到【网络】-【DNS】下默认的DNS地址。
⑥ 配置完Wan口后,就可以建立允许上网的策略了,选择菜单【策略&对象】-【IPv4策略】,新建策略。上网策略需要启用NAT。
⑦ 将电脑接入防火墙下方的交换机,防火墙的内网接口发挥了DHCP服务器的作用,电脑获得取192.168.8.X网段的IP地址,网关指向防火墙内网接口。
⑧ 在命令状态下Ping百度网站,能够Ping通,说明电脑已经可以上网了。
⑨ 在命令状态下tracert百度网站路由,可以看到先到达防火墙的内网接口地址192.168.8.1,然后再通过防火墙到达路由器的内网接口地址172.16.0.1,说明电脑通过防火墙上网OK了。
HA使用环境建好了,现在我们可以测试一下实际使情况了。
① 为了测试网络中断情况,我们长Ping百度网站。
② 现在我们假设主防火墙出现故障,关闭一号主防火墙,长Ping显示丢失二个包,又继续Ping了。
③ 再次登录二号防火墙,可以看到由于一号防火墙关闭,目前二号防火墙是主防火墙了。由此可见防火墙主备之间的切换,对实际应用来说影响很小。
默认情况下会话交接是不启用的。
① 在菜单【系统管理】-【高可靠性】下可以看到,两台主备防火墙会话数相差还是很大的,备防火墙会话数少很多。
② 选择主防火墙,点击【编辑】。
③ 启用【会话交接】,点击【确认】。
④ 主防火墙启用会话交换后,可以看到备防火墙也自动启用了。
⑤ 再次查看两台防火墙的会话数,可以看到备防火墙会话数明显的多了很多,这说明会话也有在做同步。
⑥ 再次关闭主防火墙,进行主备切换,长Ping竟然也不丢包了。说明会话交接可以尽量减少防火墙主备切换时的影响。但这也大大增加了防火墙的开支。如果对会话短时间断开不是很敏感的话,建议还是不要启用会话交接。
1380
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
