深信服下一代防火墙NGAF高可用组网

已于 2022-05-14 22:26:44 修改
阅读量2.5k 收藏 6
点赞数 3
分类专栏: 深信服专栏 文章标签: 网络
于 2022-05-14 22:20:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48085330/article/details/124774693
版权

防火墙高可用组网功能概述

两台AF主备部署也称为双机热备部署,一台设备处于工作状态,另外一台处于热备状态。两台设备通过心跳口检测对端是否存在并同步配置及会话,当主设备出现问题触发切换条件时,设备会自动把业务切换到备设备,并且通过会话同步等机制,保证业务不断,从而实现业务稳定的运行 。

在这里插入图片描述

应用场景

客户内网是VRRP环境,为了避免单点故障,购买了两台AF需要做网关主备部署在公网出口替换原有的防火墙,任一设备或链路故障,实现快速切换,保障业务稳定性。

具体配置

配置步骤-主AF
1、划分内网区域LAN和外网区域WAN,保障用户网络安全。
2、配置AF网络接口信息。
3、配置路由信息,默认上网路由和回指核心交换机路由。
4、配置心跳线路,进入【系统】-【高可用性】-【基本信息】页面,选择本机心跳口IP地址,以及填写规划的备机心跳口IP地址。
5、配置双机热备,在【系统】-【高可用性】-【双机热备】页面,勾选启用,新增虚拟路由组,配置优先级、网口监视。
6、启用配置同步,在【系统】-【高可用性】-【配置同步】页面,勾选启用,同步对象勾选所有,配置同步角色设置为主控,上架主机。

配置步骤-备AF
1、 配置心跳口,进入【网络】-【接口】-【物理接口】,选择一个非业务口做心跳口配置IP地址,地址后面加-HA 。
2、配置心跳线路,进入【系统】-【高可用性】-【基本信息】页面,选择本机心跳口IP地址,以及填写主机心跳口IP地址。
3、配置双机热备,在【系统】-【高可用性】-【双机热备】页面,勾选启用,新增虚拟路由组,配置优先级(比主机配置的小)、网口监视,根据实际情况配置链路监视。
4、启用配置同步,进入【系统】-【高可用性】-【配置同步】页面,勾选启用,同步对象勾选所有,配置同步角色设置为备控,接心跳线并上架备机。

注意事项

  1. 双机热备页面中抢占与链路检测不能同时开启;
  2. 不要使用两个成对的bypass接口做双机业务口,避免广播风暴;
  3. MANAGE口可做心跳口,但不能做双机的业务口;
  4. 心跳口在配置时,需要加-HA,而管理口也可以通过加-HA来避免同步;
  5. 心跳口建议使用聚合接口,如无条件做聚合接口,建议配置辅线路;
  6. 网口监视和链路监视的切换条件有组的概念,即多个接口可以配置在同组中,同组中所有接口检测故障即判定该组故障,任意一组故障,即双机发生切换;
  7. 主机强制是主控,备机强制是备控。
策c
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深信服下一代防火墙组网介绍及配置
✍千里之行,始于足下 ^,^
05-27 1万+
下一代防火墙目录1.下一代防火墙组网简介1.1部署模式简介1.2 NGAF接口类型1.2.1根据接口属性分类(1)物理接口a 路由口b 透明口c虚拟网线口(2)子接口(3)VLAN接口(4)聚合接口1.2.3 接口设置注意事项1.3区域2.下一代防火墙组网方案2.1路由模式组网2.1.1 客户需求2.1.2 准备工作2.1.3 配置思路2.1.4 单臂路由模式单臂路由概述配置思路2.1.5 路由模...
深信服下一代防火墙NGAF)学习笔记
Ether_Dzh的博客
08-22 1万+
目录 sangfor_waf 代理HTTP所有流量,SSH不阻拦 网络 接口 端口聚合 负载模式 聚合协议 虚拟网线 ipv6 807 WAN属性 作用 支持接口模式 WAN口入站路由转发 与IPSEC VPN出口线路匹配 管理口 AF809 vlan0 ARP代理 路由 策略路由 AF路由表分类 非对称数据转发 二次穿透部署 SNMP SNMP开启 SNMP Trap 光口bypas Reset 安全防护 WAF IPS DOS ...
防火墙高可用性(HA)
热门推荐
网络安全研究
04-11 1万+
双机热备 防火墙高可用性也称双机热备,指基于两台设备的高可用性。双机热备的模式分为主备模式和主主模式。 主备模式 主-备方式即指的是一台设备处于某种业务的激活状态(即Active状态),另一台设备处于该业务的备用状态(即Standby状态)。 工作机和备用机通过心跳线连接,备用机实时监视工作机的情况,当工作机出现问题,备用机就接管工作。 在这个状态下,工作防火墙响应ARP请求,并且转发网络流量;备...
深信服下一代防火墙介绍
✍千里之行,始于足下 ^,^
05-27 4940
下一代防火墙目录1.传统防火墙1.1防火墙的发展历程1.2传统防火墙防御模式1.3传统的安全产品1.3.1传统安全产品的形态1.3.2传统的安全防护UTM1.4总结:2 深信服下一代防火墙NGAF2.1 应对之法2.1.1 为什么可视是安全的基础?2.1.2技术:深度内容检测DPI2.1.3检测和防御2.2深信服下一代防火墙系统架构3.下一代防火墙应用场景下一代防火墙应用场景全景架构图3.1互联...
Juniper防火墙的HA(高可用性)配置
weixin_33801856的博客
11-12 2006
为了保证网络应用的高可用性,在部署Juniper防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现HA的配置。Juniper防火墙提供了三种高可用性的应用配置模式:主备方式、主主方式和双主冗余方式。在这里,我们只对主备方式的配置进行说明。 防火墙HA网络拓扑图(主备模式): 1.使用Web浏览器方式配置 WebUI...
Cisco ASA failover 高可用技术技术【A-S】
网络之路Blog(其他平台同名)
03-06 998
简介 Failover的意思就是故障移除,它非常类似与HSRP与VRRP一样,是一个冗余备份的技术,它当主用down了以后自动切换到备用那边 failover分为Aactive/standby和Aactive/Active,还有一种区分就是hardwarefailover,和statefulfailover. 1、Aactive/standby 就想HSRP一样,主用down了情况下,备用才会转发数据 2、Aactive/Active 它必须结合之前说的context配合使用,虚拟多个防火墙...
深信服下一代防火墙NGAF风险报表
04-28
深信服下一代防火墙NGAF风险报表
深信服下一代防火墙NGAF品牌实力介绍
05-04
深信服下一代防火墙NGAF品牌实力介绍
深信服下一代防火墙NGAF V8.0.13 用户手册
12-04
深信服下一代防火墙NGAF V8.0.13 用户手册 第 1 部分 SANGFOR AF 产品安装指南。该部分主要介绍 AF 设备的外观特点及功能特性和性能参数,以及连接前的准备和注意事项。 第 2 部分 SANGFOR AF 控制台的使用,如何...
深信服下一代防火墙NGAF产品彩页.pdf
09-25
深信服下一代防火墙NGAF产品彩页.pdf
深信服下一代防火墙NGAF 网页篡改防护解决方案.pdf
09-25
深信服下一代防火墙NGAF 网页篡改防护解决方案.pdf
深信服下一代防火墙NGAF 风险报表.pdf
09-25
深信服下一代防火墙NGAF 风险报表.pdf
路由策略实验分析(一)
坏坏-5的博客
07-31 782
本篇是学习路由策略的Filter-policy以及ip-prefix的实验笔记!
深信服和您一起解析防火墙的前世今生
weixin_33851429的博客
08-22 159
深信服和您一起解析防火墙的前世今生 http://www.ccw.com.cn 2011-08-15 10:32:02 我要评论(0) 防火墙自诞生以来,在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙,对进出防火墙的一切数据包进行检查,保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随...
防火墙:配置高可用HA
最新发布
weixin_42494218的博客
11-15 421
两台思科 FPR1120-ASA-K9 设备可以通过配置 Active/Standby Failover 来实现高可用
深信服下一代防火墙为啥那么强大?有哪些黑科技?
网络技术联盟站
04-19 1069
深信服(Sangfor)是一家全球领先的网络安全解决方案提供商,致力于为企业和组织提供全面、高效的网络安全保护。其下一代防火墙产品,作为企业网络安全的重要组成部分,具有强大的功能和先进的技术,为企业提供了更加全面、智能化的网络安全防护。
天融信防火墙配置上网_记录一次深信服防火墙替换天融信防火墙
weixin_39574868的博客
11-18 1180
背景:某卫健局网络改造,其中有一部分是内网天融信防火墙需要替换成深信服的墙拓扑: 蓝色部分即为被替换的天融信防火墙现状:不同厂商之间异构化较为明显多数不能直接配置,需要提前理解天融信防火墙才能转换成深信服墙的配置(此前接触过这样一个项目)思路:了解界面——了解天融信防火墙功能模块——打通网络——配置策略——细化策略——调试——验收步骤一:认识界面天融信的墙维护较少,页面比较老,功能相应也比较多,...
深信服防火墙——透明主主部署
weixin_42899191的博客
09-01 1094
透明主主部署是两台AF做网桥部署在网络中,均处于工作状态,根据流量转发到不同AF的情况,来进行数据处理,通过心跳口同步配置及会话(网桥模式包括透明模式和虚拟网线模式)。 透明主主模式配置案例 某企业内部网络是路由器和核心交换机做链路聚合,现购买了两台AF虚拟网线模式部署进网络中,两台AF需要做网桥主主部署,经过两台AF的流量会存在来回流量路径不一致的问题,需要开启双机聚合功能,具体拓扑如下图所示...
深信服防火墙路由模式部署
Mma_123456789的博客
05-15 1689
2.网络接口按照实际拓扑图接好,接口并配置好。3口配置10.181.10.X段是接交换机,4口配置10.181.11.X段是控制AP。总部sangforvpn 配置,总部那边提供公网地址,和认证的账号密码。这边就建立好隧道了。隧道建立好后,我们在基本设置里面配置需要访问总部的网段。6.IPSEC VPN配置和SangforVPN设置。主接入地址:61.191.25.91:4009。客户有没有注册云图,云图里面有设备的基本信息按照设备的步奏进行授权。3.应用控制策略配置。4.安全防护策略配置。
sangfor_ngaf_v6.8_策略路由配置.pdf
11-10
sangfor_ngaf_v6.8_策略路由配置.pdf是一份关于Sangfor NGAF下一代防火墙)版本6.8的策略路由配置指南。Sangfor NGAF是一种网络安全设备,用于保护企业内部网络免受各种网络威胁的侵害。 策略路由是指通过配置特定的路由规则,对进出NGAF网络流量进行管理和控制。在这份文档中,详细介绍了如何在NGAF上进行策略路由的配置。 首先,文档介绍了策略路由的基本概念和原理。它解释了策略路由的作用和目的,以及如何通过设置路由规则来控制流量的转发。接下来,文档逐步指导读者通过Sangfor NGAF的图形用户界面进行策略路由的配置。 文档提供了一些常见的策略路由配置示例,例如基于源IP地址、目的IP地址、端口等条件进行流量控制。对于复杂的网络环境,文档还介绍了如何使用策略路由进行路由策略的配置和优化。 此外,文档还包括了一些常见问题的解答和故障排除的方法,以帮助用户解决在策略路由配置过程中可能遇到的问题。 总而言之,sangfor_ngaf_v6.8_策略路由配置.pdf是一份指导用户如何在Sangfor NGAF版本6.8上进行策略路由配置的详细文档。通过阅读和遵循这份文档,用户能够更好地管理和控制他们网络流量的转发,提高网络安全的水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值