24
2019
12

神州数码防火墙DCFW-1800-N302简单双机热备实现(原创)

使用设备为神州数码防火墙DCFW-1800-N302,其他神州数码防火墙大同小异。

大概拓扑图:

ha.PNG

连接到路由器的口没有标记可以随机插

实物拓扑图:

IMG_20191224_110508.jpg

双机热备技术产生的原因:

传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证。


双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。

简单的说就是当主防火墙坏掉后,备防火墙接替主工作。

神州数码防火墙FW1800双机热备配置实现命令。

命令行界面下操作

注意:两台防火墙名称(这里我们使用默认名字DCFW-1800)必须一样,监控端口必须统一,心跳线端口可以不统一,根据题意随机应变。防火墙名字根据题意决定。

主防火墙配置命令:

DCFW-1800(config)# ha group 0  创建ha组,数字可变0和1,根据题意决定是1还是0。主备号必须一样

DCFW-1800(config-ha-group)# priority 10 配置优先级 数字越小,优先级越高。

DCFW-1800(config-ha-group)# preempt 10  配置抢占时间,每十秒抢占一次。(抢占指的是当主交换机宕掉后,备续用,然后主修复后多长时间进行切换尝试。)

DCFW-1800(config-ha-group)# exit

DCFW-1800(config)# track wan 设置监控组组名wan(组名可变,但必须根据题意来,主备名字必须相同。)

DCFW-1800(config-trackip)# interface ethernet0/1 将防火墙一号口放到监控组wan里,作为被监控口

DCFW-1800(config-trackip)# exit

DCFW-1800(config)# ha group 0

DCFW-1800(config-ha-group)# monitor track wan 将此监控组放到ha组,进行监控。

DCFW-1800(config-ha-group)# exit

DCFW-1800(config)# ha link interface ethernet0/8  

DCFW-1800(config)# ha link ip 1.1.1.1/30       设置心跳线口与心跳线口ip,这两条命令执行后再重复执行一次

DCFW-1800(config)# ha cluster 1 将ha组的簇ID设置为1

设置成功后将弹出以下信息

2019-11-13 12:03:43, Event CRIT@FLOW: The local device  2509652164008856  in the

 Virtual Security Device group 0 changed state from Standalone to Init.

DCFW-1800(config)#

DCFW-1800(I)(config)# 2019-11-13 12:03:44, Event CRIT@FLOW: The local device  25

09652164008856  in the Virtual Security Device group 0 changed state from Init t

o Hello.

DCFW-1800(I)(config)# 2019-11-13 12:03:47, Event CRIT@FLOW: The local device  25

09652164008856  in the Virtual Security Device group 0 changed state from Hello

to Master.

2019-11-13 12:03:48, Event CRIT@FLOW: All devices in HA group 0 are running in f

ault, please check the network connection and hardware state immediately.


DCFW-1800(M)(config)#

DCFW-1800(M)(config)# exit 然后我们退出到特权模式下,进行保存

DCFW-1800(M)# save 保存

Save configuration, are you sure? [y]/n: y  确认

Backup start configuration file, are you sure? y/[n]: y


Building configuration..

Saving configuration is finished

DCFW-1800(M)# yy2019-11-13 12:04:03, Event CRIT@MGMT: admin save system configur

ation via Console.

现在主已经配置完成,变为M



备防火墙配置命令:

备防火墙与主命令大致相同

只需要将优先级数字变大,数字变为200

IP必须在同一网段,IP:1.1.1.2/30(注心跳线口地址必须为广播地址)

其余命令与主全部一样。


当备防火墙名字后字母变为B则证明配置成功

拔掉主的监控组口的网线,主防火墙HA的灯变红,备防火墙HA的灯变为绿。

插回主监控组口的网线,主防火墙HA的灯变回绿色,备防火墙HA的灯变为橙。(注意灯的颜色不是立即变,稍等片刻。如果一直不变,重启设备尝试。)

以上配置操作完成后进入主防火墙输入以下命令,进行配置同步。

DCFW-1800(M)(config)#exec ha sync configuration

                                           岐山县职业技术教育中心网络搭建(网络安全)工作室组长/Mr科技整理,Ps:笔者(任组长)就在这个工作室,本文章为笔者原创。本站对此文章拥有一切权利。

                                           转载本文章请注明出处,并附上原文链接。


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。