目录
- 1 实验要求及网络拓扑图
- 2 实验演示过程—构建高可用性HA
- 2.1 搭建网络结构
- 2.2 防火墙配置
- 2.3 验证
- 3 总结
- 参考文章
给防火墙做备份,也称为防火墙的HA,实现公司总出口的高可用性。
1 实验要求及网络拓扑图
(1)本实验采用以下网络拓扑图。
(2)其中各主机的网络设备所扮演的角色及作用如下:
真实机:不参与实验,只是为了远程管理防火墙,通过打开网页对防火墙进行管理。
winxp:作为公司内网主机,可以访问隔离区和外网区服务器。
win2003:一台,一台为外网区的PC。
防火墙:本实验采用天融信的防火墙topgate,两台防火墙,topgate1为活跃,topgate2为备份。
(3)本实验主要内容为搭配高可用性HA防火墙,inside区域员工可以正常上网,当活跃防火墙出故障后,仍不影响员工上网。注意,给给防火墙做备份与之前的路由器及核心交换机配置热备份有些区别。两个防火墙的接口配置除了心跳线的IP地址不一致外,其余均一致。热备份路由协议原理及路由器及核心交换机热备份实验演示看具体内容详见《HSRP-热备份路由协议原理及实验演示—基于Cisco Packet Tracer》和《核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer》。当其中一个防火墙为活跃防火墙时,另一个防火墙与PC的接口会逻辑down掉,而心跳线两端接口都是开启的。
(4)心跳线:完成两个防火墙之间的沟通:判断对方是否死机、同步数据(分为静态同步和动态同步)、完成热备份VRRP。一般采用光纤。
(5)VRRP:一个活跃/一个备份模式、两个均活跃模式。
2 实验演示过程—构建高可用性HA
在配置防火墙的HA时,防火墙先不要做其他配置,首先让两个防火墙建立主备关系,一旦主备关系建立,活跃防火墙上的配置可以通过心跳线同步到备份防火墙上。若活跃防火墙上的配置为手工配置的(如策略、IP),则需要工程师可以手动将活跃防火墙上的配置同步到备份防火墙上;若活跃防火墙上的配置是动态生成的(如PAT以及状态检测表中的会话状态),则两防火墙之间可以动态同步数据。
2.1 搭建网络结构
(1)按上述拓扑图搭建网络结构,将各PC桥接至各自VMnet中,并配置IP及网关(win2003-outside不指网关)。虚拟机的IP配置详细参考《 IP地址详解及其相关概念》
(2)将两台防火墙桥接到VMnet并开启。设备上有5块网卡,分别对应接口eth0~4,本次实验需要用到前三块,分别桥接到VMnet1至VMnet3上。
(3)将真实机的VMnet1启用并配置IP(真实机不用配置网关)→用真实机ping防火墙IP,能ping通。
2.2 防火墙配置
由于有两台防火墙,当真实机浏览器输入https://192.168.1.254:8080/打开防火墙管理页面时,不知道是打开的哪个防火墙的。这时可以将其中一台防火墙的网线拔掉(在现实中console线插的哪个防火墙就是配置哪个防火墙)。
(1)为topgate1防火墙配置心跳线接口IP。因为需要首先让两个防火墙建立主备关系,那么得先为topgate1防火墙把心跳线接口IP配好,首先将topgate2的网线拔掉(即将网卡1关闭),然后真实机浏览器输入https://192.168.1.254:8080/,先为topgate1防火墙设置心跳线IP地址。注意,两个防火墙的配置除了心跳线的IP地址不一致外,其余均一致,因此心跳线需要勾选非同步地址,而其他接口均不勾选。
(2)为topgate1防火墙配置热备份(此处为高可用性配置)。高可用性→设置本机及对端IP、设置跟踪接口→启用。启用后,工作状态会更新为“工作”
(3)为topgate2防火墙配置心跳线接口IP以及配置热备份(此处为高可用性配置)。关闭原防火墙配置网页→拔掉topgate1的网线(即将网卡1关闭)→将topgate2的网卡1重新连接→打开topgate2防火墙配置网页→设置心跳线IP地址→设置高可用性如下并启用,可以看到该防火墙为活跃防火墙(因为第一台防火墙现在有端口断开中)。
(4)为topgate1防火墙创建区域、配置其他接口IP路由、写策略、做DNAT等基础配置。关闭原防火墙配置网页→将topgate1的网卡1重新连接→用真实机打开防火墙配置网页→登录后是活跃防火墙对应网页(可以从心跳线IP地址判断是哪一台)→创建区域、配置其他接口IP、写策略、做DNAT等基础配置。创建区域时,可以考虑将心跳线接口划分为独立于内网区、外网区、隔离区之外的心跳区,不需要为该区域配置策略。创建区域、配置其他接口IP、写策略、做DNAT等基础配置具体可参考《天融信Topgate防火墙基础配置案例》。
(5)将活跃防火墙的配置同步到备份防火墙。同步成功会有提示。
2.3 验证
让winXP一直ping外网区的主机,ping -t 100.1.1.1,断开topgate1防火墙的任意一个接口,看能否一直ping通。在断开的一瞬间会丢点包,之后及时切换至备份防火墙后恢复正常工作。重新刷新防火墙的网页配置,重新登陆后自动更新为topgate2的页面。
tips:
1)当内网布置两个核心交换机、两个防火墙,两核心交换机与两防火墙两两相连的8个接口均设置为二层接口,可以大大降低网络配置难度且容易查错。
3 总结
(1)加深理解防火墙的工作原理和过程。
(2)理解动态路由热备份工作原理,并与HA的工作原理进行比较。
(3)掌握防火墙高可用性的配置方法。
参考文章
[1] 《防火墙部署实验(IP、策略、NAT、HA)——基于topgate防火墙的网页部署方法》 [2] 视频传送门