登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath 工控防火墙 典型配置举例-5W100

目录

01-HA双机主备

本章节下载 01-HA双机主备  (442.18 KB)

01-HA双机主备

  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置注意事项

3.3 使用版本

3.4 配置步骤

3.4.1 配置Switch A

3.4.2 配置Switch B

3.4.3 配置工控防火墙

3.5 验证配置

 

1 简介

本文档介绍了H3C 工控防火墙 F3000 VRRP双机主备方式组网配置举例。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VRRP、NQA和Monitor Link等特性。

3 配置举例

3.1  组网需求

图3-1所示,两台工控防火墙设备,工控防火墙(A)和工控防火墙(B)上下行链路通过VRRP方式实现主备,Switch A为上行接入交换机,Switch B为下行接入交换机。正常情况下,工控防火墙(A)处理业务,当工控防火墙(A)故障或上下行链路出现故障时,工控防火墙(B)接替处理业务。工控防火墙(A)恢复正常后继续处理业务,工控防火墙(B)转为备份状态。

图3-1 双机VRRP配置组网图

3.2  配置注意事项

·              主用和备用工控防火墙必须是同一型号,运行同一固件版本。

·              主用和备用网关上所用的HA接口(心跳口)必须一样。例如:一个网关设置GE0/3端口为HA接口,另一个网关必须也采用GE0/3端口。而且HA接口必须采用路由模式且分配有静态IP地址,HA接口的对端地址必须位于同一子网上

·              主从系统必须要采取相同的连接方式。例如:如果主系统采用GE0/2和GE0/3接口连接网络、采用HA接口连接HA从设备,则从设备必须在同样方式进行连接(GE0/2和GE0/3连接网络,采用HA接口连接HA主系统)。

3.3  使用版本

本举例是在工控防火墙的Version 3.1,ESS 6601版本上进行配置和验证的。

3.4  配置步骤

3.4.1  配置Switch A

(1)      创建VLAN 10,并将接口GE1/0/2、GE1/0/3 VLAN10中

(2)      设置VLAN 10的IP为153.0.1.1/24

(3)      设置G1/0/1的IP为183.1.0.1/24

3.4.2  配置Switch B

创建VLAN 10,并将接口GE1/0/1、GE1/0/2、GE1/0/3 VLAN10中

3.4.3  配置工控防火墙

1. 依照拓扑配置工控防火墙的接口IP

2. 建立HA集群

在防火墙A和防火墙B上分别进行HA设置,需要配置相同的集群IP地址、组ID、相同的心跳间隔,主设备的优先级高于从设备,并互相设置HA接口。

图3-2 开启HA

两台防火墙依照上图配置完成后,启用HA后,可查看到HA优先级为254的防火墙已自动成为Master,而另一台则成为Backup。

3. 采用监控接口权重值作为HA故障切换触发器。

图3-3 设置监控接口

·              在“启用”一栏选择监控接口,则系统将监控接口工作是否正常。

·              在“加权系数”处设定该接口的权重值,以控制HA故障切换事件发生的时间,避免过早的故障切换事件。设置范围为1-32。

在主设备通告的VRRP报文中包含监控接口的工作状况及其权重值。备用设备会计算其处于UP状态的监控接口的权重值之和,并和主设备的相应计算结果进行比较。如果备用系统高于主系统,则备用系统认为主系统已发生故障,将自动切换到Master状态。

·              注意:

·              在主和备用系统上接口权重值可分开配置,二者的权重值无需同步。

·              为有效使用接口权重值来作为故障切换触发器,您在主系统上分配的权重值必须比备用系统要高。

4. 勾选“启用设备故障切换临界值”

默认情况下,主设备每次拔掉监控接口的网线时,都认为接口是Down掉了,都有可能会触发设备的主从状态切换。勾选“启用设备故障切换临界值”选项后,可以允许设备在每分钟内拔插网线超过一定的次数,而设备的主从状态不进行切换。该选项可防止HA主系统所有权来回转换太多次。如下图所示。

图3-4 设备故障切换临界值

5. 采用监控主机作为HA故障切换触发器

图3-5 监控主机权重

·              设置“跟踪超时”

设备向监控主机发送ping包来监控和主机的连接是否畅通,如果在此处设定的时间内未接收到回应的报文,则认为该主机不可达。

只有连续3次向跟踪主机发送ping包均不可达,才认为此链路不通。

·              设置“设备切换频率临界值”

主设备会计算其出现故障的链路的权重值之和,并和此处设置的“设备切换频率临界值”进行比较。只有当断开的探测链路的权值之和不低于该处设定的值时,VRRP才认为主设备的链路出现故障,由从设备来接替主设备的工作

·              在“跟踪主机IP地址”处输入链路上关键部位的主机IP地址,设备向监控主机发送ping包来监控链路是否畅通。

·              在“加权系数”处为监控主机设定不同的加权系数,表明链路的权重值。

6. 启用“抢占模式”。

如果在主备用系统中,客户要求仅当主设备出现故障时切换到备用设备,只要主设备工作回复正常,该主设备将主动通过抢占重新作为主系统。则需要启用“抢占模式”。

图3-6 先占模式

在设置抢占的同时,还可以设置“延迟时间”。这样可以使得从设备延迟一段时间切换成为Master。其目的是这样的,在性能不够稳定的网络中,Backup可能因为网络堵塞而无法正常收到Master的报文,配置了抢占延迟时间后,可以避免因网络的短暂故障而导致的备份组内路由器的状态频繁转换。

延迟的时间以秒计算,可设置范围为0~600。设置为“0”值时主设备将在成功重启和恢复后立即抢回“主系统”状态。

3.5  验证配置

·              工控防火墙(A)设备本身和链路状态都正常时,工控防火墙(A)是主墙,Client经过工控防火墙(A)访问Server正常。

·              断开工控防火墙(A)的接口G0/1时,流量切换到工控防火墙(B),Client经过工控防火墙(B)访问Server正常。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>