SANGFOR_NGAF_V5.8_2015年度渠道高级认证培训05_高可用性_经典案例1

1、SANGFOR NGAF双机部署路由模式-单VRRP部署方案学习目的 掌握NGAF路由模式下单组VRRP场景的部署 掌握此部署方式的实施过程及注意事项 掌握此部署方式的优缺点分析能够给客户提供更优方案原始环境描述：客户原有防火墙做主备路由模式部署在企业网络出口正常情况下数据从经由图中左侧【三层交换A】【防火墙A】路径上网当左侧链路出现故障时能够及时切换到右侧链路从【三层交换B】【防火墙B】上网防火墙A防火墙B三层交换A三层交换B单vrrp主/备单vrrp主/备1 12 21 12 21 11 12 22 2原始环境介绍Internet切换过程正常情况下数据从经由图中左侧【三层交换A】【防火墙A

2、】路径上网当防火墙和交换机之间的链路出现故障导致【防火墙A】的【2】或者【三层交换A】的【1】口接口状态为down时防火墙和三层交换均切换到右侧链路切换后数据流经由图中右侧【三层交换B】【防火墙B】路径上网防火墙A防火墙B三层交换A三层交换B单vrrp主/备单vrrp主/备1 12 21 12 21 11 12 22 2原始环境切换过程Internet故障切换故障切换数据流方向最终拓扑需要替换原防火墙位置，实现原有防火墙功能最终双机切换条件需和替换前一致，即当左侧链路出现故障时能够及时切换到右侧链路从【三层交换B】【防火墙B】上网防火墙A防火墙B三层交换A三层交换B单vrrp主/备单vrrp主

3、/备1 12 21 12 21 11 12 22 2部署方案分析Internet防火墙A防火墙B三层交换A三层交换B单vrrp主/备单vrrp主/备1 12 21 12 21 11 12 22 2部署方案切换过程Internet切换过程和原始环境一致故障切换故障切换数据流方向防火墙A防火墙B三层交换A三层交换B单vrrp主/备单vrrp主/备1 12 21 12 21 11 12 22 2部署方案和原始环境对比Internet实现原有防火墙路由部署及相关安全防护功能实现原有的双机功能（切换条件不变） 故障切换故障切换数据流方向防火墙A（主）防火墙B（备）三层交换A（主）三层交换B（备）单vrr

4、p主/备单vrrp主/备1 12 21 12 21 11 12 22 2部署方案准备InternetWAN：183.37.240.41LAN：10.10.10.1心跳主：2.2.2.1心跳备：2.2.2.23SW：10.10.10.23SW：10.10.10.2LAN：10.10.10.1WAN：183.37.240.41部署方案配置概要主防火墙A配置思路概要备防火墙B配置思路概要配置基础网络配置，心跳口使用-HA，配置接口链路检测仅配置心跳口使用-HA配置NAT、路由、安全策略等上线后同步主防火墙A配置配置双机（基本信息、双机热备、配置同步） 基本配置：选择本端地址，填写对端地址，测试通信

5、双机热备：虚拟路由组100，优先级50，非抢占，网口监视接口【1】【2】 配置同步（启用并勾选会话表、配置同步）配置双机（基本信息、双机热备、配置同步） 基本配置：选择本端地址，填写对端地址，测试通信 双机热备：虚拟路由组100，优先级40，非抢占，网口监视接口【1】【2】 配置同步（启用但不勾选同步内容）断电、上架、接线先开机断电、上架、接线待主机完全开机后开机检查双机状态检查双机状态，是否配置同步部署方案配置过程配置前需确认：主备机网口数量一致 主备机序列号保持一致 主备机/app/appversion文件的md5一致1. 配置主防火墙接口配置 ：【网络配置】-【接口/区域】-【物理接口】

6、 心跳口IP地址后加-HA部署方案配置过程2. 配置主防火墙默认路由：【网络配置】-【路由】-【静态路由】 新增 默认路由、回包路由等3. 配置主防火墙地址转换（略） 4.配置主防火墙应用控制、安全策略等（略） 部署方案配置过程5. 配置主防火墙双机配置： 【系统】-【高可用性】【基本信息】选择本机地址（心跳口2.2.2.1），填写对端地址 2.2.2.2，点击【保存】【双机热备】启用双机热备，配置如右图【配置同步】启用配置同步，配置如下图 部署方案配置过程配置备机1. 配置备机防火墙接口配置 ：【网络配置】-【接口/区域】-【物理接口】 备机仅配置心跳口，其他接口配置后续上架从 主设备同步

7、心跳口IP地址后加-HA部署方案配置过程2. 配置备机防火墙双机配置： 【系统】-【高可用性】【基本信息】选择本机地址（心跳口2.2.2.2），填写对端地址 2.2.2.1，点击【保存】【双机热备】启用双机热备，配置如右图【配置同步】启用配置同步，但不勾选同步 内容，如下图 部署方案上架过程配置完成后，上架前告知客户上架会造成业务中断，得到客户允许后上架1. 主防火墙上架、加电、接线、测试网络通信是否正常、策略配置是否合理2. 备防火墙上架、加电、接线3. 主防火墙【系统】-【高可用性】-【基本信息】中测试心跳与对端通信是否正常4. 主防火墙【系统】-【高可用性】-【配置同步】中【手动同步配置

8、】来向备机同步配置5. 登录备防火墙webui检查配置是否已经完全同步部署方案上架过程上架完成后验证双机功能，初始化环境测试双机是否有效1. 主防火墙【系统】-【高可用性】-【双机热备】检查设备“状态”是否为主 备防火墙【系统】-【高可用性】-【双机热备】检查设备“状态”是否为备2. 如果非上述状态，可以在主防火墙【系统】-【高可用性】-【双机热备】开启抢占，待主防火墙“状态”是为主后关闭抢占，完成初始化环境3. 确保内网上网数据流从主防火墙设备通过4. 拔掉主防火墙内网口eth2和三层交换机上联口的网线5. 观察状态原主防火墙状态：【主】【故障】 观察状态原备防火墙状态：【备】【主】6. 确

9、认数据流从原备防火墙通过，业务正常7. 恢复初始化环境，上架结束部署方案总结1.方案对比 原始双机方案和替换后双机方案对比：实现功能相同，双机切换条件一致部署方案总结2.更优推荐 推荐原因： 上述环境中会出现如下两种情况导致双机切换失败：防火墙上联口【1】故障导致防火墙切换而三层交换不切换三层交换机下联口【2】故障导致三层交换机切换而防火墙未切换防火墙A防火墙B三层交换A三层交换B单vrrp主/备单vrrp主/备1 12 21 12 21 11 12 22 2Internet部署方案总结方案建议： 交换机开启track（cisco）、NQA（H3C）功能结合我们防火墙的【接口链路监控】功能实现在如图场景下双机切换： 防火墙对内、外网的链路监控来防止三层交换机切换而防火墙未切换 三层交换对外网的链路监控来防止防火墙切换而交换机未切换难度因素：此功能需要客户懂交换机双机配置并同意按此要求更改防火墙A防火墙B三层交换A三层交换B单vrrp主/备单vrrp主/备1 12 21 12 21 11 12 22 2Internet部署方案总结3. 注意事项【系统】-【高可用性】-【双机热备】中的“网口监视”功能不支持聚合口 心跳通信故障会导致两台防火墙均为主状态，公网IP冲突导致客户断网 【系统】-【高可用性】-【配置同步】中备机配置如无需向主机同步则需启用配置同步但不要勾