标签归档:双机

深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF,名称分别为A、B、C、D,A和B做成HA,C和D做成HA,都是路由模式,网口1都是带外管理口,并且都加入到了监视网口,双机热备配置的虚拟ID组都是默认的100,A、B两台带外管理口地址是192.168.1.1/24,C、D两台带外管理口地址是192.168.1.2/24。

做好配置后,发现192.168.1.1/24和192.168.1.2/24无法同时管理,当可以打开192.168.1.1控制台时,192.168.1.2则打不开,并且两个IP也无法同时ping通,当192.168.1.1可以ping通时,192.168.1.2则ping不通,当192.168.1.2可以ping通时,则192.168.1.1ping不通,在同网段设备上查看arp,发现192.168.1.1和192.168.1.2的MAC地址是一样的。

经确认,深信服防火墙AF做双机时,网卡的虚拟MAC是根据虚拟ID组和网口编号计算得出的,所以这个环境中,虚拟ID组都是100,网卡编号都是eth1口,它们的虚拟MAC就是一样的。

这种情况的处理办法非常简单,一是修改其中一个的虚拟ID组即可,还有一种办法是将A、B或者C、D的带外管理口不要加到网口监视中,并且每台带外管理口配置成-HA的不同的地址即可。

针对这个问题,建议厂家可以将虚拟MAC的计算方式复杂一点,比较加个随机数或者加个网关编号、硬盘ID等等,使得每个虚拟MAC都不相同。

有的环境下,尤其一个项目中,防火墙设备数量较多的情况下,建议修改默认的虚拟ID组,并且不同的HA设备采用的心跳口都设置成不同的网段,比如A、B用5.5.5.0/24段,C、D用6.6.6.0/24段,来避免一些问题。

深信服AC路由模式主备配置说明

深信服AC12.0.7版本后,AC路由模式主备配置的时候DMZ不会同步,也就是主备两台AC可以分别由各自的DMZ口来同时管理。

主备配置步骤如下:
1、主机配置部署模式,WAN口、LAN口、DMZ口,如果需要通过DMZ口管理设备,建议DMZ口配置3个,保留默认的一个eth1口(10.252.252.252/24),还有一个管理口,以及心跳口。

如下图,eth2口心跳口:

2、主机高可用处,配置主机优先级为主,主HA口及对端IP,共享密钥,检测网口组,一般将LAN口配成一组,所有的WAN口配成一组,即LAN口断开会主备机切换,所有WAN口断开也会切换。

主机检测方式也可以不配置,此处配置的是arp和icmp都检测1个WAN口的网关

3、备机部署模式,WAN口、LAN口和主机一样,只有DMZ口不同,也是3个DMZ口,但是管理口地址不同,心跳口地址不同,还有剩下的不接线的eth1口地址也是10.252.252.252

4、备机高可用配置,基本配置也是主HA口、对端IP、共享密钥、检测网口组,备机的检测方式arp、icmp不配置,备机的切换行为、高级配置和主机一样。

深信服防火墙网桥模式HA配置说明

对于两台深信服防火墙,如果配置网桥模式,一般拓扑是口字型,此时可以配置为主主,即两台都在使用,网桥地址可以加-HA,即都可以同时管理,双机热备处不要配置,基本信息及配置同步正常配置。

如果配置成主备模式,即备机静默不发包,备机上下联设备看不到备机的arp信息,此时基本信息、双机热备、配置同步都要正常。

山石防火墙HA配置说明

使用高可靠性功能,用户需要按照以下步骤进行配置:

  1. 配置HA组的接口。
  2. 配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。
    对于X系列其他平台,仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口,其他模块卡接口不支持该功能。
  3. 配置HA簇。为设备指定HA簇ID,并且开启设备的HA功能。
  4. 配置HA组。HA组的配置包括指定设备优先级(选举使用)以及设备HA报文相关参数等。

配置HA功能,必须配置HA数据连接接口;且HA组0和组1接口不能配置为HA数据连接接口,只能配置为HA控制连接接口。

配置HA,请按照以下步骤进行操作:

1、选择“系统 > HA”,进入HA配置页面。

null

说明
HA控制连接接口1
指定HA控制连接接口的名称。控制连接同步两台设备间的所有数据。
HA控制连接接口2
指定HA控制连接接口的名称(备份设备)。
HA辅助链路接口
指定HA辅助链路接口的名称。在Active-Passive(A/P)模式中,为了避免当HA连接发生故障时HA设备的主备状态出现异常,用户可以指定HA辅助链路接口,通过配置的HA辅助链路接收和发送心跳报文(Hello报文),以确保HA设备维持正常的主备状态。
说明
在HA连接恢复正常之前,HA辅助链路只能接收和发送心跳报文,不能同步数据报文信息,因此建议用户不要修改当前设备配置信息,在HA连接恢复后,进行手动同步会话信息。
HA辅助链路接口必须使用除HA连接接口以外的接口,并且已绑定到安全域。
HA主备设备需将相同的接口指定为HA辅助链路接口,并确保两端设备的该接口属于同一个VLAN。
HA数据连接接口
指定HA数据连接接口的名称。数据连接仅同步数据报文信息,如会话信息。指定后,会话信息将通过HA数据连接接口同步完成。目前仅支持将物理接口和集聚接口配置为数据连接的接口。用户最多可以指定1个HA数据连接接口。
IP地址
指定HA连接接口的IP地址及网络掩码。
HA簇ID
指定HA簇ID。取值范围为1~8。当选择HA簇ID为无时表示关闭设备的HA功能。
节点ID
开启HA功能后,用户需为设备指定节点ID(HA Node),两台设备需指定不同的节点ID。范围是0到1。如不指定该参数,设备将通过自动协商获取节点ID。
Peer-mode
勾选启用复选框开启 HA Peer模式,并标识该设备在HA簇中的角色。范围是0到1。默认情况下,HA 节点ID为0的设备上的组0为主动状态,节点ID为1的设备上的组0为禁用状态。
对称路由
若指定该参数,设备将工作在对称路由模式下。
HA同步配置
在某些特殊情况下,可能出现主备配置信息不同步现象。此时,需要用户手动同步主备设备的配置信息。点击“HA同步配置”按钮,完成配置信息同步。
HA同步会话
默认情况下,HA设备之间会自动同步会话信息。同步会话会产生一定流量,在高负载情况下可能会对设备性能造成影响。用户可以根据设备负载情况使用HA会话自动同步功能,以确保设备的稳定性。点击“HA同步会话”按钮,启用HA会话自动同步功能。
新建
默认情况下,指定HA簇ID后,系统自动创建组0。点击“新建”按钮, 可创建组1并对其进行配置。
删除
若已创建HA组1,用户可点击“删除”按钮将组1配置删除。
优先级
指定当前设备在HA组中的优先级。优先级高(数字小)的会被选举为主设备。
抢占时间
指定当前设备是否开启抢占模式以及抢占延迟时间。如果将设备配置为抢占模式,一旦设备发现自己的优先级高于主设备,就会将自己升级为主设备,而原先的主设备将变为备份设备。如果输入0,则表示不开启抢占模式;即使设备的优先级高于主设备,它也只能在主设备故障时代替主设备工作。
Hello报文间隔
输入HA设备向HA组中的其它设备发送Hello报文的时间间隔。同一个HA组的设备的Hello报文间隔时间必须相同。
Hello报文警戒值
输入HA组对应的Hello报文的警戒值,即如果设备没有收到对方设备的该命令指定个数的Hello报文,就判断对方无心跳。
免费ARP包个数
指定当前设备选举为主设备后,发送ARP请求包的个数。当备份设备升级为主设备时,新主设备需要向网络中发送ARP请求包,通知相关网络设备更新其ARP表。
监测对象
指定已配置的监测对象的名称。系统利用监测对象监控设备的工作状态。一旦发现设备不能正常工作,立即采取相应措施。
描述
指定该HA组的描述信息。

2、点击“发送”按钮,完成配置。