Жауап:
Эта инструкция указывает, как настроить межсетевые экраны NetDefend в режим High Availability (высокой доступности) для обеспечения отказоустойчивости, данная функция доступна для DFL-1600 и DFL-2500. Исходные данные для данной инструкции:
- Межсетевой экран A - первичный межсетевой экран ( Master)
- Межсетевой экран B -вторичный межсетевой экран (Slave)
- Интерфейс синхронизации подключен на DMZ-порт через a cross-over кабель.
- Все интерфейсы первичного межсетевого экрана необходимо представить на backup (резервная копия)firewall и присоединены к одним и тем же сетям.
- Для каждого интерфейса cluster выделяют три IP-адреса: два "реальных" IP-адреса - по одному на каждый межсетевой экран; один "виртуальный" IP-адрес - разделяемый между межсетевыми экранами.
Если в работе первичного межсетевого экрана произойдет сбой, его работу возьмет на себя вторичный межсетевой экран; таким образом, возможно организовать непрерывную работу сети.
- Межсетевой экран A - Настройка адресов
Откройте Objects ->Address book -> InterfaceAddresses:
Внесите следующие изменения:
Переименуйте dmz_ip как Virtual_dmz_ip и измените значение IP address на 172.17.100.254
Переименуйте dmznet как Virtual_dmznet и измените значение IP address на 172.17.100.0/24
Переименуйте lan1_ip как Virtual_lan1_ip и измените значение IP address на 192.168.1.254
Переименуйте lan1net как Virtual_lan1net и измените значение IP address на 192.168.1.0/24
Переименуйте lan2_ip как Virtual_lan2_ip и измените значение IP address на 192.168.2.254
Переименуйте lan2net как Virtual_lan2net и измените значение IP address на 192.168.2.0/24
Переименуйте lan3_ip как Virtual_lan3_ip и измените значение IP address на 192.168.3.254
Переименуйте lan3net как Virtual_lan3net и измените значение IP address на 192.168.3.0/24
Переименуйте wan1_ip как Virtual_wan1_ip и измените значение IP address на 192.168.110.254
Переименуйте wan1net как Virtual_wan1net и измените значение IP address на 192.168.110.0/24
Переименуйте wan1_gw как Virtual_wan1_gw и измените значение IP address на 192.168.110.250
Переименуйте wan2_ip как Virtual_wan2_ip и измените значение IP address на 192.168.120.254
Переименуйте wan2net как Virtual_wan2net и измените значение IP address на 192.168.120.0/24
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе DMZ:
Name: HA-dmz
Master IP address: 172.17.100.253
Slave IP address: 172.17.100.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan1:
Name: HA-lan1
Master IP address: 192.168.1.253
Slave IP address: 192.168.1.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan2:
Name: HA-lan2
Master IP address: 192.168.2.253
Slave IP address: 192.168.2.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan3:
Name: HA-lan3
Master IP address: 192.168.3.253
Slave IP address: 192.168.3.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Wan1:
Name: HA-wan1
Master IP address: 192.168.110.253
Slave IP address: 192.168.110.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе:
Name: HA-wan2
Master IP address: 192.168.120.253
Slave IP address: 192.168.120.252
Нажмите Ok.
- Межсетевой экран A - Ethernet интерфейсы
Откройте Interfaces -> Ethernet:
Отредактируйте dmz интерфейс.
Во вкладке General (Общие настройки):
General:
Оставьте IP Address в положении Virtual_dmz_ip и Network в положении Virtual_dmznet.
Во вкладке Advanced:
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_dmz
Нажмите Ok.
Отредактируйте lan1 интерфейс.
Во вкладке General (Общие настройки):
General (Общие настройки):
Оставьте IP Address в положении Virtual_lan1_ip , и Network в положении Virtual_lan1net.
Во вкладке Advanced :
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan1
Нажмите Ok.
Отредактируйте lan2 интерфейс.
Во вкладке General (Общие настройки):
General(Общие настройки):
Оставьте IP Address в положении Virtual_lan2_ip, и Network в положении Virtual_lan2net.
Во вкладке Advanced:
High Availability (Высокая доступность): Select Private IP Address as HA_lan2
Нажмите Ok
Отредактируйте lan3 интерфейс.
Во вкладке General (Общие настройки):
General(Общие настройки):
Оставьте IP Address в положении Virtual_lan3_ip, и Network в положении Virtual_lan3net.
Во вкладке Advanced :
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan3
Нажмите Ok
Отредактируйте wan1 интерфейс.
Во вкладке General (Общие настройки):
General (Общие настройки):
Оставьте IP Address в положении Virtual_wan1_ip, Network в положении Virtual_wan1net и Default Gateway в положении Virtual_wan1_gw.
Во вкладке Advanced :
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_wan1
Нажмите Ok
Отредактируйте wan2 интерфейс.
Во вкладке General (Общие настройки):
General (Общие настройки): Оставьте IP Address в положении Virtual_wan2_ip, и Network в положении Virtual_wan2net.
Во вкладке Advanced :
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_wan2
Нажмите Ok
- Межсетевой экран A - Подключение конфигурации с высокой доступностью
В меню System -> High Availability:
Во вкладке General (Общие настройки):
General(Общие настройки):
Выберите Enable High Availability
Cluster ID: 1
Sync Interface: dmz
Node Type: Master
Сохраните и активизируйте конфигурацию.
- Межсетевой экран B - Настройка адресов
Откройте Objects ->Address book -> InterfaceAddresses:
Внесите следующие изменения: Переименуйте dmz_ip как Virtual_dmz_ip и измените IP-адрес на 172.17.100.254
Переименуйте dmznet как Virtual_dmznet и измените IP-адрес на 172.17.100.0/24
Переименуйте lan1_ip как Virtual_lan1_ip и измените IP-адрес на 192.168.1.254
Переименуйте lan1net как Virtual_lan1net и измените IP-адрес на 192.168.1.0/24
Переименуйте lan2_ip как Virtual_lan2_ip и измените IP-адрес на 192.168.2.254
Переименуйте lan2net как Virtual_lan2net и измените IP-адрес на 192.168.2.0/24
Переименуйте lan3_ip как Virtual_lan3_ip и измените IP-адрес на 192.168.3.254
Переименуйте lan3net как Virtual_lan3net и измените IP-адрес на 192.168.3.0/24
Переименуйте wan1_ip как Virtual_wan1_ip и измените IP-адрес на 192.168.110.254
Переименуйте wan1net как Virtual_wan1net и измените IP-адрес на 192.168.110.0/24
Переименуйте wan1_gw как Virtual_wan1_gw и измените IP-адрес на 192.168.110.250
Переименуйте wan2_ip как Virtual_wan2_ip и измените IP-адрес на 192.168.120.254
Переименуйте wan2net как Virtual_wan2net и измените IP-адрес на 192.168.120.0/24
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе DMZ:
Name: HA-dmz
Master IP address: 172.17.100.253
Slave IP address: 172.17.100.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan1 Name: HA-lan1
Master IP address: 192.168.1.253
Slave IP address: 192.168.1.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan2
Name: HA-lan2
Master IP address: 192.168.2.253
Slave IP address: 192.168.2.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan3
Name: HA-lan3
Master IP address: 192.168.3.253
Slave IP address: 192.168.3.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Wan1
Name: HA-wan1
Master IP address: 192.168.110.253
Slave IP address: 192.168.110.252
Нажмите Ok.
Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Wan2
Name: HA-wan2
Master IP address: 192.168.120.253
Slave IP address: 192.168.120.252
Нажмите Ok.
- Межсетевой экран B - Ethernet интерфейсы
Откройте Interfaces -> Ethernet:
Отредактируйте dmz интерфейс.
Во вкладке General (Общие настройки):
General(Общие настройки)
Оставьте IP Address в положении Virtual_dmz_ip, и Network в положении Virtual_dmznet.
Во вкладке Advanced :
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_dmz
Нажмите Ok.
Отредактируйте lan1 интерфейс.
Во вкладке General (Общие настройки):
General (Общие настройки):
Оставьте IP Address в положении Virtual_lan1_ip, и Network в положении Virtual_lan1net.
Во вкладке Advanced:
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan1
Нажмите Ok
Отредактируйте lan2 интерфейс.
Во вкладке General (Общие настройки): General(Общие настройки): Оставьте IP Address в положении Virtual_lan2_ip, и Network в положении Virtual_lan2net.
Во вкладке Advanced:
High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan2
Нажмите Ok
Отредактируйте lan3 интерфейс.
Во вкладке General (Общие настройки):
General (Общие настройки):
Оставьте IP Address в положении Virtual_lan3_ip, и Network в положении Virtual_lan3net.
Во вкладке Advanced :
High Availability (Высокая доступность): Выберите в поле Private IP Address значение HA_lan3
Нажмите Ok
Отредактируйте wan1 интерфейс.
Во вкладке General (Общие настройки): General (Общие настройки): Оставьте IP Address в положении Virtual_wan1_ip, Network в положении Virtual_wan1net, и Default Gateway в положении Virtual_wan1_gw.
Во вкладке Advanced : High Availability (Высокая доступность): Выберите в поле Private IP Address значение HA_wan1
Нажмите Ok
Отредактируйте wan2 интерфейс.
Во вкладке General (Общие настройки):
General (Общие настройки):
Оставьте IP Address в положении Virtual_wan2_ip , и Network в положении Virtual_wan2net.
Во вкладке Advanced:
High Availability (высокая доступность):
Выберите в поле Private IP Address значение HA_wan2
Нажмите Ok
- Межсетевой экран B - подключение конфигурации с высокой доступностью
В меню System -> High Availability:
Во вкладке General:
General:
Выберите Enable High Availability
Cluster ID: 1 Sync Interface: dmz
Node Type: Slave
Сохраните и активизируйте конфигурацию.