Вопрос: Как настроить режим High Availability (HA) высокой доступности на межсетевых экранах NetDefend Firewalls?

Ответ: 

Эта инструкция указывает, как настроить межсетевые экраны NetDefend в режим High Availability (высокой доступности) для обеспечения отказоустойчивости, данная функция доступна для DFL-1600 и DFL-2500. Исходные данные для данной инструкции:

  • Межсетевой экран A - первичный межсетевой экран ( Master)
  • Межсетевой экран B -вторичный межсетевой экран (Slave)
  • Интерфейс синхронизации подключен на DMZ-порт через a cross-over кабель.
  • Все интерфейсы первичного межсетевого экрана необходимо представить на backup (резервная копия)firewall и присоединены к одним и тем же сетям.
  • Для каждого интерфейса cluster выделяют три IP-адреса: два "реальных" IP-адреса - по одному на каждый межсетевой экран; один "виртуальный" IP-адрес - разделяемый между межсетевыми экранами.

Если в работе первичного межсетевого экрана произойдет сбой, его работу возьмет на себя вторичный межсетевой экран; таким образом, возможно организовать непрерывную работу сети.

  1. Межсетевой экран A - Настройка адресов
    Откройте Objects ->Address book -> InterfaceAddresses:



Внесите следующие изменения:
Переименуйте dmz_ip как Virtual_dmz_ip и измените значение IP address на 172.17.100.254
Переименуйте dmznet как Virtual_dmznet и измените значение IP address на 172.17.100.0/24
Переименуйте lan1_ip как Virtual_lan1_ip и измените значение IP address на 192.168.1.254
Переименуйте lan1net как Virtual_lan1net и измените значение IP address на 192.168.1.0/24
Переименуйте lan2_ip как Virtual_lan2_ip и измените значение IP address на 192.168.2.254
Переименуйте lan2net как Virtual_lan2net и измените значение IP address на 192.168.2.0/24
Переименуйте lan3_ip как Virtual_lan3_ip и измените значение IP address на 192.168.3.254
Переименуйте lan3net как Virtual_lan3net и измените значение IP address на 192.168.3.0/24
Переименуйте wan1_ip как Virtual_wan1_ip и измените значение IP address на 192.168.110.254
Переименуйте wan1net как Virtual_wan1net и измените значение IP address на 192.168.110.0/24
Переименуйте wan1_gw как Virtual_wan1_gw и измените значение IP address на 192.168.110.250
Переименуйте wan2_ip как Virtual_wan2_ip и измените значение IP address на 192.168.120.254
Переименуйте wan2net как Virtual_wan2net и измените значение IP address на 192.168.120.0/24

Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе DMZ:
Name: HA-dmz
Master IP address: 172.17.100.253
Slave IP address: 172.17.100.252

Нажмите Ok.

Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan1:
Name: HA-lan1
Master IP address: 192.168.1.253
Slave IP address: 192.168.1.252


Нажмите Ok.

Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan2:
Name: HA-lan2
Master IP address: 192.168.2.253
Slave IP address: 192.168.2.252


Нажмите Ok.

Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan3:
Name: HA-lan3
Master IP address: 192.168.3.253
Slave IP address: 192.168.3.252


Нажмите Ok.

Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Wan1:
Name: HA-wan1
Master IP address: 192.168.110.253
Slave IP address: 192.168.110.252


Нажмите Ok.

Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе:
Name: HA-wan2
Master IP address: 192.168.120.253
Slave IP address: 192.168.120.252


Нажмите Ok.

  1. Межсетевой экран A - Ethernet интерфейсы
    Откройте Interfaces -> Ethernet:
    Отредактируйте dmz интерфейс.

    Во вкладке General (Общие настройки):

    General:



Оставьте IP Address в положении Virtual_dmz_ip и Network в положении Virtual_dmznet.

Во вкладке Advanced:

High Availability (Высокая доступность):


Выберите в поле Private IP Address значение HA_dmz

Нажмите Ok.

Отредактируйте lan1 интерфейс.

Во вкладке General (Общие настройки):

General (Общие настройки):
Оставьте IP Address в положении Virtual_lan1_ip , и Network в положении Virtual_lan1net.

Во вкладке Advanced :

High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan1

Нажмите Ok.

Отредактируйте lan2 интерфейс.

Во вкладке General (Общие настройки):

General(Общие настройки):
Оставьте IP Address в положении Virtual_lan2_ip, и Network в положении Virtual_lan2net.

Во вкладке Advanced:

High Availability (Высокая доступность): Select Private IP Address as HA_lan2

Нажмите Ok

Отредактируйте lan3 интерфейс.

Во вкладке General (Общие настройки):

General(Общие настройки):
Оставьте IP Address в положении Virtual_lan3_ip, и Network в положении Virtual_lan3net.

Во вкладке Advanced :

High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan3

Нажмите Ok

Отредактируйте wan1 интерфейс.

Во вкладке General (Общие настройки):

General (Общие настройки):
Оставьте IP Address в положении Virtual_wan1_ip, Network в положении Virtual_wan1net и Default Gateway в положении Virtual_wan1_gw.

Во вкладке Advanced :

High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_wan1

Нажмите Ok

Отредактируйте wan2 интерфейс.

Во вкладке General (Общие настройки):

General (Общие настройки): Оставьте IP Address в положении Virtual_wan2_ip, и Network в положении Virtual_wan2net.

Во вкладке Advanced :

High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_wan2

Нажмите Ok

  1. Межсетевой экран A - Подключение конфигурации с высокой доступностью
    В меню System -> High Availability:

    Во вкладке General (Общие настройки):

    General(Общие настройки):

 

Выберите Enable High Availability
Cluster ID: 1
Sync Interface: dmz
Node Type: Master

Сохраните и активизируйте конфигурацию.

  1. Межсетевой экран B - Настройка адресов
    Откройте Objects ->Address book -> InterfaceAddresses:

    Внесите следующие изменения: Переименуйте dmz_ip как Virtual_dmz_ip и измените IP-адрес на 172.17.100.254
    Переименуйте dmznet как Virtual_dmznet и измените IP-адрес на 172.17.100.0/24
    Переименуйте lan1_ip как Virtual_lan1_ip и измените IP-адрес на 192.168.1.254
    Переименуйте lan1net как Virtual_lan1net и измените IP-адрес на 192.168.1.0/24
    Переименуйте lan2_ip как Virtual_lan2_ip и измените IP-адрес на 192.168.2.254
    Переименуйте lan2net как Virtual_lan2net и измените IP-адрес на 192.168.2.0/24
    Переименуйте lan3_ip как Virtual_lan3_ip и измените IP-адрес на 192.168.3.254
    Переименуйте lan3net как Virtual_lan3net и измените IP-адрес на 192.168.3.0/24
    Переименуйте wan1_ip как Virtual_wan1_ip и измените IP-адрес на 192.168.110.254
    Переименуйте wan1net как Virtual_wan1net и измените IP-адрес на 192.168.110.0/24
    Переименуйте wan1_gw как Virtual_wan1_gw и измените IP-адрес на 192.168.110.250
    Переименуйте wan2_ip как Virtual_wan2_ip и измените IP-адрес на 192.168.120.254
    Переименуйте wan2net как Virtual_wan2net и измените IP-адрес на 192.168.120.0/24


    Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе DMZ:
    Name: HA-dmz
    Master IP address: 172.17.100.253
    Slave IP address: 172.17.100.252

    Нажмите Ok.

    Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan1 Name: HA-lan1
    Master IP address: 192.168.1.253
    Slave IP address: 192.168.1.252


    Нажмите Ok.

    Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan2
    Name: HA-lan2
    Master IP address:
    192.168.2.253
    Slave IP address: 192.168.2.252


    Нажмите Ok.

    Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Lan3
    Name: HA-lan3
    Master IP address:
    192.168.3.253
    Slave IP address: 192.168.3.252


    Нажмите Ok.

    Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Wan1
    Name: HA-wan1
    Master IP address:
    192.168.110.253
    Slave IP address: 192.168.110.252


    Нажмите Ok.

    Создайте новый адрес IP4 HA address для двух реальных IP на интерфейсе Wan2
    Name: HA-wan2
    Master IP address:
    192.168.120.253
    Slave IP address: 192.168.120.252


    Нажмите Ok.
  2. Межсетевой экран B - Ethernet интерфейсы
    Откройте Interfaces -> Ethernet:
    Отредактируйте dmz интерфейс.

    Во вкладке General (Общие настройки):

    General(Общие настройки)



Оставьте IP Address в положении Virtual_dmz_ip, и Network в положении Virtual_dmznet.

Во вкладке Advanced :

High Availability (Высокая доступность):


Выберите в поле Private IP Address значение HA_dmz

Нажмите Ok.

Отредактируйте lan1 интерфейс.

Во вкладке General (Общие настройки):

General (Общие настройки):
Оставьте IP Address в положении Virtual_lan1_ip, и Network в положении Virtual_lan1net.

Во вкладке Advanced:

High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan1

Нажмите Ok

Отредактируйте lan2 интерфейс.

Во вкладке General (Общие настройки): General(Общие настройки): Оставьте IP Address в положении Virtual_lan2_ip, и Network в положении Virtual_lan2net.

Во вкладке Advanced:

High Availability (Высокая доступность):
Выберите в поле Private IP Address значение HA_lan2

Нажмите Ok

Отредактируйте lan3 интерфейс.

Во вкладке General (Общие настройки):

General (Общие настройки):
Оставьте IP Address в положении Virtual_lan3_ip, и Network в положении Virtual_lan3net.

Во вкладке Advanced :

High Availability (Высокая доступность): Выберите в поле Private IP Address значение HA_lan3

Нажмите Ok

Отредактируйте wan1 интерфейс.

Во вкладке General (Общие настройки): General (Общие настройки): Оставьте IP Address в положении Virtual_wan1_ip, Network в положении Virtual_wan1net, и Default Gateway в положении Virtual_wan1_gw.

Во вкладке Advanced : High Availability (Высокая доступность): Выберите в поле Private IP Address значение HA_wan1

Нажмите Ok

Отредактируйте wan2 интерфейс.

Во вкладке General (Общие настройки):

General (Общие настройки):
Оставьте IP Address в положении Virtual_wan2_ip , и Network в положении Virtual_wan2net.

Во вкладке Advanced:

High Availability (высокая доступность):
Выберите в поле Private IP Address значение HA_wan2

Нажмите Ok

  1. Межсетевой экран B - подключение конфигурации с высокой доступностью
    В меню System -> High Availability:

    Во вкладке General:

    General:



Выберите Enable High Availability
Cluster ID: 1 Sync Interface: dmz
Node Type: Slave


Сохраните и активизируйте конфигурацию.