系统篇(7.0) ❀ 04. 怎样配置HA?
Posted meigang2012
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了系统篇(7.0) ❀ 04. 怎样配置HA?相关的知识,希望对你有一定的参考价值。
我们在机柜的最上方安装了一台思科的交换机和思科路由器,用来集中管理所有的设备,在我们配置HA的时候,就会发现它们的功能和作用了。
前面我已经将思科路由器的接口配置了IP地址10.10.10.10,可以通过Telnet这个地址,再登录到其它设备的控制口。
然后我们又把交换机的1~12口分配给了VLAN 10,所有设备的管理口都接入VLAN 10,路由器和电脑也接入,电脑的IP地址设置为10.10.10.100,就可以访问路由器的FE0/0口了。
两台防火墙的CONSOLE口分别接入思科路由器的八爪鱼线,MGMT管理口分别接入思科交换机的VLAN 10。这样所有的物理连接就准备好了。
电脑网卡IP地址设置为10.10.10.100,启用SecureCRT,点击前面已经建好的Telnet 10.10.10.10的会话链接。
① 显示出菜单,输入c2,登录第一台FortiGate 500E防火墙。
② 再次按回车,出现FortiGate 500E的登录提示,输入默认管理员帐号admin,如果防火墙是初始配置,那么密码不用输入,直接按回车,因为默认密码为空。防火墙强制要求设置新的密码,输入两次一样的新密码,登录成功。
③ 输入config system interface配置系统接口命令,再输入edit mgmt编辑管理接口,用show命令可以查看MGMT接口当前的配置。我们可以看到MGMT接口默认IP是192.168.1.99,由于我们已经把MGMT接口接入到思科交换机的VLAN 10中,因此这里用命令set ip 10.10.10.20 255.255.255.0修改MGMT接口的IP地址,以方便统一管理。最后用end命令保存退出。
④ 第一台防火墙初步配置完成,要返回到思科路由器,按Ctrl+Shift+6键,也就是Ctrl+^,返回思科路由器提示,输入rc2回车,清除这条线路。再输入c3登录第二台防火墙。
⑤ 第二台防火墙的登录情况与第一台一样,两台防火墙的密码设置为相同。
⑥ 将第二台防火墙的MGMT接口IP设置为10.10.10.21,第一台是10.10.10.20,这样可以用两个IP分别登录两台防火墙。
⑦ 按Ctrl+Shift+6键,也就是Ctrl+^,返回思科路由器提示,输入rc3回车,清除这条线路。这样命令阶段的配置就完成了。
打开火狐或谷歌浏览器,由于电脑网卡和防火墙的MGMT口目前都是接入在思科交换机的VLAN 10,而且都是在同一网段,因此直接用http://10.10.10.20,访问第一台FortiGate 500E防火墙,初次访问会显示不是私密连接,点击【高级】。
① 点击【继续前往10.10.10.20 (不安全)】,浏览器会从防火墙下载一个证书文件,下次登录的时候就不会出现这个提示了。
② 出现身份验证界面,输入帐号admin和在命令行下新建的密码,点击【Login】。
③ 提示建议完成上面的系列设置,这里点击【Later】,下次再说。
④ 显示Fortios 7.0的新功能,这里启用【Don't show again】,不再显示,点击【OK】。
⑤ 首次登录所有的内容都是英文显示,初始状态界面会显示设备的固件版本号,这里需要注意的是,如果要做HA,必须两台设备的型号相同,固件版本也要是一样的。
⑥ 选择菜单【System】-【Settings】,需要修改主机名称,两台防火墙的主机名称不要相同,这样可以区分当前防火墙是哪一台。将时区修改为北京时间,这对以后生成的日志很有作用。将空闲退出时间从5分钟调整为30分钟,这在初始设置的时候很有必要,因为时间一过就会退出登录。最后是将语言设置为简体中文,点击【应用】。
⑦ 刷新页面后就显示成中文了。在配置HA之前还需要做一个动作,就是关闭MGMT接口的DHCP服务,致于为什么,后面会有介绍。选择菜单【网络】-【接口】,选择接口mgmt,点击【编辑】。
⑧ 默认情况下mgmt接口的DHCP服务器是开启里,启击关闭,点击【应用】退出。
⑨ 可以开始配置HA了,选择菜单【系统管理】-【高可靠性】,模式下拉选择【主动-被动】,这个模式下,一台防火墙工作,一台防火墙不工作,但是会同步所有的配置。
⑩ 设备优先级默认为128,数字越大越优先,如果这台防火墙要作为主机,那么这个数字就要比另一台防火墙大。输入组名称和密码,都是自定义的,两台互为主备的防火墙,组名称和密码都要完全相同。监控接口是用来判断如果被监控的接口出现故障,就启动主备切换,由于目前还没有配置其它接口,所以现在这里暂时不选择,等确认了要监控哪些接口,再回头设置。心跳接口是用来同步两台防火墙数据的,FortiGate 500E上有专门的HA接口,有的型号没有专门HA口,也可以用其它接口来作为心跳接口。最后启用【保留管理接口】,选择mgmt接口,这样mgmt接口就不会同步,两个接口可以设置不同的IP地址,用来分别登录主备防火墙,而之所以前面要关闭MGMT接口的DHCP服务,也是因为这里在选择接口时,如果接口用启用DHCP,是不会在下拉菜单中显示出来的。点击【应用】。
配置完成HA后,会显示当前设备的HA状态。由于现在只配置了一台设备的HA,所以只有一栏信息。
① 当配置完HA后,防火墙面板上的HA亮红灯。
② 访问10.10.10.21,登录第二台FortiGate 500E防火墙。
③ 第二台防火墙的主机名称设置为 OldMei-500E-2,第一台主机名为 OldMei-500E-1,这样登录后,就知道登录哪一台防火墙了。
④ 同样需要先修改MGMT接口配置。
⑤ 这里显示的是默认的启用DHCP服务器状态,点击关闭。
⑥ HA的模式也是选择【主动-被动】。
⑦ 高可用性界面的配置和第一台是一样的,唯一的不同就是这台设备作为备机,设备优先级数字设置小一些。不用考虑是设100还是80,只要比第一台的128小就可以了。
用网线将两台设备的HA接直连。
① 在备机上,查看HA状态,立即可以看到主机信息,备机的状态为【不同步】,不过这个不用担心。
② 回到主机上,我们可以看到不同步的信息不见了,这个只要耐心的等几分钟就可以了。
③ 两台防火墙的HA都亮了绿灯,说明HA工作正常。
为了证明两台设备能同步配置,我们对主机做一个小小的改动。编辑port7接口。
① 给port7接口设置接口名称,配置IP地址,启用访问协议及DHCP服务。
② 可以看到port7信息已经更改,注意左上角,这是在OldMei-500E-1,主机上面。
③ 登录第二台防火墙,也就是OldMei-500E-2,我们看到port7的信息也是被更改了,这就说明HA起效果了,同步了两台防火墙的配置。由于两台防火墙的信息相同,当主机出现故障时,备机就可以即时顶替上去,保证了网络不断开。
以上是关于系统篇(7.0) ❀ 04. 怎样配置HA?的主要内容,如果未能解决你的问题,请参考以下文章
系统篇(7.0) ❀ 07. 怎样在HA下配置核心交换机(下)?
系统篇(7.0) ❀ 07. 怎样在HA下配置核心交换机(下)?
系统篇(7.0) ❀ 05. 怎样在HA下配置SD-WAN?
升级篇(7.0) ❀ 04. 怎样才能将固件手动升级到7.0版本?