USG6600系列防火墙双机热备使用限制和注意事项

发布时间:  2015-09-27 浏览次数:  381 下载次数:  0
问题描述

USG6600系列防火墙双机热备使用限制和注意事项有哪些?

解决方案
一、硬件限制
1.目前只支持两台设备进行双机热备;
2.主备设备的产品型号和版本必须相同;
3.主备设备接口卡的位置、类型和数目都必须相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题;
4.如果使用二层接口作为心跳口,需要将二层接口加入VLAN,创建Vlanif并配置Vlanif的IP地址。然后使用Vlanif接口作为心跳口,并配置remote参数来指定对端设备心跳口的IP地址。
二、软件限制
1.主备设备的软件版本必须一致。否则,不同版本的软件的某些配置命令或会话表结构可能不同,从而导致主备设备在备份配置命令和状态时产生错误。
2.主备设备的Bootrom版本必须一致。
3.建议主备设备的配置文件均为初始文件。否则,可能由于两台设备的配置冲突导致主备切换后出现问题。
4.主备设备需要选择相同的业务接口和心跳口。例如主用设备选择GigabitEthernet1/0/1作为业务接口,选择GigabitEthernet1/0/7作为心跳口,那么备用设备也需要这样选择。
5.主备设备的对应接口必须加入到相同的安全区域。如主用设备的GigabitEthernet1/0/1接口加入了Trust区域,那么备用设备的GigabitEthernet1/0/1接口也必须加入Trust区域。
6.配置了vrrp virtual-mac enable命令的接口不能用作心跳口。
7.心跳口的MTU值必须是缺省值1500。
8.主备设备业务接口的IP地址必须固定,因此双机热备特性不能与PPPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。
双机热备成功建立后,如果希望使用Web界面更改“运行模式”(从“主备备份”切换成“负载分担”,或者从“负载分担”切换成“主备备份”),则必须先清空所有双机热备的配置。
9.使用engine overload action命令设置引擎过载时的处理动作时,如果选择block即丢弃报文保证安全优先时,主备切换后,已连接业务如FTP连接会受到影响需要重新连接;如果选择bypass即转发报文保证业务优先,则不需要重新连接。但代理类业务如ssl代理、邮件代理等无论选择block或bypass,在主备切换后均会受到影响,需要重新连接。
三、与NAT结合使用的限制
1.双机热备与NAT结合使用时,主备设备的上下行业务接口必须为三层接口。
2.双机热备的负载分担场景下,当两台NGFW上都需要配置NAT地址池时,为避免出现NAT地址池的端口冲突问题,需要在一台NGFW上配置hrp nat ports-segment primary命令,另外一台NGFW上配置hrp nat ports-segment secondary命令。
3.在负载分担方式的双机热备组网中,配置地址池方式的源NAT策略时,如果只配置一个NAT地址池且不允许端口转换,两台NGFW可能会将不同主机发来的流量的源IP地址转换成同一个IP地址,导致冲突。
  此时,建议您创建两个NAT地址池,针对不同源IP的流量使用不同的地址池进行NAT转换。例如,双机热备的两台设备为NGFW_A和NGFW_B,NGFW_A和NGFW_B分别处理10.1.1.1~10.1.1.128和10.1.1.129~10.1.1.254网段主机的流量。配置不允许端口转换的地址池方式源NAT时,需要创建两个NAT地址池addressgroup1和addressgroup2,并配置两条源NAT策略,将10.1.1.1~10.1.1.128网段主机发来流量的源地址转换为addressgroup1中的地址、将10.1.1.129~10.1.1.254网段主机发来流量的源地址转换为addressgroup2中的地址。
四、与IPSec结合使用的限制
1.双机热备与IPSec结合使用时,主备设备的建立隧道的业务接口必须为三层接口。
2.双机热备与IPSec结合使用时,双机热备和IPSec的配置与单独使用时没有区别。
3.主用设备配置的IPSec策略会备份到备用设备上,但是由于接口上的配置不会备份到备用设备,因此需要在备用设备的出接口上应用备份过来的IPSec策略。
4.如果设备作为IPSec隧道发起方,则必须要执行命令local-address ip-address,设置本端发起协商的地址为VRRP备份组的虚拟IP地址。

END