IPSO_6.2_Voyager_VRRP 中文手册

139第4章高可用性解决方案本章将介绍一些解决方案，您可以使用这些解决方案创建高可用的冗余配置，从而确保您的网络流量在遇到防火墙平台故障时能够持续流动。CheckPoint提供了以下高可用性解决方案：●IP集群●外部负载均衡器支持●HAVoyager●VRRP有关IP集群的信息，请参阅ConfigurationGuideforCheckPointIPSO6.2=10294。本章将介绍其余三种高可用性解决方案。本章内容使用外部负载均衡器第141页HAVoyager第143页VRRP概述第154页VRRP工作原理第155页配置网络交换机第158页配置VRRP准备第159页配置VRRP第160页140为VRRP配置CheckPointNGX第177页监控VRRP第181页VRRP排障第183页使用外部负载均衡器第4章高可用性解决方案141使用外部负载均衡器无需使用IP集群或VRRP，只需使用外部负载均衡器就可以均衡流向多个IPSO防火墙的流量。通过配置防火墙来同步彼此之间的流量，您也可以提供高可用性。使用外部负载均衡器的另一个优点就是您不需要对IPSO防火墙使用虚拟IP地址。可以在Configuration-HighAvailability-ExternalLoadBalancerSupport页面启用该特性。如果使用外部负载均衡器，需注意此产品必须能够检测到防火墙故障并调整其均衡决策。还应注意，某些防火墙功能在这一高可用性解决方案中不受支持——参见第142页“不受支持的防火墙特性”，了解更多信息。针对负载均衡器配置防火墙下面详细描述了如何使用CheckPoint的SmartDashboard配置防火墙，从而使其能够与负载均衡器协同工作：●创建一个网关集群。●切勿使用ClusterXL。●在3rdPartyConfiguration选项卡中使用如下设置：●选择HighAvailability。●使用CheckPointVRRPorOtherOPSEC作为3rdPartySolution。●启用状态同步。●继续禁用其他选项。●编辑EditTopology对话框，执行以下操作：●将内部和外部接口定义为私有。●定义一个同步接口，该接口独立于内部和外部接口。注意：务必连接同步接口。●不要定义任何其他接口。针对负载均衡器配置防火墙142不受支持的防火墙特性如果您使用了外部负载均衡器，那么不支持或只部分支持以下防火墙特性。●不支持ConnectControl。●部分支持NAT（不支持非对称连接）。●部分支持VPN（不支持非对称连接）。●不支持对集群接口使用VirtualIP地址。HAVoyager第4章高可用性解决方案143HAVoyagerIPSO6.1引入了一种新方法，可用来创建和管理VRRP配置。VRRP配置主页现在包含了一个用于创建HA配置组的链接。通过在系统中使用HAVoyager，使用该选项允许您以集中化方式配置和管理VRRP组中的所有成员。（在使用HAVoyager配置VRRP时，将创建一个简化的Monitored-Circuit配置）。在创建HA配置组时，Voyager将在导航树中显示一个新选项卡（标签为HAVoyager）。单击该选项卡将显示许多相同的链接，这些链接出现在导航树的System选项卡下。在使用HAVoyager导航树访问配置页时，所做的任何修改都将在所有组成员中生效。这简化了配置工作并帮助您同步组成员的配置。要使用HAVoyager简单地配置和管理VRRP组，遵循以下这种基本方法：1.如有必要，配置防火墙以允许您使用HAVoyager。参阅“针对HAVoyager配置防火墙”，获得更多信息。2.在其中一个CheckPoint平台上创建一个HA配置。3.使用HAVoyager向HA配置添加成员。注意：在向组添加成员时，将对该成员启用HAVoyager。4.对HA配置组的所有成员使用HAVoyager配置简化的Monitored-CircuitVRRP。5.在对组成员做出配置修改时，在任何合适的情形下使用HAVoyager，这样就可以对所有成员实施改变。注意：可以对任何组成员使用HAVoyager。不管登录到哪一个成员，在单击Apply后，这些更改将在所有其他成员生效，单击Save后，更改将被保存到所有成员中。第149页的“HAVoyager配置示例”给出了一个分步示例，演示了如何使用HAVoyager设置一个HA配置组并针对该组配置VRRP。针对HAVoyager配置防火墙144针对HAVoyager配置防火墙在运行CheckPoint的平台上使用HAVoyager时，必须执行如下步骤：1.使用CheckPoint的SmartDashboard，创建一条允IPSO_Clustering_Mgmt_Protocol服务的规则。2.通过这条规则将策略安装到您将启用HAVoyager的平台上。如果没有按照这种方式配置防火墙，那么就无法使用HAVoyager。创建HA配置要创建HA配置，执行以下步骤：1.在导航树中，单击SystemConfigurationHighAvailabilityVRRP。2.在VRRPConfiguration页面中，单击HAVRRPConfiguration链接。3.填入以下字段：●HAGroupSecret：输入一个密码，该密码将用于加密VRRP组成员之间的消息。●SelectLocalAddress：为接口选择一个IP地址，将用于HA配置消息：CheckPoint建议您使用内部接口的IP地址。注意：这个地址不必拥有一个相关的VRRP备份（虚拟）地址。也就是说，不需要用一个接口地址来转发业务流量。该地址将只用于组成员之间的HA配置消息。4.单击Apply。Voyager在导航树中显示了一个HAVoyager选项卡。单击该选项卡，添加HA组成员并同步配置组中的所有成员。添加和配置HA成员第4章高可用性解决方案145添加和配置HA成员要向HA配置组添加成员，单击导航树中的HAVoyagerHighAvailabilityMembers。IPSO显示了HAConfiguration页面，其中包含用于输入新成员信息的字段。在此页面中输入必要的信息并单击Apply，您就可以添加一个新成员。如果添加了新成员，那么HAConfigurationCloning页面上列出的所有特性的设置都将被复制给新成员。要检验或配置将克隆哪些设置或禁用克隆，在输入新成员的信息之前，滚动到HAConfiguration页面的底部并单击HAConfigurationCloning。有关该选项的更多信息，请参阅“使用ConfigurationCloning”。使用ConfigurationCloning您可能希望使用同样的方式配置组成员的某些设置。例如，您可能希望每个成员对DNS、时间和Voyagerweb访问使用相同的静态路由和设置。HAVoyager使您能够轻松地实现这样的配置，方法就是使用ConfigurationCloning（配置克隆）选项。要使用克隆功能，执行下面的步骤：1.在平台A上创建一个HA配置。2.在平台A上使用HAVoyager，向下滚动到HAConfiguration页面的底部并单击HAConfigurationCloning。Voyager将显示HAConfigurationCloning页面，其中包含可以克隆配置的特性的列表。3.检查克隆功能是否启用（此为默认设置）。4.如果需要的话，删除那些不需要克隆的特性。否则，保持所有特性为选中状态（默认设置）。5.单击Apply。在向HA配置组添加成员时，将对新成员实现（克隆）适当的配置设置。添加和配置HA成员146如果组成员在启用克隆期间重启，它将从重启后连接到的第一个组成员中克隆设置。由于所有成员都应拥有相同的克隆特性的设置，因此重启后的成员可以从任何成员那里克隆设置。注意：如果在使用HAVoyager时某个组成员出现故障，并且您在此之后立即尝试显示一个新页面，那么在显示新页面之前会出现一个较短的延迟。添加HA成员确保克隆得到正确配置之后，您就可以开始向HA配置组添加新成员了。1.单击导航树中的HAVoyagerHighAvailabilityMembers。2.填入以下字段：●MemberAddress：输入一个IP地址，HAVoyager将在这个系统上使用该地址。记住，该地址被用于成员之间的HA配置消息。为了简便起见，CheckPoint建议将该地址设置为位于您为第一个成员输入的地址所在的相同LAN中，并且应使用内部接口。●AdminPassword：为将要添加到组的系统输入管理密码。●HASecret：输入您为第一个成员设置的密码。3.单击AddNewMember。成员将被添加到组中，并且将对该成员启用HAVoyager。4.单击Save，保存您的更改。配置HA成员记住，您使用HAVoyager所做的任何更改都将被安装到所有HA配置组成员中。一旦创建了HA配置组，应当尽可能使用HAVoyager来做出任何配置更改，这样相应的设置将在所有成员中保持一致。使用HAVoyager配置VRRP第4章高可用性解决方案147如果使用“普通的”Voyager（使用导航树中的System选项卡）对HA组成员做出配置更改，那么这些更改将只对您所登录到的成员生效。如果对已被选中进行克隆的特性执行这个操作，那么您使用普通Voyager做出的更改将在成员重启时发生变化。下面给出了这类场景的一个例子。1.在平台A上创建一个HA配置组且启用配置克隆功能，并且所有可克隆的特性均被选中。（这是默认设置。）2.使用HAVoyager将平台A上的会话超时设置为120分钟。3.将成员B添加到HA配置组中。平台B上的会话超时被设置为120分钟，因为VoyagerWebAccess设置默认情况下是可克隆的。4.在平台B上，使用普通Voyager将会话超时设置为60分钟。平台A不会受此更改的影响，因为您在平台B上使用的是普通Voyager。5.您将重启平台B。重启后，平台B上的会话超时被设置为120分，因为它在重启后从平台A中克隆了设置。使用HAVoyager配置VRRP可以使用HAVoyager在HA配置组的所有成员中轻松配置VRRP。这是昀简单的一种VRRP配置方法，并且使您能够确保所有成员中都使用了相同的全局VRRP选项。在使用HAVoyager配置VRRP时，可以创建一个‘Simplifiedmonitored-circuit’配置，并且‘Simplifiedmonitored-circuit’的所有需求都适用。例如，在创建VRRP备份（虚拟）地址之前，必须确保每个成员的地址都使用与备份地址相同的网络地址。例如，以下是一个有效的组合：●成员A地址：10.1.1.1●成员B地址：10.1.1.2●VRRP备份地址：10.1.1.3重启HAConfigurationGroup148要获得有关配置‘Simplifiedmonitored-circuit’VRRP的完整信息，请参阅第163页的“理解Monitored-CircuitVRRP”和第170页的“使用简化方法配置Monitored-CircuitVRRP”。要使用HAVoyager配置VRRP，执行下面的步骤：1.在HA配置组的任何成员中，单击导航树中的HAVoyagerHighAvailabilityVRRP。Voyager将显示VRRP（HA）Configuration页面。2.恰当地配置全局设置。3.为您将创建的VRRP虚拟路由器输入一个有效的标识符。4.选择将要加入VRRP的HA配置成员并为每个成员指定一个惟一的VRRP优先级值。5.单击Apply。Voyager将为虚拟路由器标识符（VRID）显示一个链接，并列出参与的成员的IP地址。6.单击VRID链接。7.像