H3C防火墙RBM主备模式+静态路由方案验证
发布网友
发布时间:2024-10-23 22:44
共1个回答
热心网友
时间:2024-11-06 16:13
某银行用户为降低网络单点故障风险,决定对IDC环境进行网络改造。改造前,用户通过两条专线接入,面临潜在风险。改造方案中,引入了H3C防火墙的RBM主备模式和静态路由。
在实施改造时,首先配置了主备防火墙设备之间的互联IP地址和路由,然后配置了RBM功能,包括配置主备角色、数据和控制通道,以及安全策略。配置完成后,进行了详细的HA状态检查,确保主防火墙处于active状态,与备防火墙通过TCP 60064和60066端口进行通信。
验证过程包括监控主防火墙的活动状态,主防火墙已切换至active状态,且配置和会话同步正常。同时,防火墙日志显示了配置同步和批处理同步的完成。当模拟主设备故障,通过关闭互联接口,主备防火墙成功切换,业务流量切换至备防火墙,且在延迟时间内回切到原主设备。此外,监控到的TCP连接和路由状态都验证了主备功能的正常运行。
然而,客户希望在接口故障时防火墙不切换,这在实际测试中遇到了挑战。尝试使用静态路由和monitor-link来控制流量走向,但发现存在流量绕行和可能的业务中断问题。RBM仅与特定接口联动,而非所有出接口。解决这个问题需要找到一种方法,确保在特定接口故障时,只有受影响的流量路径改变,而不会触发主备防火墙的全局切换。
尽管存在上述问题,RBM的配置思路与华为HRP类似,先配置互联、路由、RBM,再配置安全策略。同时,RBM的数据和控制通道特性需要明确,控制通道支持三层环境,而数据通道则需直连。理解这些细节对正确配置和优化RBM至关重要。
