下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","透明主主部署")}}

透明主主部署

更新时间:2023-11-14

透明主主部署是两台AF做网桥部署在网络中,均处于工作状态,根据流量转发到不同AF的情况,来进行数据处理,通过心跳口同步配置及会话(网桥模式包括透明模式和虚拟网线模式)。

透明主主模式配置案例

某企业内部网络是路由器和核心交换机做链路聚合,现购买了两台AF虚拟网线模式部署进网络中,两台AF需要做网桥主主部署,经过两台AF的流量会存在来回流量路径不一致的问题,需要开启双机聚合功能,具体拓扑如下图所示。

前提条件

  1. 组建双机条件:软件版本、内存、网口和授权一致。
  1. AF设备业务口(内网口、外网口)、控制链路口、数据链路口以及IP地址规划好。
  2. 主控已配置好透明部署模式以及相关安全策略。
  3. 先配置主控信息,再配置备控。

配置步骤

步骤1.主控配置控制链路口。在[网络/接口/物理接口]选择eth1口配置IP地址, 本案例中设置为11.1.1.1/24。如下图所示。

步骤2.主控配置数据链路口。在[网络/接口/物理接口]选择eth4口配置IP地址, 本案例中设置为12.1.1.1/24,并在[高级设置]中开启巨帧,如下图所示。

步骤3.主控配置接口联动。在[网络/接口/接口联动]页面中启用接口LINK状态联动,并点击<新增>,选择接口eth2和接口eth3。如下图所示。

步骤4.主控启用双机热备。进入[系统/高可用性/双机热备]页面,点击<配置>勾选启用,选择主主负载模式,控制链路选择eth1,设置对端IP11.1.1.2,数据链路选择eth4,设置对端IP12.1.1.2,并勾选启用透明模式,如下图所示。

步骤5.主控配置双机聚合。在[双机聚合]选项点击<设置>弹出页面中启用双机聚合,内网区域设置新增选择接口eth3,外网区域设置新增选择接口eth2,如下图所示。(双机聚合开启条件满足后需先保存,才可设置)

步骤6.主控设置为主控角色。在[系统/高可用性/配置同步]页面中配合同步角色点<设置>,选择主控角色。如下图所示。

 

步骤7.点击<确定>完成主控配置。

步骤8.备控配置控制链路口。在[网络/接口/物理接口]选择eth1口配置IP地址, 本案例中设置为11.1.1.2/24。如下图所示。

步骤9.备控配置数据链路口。在[网络/接口/物理接口]选择eth4口配置IP地址, 本案例中设置为12.1.1.2/24,并在[高级设置]中开启巨帧,如下图所示。

步骤10.备控启用双机热备。进入[系统/高可用性/双机热备]页面,点击<配置>勾选启用,选择主主负载模式,控制链路选择eth1,设置对端IP11.1.1.1,数据链路选择eth4,设置对端IP12.1.1.1,并勾选启用透明模式,如下图所示。

步骤11.备控设置为备控角色。在[系统/高可用性/配置同步]页面中配合同步角色点<设置>,选择备控角色。如下图所示。剩余配置会由主控同步过来,不需进行配置。

1.在流量来回路径不一致场景下,使用AF做透明双主部署,需要开启双机聚合功能,如果AF1AF2上下行学到的下一跳IPMAC不相同(也就是上下游是不同的路由口),那么除了开启双机聚合功能外,还需要开启HA Traffic功能;

2.上下游设备做链路聚合,建议是用LACP进行聚合,聚合口转发算法要改为源目IP(默认是源目mac),否则有概率出现所有流量都是非对称的场景,影响AF转发性能。

3.双机聚合情况下需在对应的数据链路口开启巨帧,因为报文从一台AF设备通过控制链路发送到另一台AF设备时,需要在原来报文的基础上继续封装二三四层头以及HA头和Zmode信息,可能大于MTU值从而引起报文分片重组,影响性能,开启对应接口处巨帧功能后,就不存在报文分片重组的情况。