Sonicwall防火墙HA配置_G4_Enhanced

Sonicwall防火墙HA配置_G4_Enhanced
Sonicwall防火墙的HA配置
配置手册
版本1.0.0
Question/T opic
UTM: 如何设置Sonicwall防火墙的双机热备
Answer/Article
本文适用于：
涉及到的Sonicwall防火墙
Gen5: NSA E7500, NSA E6500, NSA E5500, NSA 5000, NSA 4500, NSA 3500, NSA 2400, NSA 240
TZ系列:TZ 210, TZ 210 Wireless
Gen4: PRO系列: PRO 5060, PRO 4100, PRO 4060,PRO 3060, PRO 2040
固件/软件版本: 所有Gen5和Gen4固件增强版版本
服务: High Availability
功能与应用
SonicWALL HA是Active/Passive方式的HA，设备实现双机热备，当主设备故障，备用设备自动接管，保证网络受到的影响最小化。

配置界面相当简单，所有配置只需要在主设备上配置，备用设备会自动同步主设备的配置。

配置主设备时，不要打开备用设备电源，待主设备配置完毕之后，连接好物理线路，打开备用设备电源，备用设备自动与主设备同步全部的配置信息。

注意：备用设备要和主设备采用同样的操作系统版本号。

如果备用设备启用UTM的功能，那么备用设备要提前注册，拿到全部的UTM的授权。

主设备的UTM License不会同步到备用设备。

步骤
1．进入主设备的管理界面，默认的LAN口IP地址是http://192.168.168.168，用户名是admin, 密码password
2．进入Network->Interfaces界面，配置X1口（WAN），X0口（LAN）的IP地址。

这里X1口是WAN口，IP 地址218.247.156.9，这个地址将成为HA发生切换之后WAN 口的虚拟地址，从WAN外部通过218.247.156.9能访问到当前工作的设备，即如果主设备宕机，那么通
过这个地址访问到的是备用设备。

X0口IP地址用默认的192.168.168.168这个地址将成为HA发生切换之后LAN口的虚拟地址，从LAN内部通
过192.168.168.168能访问到当前工作的设备，即如果主设备宕机，那么通过这个地址访问到的是备用设备
3．进入Hardware Failover->Setting界面，选中Enable Hardware Failover激活HA配置，点右上角的Apply按钮使HA生效。

如果希望主设备恢复后立刻切换回到主设备工作，那么选中Enable Preempt Mode，点右上角的Apply按钮使之生效
4．进入Hardware Failover->Monitoring界面，点X0口的配置按钮
5．在Interface X0 Monitoring Settings界面的Primary IP Address，Backup IP Address分别填写主/备设备的管理IP地址。

通
过192.168.168.169访问到的永远是主设备，通过192.168.168.170访问到的永远是备用设备。

即使因为主设备故障发生了切换也是如此（如果主设备故障时间还可以被访问的话）。

Probe IP Address是探测地址，通常设置成与防火墙相连的三层交换的端口地址，探测此条路径是否正常。

这个探测结果也可以触发HA切换。

如主设备到与防火墙相连的三层交换的端口探测失败，而备用设备的探测成功，那么将发生主备切换。

6．在Interface X1 Monitoring Settings界面的Primary IP Address, Backup IP Address分别填写主/备设备的管理IP地址。

通过218.247.156.10访问到的永远是主设备，通过218.247.156.11访问到的永远是备用设备。

即使因为主设备故障发生了切换也是如此（如果主设备故障时间还可以被访问的话）。

Probe IP Address是探测地址，通常设置成防火墙上游路由器的IP地址，探测此条路径是否正常。

这个探测结果也可以触发HA切换。

如主设备到上游路由器的IP地址探测失败，而备用设备的探测成功，那么将发生主备切换。

：目前的HA操作不是全状态切换。

发生HA切换时，TCP连接要重新建立。

现有的注意：
注意
TCP连接，如FTP将会断开。

IPSec VPN隧道也要重新建立，IPSec数据传输会短暂的中断，带新的VPN隧道协商完成后继续。

对于要求严格的环境，如银行要求的防火墙和VPN的全状态切换，发生切换时防火墙TCP 连接，VPN隧道都不中断，目前的版本还不支持。