防火墙HA
0. 前言
HA(High Available),高可用性集群,是保证业务连续性的有效解决方案,一般有两个或两个以上的节点,且分为活动节点及备用节点。通常把正在执行业务的称为活动节点,而作为活动节点的一个备份的则称为备用节点。当活动节点出现问题,导致正在运行的业务(任务)不能正常运行时,备用节点此时就会侦测到,并立即接续活动节点来执行业务。从而实现业务的不中断或短暂中断。
只有两个节点的高可用集群又称为双机热备,即使用两台服务器互相备份。当一台服务器出现故障时,可由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续对外提供服务。双机热备只是高可用集群的一种,高可用集群系统更可以支持两个以上的节点,提供比双机热备更多、更高级的功能, 更能满足用户不断出现的需求变化。
通过配置两个防火墙实现有两个出口,一个作为主出口,另一个作为备份,若主损坏了,可以走备份出口。
HA的主要作用:实现两个防火墙互为备份,实现总出口的高可用性。
高可用性集群配置的三个要点:
- CARP用于IP地址冗余
- XMLRPC用于配置同步
- pfsync用于状态表同步
通过配置,两个节点充当“主动/被动”集群,一个节点用作主节点,另一个辅助节点用作备份角色,如果主节点出现故障,辅助节点则根据需要接管。
1. 准备
两台pfsense防火墙,一台作为主,另一台作为备份;
一台win XP作为内网PC;
一台win server2003作为外网PC。
2. 配置
2.1 两台防火墙接口配置
主(192.168.64.130):
备份(192.168.64.131):
2.2 防火墙规则设置
两台主机通信的同步接口HA的防火墙规则如下(只用配置主防火墙):
2.3 HA同步配置
2.3.1 主pfsense
2.3.2 次pfsense
2.4 CARP设置
2.4.1 主pfsense
LAN和WAN接口虚拟IP
2.4.2 次pfsense
LAN和WAN接口虚拟IP
2.4.3 查看CARP状态
2.5 手动出站NAT配置
在外网PCwin2003没有配置默认网关时(模拟真实网络),要想内网访问外网,需要配置NAT出站。
这里只要主pfsense配置就可以了,因为我们一开始就配置了HA同步,所以次pfsense就不需要配置了(如果在后面实验无法成功,次pfsense可以把NAT配置一下,我是不需要的)
共享的CARP虚拟IP地址作为转发地址(映射地址)
2.6 两台PC IP配置
1 | win XP(内网PC): |
1 | win server2003(外网): |
2.7 验证结果
主次pfsense都开启,但是默认情况下在主pfsense没有出现故障时,数据只从主pfsense的接口走,当主pfsense出现故障时,才从次pfsense走。
内网PC winXP ping通外网PC win server2003,中途把主pfsense关闭;
实验结果如下:
2.8 参考
访问: