《从安装IPSO操作系统到配置VRRP HA.docx》由会员分享,可在线阅读,更多相关《从安装IPSO操作系统到配置VRRP HA.docx(6页珍藏版)》请在三一文库上搜索。
1、从安装IPSO操作系统到配置VRRP HA从安装IPSO操作系统到配置VRRP HA(IP560/IPSO_6.2/CP_R71)安装前准备此时默认个人计算机通过console线连接到IP560上。登录系统使用df -k 命令查看磁盘空间是否够拷贝安装文件,建议不低于200M。查看BIOS版本 # ipsctl hw:bios:version若跨版本升级,如IPSO版本从4.x升级到6.x那么就要升级bootmgr,在升级bootmgr 前要检查BIOS版本。例如IPSO6.2安装在ip690上,IPSO6.2要求IP690的BIOS版本为: 02.06.8025,这时就要进行BIOS升级。然
2、后再进行bootmgr升级。上传fd后缀的升级文件到防火墙,然后在升级文件所在目录执行升级命令/var/emhome/admin/biosprog bios_filename。按提示重启并查看升级后的版本。升级bootmgr版本上传nkipflash-6.2.bin bootmgr文件后执行ipsctl kern:bootmgr:bmdev命令查询bootmgr 安装位置。即下面命令中wd0或wd1。然后执行升级命令:/etc/upgrade_bootmgr wd0 | wd1 /etc/nkipflash-6.2.bin重新启动,然后安装IPSO。VRRP拓扑安装IPSO启动设备后看见Boo
3、t manager loaded提示时按“1”进入boot manager。输入install进行IPSO安装。视网络应用而选择支持的动态路由协议。这里选择n。FTP下载使用用户名密码方式。“2”Client IP是设备接口的IP,FTP Server 地址填写本地计算机IP。由于是直连,网关可填写FTP服务器IP。接口选择连接到计算机的接口。设置接口速率和双工模式。输入FTP账户密码。建议将ipso文件放在FTP服务器根目录,path就直接填写 / 。简单的IPSO文件名方便配置,系统默认为IPSO.tgz。安装方式选择,1是下载FTP服务器所有可用的安装包。2是找到并提示下载FTP服务器可
4、用的安装包。3是不下载安装包。这里要根据你的防火墙的存储类型来选择,因为这款IP560是闪存版。如果将IPSO和CP软件包都下载到防火墙闪存,有可能会造成空间不足。这里推荐使用2选项,而遇到提示下载其他安装包时,都选择不下载。如下两幅图:Bootmgr已经是适用版本不需要升级。若需要升级bootmgr需要到IPSO命令行下。IPSO安装完成后,会要求重启。设备重启后自动进入刚才安装的IPSO系统中。按照提示设置主机名。配置系统时要推荐选择1,通过web界面配置简洁直观。选择计算机与防火墙所连接的接口,配置IP地址、掩码、静态路由、接口规程等。VLAN、SNMP和远程登录都暂时不配置。选择“n”
5、。使用浏览器访问刚才设置的防火墙接口地址。首先配置时区,对于后期配置VRRP或者VPN都很重要。本次设置VRRP,要将两台设备的时间设置成一样,误差控制在几秒内。点击Apply生效。点击Legacy VRRP Configuration。启用Accept Connections to VRRP IPs,不启用Montior Firewall State和HDD State。点击apply生效。设置每一个接口,选择VRRP类型为monitored circuit。设置在Create Virtual Router处填写VRID。两台设备上相同网段的HA接口要在设置为同一个VRID。点击apply生
6、效。心跳接口不配置VRRP。优先级Priority:如果主机优先级的值为150,备机的优先级设置为140。那么下面监控接口处Priority delta值要设置为大于10的数。若设置为20,这样主机故障时,主机的优先级=主机优先级- Priority delta=130。130低于备机的优先级,备机切换到工作状态。Hello interval:这里设置为1。设置两台设备间VRRP探测状态包的时间间隔。VMAC Mode:选择VRRP模式,这样两台设备设置的虚拟IP会使用同一个MAC。New Monitor interface:为所有HA接口添加监控接口,并且设置Priority delta。N
7、ew Backup Address:填写虚拟地址。其他选项保持默认配置不变。点击apply生效,至此,VRRP配置结束,点击save保存配置。安装CP软件在IPSO命令行下安装Checkpoint软件。通过cd /opt/package 命令进入安装目录。使用ftp将Checkpoint安装包下载到防火墙上。在当前目录使用newpkg 命令进行安装,选择1进行全新安装。newpkg -m LOCAL -n IPSO_wrapper_R60.tgz安装目录默认为/opt,安装完成后。重新启动设备。登录后输入cpconfig同意许可证声明,不使用动态IP。注意在提示是否安装Checkpoint c
8、lustering product时,一定选择yes。否则VRRP会不能生效。暂时不添加license。建立admin组。设置sic,用于防火墙与Smartcenter通讯。开始自动进行安装,最后按提示进行重启,这时防火墙Checkpoint软件安装完毕。下面在Smartcenter中添加防火墙对象。Smartcenter调试HA运行Smartdashboard,如下图添加Security Cluster。 使用简单模式配置Cluster名称、IP(防火墙内网接口的虚IP)。选择Cluster模式为IPSO VRRP,然后点击下一步。点击ADD,添加防火墙对象。填写防火墙的主机名、IP、SIC。点击下一步为所有接口设置接口类型。Cluster接口或心跳同步接口。端建立一条允许vrrp协议的策略。最后进行设备优化设置。在全局属性中,如下图进行状态监测设置。双击Cluster对象,在功能优化选项设置最大连接数。根据硬件配置和实际用户数进行优化。