High_Availability
高可用性 (HA) 支持配置两个运行 SonicOS 的相同防火墙来提供可靠、连续的公共互联网连接。本章提供概念信息并介绍如何在 SonicOS 中配置高可用性 (HA)。本章包含以下主要章节:
• 高可用性概述
• 状态监控同步概述
以下章节概述 SonicWALL 的 HA 实现:
• 状态监控同步概述
– 活动/备用和 Active/Active DPI HA 前提条件
– 物理连接设备
– 授权高可用性功能
HA 支持配置两个运行 SonicOS 的相同防火墙来提供可靠、连续的公共互联网连接。一个防火墙配置为主要设备,另一个相同的防火墙配置为备用设备。如果主要防火墙失效,备用防火墙将接管以确保受保护网络与互联网之间的连接安全可靠。以这种方式配置的两台设备也称为高可用对(HA 对)。
当一个防火墙用作另一个防火墙的高可用性系统时,这两个防火墙可以通过 HA 共享可证。要使用该功能,必须在 mySonicWALL 上将设备注册为相关产品。这两个设备必须是相同型号的 SonicWALL。
活动/备用 HA 具有以下优点:
• 更高的网络可用性 – 在高可用性配置中,当主要设备失效时,备用设备会承担其所有网络责任,确保受保护网络与互联网之间的连接可靠。
• 高性价比 - 对于通过使用冗余防火墙来提供高可用性的开发方案,高可用性是一种高性价比方案。对于高可用性对中的备用设备,无须再购买一套许可证。
• 虚拟 MAC 缩短故障切换后的融合时间 – 利用虚拟 MAC 地址设置,HA 对可以共享同一 MAC 地址,从而大幅缩短故障切换后的融合时间。融合时间是指网络中的设备根据高可用性引起的变化调整路由表所需的时间。默认情况下,虚拟 MAC 地址由 SonicWALL 固件提供,不同于主要或备用设备的物理 MAC 地址。
HA 要求一个 SonicWALL 设备配置为主要 SonicWALL,另一个相同的 SonicWALL 设备配置为备用 SonicWALL。正常工作期间,主要 SonicWALL 处于活动状态,备用 SonicWALL 处于备用状态。如果主要设备失去连接,备用设备将切换到活动模式,并担负起主要设备的配置和角色,包括已配置接口的 IP 地址。故障切换到备用设备之后,原有的所有网络连接必须重新建立,VPN 隧道也必须重新协商。
故障切换适用于主要 SonicWALL 的功能或网络层连接丧失的情形。关键服务受影响,受监控接口上检测到物理(或逻辑)链路故障,或者主要 SonicWALL 断电时,就会切换到备用 SonicWALL。主要和备用 SonicWALL 设备目前仅能执行“活动/备用高可用性”或“Active/Active UTM”,尚不支持完整的“Active/Active 高可用性”。
所有配置设置都有两类同步:增量和完整。如果时间戳同步且活动设备有变更,备用设备将发生增量同步。如果时间戳不同步且备用设备可用,备用设备将发生完整同步。增量同步失败时,将自动尝试完整同步。
HA 有四种工作模式。
• 活动/备用
• Active/Active DPI
• Active/Active 集群
• Active/Active DPI 集群
HA 工作模式可以从高可用性 > 设置页面的常规选项卡中的下拉菜单中选择:
活动/备用 — 在该状态监控 HA 模式下,活动设备与备用设备的动态状态持续同步。活动设备遇到故障时,就会发生状态监控故障切换,备用防火墙成为活动防火墙,现有网络连接无中断。
Active/Active DPI —Active/Active 深层数据包检查 (DPI) 模式可以与活动/备用模式一同使用。Active/Active DPI 模式启用时,处理器密集型 DPI 服务,例如入侵保护 (IPS)、网关防病毒 (GAV) 和防间谍软件等在备用防火墙上处理;与此同时,其他服务则在活动防火墙上处理,例如防火墙、 NAT 和其他类型的流量等。
Active/Active 集群 — 在该模式下,多个防火墙归为一组,称为集群节点,多个活动设备负责处理流量(用作多个网关)、执行 DPI 和分担网络负载。每个集群节点包括两台设备,用作一个状态监控 HA 对。除了负载分担以外,Active/Active 集群还支持状态监控故障切换。每个集群节点也可以只包括一台设备,这种情况下,状态监控故障切换和 Active/Active DPI 不可用。
Active/Active DPI 集群 — 该模式支持配置最多 4 个 HA 集群节点用于故障切换和负载分担,这些节点对网络流量的 DPI 安全服务进行负载均衡。启动这种模式时,各集群节点中的备用设备可得到利用,从而获得更好的性能。
• 主要设备 - 指首要硬件设备本身。主要标识符是人为指定,不随条件而变化。正常工作条件下,主要硬件设备工作在活动模式。
• 备用设备 - 指从属硬件设备本身。备用标识符是一个相对称谓,与主要设备配对的设备就是备用设备。正常工作条件下,备用硬件设备工作在备用模式。主要设备失效时,备用设备进入活动模式。
• 活动 - 指硬件设备有效工作的状态。活动标识符是一个逻辑角色,主要或备用硬件设备均可充当这一角色。
• 备用 - 指硬件设备被动待命的状态。备用标识符是一个逻辑角色,主要或备用硬件设备均可充当这一角色。活动设备确定失效时,备用设备就会充当活动角色。
• 故障切换 - 指活动设备达到失效标准时,备用设备充当活动角色的实际过程。是否失效由“任务列表”章节所述的各种可配置物理和逻辑监控设施来判断。
• 抢占 - 适用于故障切换后的状态:主要设备已经失效,备用设备已充当活动角色。抢占启用时,主要设备如果已恢复到经过验证的工作状态,就会从备用设备手中夺取活动角色。
宕机检测
对于主要和备用防火墙,HA 特性均有细致的自诊断机制。关键服务受影响,受监控接口上检测到物理(或逻辑)链路故障,或者 SonicWALL 断电时,就会切换到备用 SonicWALL。
自检机制由软件诊断程序管理,用于检查 SonicWALL 设备的全系统完整性。诊断程序检查内部系统状态、系统进程状态和网络连接。两侧均有衡量机制,用于判断哪一侧的连接性能更好,避免潜在的故障切换循环。
NAT、VPN 和 DHCP 等关键内部系统进程会被实时检查。故障服务会被尽早隔离,由故障切换机制自动修复。
虚拟 MAC 地址支持高可用性对共享同一 MAC 地址,从而大幅缩短故障切换后的融合时间。融合时间是指网络中的设备根据高可用性引起的变化调整路由表所需的时间。
如果不启用虚拟 MAC,活动和备用设备各有自己的 MAC 地址。这些设备使用同一 IP 地址,当故障切换发生时,所有客户端和网络资源的 ARP 缓存中的 IP 地址与 MAC 地址之间的映射关系就会被打破。备用设备必须发送 ARP 请求,宣布新的 MAC 地址/IP 地址对。在该 ARP 请求传播到整个网络之前,以主要设备的 MAC 地址为目标的流量可能丢失。
虚拟 MAC 地址大大简化了这一过程,因为主要和备用设备使用同一 MAC 地址。发生故障切换时,主要设备的所有来往路由对备用设备仍然有效。所有客户端和远程站点继续使用同一虚拟 MAC 地址和 IP 地址,无需中断。
默认情况下,虚拟 MAC 地址由 SonicWALL 固件提供,不同于主要或备用设备的物理 MAC 地址。这样可消除配置错误的可能性,确保虚拟 MAC 地址的唯一性,防止可能的冲突。或者,您也可以在高可用性 > 监控页面上手动配置虚拟 MAC 地址。
即使状态监控高可用性未经许可,虚拟 MAC 设置也是可用的。启用虚拟 MAC 后,即便状态监控同步未启用,它也始终有效。
本节介绍状态监控同步功能。状态监控同步可显著改善故障切换性能。主要设备和备用设备持续同步,当主要设备失效时,备用设备可无缝地承担起所有网络责任,现有网络连接不会中断。
本节包含以下子节:
状态监控同步具有以下优点:
• 更高的可靠性 - 通过同步大部分关键网络连接信息,状态监控同步可防止设备故障引起停机和连接丢失。
• 更快速的故障切换性能 - 通过维护主要设备和备用设备之间的持续同步,状态监控同步支持备用设备在故障情况下接管,几乎没有停机时间或网络连接丢失。
• 对 CPU 性能的影响极小 - 使用率一般不到 1%。
• 对带宽的影响极小 - 同步数据的传输受到限制,不会干扰其他数据。
状态监控同步不进行负载均衡。它是一种活动/备用配置,主要设备处理所有流量。状态监控同步启用时,主要设备主动与备用设备通信,更新大部分网络连接信息。当主要设备创建和更新网络连接信息(VPN 隧道、活动用户、连接缓存条目等)时,它会立即告知备用设备。这样就确保了备用设备可以随时进入活动状态,无需放弃任何连接。
同步流量受到限制,确保不干扰正常网络流量。所有配置变更都在主要设备上进行,并自动传播到备用设备。无论哪一台设备当前是活动的,高可用性对均使用相同的 LAN 和 WAN IP 地址。
使用 SonicWALL 整体管理系统 (GMS) 管理设备时,GMS 登录共享 WAN IP 地址。故障切换时,GMS 管理继续无缝进行,当前登录到设备的 GMS 管理员不会被注销,但 Get 和 Post 命令可能以超时结束,不会获得任何回应。
下表列出了状态监控同步已同步的信息和目前尚未同步的信息。
状态监控同步实例
故障切换时会发生以下事件序列:
1. 一 PC 用户连接到网络,主要防火墙为该用户创建一个会话。
2. 主要设备与备用设备同步。备用设备现在拥有该用户的所有会话信息。
3. 执行系统重启。
4. 备用设备检测到主要设备重启,从备用状态切换到活动状态。
5. 备用设备开始向 LAN 和 WAN 交换机发送无故 ARP 消息,使用与主要设备相同的虚拟 MAC 地址和 IP 地址。下游和上游网络设备无需进行路由更新。
6. 当 PC 用户试图访问网页时,备用设备拥有该用户的所有会话信息,能够不间断地继续该用户的会话。
状态监控 HA 对启用 Active/Active DPI 时,DPI 服务在 HA 对的备用防火墙上处理,与此同时,防火墙、NAT和其他模块的处理则在活动防火墙上进行。下列 DPI 服务会受影响:
• 入侵保护服务 (IPS)
• 网关防病毒 (GAV)
• 网关防间谍软件
• 应用程序规则
要使用 Active/Active DPI 功能,管理员必须将一个附加接口配置为 Active/Active DPI 接口。例如,如果选择让 X5 成为 Active/Active DPI 接口,必须将 HA 对中的活动设备的 X5 物理连接到备用设备的 X5。通过 Active/Active DPI 接口,活动设备上的某些数据包流量分流到备用设备。DPI 在备用设备上执行,结果通过同一接口返回活动设备。其余处理在活动设备上执行。
Active/Active DPI 发挥了备用设备未使用 CPU 周期的作用,但流量仍然通过活动设备到达和离开。备用设备仅看到活动设备分载的网络流量,除 DPI 服务以外的其他模块只能由活动设备处理。
活动/备用和 Active/Active DPI HA 前提条件
本节说明注册 SonicWALL 设备和授权 SonicWALL 高可用性功能的要求。
Dell SonicWALL 网络安全设备要求各指定 HA 接口具有下述接口链路速度:
• HA 控制接口 — 可以是 1GB 或 10GB 接口。推荐 1GB。
• HA 数据接口 — 可以是 1GB 或 10GB 接口。推荐 10GB。
HA 控制接口和 HA 数据接口可以共享同一接口。
如果共享同一接口,推荐使用 10GB 接口。
• Active/Active DPI 接口 — 可以是 1GB 或 10GB 接口。
• Active/Active 集群链路 — 必须是 1GB 接口。
限制
仅以下型号的 Dell SonicWALL 支持 Active/Active DPI:
• SuperMassive 9600
• SuperMassive 9400
• SuperMassive 9200
• NSA 6600
• NSA 5600
Note 购买扩展许可证后,NSA 5600 和 NSA 6600 支持 Active/Active DPI。
以下型号的 Dell SonicWALL 不支持 Active/Active DPI:
• NSA 4600
• NSA 3600
高可用性要求受影响的 SonicWALL 设备之间具有额外的物理连接。本节说明 Active/Active 集群和 Active/Active DPI 所需的物理连接。
连接 Active/Active 集群的 HA 端口
对于 Active/Active 集群,必须将其中的所有设备的指定 HA 端口物理连接到同一 2 层网络。
SonicWALL 建议将所有指定 HA 端口连接到同一 2 层交换机。可以使用专用交换机,或者使用内部网络中的现有交换机上的某些端口。所有这些交换机端口都必须配置为允许 2 层流量在其间自由通行。
如果是双设备 Active/Active 集群部署,各集群节点仅有一台设备,可以使用交叉网线直接连通 HA 端口。这种情况下无需交换机。
SonicWALL 虚拟路由器冗余协议 (SVRRP) 利用该 HA 端口连接发送集群节点管理和监控状态消息。SVRRP 管理消息由主节点发送,监控信息由集群中的各设备传送。
HA 端口连接还用于将主节点的配置同步到部署中的其他集群节点。这包括固件或签名升级、VPN 和 NAT 的政策以及其他配置。
连接 Active/Active DPI 的 Active/Active DPI 接口
对于 Active/Active DPI,必须在各 HA 对或集群节点的两台设备之间连接至少一个附加接口,称为 Active/Active DPI 接口。两台设备的相连接口必须是同一号码,并且必须是网络 > 接口页面中未使用、未分配的接口。例如,如果 X5 是未分配接口,则可以将主要设备的 X5 连接到备用设备的 X5。启用 Active/Active DPI 后,连接的接口将具有 HA 数据-链路的区域分配。
通过 Active/Active DPI 接口,活动设备上的某些数据包流量分流到备用设备。DPI 在备用设备上执行,结果通过同一接口返回活动设备。
此外,为使 Active/Active DPI 具有端口冗余,可以在各 HA 对的两台设备之间物理连接第二个 Active/Active DPI 接口。在 Active/Active DPI 处理期间,如果第一个 Active/Active DPI 接口发生故障,第二个接口可以接管两台设备之间的数据传输。
要连接 Active/Active DPI 的 Active/Active DPI 接口,请执行以下步骤:
1. 决定将哪一个接口用于 HA 对的设备之间的附加连接。各台设备必须选择同一接口。
2. 在 SonicOS 管理界面上,转至网络 > 接口页面,确保目标 Active/Active DPI 接口的区域为未分配。
3. 使用标准以太网电缆直接连接这两个接口。
4. 此外,为使 Active/Active DPI 具有端口冗余,可以在各 HA 对的两台设备之间物理连接第二个 Active/Active DPI 接口。
在高可用性部署中连接 LAN 和 WAN 接口
在任何高可用性部署中,必须将所有设备的 LAN 和 WAN 端口物理连接到适当的交换机。
WAN 互联网连接可用于在 MySonicWALL 上注册设备以及同步许可证信息。除非网络策略禁止与 SonicWALL 许可证服务器实时通信,注册和授权之前应连接 WAN (X1) 接口。
连接冗余端口接口
可以将一个未使用的物理接口作为冗余端口分配给一个已配置的物理接口(称为“主要接口”)。在各集群节点上,各主要和冗余端口对必须物理连接到同一交换机,最好是连接到网络中的冗余交换机。
Note 由于所有集群节点共享同一配置,因此各节点必须配置相同的冗余端口并将其连接到相同的交换机。
要使用 Active/Active 集群,必须在 MySonicWALL 上注册集群中的所有 SonicWALL 设备。各 HA 对中的两台设备还必须在 MySonicWALL 上关联为 HA 主要设备和 HA 备用设备。也就是说,先关联集群节点 1 的 HA 对中的两台设备,再关联集群节点 2 的 HA 对中的两台设备,依此类推关联所有其它集群节点。注意,HA 对中的备用设备在 MySonicWALL 上称为 HA 备用设备。
设备关联为 HA 对之后,就可以共享许可证。除高可用性许可证外,还包括 SonicOS 许可证、支持订阅和安全服务许可证。用于咨询服务的许可证则不可共享,例如 SonicWALL GMS 预防性维护服务的许可证。
主要和备用设备不要求启用相同的安全服务。安全服务设置将作为设置初始同步的一部分自动更新。使用许可证同步可使备用设备保持与故障切换之前相同的网络保护级别。
MySonicWALL 提供了几种关联两台设备的方法。可以注册一台新设备,然后选择一台已注册设备与之关联。或者,也可以关联两台均已注册过的设备。还有一种方法是先选择一台已注册设备,再添加一台新设备与之关联。
关于在 MySonicWALL 上关联设备的详细程序,请参阅《SonicOS 管理员指南》中的“高可用性”章节,网址如下:
http://www.sonicwall.com/us/Support.html
Note 即使您已先在 MySonicWALL 注册您的设备,在登录每台设备单独的管理 IP 地址时,仍需要在 SonicOS 管理界面上分别注册主要设备和备用设备。这将使备用设备可以和 SonicWALL 许可证服务器同步,并与关联的主要设备共享许可证。如果互联网访问受限,您可以将共享许可证手动应用到这两个设备。
有关配置和使用每台设备单独的管理 IP 地址的信息,请参阅关于高可用性监控和高可用性 > 监控。
Active/Active 集群、状态监控高可用性和 Active/Active DPI 许可证包括在已注册防火墙中。因此,您无需购买任何附加许可证就可以使用高可用性功能。
Note Active/Active 集群和状态监控高可用性许可证必须在各台设备上激活,方法是在 SonicOS 管理界面的 MySonicWALL 上注册设备,或者将许可证密钥组应用到各设备(如果互联网访问不可用)。
可以在管理界面的“系统 > 许可证”页面上查看系统许可证。通过此页面还可以登录 MySonicWALL。
如果 Active/Active 集群中的防火墙可以接入互联网,则必须在管理员登录各台设备的管理 IP 地址的同时,从 SonicOS 管理界面分别注册集群中的各台设备。这将使备用设备可以和 SonicWALL 许可证服务器同步,并与关联的主要设备共享许可证。
如果 HA 对中的设备不能接入互联网,也有办法来同步许可证。当网络策略禁止与 SonicWALL 许可证服务器实时通信时,可以使用许可证密钥组将安全服务许可证手动应用到设备。在 mySonicWALL 上注册防火墙时,会生成该设备的许可证密钥组。如果添加一份新的安全服务许可证,密钥组会更新。但是,只有将许可证应用于设备时,才可执行许可的服务。
Note 在无互联网连接的高可用性部署中,HA 对中的两台设备均必须应用许可证密钥组。
下表列出了购买时 Dell SonicWALL 网络安全设备时包括的 HA 许可证和 BGP 许可证。扩展许可证必须通过 MySonicWALL 或 Dell SonicWALL 分销商购买。
|
可以使用下列任一程序将许可证应用到设备:
要在 SonicOS 用户界面内激活许可证,请执行本节中的步骤。在登录各自 LAN 管理 IP 地址的同时,对高可用性对中的每台设备执行以下程序。
有关配置各 IP 地址的信息,请参阅高可用性 > 监控。
1. 使用设备的 LAN 管理 IP 地址登录到 SonicOS 用户界面。
2. 在“系统 > 许可证”页面的在线管理安全服务下,单击链接要激活、升级或续订服务,请单击此处。
3. 在“许可证 > 许可证管理”页面,将您的 MySonicWALL 用户名和密码输入文本框中。
4. 单击提交。
5. 在“系统 > 许可证”页面的在线管理安全服务下,核实安全服务摘要表格中列出的服务。
6. 对 HA 对中的另一设备重复该程序。
通过执行本节中的步骤,您可以在 MySonicWALL 上查看许可证密钥组并将其复制到防火墙。在登录各自 LAN 管理 IP 地址的同时,对高可用性对中的每台设备执行以下程序。
有关配置各 IP 地址的信息,请参阅高可用性 > 监控。
1. 登录到 MySonicWALL 帐户:https://www.mysonicwall.com。
2. 在左侧导航窗格中,单击我的产品。
3. 在“我的产品”页面的已注册产品下,滚动查找想将许可证密钥组复制到的设备。单击产品名称或序列号。
4. 在“服务管理”页面上,单击查看许可证密钥组。
5. 在“许可证密钥组”页面上,使用鼠标突出显示文本框中的所有字符。
6. 按 Ctrl+C 将该许可证密钥组复制到剪贴板。
7. 使用 LAN 管理 IP 地址登录到 SonicOS 用户界面。
8. 在“系统 > 许可证”页面的手动升级下,按 Ctrl+V 将许可证密钥组粘贴到或输入密钥组文本框。
9. 单击提交。
10. 对 HA 对中的另一设备重复该程序。
以下章节介绍高可用性 > 状态页面:
高可用性 > 状态页面的高可用性状态表显示 HA 对的当前状态。如果主要 SonicWALL 为活动,则该表的第一行显示主要 SonicWALL 当前处于活动状态。
通过登录备用 SonicWALL 的唯一 LAN IP 地址,也可以检查备用 SonicWALL 的状态。如果主要 SonicWALL 正常工作,状态表将显示备用 SonicWALL 当前处于备用状态。如果备用防火墙已接管主要防火墙的责任,状态表将显示备用设备当前处于活动状态。
主要 SonicWALL 失效时,可以利用主要 SonicWALL 虚拟 LAN IP 地址或备用 SonicWALL LAN IP 地址访问备用 SonicWALL 的管理界面。主要 SonicWALL 失效后重启时,可以利用“高可用性 > 监控”页面上创建的唯一 IP 地址访问它。如果启用了抢占模式,主要 SonicWALL 将成为活动防火墙,备用防火墙回到备用状态。
该表显示以下信息:
高可用性状态
• 状态 – 指示主要防火墙的 HA 状态。可能的值有:
– 主要设备活动 – 表示主要 HA 设备处于活动状态。
– 主要设备备用 – 表示该设备处于备用状态。
– 主要设备禁用 – 表示该设备的管理界面未启用高可用性。
– 主要设备未处于就绪状态 – 表示 HA 已启用,但该设备既不处于活动状态,也不处于备用状态。
• 主要设备状态 – 指示作为 HA 对的一个成员的主要设备的当前状态。主要和备用设备上均会显示“主要设备状态”字段。可能的值有:
– 活动 – 表示主要设备正在处理除了目标为备用设备的管理/监控/授权流量之外的所有其他网络流量。
– 备用 – 表示主要设备处于被动待命状态,一旦发生故障切换即可接管。
– 选择 – 表示主要设备和备用设备正在协商哪一台设备应是活动设备。
– 同步 – 表示主要设备正在将设置或固件同步到备用设备。
– 错误 – 表示主要设备出错。
– 重启 – 表示主要设备正在重启。
– 无 – 在主要设备上查看时,无表示主要设备未启用 HA。在备用设备上查看时,无表示备用设备未接收到主要设备的心跳信号。
• 备用设备状态 - 指示作为 HA 对的一个成员的备用设备的当前状态。主要和备用设备上均会显示“备用设备状态”字段。可能的值有:
– 活动 – 表示备用设备正在处理除了目标为备用设备的管理/监控/授权流量之外的所有其他网络流量。
– 备用 – 表示备用设备处于被动待命状态,一旦发生故障切换即可接管。
– 选择 – 表示备用设备和主要设备正在协商哪一台设备应是活动设备。
– 同步 – 表示备用设备正在将设置或固件同步到主要设备。
– 错误 – 表示备用设备出错。
– 重启 – 表示备用设备正在重启。
– 无 – 在备用设备上查看时,无表示备用设备未启用 HA。在主要设备上查看时,无表示主要设备未接收到备用设备的心跳信号。
• 活动时间 – 指示当前活动的防火墙自上次变得活动以来,已保持活动多长时间。该行仅在高可用性启用时显示。如果主要 SonicWALL 发生故障,备用 SonicWALL 将获得主要 SonicWALL 的 LAN 和 WAN IP 地址。检查高可用性对的状态主要有三种方法:高可用性状态窗口、电子邮件提醒和查看日志。下面几节将说明这些方法。
• 节点状态 – 指示 Active/Active 集群是否启用。
• 发现对端 – 指示主要设备是否发现备用设备。可能的值有是和否。
• 同步设置 – 指示主要与备用设备间的 HA 设置是否已同步。可能的值有是和否。
• 状态监控 HA 已同步 – 指示主要与备用设备间的状态监控同步设置是否已同步。可能的值有是和否。
高可用性配置
• HA 模式 – 确定哪个 SonicWALL 活动的一种方法是检查高可用性 > 设置页面上的“HA 设置状态”指示。如果主要 SonicWALL 为活动,则该页面的第一行显示主要 SonicWALL 当前处于活动状态。通过登录备用 SonicWALL 的 LAN IP 地址,也可以检查备用 SonicWALL 的状态。如果主要 SonicWALL 正常工作,状态表将显示备用 SonicWALL 当前处于备用状态。如果备用防火墙已接管主要防火墙的责任,状态表将显示备用设备当前处于活动状态。主要 SonicWALL 失效时,可以利用主要 SonicWALL LAN IP 地址或备用 SonicWALL LAN IP 地址访问备用 SonicWALL 的管理界面。主要 SonicWALL 失效后重启时,可以利用配置期间创建的第三 IP 地址访问它。如果启用了抢占模式,主要 SonicWALL 将成为活动防火墙,备用防火墙回到备用状态。
• HA 控制链路 – 指示 HA 链路的端口、速度和双工设置,例如 HA 1000 Mbps 全双工,前提是两个防火墙已通过指定的 HA 接口相连。当高可用性未启用时,该字段显示禁用。
• HA 数据链路 – 指示 HA 链路的端口、速度和双工设置,例如 HA 1000 Mbps 全双工,前提是两个防火墙已通过指定的 HA 接口相连。当高可用性未启用时,该字段显示禁用。
高可用性许可证
• 主要设备状态监控 HA 已许可 – 指示主要设备是否有状态监控 HA 许可证。可能的值有是和否。
• 备用设备状态监控 HA 已许可 – 指示备用设备是否有状态监控 HA 许可证。可能的值有是和否。注意,状态监控 HA 许可证与主要设备共享,但必须在登录备用设备的 LAN 管理 IP 地址的同时访问 mysonicwall.com,以便与 SonicWALL 许可证服务器同步。
• 主要设备 Active/Active 已许可 - 指示主要设备是否有 Active/Active 许可证。可能的值有是和否。
高可用性 > 状态页面提供部署中整个 Active/Active 集群的状态和各集群节点的状态。 Active/Active 集群的状态显示在上方表格中,各集群节点的状态显示在下方表格中。
有关高可用性状态和验证配置的其他信息,请参阅验证 Active/Active 集群配置