Archive for 1月 2013

天融信TG-32A-UTM双机热备配置一例

两台天融信TG-32A-UTM统一威胁管理设备(简称UTM),上联核心区包括两台CISCO 3750G三层交换机,下联接入区两台CISCO 2960G二层交换机,如下图所示:

topsecutm3

1、环境描述:
(1) 两台UTM与上、下交换机都通过TRUNK口来连接
(2) UTM将核心交换机上的VLAN1(管理VLAN)、VLAN9(核心应用网段1)、VLAN188(核心应用网段2)透传至CISCO2960G接入交换机上
(3) 两台UTM的心跳口为路由口,主UTM IP为200.200.200.1/30,备UTM IP为200.200.200.2/30
(4) 两台UTM启用生成树协议

2、主UTM配置
将笔记本与UTM的eth0口相连,笔记本配置192.168.1.x段,然后使用浏览器打开https://192.168.1.254,输入superman/talent进入管理主界面。

(1)心跳口配置
将eth9作为心跳口,配置心跳IP为200.200.200.1,如下图,描述写HA,地址处填200.200.200.1,掩码255.255.255.252,非同步地址打钩(即为心跳口,非心跳口不用打钩),点击添加,再点击确定,这样就完成心跳口地址的配置。

topsecutm6

topsecutm5

(2)TRUNK口配置
与上、联两台交换机相连共需要要UTM设备的4个接口,这里选择eth1-4。如需配置eth1为trunk口,首先从“网络管理”->“接口”并点击接口的配置按扭来进入接口的配置界面,然后进行如下填写,模式选择“交换”,类型trunk,VLAN范围选择刚才定义的三个VLAN:1、9、188,封装选择802.1q,点击确定。这样即完成了一个接口的配置。

topsecutm7

当4个接口都完成了,即为如下图所示。

topsecutm8

(3)新建区域
进入左边菜单的“资源管理”->“区域”配置界面,创建两个上联及下联区域,用于后面创建访问控制规则之用,如下图。

topsecutm9

(4)开启生成树协议
进入“网络管理”->“二层网络”->“VLAN”选项,点击“生成树”,在开启上打钩,点击确定来启用生成树,如下图所示。 

topsecutm10

topsecutm11

(5)添加VLAN

就像交换机一样,当要让UTM透传VLAN19188这三个VLAN时,UTM本身需要创建这三个VLAN,进入“网络管理”->“二层网络”->“VLAN”选项,点击“添加”:

topsecutm12

在出现的对话框中输入1,点击确定,VLAN1创建完成,用同样的方法创建VLAN9和VLAN188。

 topsecutm13

完成创建后,即为如下图所示效果。

topsecutm14

(6)高可用性配置

心跳本地地址为本机的心跳地址200.200.200.1,对端为备UTM的地址,规划为200.200.200.2,身份为主,打开抢占功能,监控端口为eth1-4的trunk口,输入后点击应用,再点击启用即可。

下图中的“监控接口异常”是因为UTM还未插网线导致。

topsecutm16

至此,主UTM配置完成。

 

3、备UTM配置

将笔记本与UTM的eth0口相连,笔记本配置192.168.1.x段,然后使用浏览器打开https://192.168.1.254,输入superman/talent进入管理主界面。

(1)心跳口配置
将eth9作为心跳口,配置心跳IP为200.200.200.2,如下图,描述写HA,地址处填200.200.200.2,掩码255.255.255.252,非同步地址打钩(即为心跳口,非心跳口不用打钩),点击添加,再点击确定,这样就完成心跳口地址的配置。

topsecutm15

(2)高可用性配置
心跳本地地址为本机的心跳地址200.200.200.2,对端为主UTM的地址,规划为200.200.200.1,身份为备,打开抢占功能,监控端口为eth1-4的trunk口,输入后点击应用,再点击启用即可。

topsecutm17

 

4、启用双机热备

完成以上配置后,将两台UTM的接口与交换机都连接好,包括心跳网口。完成后,可以查看两台UTM设备的M/S灯,M/S灯亮的即为主防火墙。

5、配置同步

因为备UTM刚才只配置了双机信息,没有其它配置,需要通过主UTM来同步配置至备UTM。登陆主UTM,进入“高可用性”->“高可用性”,点击如下图中的按扭完成主UTM向备UTM同步配置的操作。

topsecutm19

6、查看配置

经过以上配置后,UTM的双机热备已经建立,运行时,只有主UTM进行数据的转发,备UTM不参与数据转发。可以想像成只有一台UTM在工作的环境。所以在拓扑图中,运行时会出现如下的一个网络环:

topsecutm20

进入“网络管理”->“二层网络”->“VLAN”选项,点击后面的生成树按扭,可以看到主UTM与备核心3750交换机相连的口为blocking状态,如下图所示。topsecutm21

双机热备运行时,当主UTM eth1-4口中有一个端口DOWN掉,UTM都会自动切换至备UTM上,完成双机的切换工作。

黑莓9780一键刷机包

9780通过混刷可以解决断网问题,但混刷麻烦也有一定难度。幸好有网友已经做了一键刷机包,方便完成混刷,且不断网。

9780_v6.0.0.448不断网混刷一键.exe