【WAF】【配置管理】双机配置同步

李莉02发表于:2021年06月28日 12:09:15更新于:2021年06月29日 18:44:26

1    配置同步说明

    配置同步可以将WAF的所有配置参数同步至另外一台WAF(暂不支持自动同步,同步过程需要人工手动执行)。

 

2    拓扑说明

image.png

 

    两台WAF主-主或主-备模式均可,可不连接同步线;

    两台设备管理地址能够互相通信,WAF可通过管理口进行同步配置。

 

3    配置步骤

3.1    配置接口和防护策略

    完成第一台WAF设备的所有配置,包括接口、网桥ID、网桥IP、服务器、代理服务器、防护策略等。

3.2    配置同步

    1)打开【HA管理】-配置同步,点击“增加”;

    第一步:对方IP地址即要同步的另外一台WAF设备的同步地址,可以填写另外一台WAF的管理地址;

image.png

 

    2)第二步:此处会列出当前这台WAF的所有网桥接口,与【网络管理】-网络接口-网桥接口页面的内容相同;

    新接口号填写同步的WAF设备对应的网桥ID,此网桥ID不能与此台WAF相同;

    例如WAF-1配置了管理网桥ID号为10,即br10,则同步的WAF-2管理网桥ID不能为10,可设置为20,即br20,则此处“新接口号”填写20;

    其它的网桥配置类似。

image.png

 

image.png

 

    3)第三步:此处为当前设备的网桥地址,与【网络管理】-网络接口-网桥接口页面相同,双击网桥进行编辑,填写同步的WAF网桥地址;

    例如WAF-1的管理网桥地址为192.168.10.10/24,“新IP地址”即为同步的WAF-2管理网桥地址为192.168.10.20/24;

    同步的WAF-2设备需要更改默认的管理桥地址,则此处新的IP地址即为更改后的地址;

    其它网桥配置类似。

image.png

 

    4)第四步:编辑远程管理地址,填写同步后对端WAF设备的远程,此处设置两台WAF设备可以相同;

image.png

 

    5)第5步:编辑同步后的代理服务器设置。若本台WAF已经配置代理服务器,则此处会列出所有代理服务器,需要根据实际情况,填写同步后的WAF-2设备代理服务器地址,即“新IP地址”;

    若两台WAF配置了VRRP,则此处“新的IP地址”为相同地址,即VRRP的虚拟地址;

    若两台WAF无VRRP,则两台WAF的代理地址不相同,此处要填写同步后WAF-2的实际代理IP;

    若两台WAF都为串联透明流模式,无代理地址,此处不会显示当前服务器的列表,直接点击“完成”即可,在选中此条同步配置,执行一次“应用”,同步的WAF-2会自动收到此台WAF所有配置。

image.png

 

4    注意事项

    1)   两台WAF设备的网桥ID和默认的网桥IP不能有相同的;

    2)   两台WAF管理口若无法实现同步配置,可以单独连接一根同步线;

    3)   修改过网桥ID或地址,服务器地址等,需要重新编辑一次同步配置,检查内容是否与实际配置一致,检查后在执行应用同步配置。