配置高可用性

设备 > 高可用性页面,你可以创建一个由两个安全网关关闭 一台专门的Check Point服务器,运行Check Point软件,检查流量并为连接的网络资源执行安全策略。组成的高可用性集群。

注意- 当你在网关的网络设置中定义了交换机或网桥时,你不能创建一个集群。如果有必要,在 "设备"> "本地网络"页面中改变网络设置。

注意- 当互联网连接是一个邦德接口时,不支持配置Quantum Spark设备集群。

要创建一个集群:

  1. 点击配置集群

    新集群向导打开。

  2. 在步骤1中:网关优先权,选择其中一个选项:

    1. 配置为主要成员- 如果必须首先配置该网关。

    2. 配置为次要成员- 如果已经配置了一个主要成员,并且该网关连接到它。

  3. 点击下一步.

  4. 对于一个主要成员:

    1. 在步骤2中:SIC关闭 安全的内部通信。Check Point的专有机制,运行Check Point软件的Check Point计算机通过SSL相互验证,以实现安全通信。这种认证是基于ICA在Check Point管理服务器上颁发的证书。设置,输入密码确认。这个密码用于建立成员之间的信任。

      注意- 你不能在密码或共享密钥中使用这些字符: { } [ ] ` ~ | ' " 最大字符数:255

    2. 默认的同步接口是LAN2。如果有必要改变它,请点击高级,选择不同的同步界面。你也可以改变预定义的同步IP地址同步IP子网

      注意- 在这里所做的所有修改也必须在其他集群成员关闭 一个安全网关,是集群的一部分。上进行。

    3. 点击下一步.

    4. 在步骤3中:网关接口(N个中的1个),你可以在相关接口上定义集群IP。输入必要的信息。

      默认情况下,设备监控接口状况。如果出现故障,它就会自动故障转移关闭 将流量控制(数据包过滤)从遭遇故障的集群成员转移到另一个集群成员(基于内部集群算法)。同义词。故障转移。到第二集群成员。当接口也被启用为高可用性时,它作为单一的接口面向网络。

    5. 点击下一步.对网络中的所有相关接口再次执行步骤4d。

      注意- 对于互联网连接,你只能在静态IP互联网连接上启用高可用性。其他类型的互联网连接可仅用于监测。

  5. 对于一个次要成员:

    1. 在步骤2中:SIC设置,输入安全内部通信密码

    2. 点击建立信任

  6. 点击完成.

当集群被成功配置后,你会在这个页面上看到成员的状态。

集群配置好后,当你连接到集群的IP地址时,你会自动被重定向到活动集群成员。要登录指定的成员,你必须用该成员的IP地址登录。

所有的集群管理都由活跃成员关闭 高可用性部署中的集群成员,处理网络连接。完成。在备用成员的 WebUI 上,只有微调的选项(对于本地管理的集群:基本网络设置和日志:由Quantum Spark Portal集群管理的集群也有云服务)。

高可用性集群只支持双模式下的IPv6。

集群模式下的接口选项:

  • 高可用性 - 2个集群成员中的两个物理接口作为一个单一的接口面向网络并使用一个虚拟IP地址。

    注意- 在这个集群解决方案中,除了共享的单一虚拟IP地址外,每个接口都有一个本地IP地址。

  • 同步- 必须将两个物理接口定义为同步接口,并在成员之间连接,以便在需要时进行适当的故障切换。默认是使用LAN2/Sync物理端口。

  • 非 HA(也叫私有的) - 这个成员中的物理接口不参与高可用性功能。

  • 监控的(也叫私人监控的)- 这个成员中的物理接口不像高可用接口模式那样与其他成员上的另一个接口相耦合。该接口的状态仍被监控,如果出现问题,成员将故障转移到第二个接口。

高可用性页面显示集群成员状态:

  • 集群状态:启用或禁用

  • 本地和对等网关的集群状态(活动/待机/不活动)

  • 接口的配置包括集群IP地址和物理接口IP地址

当你添加一个新的接口(LAN、Internet连接或VLAN)时,你可以把它添加到一个现有的集群中,而不需要重新设置集群配置。

要在集群已经配置好之后再添加一个新的集群接口:

  1. 在 "本地网络"或 "互联网"标签中添加新的接口。

  2. 设备 > 高可用性页面,双击新添加的接口。

  3. 编辑窗口中,选择复选框 "在接口上启用高可用性"。

  4. 输入物理IP地址子网掩码集群IP地址

    如果该接口是本地网络的一部分,该接口现在显示为 "LANX(高可用性)"。

    注意- 高可用性只能在静态 IP 地址上启用。

  5. 选择复选框监测接口状态(当接口关闭时故障转移)。

  6. 点击完成.

要重置配置设置:

点击重置群组配置。

注意- 这将删除所有的配置设置。你必须再次运行该向导来配置集群。

在一个健康的集群中,集群的一个成员是主动成员,另一个成员是备用成员。

要从活动成员故障切换到备用成员:

  1. 在活动成员上单击 "成员"。

    一条确认信息显示。

  2. 点击

    以前的活跃成员现在是不活跃的(倒下)。原先的候补成员关闭 高可用性部署中的一个集群成员,不处理网络连接。现在是活跃的。

要恢复主动/待机功能:

单击 "禁用不活动成员的手动故障转移"。

要故障转移到原来的主要成员:

  1. 在当前的活跃成员上点击成员

    一条确认信息显示。

  2. 点击

  3. 重新连接到成员,并点击禁用手动故障转移

    原来的活跃成员现在是集群的活跃成员。

要查看有关集群状态的详细信息:

单击 "诊断"。

升级一个集群成员

你必须单独升级每个集群成员。从候补成员开始。升级后,设备自动重新启动。

注意- 只支持手动升级。

要手动升级一个集群:

  1. 转到设备 > 系统操作

  2. 点击手动升级

    升级软件向导打开。

  3. 按照向导的指示。

由Quantum Spark门户网站管理的集群

你可以配置一个集群,其中两个网关都由Quantum Spark Portal管理。在创建集群之前,请确保网关已经连接到Quantum Spark Portal。

由Quantum Spark Portal支持的集群与本地管理的集群非常相似。一个成员是活跃的,另一个是待命的。要改变活跃成员的状态,请单击 "强制降低成员"。

要配置集群(在网关侧):

注意- 该过程与创建本地集群的过程类似,不涉及Quantum Spark门户网站。

  1. 登录到你想用作集群主要成员的网关的 WebUI。

  2. 在 "设备"> "高可用性 "页面,单击 "配置集群 "。

    新集群向导打开。

  3. 在步骤1中:网关优先权,选择配置为主要成员

  4. 点击下一步.

  5. 在步骤2中:在SIC设置中,你会看到一个信息,即你不需要建立信任,因为集群是由Quantum Spark门户云服务管理的。

    可选的- 在"高级 "下,输入该信息:

    • 同步接口

    • 同步IP地址

    • 同步IP子网

    • 其他成员同步的IP地址

  6. 点击下一步.

  7. 在步骤3中:网关接口,配置每个接口的地址。选择在接口上启用高可用性,并输入成员网关和集群实体的网络信息。

    注意- 本步骤分为几个子步骤,每个接口都有一个子步骤。

  8. 点击完成.

  9. 登录到另一个集群成员的 WebUI 中。

  10. 设备 > 高可用性下,点击配置集群

    新集群向导打开。

  11. 选择配置为辅助成员

  12. 点击下一步.

  13. 点击完成.

设备从主要成员获取设置并应用它们。

注意- 当集群由Quantum Spark Portal管理时,连接是不同步的。在集群发生故障时,你必须重新建立连接。

集群建立后,你会看到两个设备之间的高可用性集群。如果两个网关都配置正确,一个网关被标记为活动,而另一个网关被标记为备用。显示配置的接口列表。

要查看有关集群成员和高可用性状态的信息,请点击诊断