为了在Palo Alto网络防火墙建立高可用性,你需要一对同时符合以下要求的防火墙:
同样的型号:每个防火墙都必须要相同的硬件或虚拟机型号。
相同的PAN-OS版本:每个防护墙都需要运行相同的PAN-OS版本,并且每个防护墙都必须是应用程序、URL和威胁数据库的最新版本。
拥有相同的多虚拟系统功能的两个防火墙必须启用或未启用多虚拟系统功能。启用后。每个防火墙都需要自己的多个虚拟系统许可证。
相同类型的接口:专用的HA链接,或者设置为界面类型HA的端口类型或带内端口的组合。
1.确定HA1(控制)连接的IP地址。如果两个对等的HA1 IP地址直接连接在同一个交换机上,则必须在同一个子网上。对于没有专用的HA端口的防火墙,可以使用管理端口进行控制连接。使用管理端口可在两个防火墙上的管理平面之间提供直接通信链路。但是,管理端口不会直接在对等之间进行电缆连接,因此需要保证有一条路线将这两个接口连接到网络。
2 .如果用三层作为HA2(数据)连接传输的方法,确定HA2链路上的IP地址。只有当HA2连接必须通过路由网络进行通信时,才使用第3层。HA2链路的IP子网不能与HA1链接或分配到防火墙上数据端口的任何其他子网重叠。
相同的licenses设置:lincenses对每个防火墙是唯一的,不能在防火墙之间共享,因此,必须同时为两个防火墙发放licenses,如果两个防火墙没有相同的licenses,他们就无法配置信息并保证无缝故障转移。
作为最佳实践,如果有一个现有的防火墙然后想为HA目的添加新的防火墙,并且新防火墙具有将防火墙重置到新防火墙上的工厂默认设置的现有配置。这确保了新的防火墙有一个新的配置。在HA配置以后,将会把主要防护墙上的配置与新引入的防火墙配置同步。
扫一扫
1522
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
