checkpoint双机热备.docVIP

Cluster XL -----高可用性和负载均衡 介绍Cluster XL Check Point防火墙的ClusterXL功能是一个基于软件的高可用性和负载分担解决方案。它能够在属于同一个ClusterXL群组里面的checkpoint网关上分配网络流量。并且一个checkpoint网关出现故障不能工作的情况下，其他同组成员能过接替他的工作，保证网络能过正常、安全的为企业服务。ClusterXL工作的条件是：Cluster 需要两台以上的checkpoint 防火墙，而且这两台防火墙的系统平台要一致，软件版本也要一致.拓扑图如下所示： 群控制协议Cluster Control Protocol (CCP)将checkpoint网关加入的一个群组。 Ccp使用udp8116端口，群组内的设备使用此端口发送保活数据包报告他们的状态，同步成员时钟。 高可用性 在故障切换期间能过保持所有链接的弹性安全，包括vpn链接。如果一个主用网关不可用，所有的会话无需终端就可以安全的继续下去。用户不需要重新连接和重新认证，也不需要知道备用网关接管了业务。 负载均衡 通过负载均衡，在多个网关之见分配流量，ClusterXL可以扩展vpn的性能能力。一个集群最多可以部署五个网关。 配置说明 以两台checkpoint防火墙为例说明集群的配置过程。实计环境如下： 说明 防火墙A、B使用三台交换机相连 一台用于连入外网（outside） 一台用于连入内网（inside） 一台用于连接集群防火墙实现防火墙同步（心跳线） 注意：若只有两台防火墙做集群心跳线可用网线直接相连 1、新安装两台checkpoint防火墙（处不同地方均不在做说明） 从https登陆设备安装防火墙组件 选择安装组件 集群中的checkpoint防火墙此界面只选择安全网关VPN-1 Power，不需要在每个集群成员中安装管理服务Smartcenter。 Smartcenter组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员。 选择网关类型 我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。 输入认证码 因为VPN-1和Smartcenter不在一体上，所以需要输入一个认证码，用于和Smartcenter建立联系进行认证。 产品的确认和安装 集群中的各个防火墙均安装以上方式配置，ip地址划分是只需要分别和各自区域属于同一子网即可。 2、安装Smartcenter用于连接集群中的网关 Smartcenter可以在Linux下安装也可在Windows下安装。但是在安装Smartcenter的计算机上不能安装任何checkpoint防火墙的组件。 Linux下安装： 此步只选择management server中的smartcenter（用于连接并统一管理集群成员设备）。 Windows下安装： 放入光盘自动运行或者双击Setup.exe文件。 许可协议 询问防火墙的安装版本（power） 选择全新安装 询问安装组件 网关组件已在集群成员上安装，这里只需要安装SmartCenter，如果在此计算机上需要安装控制台则需要SmartCenter和SmartConsole。 询问是否是安装主smartcenter 服务器还是辅smartcenter 服务器还是只安装log 服务器：在这里我们选择安装主smartcenter 服务器。 之后点击一下步进入安装界面。 3、安装完smartcenter后再Windows下基本设置 添加licenses 不添也可以，但是加只能使用15天，如果没有添加licenses会弹出告警询问是否继续，选择“是”即可。 添加GUI管理员 添加管理员的用户名密码。 添加GUI管理IP 添加any表示所有人都能够通过GUI控制台访问，点“下一步”会后又告警，确认即可。 配置内部CA 内部CA不需要改动，否则会出现问题。 此步骤结束后需要重启计算机，完成整个安装过程。 4、在SmartDashboard上配置集群 添加集群成员 添加需要配置为集群成员的网关----选择“VPN-1 Power/UTM Gateway…”。 选择Class mod。 添加相应参数 红框中为需要注意的地方点击后出现下图： Activation Key处输入安装VPN-1时所写入的认证码，出现右图提示表明SmartCenter成功连接到防火墙。 配置网络拓扑 点击“Get”选择第二项得到相应防火墙各个接口信息后配置网络拓扑。 配置日志信息 集群中的防火墙配置需要相同。确定后成功添加到SmartCenter，结果如下：