山东移动PBX防火墙管理IP添加专项方案.docVIP

项目编号 山东移动PBX防火墙管理IP 添加实施方案 思华科技 版权全部 目 录 TOC \o 1-2 \h \z \u 1. 割接背景及目标 3 2. 割接时间和人员安排 3 3. 割接内容及概要 4 4. 割接步骤 7 4.1 东信网关先将之前配置IP从网关系统中去掉。 7 4.2 在主备防火墙配置管理IP确保和东信网关能够联通。 7 4.3 验证 7 5. 异常恢复 7  割接背景及目标 现在山东移动东信网关不支持防火墙主备模式下经过添加备防火墙序列号查询设备状态命令。即： 查询主墙??snmpget?-v2c?-c?public?53?.4.1.123? 查询备墙?? snmpget?-v2c?-c?public-FG50?53?.4.1.123备注：public为团体名????FG50为备墙序列号，53查询设备IP地址???，.4.1.123查询OID值。 鉴于以上情况需要对主备防火墙添加管理IP，以支持网关系统SNMP监控。 割接时间和人员安排 04月 26 日 晚上20:00 ~04月 27日8:00 姓名 所在企业/部门 职责 联络方法 备注 金有伟 思华科技济南技术支持中心 现场维护 现场实施 张彦龙 飞塔防火墙 后台支撑人员 马剑飞 山东移动 项目责任人 割接内容及概要 割接关键包含添加防火墙管理IP地址。 FortiGate 在做Active-Passive HA 时，因为两台设备基础配置全部一样，所以经过 数据接口IP地址只能管理和访问到其中选举为主设备。对于同时连到主机和备机进行管理，或有对于主机或备机进行网管需求，需要配置HA带外管理接口。 预留带外管理口 FortiGate HA 预留带外管理口能够使处于AP 模式两台FortiGate 设备有独立 管理地址，即这个地址不参与HA 同时，在FortiOS 中，这个独立管理地址有自己独 立网关，所以不会在路由表中显示。 以下图所表示： 我们只需在HA 配置中选择对应接口即可，这个接口必需不是HA 监控接口，也 不是HA 发送heartbeat 接口。如在上图中我们选择了port7，则接下来去配置port7 IP 地址即可。我们也能够在命令行中完成上述配置 config system ha set ha-mgmt-status enable set ha-mgmt-interface port7 set ha-mgmt-interface-gateway end config system interface edit port7 set mode static set ip /24 end 注意set ha-mgmt-interface-gateway 这个配置只能在命令行中完成，且不会在 FortiGate 路由表中显示。因为这个独立管理接口，通常只被动接收访问，如接收https、ssh 管理，SNMP轮询，并不主动提议连接。如需要从这个管理接口提议ping 连接来测试一下网络连通性，我们需要经过以下命令才能进行ping。 config global execute enter vsys_hamgmt exec ping 假如两台设备全部需要连接SNMP，需要进行以下设置： config global config system snmp community edit 1 config hosts edit 1 set ha-direct enable end end 割接步骤 东信网关先将之前配置IP从网关系统中去掉。 在主备防火墙配置管理IP确保和东信网关能够联通。 上方配置需要分别在主备防火墙上输入命令，上方是以主备防火墙第7口作为管理地址为例。 验证 从东信网关平台ping主备管理IP是否能ping通。 添加管理IP到东信网关平台。 异常恢复 假如使用测试用例验证失败，功效不可用，则需要回退 。回退命令为： config global edit 1 set ha-direct disable end end 看之前监控IP是否能监控状态。