前段時間公司防火墻所在物理機死機了,導致公司網絡癱瘓。公司各網站無法訪問,所以才想到去研究這個Pfsense HA。正好公司在準備舉辦一個比賽,作為安全工作者,肯定有壓力啦!!各個方面都要去考慮是否存在安全隱患。這個防火墻必然也在考慮的范圍之內,如果這個防火墻被破壞者弄掛了怎么搞了???那比賽是不是就沒法進行了。
這名字有點高大上的感覺啊!其實說白了,就是弄兩pfsense防火墻,一臺掛了,另外一臺馬上接管工作,不至于中斷業務。
pfSense是一個基于FressBSD,專為防火墻和路由器功能定制的開源版本。它被安裝在計算機上作為網絡中的防火墻和路由器存在,并以可靠性著稱,且提供往往只存在于昂貴商業防火墻才具有的特性。
HA(High Available), 高可用性群集,是保證業務連續性的有效解決方案,一般有兩個或兩個以上的節點,且分為活動節點及備用節點。通常把正在執行業務的稱為活動節點,而作為活動節點的一個備份的則稱為備用節點。當活動節點出現問題,導致正在運行的業務(任務)不能正常運行時,備用節點此時就會偵測到,并立即接續活動節點來執行業務。
簡單繪了個拓撲圖:
拓撲圖確實有點不咋的啊!可以說是有點難看,有什么好的軟件可以給我推薦下啊!
簡單的說下上面那個圖,這個實驗我是在我的虛擬機上面弄的。
Pfsense1 + Pfsense2 = Pfsense HA
WAN:192.168.1.101 192.168.1.102 192.168.1.254
GW: 192.168.1.1 192.168.1.1 192.168.1.1
LAN:1.1.1.1 1.1.1.2 1.1.1.254
也就是在三層交換機上只要一條默認路由就好,這個條默認路由就指向1.1.1.254。 這個ip是由Pfsense1和Pfsense2虛擬出來的。
如果你仔細觀察的話,會發現我少了東西。呵呵!就是中間不是還有一根線么???
怎么你這里沒體現出來了????
中間這根線是心跳線,是?MASTER?和BACKUP?通信用的,當BACKUP發現MASTER掛了,它就會自動切換狀態變成MASTER。這里我用的LAN口這根線做為心跳線。(這樣有個缺點就是廣播包有點多,對交換機的負擔相對有點重)
注:在弄Pfsense HA過程中Pfsense1和Pfsense2有兩個狀態一個是MASTER,一個是BACKUP。
增加wlan口的虛擬ip
增加lan口的虛擬ip
都弄完成了
下面還有各種同步選項,請根據自己的實際情況去勾選。
弄好了后,你就可以登錄到http://1.1.1.254/index.php 上去配置。
也就是MASTER防火墻上去配置。在MASTER防火墻上配置了數據會同步到BACKUP(有個前提啊!前提是你勾選了那個勾。),所以不用當心這個數據的問題。
這里需要在MASTER防火墻做了個端口轉發
到BACKUP上面來看,數據已經同步過來了。
說明下:配置防火墻請一定要到MASTER防火墻上面去配置,在BACKUP上配了是沒用的。
我把MASTER防火墻關機,BACKUP防火墻馬上接管成為MASTER防火墻, 照樣不影響訪問254。
好吧!就介紹到這里,有問題歡迎大家來和我交流。