【雷池】硬件版-透明桥/透明代理-双机HA配置场景
各位师傅好,本文章将介绍硬件版 雷池WAF产品透明桥和透明代理模式的 双机HA配置场景。
部署场景
透明桥、透明代理的HA双机部署模式,适用于网络双链路的部署场景,两台WAF设备配置了HA配置同步后,仅会同步相关WAF站点策略和部分系统配置等,流量切换依然是由WAF的上下游设备进行切换,WAF处于双主模式,即每台WAF依然会单独处理流量,主备WAF间不进行网络会话同步。
注意事项
当部署网络中存在BONDING链路时,大部分情况下BONDING的两条线路都会跑流量,并且同一个会话的流量很可能会不在同一个线路上,此时两条线路上分别串联一台WAF配置HA,如果WAF是透明桥模式,那么将无法进行流量检测,但不会影响业务流量中断。如果是透明代理模式,则很大概率会发生TCP链接建立异常导致业务中断。(如有此类网络部署需求,可联系长亭技术支持进行确认。)
配置过程
- 由于主、备设备之间会进行License同步,因此当需要给WAF设备申请授权License时,请把2台WAF设备的机器码同时告知长亭科技,申请 同时绑定2个机器码的 License文件。
- 两台 WAF 需要通过一个网口(默认是 HA网口)进行数据同步,这两个网口需要配置IP网络互通并接线连通。选择其中一台WAF设备为主设备,另一台为备设备。配置顺序可以先配置主设备,HA口接线后,再配置备设备。
主设备 配置示例:
- 配置主设备 的 HA 网口 IP ,例如:1.1.1.1/24。
![]()
- 创建HA工作组,选择数据同步模式,选择HA网卡。注意填写区分工作组名字、备注。
![]()
- 开启高可用配置,作为主设备,生成通信识别码;如果已经建立数据同步工作组,数据同步接口不需要填写。
![]()
备设备 配置示例:
- 配置主设备 的 HA 网口 IP ,例如:1.1.1.2/24。
![]()
- 创建HA工作组,选择数据同步模式,选择HA网卡。注意填写区分工作组名字、备注。
![]()
- 开启高可用配置,作为备设备,填写通信识别码,主设备地址为 1.1.1.1(需要先用网线连接主、备设备的HA口)
![]()
状态检查
- 从WEB管理界面「网络管理-高可用配置」中可以看到心跳状态与同步状态,状态均为正常。
![]()
- 从主设备上创建防护站点、策略配置等,将会自动同步至备设备上。
数据同步
支持同步的内容
- 网站防护:包括 防护站点配置、防护策略配置、自定义规则、访问频率限制、Bot防护、IP组管理、SSL证书管理、扩展插件管理、威胁情报配置等
- 日志管理:日志归档配置
- 系统设置:告警收信配置、功能启用设置
- 系统信息:许可证license信息
