Palo Alto HA (主動/被動) 設定程序總結
這是在 Palo Alto 防火牆上設定「主動/被動」(Active/Passive) 高可用性 (HA) 的步驟。點擊下方標題可展開詳細步驟。
拓撲與目標
此設定的目標是,當主要防火牆 (Active) 發生故障時,備援防火牆 (Passive) 能自動接管所有流量,確保服務不中斷。
設定中包含兩台防火牆 (PA-F1 和 PA-F2),並使用特定連接埠進行 HA 控制 (Control Link, 1/4) 和資料同步 (Data Link, 1/5)。
步驟一:基本防火牆設定 (兩台皆需執行)
- 更改密碼:登入兩台防火牆,並將預設的 admin/admin 密碼更改為新密碼。
- 更改主機名稱:分別將兩台防火牆的主機名稱更改為 "PA-F1" 和 "PA-F2",以便區分。
- 設定管理介面:將兩台防火牆的管理介面 (Management interface) IP 位址從 DHCP 改為靜態 (Static) IP。
步驟二:設定 PA-F1 (主要的 Active 防火牆)
- 設定網路介面 (Network > Interfaces):
- Inside 介面 (1/1):設定為 Layer 3,建立 "inside" Zone 並設定 IP。
- Outside 介面 (1/3):設定為 Layer 3,建立 "outside" Zone 並設定 IP。
- HA interface (1/4 & 1/5):將介面類型更改為 "HA"。
- 完成interface設定
- 設定虛擬路由器 (Network > Virtual Routers):新增一條靜態預設路由 (Static Route),指向外部路由器。
- 設定高可用性 (Device > High Availability):
- 啟用 HA,設定 Group ID。
- 輸入 PA-F2 (對等裝置) 的 HA 控制 IP。
- 優先權 (Priority):設定一個較低的值 (例如 80),使其成為 Active 裝置。
- 啟用 Preemptive:勾選 "Preemptive" 和 "Heartbeat Backup"。
- 設定 HA 通訊 (HP Communications / Control / Data Links):分別為 HA1 (1/4) 和 HA2 (1/5) 介面設定 IP。
- 設定安全策略 (Policies > Security):建立一條允許流量從 "inside" Zone 流向 "outside" Zone 的策略。
- 設定 NAT (Policies > NAT):建立一條 NAT 規則,將 "inside" Zone 流量轉換為 Outside 介面 IP。
- 提交設定 (Commit):儲存並套用 PA-F1 上的所有變更。
步驟三:設定 PA-F2 (備援的 Passive 防火牆)
(注意:PA-F2 僅需設定 HA 相關功能,其餘設定將會從 PA-F1 同步)
- 設定網路介面 (Network > Interfaces):將 1/4 和 1/5 介面的類型更改為 "HA"。
- 設定高可用性 (Device > High Availability):
- 啟用 HA,使用與 PA-F1 相同的 Group ID。
- 輸入 PA-F1 的 HA 控制 IP。
- 優先權 (Priority):保留預設值 (例如 100),使其成為 Passive 裝置。
- 啟用 "Preemptive" 和 "Heartbeat Backup"。
- 設定 HA 通訊 (Control/Data Links):為 HA1 和 HA2 介面設定對應的 IP。
- 提交設定 (Commit):儲存並套用 PA-F2 上的變更。
步驟四:同步與驗證
- 檢查狀態:提交後,PA-F2 的儀表板應顯示其狀態為 "Passive"。
- 同步設定:在 PA-F1 (Active) 上,點擊 "Sync to Peer" (同步至對等裝置),將設定推送到 PA-F2。
- 驗證同步:在 PA-F2 上檢查 HA 狀態是否顯示為 "Synchronized" (已同步),並確認策略已同步過來。
步驟五:故障轉移測試
- 啟動 Ping:從內部用戶端持續 Ping 外部網路。
- 模擬故障:將 PA-F1 (Active) 重新啟動。
- 觀察結果:PA-F2 應立即接管並轉變為 "Active" 狀態,Ping 測試不應中斷。
- 恢復:當 PA-F1 重新開機完成後,它會自動取回 "Active" 角色,PA-F2 則會退回 "Passive" 狀態。