启明星辰安全网关LFRP集群配置与注意事项

"注意事项-fp5139最新中文规格书" 本文档主要介绍了启明星辰安全网关在不同工作模式下的注意事项以及配置管理规范，特别是关于LFRP（Load Balance and Failover Redundancy Protocol）集群的相关信息。LFRP集群用于实现高可用性和负载均衡，确保网络安全设备的连续运行。 1. **电源建议**：在LFRP集群中，推荐每个安全网关节点使用独立的电源，以提高系统的稳定性和容错能力。 2. **LFRP集群工作模式**： - 主动-主动模式只支持路由模式，不支持桥模式，因为桥模式可能导致回环风暴。 - 主动-被动模式同时支持路由模式和桥模式，但在桥模式下需关闭STP并正确设置心跳线，以防回环风暴。回环风暴出现时，重启任意一台安全网关可解决问题。推荐使用路由模式，避免回环风暴。 3. **双机热备和负载均衡模式**：在这些模式下，关闭IDS可以防止其占用过多系统资源，影响HA系统的实时性，从而确保系统正常运行。 4. **安全网关启动和管理**：启动时，第一个启动的安全网关成为主节点，其余为从节点。管理员只需管理主节点，配置更改会自动传播到所有从节点。不同版本的安全网关无法组成集群，以免配置同步出现问题。 5. **故障转移**：主节点故障时，优先级为2的从节点升为主节点。如果使用电子钥匙管理，需要更新电子钥匙的安全网关ID以匹配新的主节点。 6. **HA网口IP和参数**：同一集群中各节点的HA接口IP不同但同网段，不能与业务网口在同一网段。所有节点需有相同HA标识符和工作模式，但节点ID必须唯一。 7. **NAT规则限制**：启用HA时，禁止使用可能导致LFRP协议异常的NAT规则，例如源和目的地址均为any，服务为TCP或UDP，动作为源地址转换的规则。 此外，文档还提到了启明星辰安全网关USG的功能使用手册，涵盖了地址、服务、时间、安全域的概念和配置方法，但详细内容未在摘要中给出。这些基础配置是安全网关进行策略制定和网络控制的关键，包括地址资源创建、服务定义、时间定义和安全域划分，都是保障网络访问控制和安全策略实施的基础。用户应根据实际需求和手册指导进行配置，确保安全网关能够有效地保护网络环境。