山石网科Hillstone防火墙双机热备HA AA主主模式详细配置步骤（官方最新版）

山石网科Hillstone防火墙双机热备HA AA主主模式详细配置步骤（官方最新版）

1. 需求分析

​​配置HA Active- Active工作模式，以提高网络可靠性，保证业务不中断​​。本案例将分别演示WebUI和CLI两种配置方式。

2. 案例说明

2.1 环境说明

在配置之前，确认搭建成HA典型组网模式的两台Hillstone设备采用完全相同的硬件平台、固件版本和安装相同的许可证，并且两台设备使用同样的接口连接到网络。

2.2 软硬件信息

2.3 组网拓扑

3. 功能配置

3.1  WebUI配置步骤

FW1接口配置，ethernet0/1为外网出接口，ethernet0/3为内网口。

配置安全策略。

配置检测对象，建议同时监测内网口和外网口（本案例只监测外网口）。

配置FW1，group0为主，group1为备（配置 ha link 和 HA group并调用检测对象）。(系统->HA)

配置FW2，group0为备，group1为主。

配置FW1上为group 1所生成的VFI接口。

配置FW1的SNAT和目的路由。

FW1，FW2分别配置HA簇，开启HA功能。

FW1：

FW2：

3.2  CLI配置步骤

• 配置FW1 ，group 0 为 主， group 1 为备。

FW1(config)# interface ethernet0/1FW1 (config-if-eth0/2)# zone untrustFW1(config-if-eth0/2)# ip address 100.0.1.1/24FW1(config-if-eth0/2)# exitFW1(config)# interface ethernet0/3FW1(config-if-eth0/0)# zone trustFW1(config-if-eth0/0)# ip address 192.168.10.1/24FW1(config-if-eth0/0)# exitFW1(config)# policy-globalFW1(config-policy)# rule from any to any service any permitFW1(config-policy)# exitFW1(config)#配置 trackFW1(config)# track trackobj1FW1(config-trackip)# interface ethernet0/3 weight 255FW1(config-trackip)# interface ethernet0/1 weight 255FW1(config-trackip)# exitFW1(config)#FW1(config)# track trackobj2FW1(config-trackip)# interface ethernet0/3 weight 255FW1(config-trackip)# interface ethernet0/1 weight 255FW1(config-trackip)# exitFW1(config)#配置 ha link 和 HA groupFW1(config)# ha link interface ethernet0/4FW1(config)# ha link ip 1.1.1.1/24FW1(config)# ha group 0FW1(config-ha-group)# priority 50FW1(config-ha-group)# preempt 5FW1(config-ha-group)# monitor track trackobj1FW1(config-ha-group)# exitFW1(config)# ha group 1FW1(config-ha-group)# priority 100FW1(config-ha-group)# monitor track trackobj2FW1(config-ha-group)# exit

• 配置  FW2 ， group 0为 备 ，group 1 为 主 。

FW1(config)# ha link interface ethernet0/4FW1(config)# ha link ip 1.1.1.2/24FW2(config)# ha group 0FW2(config-ha-group)# priority 100FW2(config-ha-group)# exitFW2(config)# ha group 1FW2(config-ha-group)# priority 50FW2(config-ha-group)# exit

• 配置 FW1 上为 group 1 所生成的 VFI 接口。

VFI(Virtual Forward Interface)接口就是专为 HA group 1 所用FW1(config)# interface ethernet0/3:1FW1(config-if-eth0/1:1)# zone trustFW1(config-if-eth0/1:1)# ip address 192.168.20.1/24FW1(config-if-eth0/1:1)# exitFW1(config)# interface ethernet0/1:1FW1(config-if-eth0/3:1)# zone untrustFW1(config-if-eth0/3:1)# ip address 100.0.1.2/24FW1(config-if-eth0/3:1)# exitFW1(config)# ip vrouter trust-vrFW1(config-vrouter)# snatrule from any to any eif ethernet0/1 trans-to eif-ip mode dynamicportFW1(config-vrouter)# snatrule from any to any eif ethernet0/1:1 trans-to eif-ip mode dynamicport group 1FW1(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1 100.0.1.10FW1(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1:1 100.0.1.10FW1(config-vrouter)#exit

• 配置 HA 簇开启HA 功能，等待配置同步。

FW1(config)# ha cluster 1FW2(config)# ha cluster 1

• 查看HA协商结果。

FW1# show ha group 0FW1# show ha group 1FW2# show ha group 0FW2# show ha group 1

☛  以上部分图片显示异常，详细图文内容！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。