山石防火墻雙機熱備模式配置案例
1. 需求分析
配置HA Active- Active[1]工作模式,以提高網絡可靠性,保證業務不中斷。
本案例將分別演示WebUI和CLI兩種配置方式。
2. 案例說明
2.1 環境說明
在配置之前,確認搭建成HA典型組網模式的兩臺Hillstone設備采用完全相同的硬件平臺、固件版本和安裝相同的許可證,并且兩臺設備使用同樣的接口連接到網絡。
2.2 軟硬件信息
| 硬件平臺 | 軟件版本 |
| SG-6000-E1100 | SG6000-M-3-5.5R8P5-v6.bin |
| SG-6000-E1100 | SG6000-M-3-5.5R8P5-v6.bin |
2.3 組網拓撲
3. 功能配置
3.1 WebUI配置步驟
FW1接口配置,ethernet0/1為外網出接口,ethernet0/3為內網口。
配置安全策略。
配置檢測對象,建議同時監測內網口和外網口(本案例只監測外網口)。
配置FW1,group0為主,group1為備(配置 ha link 和 HA group并調用檢測對象)。(系統->HA)
配置FW2,group0為備,group1為主。
配置FW1上為group 1所生成的VFI接口。
配置FW1的SNAT和目的路由。
FW1,FW2分別配置HA簇,開啟HA功能。
配置完成后,點擊“系統 > 系統信息”,兩臺設備的HA狀態分別如下顯示:
FW1:
FW2:
3.2 CLI配置步驟
? 配置FW1 ,group 0 為 主, group 1 為備。
FW1(config)#interfaceethernet0/1 FW1(config-if-eth0/2)#zoneuntrust FW1(config-if-eth0/2)#ipaddress100.0.1.1/24 FW1(config-if-eth0/2)#exit FW1(config)#interfaceethernet0/3 FW1(config-if-eth0/0)#zonetrust FW1(config-if-eth0/0)#ipaddress192.168.10.1/24 FW1(config-if-eth0/0)#exit FW1(config)#policy-global FW1(config-policy)#rulefromanytoanyserviceanypermit FW1(config-policy)#exit FW1(config)# 配置track FW1(config)#tracktrackobj1 FW1(config-trackip)#interfaceethernet0/3weight255 FW1(config-trackip)#interfaceethernet0/1weight255 FW1(config-trackip)#exit FW1(config)# FW1(config)#tracktrackobj2 FW1(config-trackip)#interfaceethernet0/3weight255 FW1(config-trackip)#interfaceethernet0/1weight255 FW1(config-trackip)#exit FW1(config)# 配置halink和HAgroup FW1(config)#halinkinterfaceethernet0/4 FW1(config)#halinkip1.1.1.1/24 FW1(config)#hagroup0 FW1(config-ha-group)#priority50 FW1(config-ha-group)#preempt5 FW1(config-ha-group)#monitortracktrackobj1 FW1(config-ha-group)#exit FW1(config)#hagroup1 FW1(config-ha-group)#priority100 FW1(config-ha-group)#monitortracktrackobj2 FW1(config-ha-group)#exit
? 配置 FW2 , group 0為 備 ,group 1 為 主 。
FW1(config)#halinkinterfaceethernet0/4 FW1(config)#halinkip1.1.1.2/24 FW2(config)#hagroup0 FW2(config-ha-group)#priority100 FW2(config-ha-group)#exit FW2(config)#hagroup1 FW2(config-ha-group)#priority50 FW2(config-ha-group)#exit
? 配置 FW1 上為 group 1 所生成的 VFI 接口。
VFI(VirtualForwardInterface)接口就是專為HAgroup1所用 FW1(config)#interfaceethernet0/3:1 FW1(config-if-eth0/1:1)#zonetrust FW1(config-if-eth0/1:1)#ipaddress192.168.20.1/24 FW1(config-if-eth0/1:1)#exit FW1(config)#interfaceethernet0/1:1 FW1(config-if-eth0/3:1)#zoneuntrust FW1(config-if-eth0/3:1)#ipaddress100.0.1.2/24 FW1(config-if-eth0/3:1)#exit FW1(config)#ipvroutertrust-vr FW1(config-vrouter)#snatrulefromanytoanyeifethernet0/1trans-toeif-ipmodedynamicport FW1(config-vrouter)#snatrulefromanytoanyeifethernet0/1:1trans-toeif-ipmodedynamicportgroup1 FW1(config-vrouter)#iproute0.0.0.0/0ethernet0/1100.0.1.10 FW1(config-vrouter)#iproute0.0.0.0/0ethernet0/1:1100.0.1.10 FW1(config-vrouter)#exit
? 配置 HA 簇開啟HA 功能,等待配置同步。
FW1(config)#hacluster1 FW2(config)#hacluster1
? 查看HA協商結果。
FW1#showhagroup0 FW1#showhagroup1 FW2#showhagroup0 FW2#showhagroup1
審核編輯:湯梓紅
-
接口
+關注
關注
33文章
8610瀏覽量
151213 -
防火墻
+關注
關注
0文章
418瀏覽量
35616 -
網絡
+關注
關注
14文章
7569瀏覽量
88807
原文標題:3. 功能配置
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
工商網監
評論