山石防火墙(HA)

已于 2024-09-23 18:37:15 修改
阅读量852 收藏 10
点赞数 18
分类专栏: # 山石 文章标签: 网络 安全 运维
于 2024-09-23 18:34:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84389418/article/details/142461890
版权

目录

一、HA常见三种模式

1. Active-Passive(A/P)模式

2. Active-Active(A/A)模式

3. Peer模式

二、热备和冷备

1. 热备

2. 冷备

三、HA主备(A/P)模式配置案例

1.组网拓扑

2.环境说明

3.配置步骤

总结

1. 查看ha状态

2. 手动切换HA

一、HA常见三种模式

1. Active-Passive(A/P)模式

        在HA簇中配置两台设备组成一个HA组,组内只有一台主设备。主设备处于活动状态,转发报文,同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现故障时,备份设备接替主设备工作,转发报文。

2. Active-Active(A/A)模式

        当设备处于NAT模式、路由模式或两者的组合时,可以将HA簇中的两台设备都配置成主动,使两台设备同时运行各自的工作,且相互监测对方的情况。当其中一台设备发生故障时,另外一台设备运行其自身的工作并且接管故障设备的工作,以保证工作不间断。

3. Peer模式

        该模式是一种特殊的HA Active-Active模式。处于Peer模式下的两台设备都处于主动状态且同时运行各自的工作、相互监测对方的情况。当其中一台设备发生故障时,另外一台设备运行其自身的工作并且接管故障设备的工作。Peer模式配置更加灵活,比较适合在非对称路由环境中部署。

二、热备和冷备

1. 热备

        即HA主备模式,需两台采用完全相同的硬件平台、软件版本,均安装相同类型的许可证、功能开启一致且所有接口对应关系一致的 Hillstone 设备。

2. 冷备

        可以是两台不同型号相同版本的防火墙。

三、HA主备(A/P)模式配置案例

1.组网拓扑

2.环境说明

        组建HA AP模式的两台设备分别为Device A和Device B。配置后,Device A将被选举为主设备,进行流量转发;Device B为备份设备,Device A会将其配置信息以及状态数据同步到备份设备Device B。当主设备Device A出现故障不能正常转发流量时,备份设备Device B会在不影响用户通信的状态下切换为主设备,继续转发流量。 

3.配置步骤

  • 步骤一

        配置Device A的监测对象。监控主设备ethernet0/0的工作状态,一旦发现接口工作失败,则进行主备切换。

DeviceA(config)# track track1    //检测对象 名称
DeviceA(config-trackip)# interface ethernet0/0 weight 255  //警戒值
  • 步骤二,配置HA组,Device A
DeviceA(config-ha-group)# priority 10     //优先级1-254
DeviceA(config-ha-group)# preempt 3      //主墙可以配置抢占,单位(0-600)s;    0:非抢占。
DeviceA(config-ha-group)# hello interval 200    //hello报文间隔,毫秒
DeviceA(config-ha-group)# hello threshold 15    //hello报文警戒值 
DeviceA(config-ha-group)# arp 15          //免费ARP包个数
DeviceA(config-ha-group)# monitor track track1   //检测对象

        Device B

DeviceB(config-ha-group)# priority 100
DeviceB(config-ha-group)# hello interval 200
DeviceB(config-ha-group)# hello  threshold 15 
DeviceB(config-ha-group)# arp  15

  • 步骤三,配置HA控制连接接口,并开启HA功能
DeviceA(config)# ha link interface ethernet0/2
DeviceA(config)# ha link interface ethernet0/3 
DeviceA(config)# ha link ip 1.1.1.1/24
DeviceA(config)# ha cluster 1 node 0
DeviceB(config)# ha link interface ethernet0/2
DeviceB(config)# ha link interface ethernet0/3 
DeviceB(config)# ha link ip 1.1.1.2/24 
DeviceB(config)# ha cluster 1 node 1
  • 步骤四,配置HA控制连接接口,并开启HA功能
DeviceA(config)# interface MGT
DeviceA(config-if-eth0/0)# manage ip 192.168.1.253
DeviceB(config)# interface MGT
DeviceB(config-if-eth0/0)# manage ip 192.168.1.254

总结

1. 查看ha状态

show ha group 0

2. 手动切换HA

exec ha master switch-over

执行exec ha master switch-over后,主备配置文件中的priority优先级会进行互换。

        注:HA主备切换,一般影响不大,切换过程会丢几个包,用户业务基本无感知,具体看客户业务的敏感程度。不建议在业务高峰期进行HA切换操作。

Purdy网络
关注
专栏目录
山石防火墙命令查看配置_山石防火墙HA配置说明
weixin_39602579的博客
12-20 3635
使用高可靠性功能,用户需要按照以下步骤进行配置:配置HA组的接口。配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。对于X系列其他平台,仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口,其他模块卡接口不支持该功能。配置HA簇。为设备指定HA簇ID,并且开启设备的HA功能。配置HA组。HA组的配置包括指定设备优先级...
Hillstone防火墙技术——StoneOS安全架构简介
03-04
在哪里部署能够控制所有二层和三层的所有类型流量的安全功能呢?Hillstone的StoneOS提供了一个强大的安全平台,它为安全管理者提供了“集成安全控制和网络管理的底层网络结构”。StoneOS通过将网络功能从安全功能中分离出来,扩展了NAT/路由模式。这样,用户就可以在一个完全灵活的环境下使用NAT功能。
重磅-防火墙山石是什么-新手网安技巧
最新发布
2401_84915584的博客
07-22 723
世界舞台的中国力量
山石防火墙安装使用
qq_48257021的博客
01-31 1271
山石虚拟防火墙,可以安装在workstation上。
Hillstone山石网科数据中心防火墙使用手册_5.0R1
05-16
Hillstone山石网科数据中心防火墙使用手册,版本5.0,是操作手册
山石防火墙用户手册全册
09-22
提示:为用户提供相关参考信息。   说明:为用户提供有助于理解内容的说明信息。   注意:如果该操作不正确,会导致系统出错。   『 』:用该方式表示 Hillstone 设备 WebUI 界面上的链接、标签或者按钮。例如,“点击 『登录』按钮进入 Hillstone 设备的主页”。   < >:用该方式表示 WebUI 界面上提供的文本信息,包括单选按钮名称、复选框名称、文 本框名称、选项名称以及文字描述。例如,“改变 MTU 值,选中<手动>单选按钮,然后在 文本框中输入合适的值”。
山石防火墙模拟器SG6000
03-24
山石防火墙模拟器 SG6000 5.5R4P28
HCSA 山石防火墙HA
08-21
国内主流防火墙厂商山石防火墙工作模式A/A A/P学习文档
山石防火墙HA配置案列
09-23
山石防火墙HA配置案例包括以下几个步骤: 1. 配置HA数据连接接口,并确保HA组0和组1接口不配置为HA数据连接接口,而是配置为HA控制连接接口。 2. 设置设备之间发送Hello报文的时间间隔,并确保同一个HA组的设备的...
山石防火墙做OSPF负载实例
qq_24328629的博客
02-10 1524
**山石防火墙做OSPF负载实例** 公司有总部和一个子公司中间有两条专线互联分别伟移动专线和联通专线,要通过OSPF实现链路负载,具体规划如下: 总部核心互联专线防火墙 专线防火墙通过两条专线连接子公司核心 总部移动专线地址10.0.9.1/24 联通专线地址10.0.8.1/24 子公司移动专线地址10.0.9.2 联通专线地址10.0.8.2/24 具体拓扑如下 设备配置 防火墙配置: 1.配置接口地址并划...
山石防火墙twin-mode孪生模式功能验证
03-10
### 山石防火墙twin-mode孪生模式功能验证 #### 验证拓扑与拓扑描述 在本文档中,我们将重点介绍山石防火墙twin-mode(孪生模式)的功能验证流程及其配置方法。首先,我们来看一下实验所采用的拓扑结构: 1. **...
山石防火墙简单配置
qq_48257021的博客
01-31 2725
安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI 同时支持Console、Telnet、SSH 等主流通信管理协议。1、Web 方式登录安全网关系统,依次选择“系统”→“配置文件管理”→“配置文件列表”→“备份恢复”勾选“立即重启,使新版本生效”,然后点击“应用” 重启设备,系统将使用新的StoneOS 启动。登录设备后,依次点击“系统”→“升级管理”→“浏览”,选择本地保存的 StoneOS 文件。2、点击“恢复”---确定。
山石网科Hillstone防火墙L2TP详细配置步骤(官方最新版)
路与肥的博客
04-29 9403
山石网科Hillstone防火墙安全网关L2TP详细配置步骤(官方最新版)
[HillStone] 山石防火墙机制
weixin_34220834的博客
04-17 1549
看图片更明白。 转载于:https://blog.51cto.com/tommyking/1916538
hillstone防火墙设置笔记
weixin_33883178的博客
01-03 4123
防火墙型号:HILLSTONE SG-6000 M3100 山石防火墙默认登录账户和密码都是hillstone,e0/0号口地址为192.168.1.1,找个笔记本设置地址为192.168.1.2(192.168.1.1即为网关),一根网线连起来,用笔记本使用WEB方式登录进行设置,比用console线设置直观。 E0/0接口对应安全域为trust,E0/...
Hillstone防火墙常规部署文档
weixin_34233856的博客
11-12 1440
目录 防火墙常规部署文档 2 防火墙配置前初始化预配置 2 升级至稳定固件系统 2 修改默认远程管理端口 3 防火墙常规部署操作 4 将规划的接口与IP配置好。 5 默认路由配置 6 流量策略配置 7 CLI-命令行快速配置 7 常用配置简单介绍 9 Dnat配置方法 9 策略放行 9 防火墙常规部署文档 防火墙配置前初始化预配置 升级至稳定固件系统 升...
山石防火墙增加端口映射
徐华的博客
06-15 9226
防火墙型号:山石 SG-6000 版本号:Version 5.5 业务需要增加一条有外网至内网的端口映射(目的NAT) 1、登录防火墙; 2、依次点击 策略 - NAT - 目的NAT - 新建; 3、选择端口映射; 4、如果外网端口没有需要的可以参考下面步骤进行添加; 4-1点击添加按钮: 4-2点击新建按钮; 5、一路确定下去,新增端口已经配置完毕,可以用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值