【高级篇 / HA】(6.0) ❀ 03. 通过命令切换 HA 主备 ❀ FortiGate 防火墙

已于 2022-08-03 14:19:28 修改
阅读量1.1w 收藏 19
点赞数 3
分类专栏: # HA 文章标签: HA 高可用性 主备切换 飞塔 Fortinet
于 2019-09-23 17:00:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meigang2012/article/details/101205819
版权

        【简介】在配置完成后,我们经常会尝试对防火墙的主备进行切换,以验证切换后是否工作正常,切换主备的方式有很多种,例如关机、拨插监控接口网线等,如果是远程配置的话,最好的方法就是用命令进行主备切换了。

  运行时间差

        防火墙启动运行后,会自动记录运行时间,正常情况下,主机的运行时间会比备机的运行时间长。

         ① 选择菜单【系统管理】-【高可靠性】,可以看到主备防火墙的信息,其中主备防火墙都有运行时间,主防火墙的运行时间比备防火墙的运行时间多20分40秒。

        ② 在命令状态下,输入diagnose sys ha dump-by group,可以看到运行时间差,备机比主机多出1240秒。

          【提示】当防火墙启动时,运行时间会重置。如果HA中的所有防火墙都同时启动,那么它们都具有相同的运行时间,这个时候运行时间不会影响主设备的选择。如果各个防火墙之间的运行时间差超过300秒,那么即使它的优先级低,也能成为主设备。

  切换主备

        当我们了解到了运行时间对主备选择很重要的时候,就可以修改设备的运行时间,以达到主备切换的目的。

         ① 在主设备的命令状态下,输入命令diagnose sys ha reset-uptime

        ② 在Web界面中,可以看到虽然设备的优先级是128,但角色已经变成了从。说明有进行主备切换了。

        ③ 再次用命令查看运行时间差,可以看到两台设备的时间差更换了一下位置。

        ④ 用execute ha manager切换到已经成为主机的第二台防火墙,再次用diagnose sys ha reset-uptime重设在线时间。

        ⑤ 可以看到主机又切换回了优先级是128的防火墙了。

         ⑥ 在第二台防火墙上查看运行时间差,与第一台防火墙查看到的内容是一样的。

          【提示】只应当diagnose sys ha reset-uptime命令用作临时解决案。该命令在内部重置HA运行时间,但并不影响仪式表板或集群成员列表上显示的运行时间。为了确保集群设备的实际运行时间与HA运行时间相同,你应该在维护窗口期间重新启动集群设备。

  启动时间与主备关系

        虽然我们知道,两台一样设置的防火墙,优先级高的会成为主设备,但是如果主防火墙比备防火墙启动慢,会出现什么情况呢?

         ① 这里可以看到,第二台防火墙比第一台防火墙先启动一分多钟,但优先级大的第一台防火墙仍成为主防火墙。

        ② 运行时间差是84秒。第一台防火墙慢84秒。

        ③ 再次进行测试,第二台防火墙比第一台防火墙先启动超过5分钟,即使优先级比第一台小,第二台防火墙仍成为主防火墙。

        ④ 可以看到,时间差已经超过默认的300秒。所以原来打算当备机的成为了主机。

        ⑤ 如果在故障转移测试期间,不希望等待默认的5分种运行时间差异,则可以通过set ha-uptime-diff-margin命令进行修改,单位是秒。这里设置为60秒,范围可以从1到65535秒。

          【提示】当主机与备机的运行时间差小于300秒的时候,如果发生故障转移,当故障设备重新加入集群时,集群会选择一个新的主设备。

飞塔老梅子
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Fortigate防火墙安全配置规范.pdf
10-14
Fortigate防火墙安全配置规范.pdf
FortiGate HA主备机强制切换操作
叫我小火柴
02-17 3055
本文主要介绍FortiGate防火墙HA状态下,如何强制进行主备切换
(FortiGate飞塔防火墙HA主备模式配置步骤
weixin_33964094的博客
10-18 3741
HA主备A-P模式配置方法1.HA网络拓扑结构注意:进行HA配置, 硬件和软件版本需满足如下要求:① 防火墙硬件型号相同;② 同型号硬件需要为相同的硬件版本,内存容量,CPU 型号,硬盘容量等相同;③ 相同的软件版本版本;④ 设备的所有接口不能工作在 DHCP,PPPOE 模式下。没有使用的接口的IP地址模式也需要选择为"自定义";2.HA配置步骤步骤 1、配置设备...
天融信下一代防火墙(NGFW)常用命令示例
最新发布
weixin_42048685的博客
03-11 2378
define host add name oa服务器 ipaddr 192.168.1.1 #添加名称为“oa服务器”的主机对象,ip为192.168.1.1#define host add name oa服务器 ipaddr ‘192.168.1.1 192.168.1.2 192.168.1.3’ #添加名称为“oa服务器”的主机对象,ip为192.168.1.1、192.168.1.2以及192.168.1.3三个ip。
eve-ng中模拟飞塔HA测试实验及理论
ghwzjz的博客
02-23 2177
HA工作模式 ​Active-Passive(A-P)模式 集群中的所有防火墙必须工作在同一个模式下。可以对运行中的HA集群进行模式的修改,但会造成一定的延时,因为集群需要重新协商并选取新的主设备。A-P模式提供了备机保护。HA集群中由一台主设备,和一台以上到从设备组成。 从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备到运行状态。整个失效保护的过程是透明的,一旦主设备失效,从设备会自动接替其工作。如果设备的接口或链路出现故障...
FortiGate HA 实验
weixin_33699914的博客
06-12 260
实验一: 最简单的HA 切换 首先配置 HA ,相同的HA 组名,相同的HA 密码, 同为 A-P 模式,相同的HA接口。 不同的防火墙设备名称,不同的优先级(FW1 250,FW2 200)。最好先不要配置侦听口。 HA线一插,过一会,登陆HA优先级高的设备。OK。成为主设备。然后在点侦听口。 这里侦听 port11 和 port 12 两个口。 ...
第四十四讲:神州防火墙双机热备配置
weixin_41687096的博客
01-06 796
神州防火墙双机热备配置.
飞塔防火墙HA详解与配置
weixin_41903258的博客
10-29 4046
本文介绍飞塔防火墙HA配置以及选举机制。
JUNIPER SRX系列防火墙(JUNOS12.1)HA配置说明
weixin_33812433的博客
01-23 827
JUNIPER SRX系列防火墙(JUNOS12.1)HA配置说明Chassis Cluster概述和简介:Juniper SRX系列防火墙可以通过一组相同型号的SRX系列防火墙来提供网络节点的冗余性。每一台设备必须要有相同的junos版本,每一台节点设备通过各自的control ports相互连接来形成Chassis Cluster的控制平面,控制平面通过juniper转...
第30节 天融信Topgate防火墙高可用性HA配置案例
m0_64378913的博客
02-21 7141
目录1 实验要求及网络拓扑图2 实验演示过程—构建高可用性HA2.1 搭建网络结构2.2 防火墙配置2.3 验证3 总结参考文章 给防火墙做备份,也称为防火墙HA,实现公司总出口的高可用性。 1 实验要求及网络拓扑图 (1)本实验采用以下网络拓扑图。 (2)其中各主机的网络设备所扮演的角色及作用如下: 真实机:不参与实验,只是为了远程管理防火墙,通过打开网页对防火墙进行管理。 winxp:作为公司内网主机,可以访问隔离区和外网区服务器。 win2003:一台,一台为外网区的PC。 防火墙:本实
飞塔防火墙常用命令集合
mq88560的博客
02-21 1万+
说明 CPU:系统管理、路由、新建会话、非FA2、NP2,NP4接口的流量处理等; 内存:运行系统软件,存储路由表、会话表、记录日志等; Flash卡:存放Fort IOS版本、配置文件,系统运行事件日志; CP芯片:内容处理芯片,病毒特征/IPS特征查找,IPSec VPN加解密等; FA2、NP2、NP4芯片:网络处理芯片,同步复制已建立的会话后,独立处理转发流量,减少CPU消耗。 ...
FortiGate HA特性介绍与配置
02-23
FortiGate HA特性介绍与配置
FortiGate飞塔防火墙简明配置指南.pdf
09-29
FortiGate飞塔防火墙简明配置指南.pdf
FortiGate防火墙常用配置命令.pdf
11-26
FortiGate防火墙常用配置命令.pdf
Fortigate防火墙安全加固手册.doc
05-17
FortiGate V5.6飞塔防火墙 纯手打安全加固手册,亲手实施,编写文档。供大家参考,不足之处请指出
防火墙设置 FortiGate产品实施一本通_v3.01.rar
04-09
飞塔防火墙配置手册5.0 产品介绍 系统管理 VDOM HA双机热备 路由 IPV6 策略与对象 UTM安装应用功能 WAN优化和缓存 日志与报告 常见问题 故障排查 开局与日常维护 附件
HCIP之排障(一)OSPF故障排除
qq_38178062的博客
11-10 1375
概述 OSPF协议故障问题大致分为三类: 第一类:涉及OSPF邻居关系的建立问题; 第二类:涉及OSPF LSA的泛洪问题; 第三类:涉及OSPF路由的计算问题。 一、OSPF邻居关系建立 典型故障 OSPF协议规定,不同区域(Area)之间的边界是路由器,而不是链路。两台路由器之间的链路,必须处于统一区域(Area),当同一链路的两个接口地址被宣告到不同区域时,此两台链路所处的路由器无法建立邻居关系。 如果两台路由器的Rout...
高级 / System】(7.0) 05. HA配置 SD-WAN FortiGate 防火墙
防火墙技术专栏
10-27 2845
  一般企业通常都会有多条宽带,我们可以利用FortiGate防火墙的SD-WAN功能,均衡多条宽带的流量,以保证网络的正常工作。 在HA的模式下,两台防火墙所有的接口都是相同的,那么在宽带线路只有一根线的情况,要分别接入到两台防火墙,就需要在交换机上划分VLAN,输入一条宽带,输出两条线路分别接入到两台防火墙。这里有两条宽带,就需要划分两个不同的VLAN。 防火墙A和B的Port1、Port2口,分别接入交换机分流出的电信和移动宽带。 登录主防火墙,选择菜单【网络】-【接口】,选择...
高级 / HA】(5.2) 01. HA 高可用性 - 双机热备 FortiGate 防火墙
热门推荐
防火墙技术专栏
06-12 2万+
双机热备特指基于高可用系统中的两台设备的热备(或高可用),设备可以包括交换机、防火墙、服务器等,因两机高可用在国内使用较多,故得名双机热备。双机高可用按工作中的切换方式分为:主-备方式(Active-Standby方式)和双主机方式(Active-Active方式),主-备方式即指的是一台设备处于某种业务的激活状态(即Active状态),另一台设备处于该业务的备用状态(即Standby状态)。而双主机方式即指两种不同业务分别在两台设备上互为主备状态(即Active-Standby和Standby-Activ
fortigate ha 不间断升级
05-31
FortiGate HA 支持不间断升级,这意味着在升级过程中可以保持服务的连续性,而不会影响网络的可用性。在进行不间断升级之前,您需要确保备份了当前的配置文件,并且已经检查了升级文件的完整性和兼容性。在升级过程中,FortiGate HA 会自动将流量从一个设备转移到另一个设备,以确保服务的连续性。升级完成后,您需要重新同步配置文件,并确保所有设备都正常运行。请注意,在升级期间可能会出现一些延迟或性能下降,因此建议在低峰期进行升级。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

飞塔老梅子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值