山石网科Hillstone防火墙双机热备HA AA主主模式详细配置步骤(官方最新版)

最新推荐文章于 2024-09-23 18:34:13 发布
最新推荐文章于 2024-09-23 18:34:13 发布
阅读量4.1k 收藏 17
点赞数 1
分类专栏: 网络基础知识 文章标签: 网络协议 网络 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33413510/article/details/124509571
版权

1. 需求分析

  • 配置HA Active- Active工作模式,以提高网络可靠性,保证业务不中断。
  • 本案例将分别演示WebUI和CLI两种配置方式。

2. 案例说明

2.1 环境说明

  • 在配置之前,确认搭建成HA典型组网模式的两台Hillstone设备采用完全相同的硬件平台、固件版本和安装相同的许可证,并且两台设备使用同样的接口连接到网络。

2.2 软硬件信息

硬件平台软件版本
SG-6000-E1100SG6000-M-3-5.5R8P5-v6.bin
SG-6000-E1100SG6000-M-3-5.5R8P5-v6.bin

2.3 组网拓扑

3. 功能配置

3.1  WebUI配置步骤

  • FW1接口配置,ethernet0/1为外网出接口,ethernet0/3为内网口。

  • 配置安全策略。

  • 配置检测对象,建议同时监测内网口和外网口(本案例只监测外网口)。

  • 配置FW1,group0为主,group1为备(配置 ha link 和 HA group并调用检测对象)。(系统->HA)

  • 配置FW2,group0为备,group1为主。

  • 配置FW1上为group 1所生成的VFI接口。

  • 配置FW1的SNAT和目的路由。

  • FW1,FW2分别配置HA簇,开启HA功能。

  • 配置完成后,点击“系统 > 系统信息”,两台设备的HA状态分别如下显示:

FW1:

FW2:

3.2  CLI配置步骤

• 配置FW1 ,group 0 为 主, group 1 为备。

FW1(config)# interface ethernet0/1
FW1 (config-if-eth0/2)# zone untrust
FW1(config-if-eth0/2)# ip address 100.0.1.1/24
FW1(config-if-eth0/2)# exit
FW1(config)# interface ethernet0/3
FW1(config-if-eth0/0)# zone trust
FW1(config-if-eth0/0)# ip address 192.168.10.1/24
FW1(config-if-eth0/0)# exit
FW1(config)# policy-global
FW1(config-policy)# rule from any to any service any permit
FW1(config-policy)# exit
FW1(config)#
配置 track
FW1(config)# track trackobj1
FW1(config-trackip)# interface ethernet0/3 weight 255
FW1(config-trackip)# interface ethernet0/1 weight 255
FW1(config-trackip)# exit
FW1(config)#
FW1(config)# track trackobj2
FW1(config-trackip)# interface ethernet0/3 weight 255
FW1(config-trackip)# interface ethernet0/1 weight 255
FW1(config-trackip)# exit
FW1(config)#
配置 ha link 和 HA group
FW1(config)# ha link interface ethernet0/4
FW1(config)# ha link ip 1.1.1.1/24
FW1(config)# ha group 0
FW1(config-ha-group)# priority 50
FW1(config-ha-group)# preempt 5
FW1(config-ha-group)# monitor track trackobj1
FW1(config-ha-group)# exit
FW1(config)# ha group 1
FW1(config-ha-group)# priority 100
FW1(config-ha-group)# monitor track trackobj2
FW1(config-ha-group)# exit

• 配置  FW2 , group 0为 备 ,group 1 为 主 。

FW1(config)# ha link interface ethernet0/4
FW1(config)# ha link ip 1.1.1.2/24
FW2(config)# ha group 0
FW2(config-ha-group)# priority 100
FW2(config-ha-group)# exit
FW2(config)# ha group 1
FW2(config-ha-group)# priority 50
FW2(config-ha-group)# exit

• 配置 FW1 上为 group 1 所生成的 VFI 接口。

VFI(Virtual Forward Interface)接口就是专为 HA group 1 所用
FW1(config)# interface ethernet0/3:1
FW1(config-if-eth0/1:1)# zone trust
FW1(config-if-eth0/1:1)# ip address 192.168.20.1/24
FW1(config-if-eth0/1:1)# exit
FW1(config)# interface ethernet0/1:1
FW1(config-if-eth0/3:1)# zone untrust
FW1(config-if-eth0/3:1)# ip address 100.0.1.2/24
FW1(config-if-eth0/3:1)# exit
FW1(config)# ip vrouter trust-vr
FW1(config-vrouter)# snatrule from any to any eif ethernet0/1 trans-to eif-ip mode dynamicport
FW1(config-vrouter)# snatrule from any to any eif ethernet0/1:1 trans-to eif-ip mode dynamicport group 1
FW1(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1 100.0.1.10
FW1(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1:1 100.0.1.10
FW1(config-vrouter)#exit

• 配置 HA 簇开启HA 功能,等待配置同步。

FW1(config)# ha cluster 1
FW2(config)# ha cluster 1

• 查看HA协商结果。

FW1# show ha group 0
FW1# show ha group 1
FW2# show ha group 0
FW2# show ha group 1

☛  以上部分图片显示异常,详细图文内容!  

路与肥
关注
专栏目录
山石防火墙配置手册
12-07
山石防火墙配置手册,灰常详细,中间穿插截图
HCSA 山石防火墙HA
08-21
国内防火墙厂商山石防火墙工作模式A/A A/P学习文档
山石防火墙HA
最新发布
2401_84389418的博客
09-23 1131
山石防火墙高可用性
山石网科Hillstone防火墙双机热备HA AP备模式详细配置步骤官方最新版
路与肥的博客
04-30 4013
山石网科Hillstone防火墙双机热备HA AP备模式详细配置步骤官方最新版
山石防火墙简单配置
qq_48257021的博客
01-31 3132
安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI 同时支持Console、Telnet、SSH 等流通信管理协议。1、Web 方式登录安全网关系统,依次选择“系统”→“配置文件管理”→“配置文件列表”→“备份恢复”勾选“立即重启,使新版本生效”,然后点击“应用” 重启设备,系统将使用新的StoneOS 启动。登录设备后,依次点击“系统”→“升级管理”→“浏览”,选择本地保存的 StoneOS 文件。2、点击“恢复”---确定。
山石hillstone防火墙HA高可靠性-备AP模式
03-14 8337
1.配置说明 必须两台设备型号、版本、许可相同 2.实验拓扑 3.配置命令 FW1基本上网配置 FW1(config)# interface ethernet0/3 FW1(config-if-eth0/3)# zone untrust FW1(config-if-eth0/3)# ip address 200.0.0.2/24 FW1(config-if-eth0/3)# exit ...
HillstoneVfw山石网科防火墙用户手册与学习实验模拟器
05-23
HillstoneVfw山石网科防火墙用户手册与学习实验模拟器 flash.vmdk Install Hillstone vFW in Vmware workation.pdf SG6000-VM01-5.5R1F1.iso SG6000-VM01-5.5R1P1.iso Hillstone山石网科安全网关命令手册.pdf ...
思科路由器和山石网科Hillstone防火墙对接IPSec.doc
09-29
IPSec是一个安全协议组,他可以为我们数据传输提供私密性(加密)、完整性校验(Hash)、源认证(Hmac或者数字签名技术)。IPSec 工作的时候会用到IKE(互联网密钥交换)协议,IKE有两个版本,目前版本1和版本2都被...
山石网科 HILLSTONE SG6000-NAV20-5.0R4P9.4 IPV6版
01-12
山石网科 HILLSTONE SG6000-NAV20固件5.0R4P9.4-v6,支持IPV6版固件
完美版资料山石网科防火墙接入方式之透明模式.docx
09-29
教育精品资料
山石网科防火墙配置手册
08-09
山石网科防火墙配置手册
Hillstone山石配置手册(全)
06-06
山石防火墙官方配置手册(全)cli and web configuration guide
山石防火墙web配置手册
10-30
山石防火墙的web界面配置手册,包括如何配置网络接口,用户认证,vpn,对象等等。
山石网科 hillstone StoneOS_5.5_WebUI_用户手册.pdf
12-09
山石网科防火墙 配置手册
山石防火墙HA模式下升级设备系统版本
weixin_43944580的博客
12-09 620
山石防火墙备场景下升级
山石防火墙命令查看配置_山石防火墙HA配置说明
weixin_39602579的博客
12-20 3683
使用高可靠性功能,用户需要按照以下步骤进行配置配置HA组的接口配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。对于X系列其他平台,仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口,其他模块卡接口不支持该功能。配置HA簇。为设备指定HA簇ID,并且开启设备的HA功能。配置HA组。HA组的配置包括指定设备优先级...
山石防火墙双机HA,查看状态命令
funnycoffee123的博客
08-20 362
山石防火墙双机HA,查看状态命令
Hillstone防火墙配置ssl_***实例
weixin_34187862的博客
11-24 1225
网络拓扑需求:使用用户名密码方式认证第一步:创建本地用户第二步:创建安全域 第三步:创建隧道接口注意:隧道IP地址需和地址池同一网段。第四步:创建实例第五步:配置安全域间策略 客户端IE浏览器打开https://10.10.2.70:4433/下载客户端登陆。 转载于:https://blog.51cto.com/zhanx/2043797...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路与肥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值