首先,惯例,搞清楚所有需求和配置思路。高可用需求讲了太多,我就不多聊了。直接聊配置思路!

上大菜!

配置 HA 所需要具备的条件:

在配置之前,确认搭建成HA 典型组网模式的两台安全网关采用完全相同的硬件平台、固件版本,均启用VR及防病毒、IPS功能,安装防病毒、IPS许可证,并且两台设备使用同样的接口连接到网络。

PS:通俗理解就是:固件版本要一样,许可证要一样,连公网和连内网接口要一样。总之什么都要一样才能配置

 

CLI-主设备配置方法

Hillstone-A(A)(config)#track HA    跟踪命名  

Hillstone-A(A)(config-trackip)#interface ethernet0/1 weight 255  跟踪Eth0/1权值默认255

Hillstone-A(config)#ha group 0     创建ha0

Hillstone-A(config-ha-group)#priority 50     配置优先值越小越优先

Hillstone-A(config-ha-group)#preempt         配置角色抢占一般不配置

Hillstone-A(A)(config-ha-group)#monitor track HA   调用前面配置的跟踪接口

Hillstone-A(config-ha-group)#exit

Hillstone-A(config)#

Hillstone-A(config)#ha link interface ethernet0/4   制定ha接口eth0/4 配置完成后,eth0/4 zone 自动变成ha

Hillstone-A(config)#ha link ip 172.29.200.1/30      配置halink ip ip与接口IP没联系

Hillstone-A(config)#ha cluster 7                    配置clusterid  配置最关键一步

Hillstone-A(M)(config)# 

 

同样的配置(备)设备来一次

Hillstone-B(B)(config)#track HA

Hillstone-B(B)(config-trackip)#interface ethernet0/1 weight 255

Hillstone-B(config)#ha group 0

Hillstone-B(config-ha-group)#priority 100

Hillstone-B(config-ha-group)#preempt

Hillstone-B(B)(config-ha-group)#monitor track HA

Hillstone-B(config-ha-group)#exit

Hillstone-B(config)#

Hillstone-B(config)#ha link interface ethernet0/4

Hillstone-B(config)#ha link ip 172.29.200.2/30

Hillstone-B(config)#ha cluster 7

Hillstone-B(B)(config)# 

至此已完成HA的配置,就可以看到俩台设备主备状态已经正常。快乐的玩耍吧。

PS:ha link-ip 与内网无关,甚至可以说随便配置/30即可,我上面的track是监听上行链路的,所以这里各位兄弟千万别设置为监听HA的心跳口(eth0/4)。

 

下面介绍Web界面配置方法:

  1. 1.  点击系统管理中的 HA 按钮,进入 HA 配置界面

山石网科-Hillstone-Nav20-HA之配置终结篇_ha

2.配置心跳接口,和心跳接口地址,HA簇 ID 选 1,优先级数值小表示主机,数

值大表示备机,抢占时间只有主机需要配置(0表示不抢占) ,配置检测对象来

控制主备的切换,当监测对象生效时,设备自动变成备机:

山石网科-Hillstone-Nav20-HA之配置终结篇_防火墙主备配置_02

3.配置检测对象

点击对象用户中的监测对象按钮,进入配置界面

山石网科-Hillstone-Nav20-HA之配置终结篇_hillstone_03

 

监测接口的物理状态,可以添加多个接口,每个接口有一个权值,该数值表示该接口DOWN 后将释放的数值,当所有释放的权值累计数值大于等于警戒值的时候,该检测对象就生效,权值和警戒值都可以自行调整:

山石网科-Hillstone-Nav20-HA之配置终结篇_hillstone_04

 

这里注意,监听口务必设置成上行链路(公网出接口)或者内网上行链路

山石网科-Hillstone-Nav20-HA之配置终结篇_高可用_05

 

(可选)监测链路逻辑状态,可以配置多种形式的探测, 这里用 ping 举例, 单机添加,

Ping,名字自取,如图配置中,设备没3 秒发一个 ping 包,连续 3 个包不通,

该条目即生效,设备会优先使用配置的收包接口的管理IP 为源地址(如没有管

理 IP 就用接口的IP 为源地址)通过配置的发包接口把 ping 包发出.

山石网科-Hillstone-Nav20-HA之配置终结篇_ha_06

山石网科-Hillstone-Nav20-HA之配置终结篇_hillstone_07

 

4.配置接口

【如果是主备模式】在 AP 模式下,配置方式和普通上网一致,直接在接口上进行配置即可,同时日常的维护也和平常一样,没有任何的改变。

 

【如果不是双主模式,下面的配置即可忽略】在 AA 模式下,组0 正常配置,组 1 需要配置 VF 接口,如下:

山石网科-Hillstone-Nav20-HA之配置终结篇_高可用_08

山石网科-Hillstone-Nav20-HA之配置终结篇_ha_09

                             

5.配置管理 IP

由于备机是不转发流量的,所以需要在组0 的接口上配置管理 IP,用于设备的管理和进行 TRACK 监测,配置如下:

山石网科-Hillstone-Nav20-HA之配置终结篇_hillstone_10

山石网科-Hillstone-Nav20-HA之配置终结篇_ha_11

 

6.配置 NAT

AP 模式下,配置NAT 和普通配置一致,直接配置即可。

AA 模式下,组0 配置 NAT 和普通配置一致,直接配置即可,组 1 配置 NAT 是需要

选择组 1,如下:

SNAT:

山石网科-Hillstone-Nav20-HA之配置终结篇_防火墙主备配置_12

 

山石网科-Hillstone-Nav20-HA之配置终结篇_高可用_13

DNAT:

山石网科-Hillstone-Nav20-HA之配置终结篇_ha_14

 

 

7.正常配置路由以及策略,确保网络的通畅。

 

 

写到最后,后期我会补充完善更多HA排错问题。请路过的大拿拍砖!!