1. 需求分析
- 配置HA Active- Active工作模式,以提高網絡可靠性,保證業務不中斷。
- 本案例将分别示範WebUI和CLI兩種配置方式。
2. 案例說明
2.1 環境說明
- 在配置之前,确認搭建成HA典型組網模式的兩台Hillstone裝置采用完全相同的硬體平台、固件版本和安裝相同的許可證,并且兩台裝置使用同樣的接口連接配接到網絡。
2.2 軟硬體資訊
| 硬體平台 | 軟體版本 |
| SG-6000-E1100 | SG6000-M-3-5.5R8P5-v6.bin |
| SG-6000-E1100 | SG6000-M-3-5.5R8P5-v6.bin |
2.3 組網拓撲
3. 功能配置
3.1 WebUI配置步驟
- FW1接口配置,ethernet0/1為外網出接口,ethernet0/3為内網口。
- 配置安全政策。
- 配置檢測對象,建議同時監測内網口和外網口(本案例隻監測外網口)。
- 配置FW1,group0為主,group1為備(配置 ha link 和 HA group并調用檢測對象)。(系統->HA)
- 配置FW2,group0為備,group1為主。
- 配置FW1上為group 1所生成的VFI接口。
- 配置FW1的SNAT和目的路由。
- FW1,FW2分别配置HA簇,開啟HA功能。
- 配置完成後,點選“系統 > 系統資訊”,兩台裝置的HA狀态分别如下顯示:
FW1:
FW2:
3.2 CLI配置步驟
• 配置FW1 ,group 0 為 主, group 1 為備。
FW1(config)# interface ethernet0/1
FW1 (config-if-eth0/2)# zone untrust
FW1(config-if-eth0/2)# ip address 100.0.1.1/24
FW1(config-if-eth0/2)# exit
FW1(config)# interface ethernet0/3
FW1(config-if-eth0/0)# zone trust
FW1(config-if-eth0/0)# ip address 192.168.10.1/24
FW1(config-if-eth0/0)# exit
FW1(config)# policy-global
FW1(config-policy)# rule from any to any service any permit
FW1(config-policy)# exit
FW1(config)#
配置 track
FW1(config)# track trackobj1
FW1(config-trackip)# interface ethernet0/3 weight 255
FW1(config-trackip)# interface ethernet0/1 weight 255
FW1(config-trackip)# exit
FW1(config)#
FW1(config)# track trackobj2
FW1(config-trackip)# interface ethernet0/3 weight 255
FW1(config-trackip)# interface ethernet0/1 weight 255
FW1(config-trackip)# exit
FW1(config)#
配置 ha link 和 HA group
FW1(config)# ha link interface ethernet0/4
FW1(config)# ha link ip 1.1.1.1/24
FW1(config)# ha group 0
FW1(config-ha-group)# priority 50
FW1(config-ha-group)# preempt 5
FW1(config-ha-group)# monitor track trackobj1
FW1(config-ha-group)# exit
FW1(config)# ha group 1
FW1(config-ha-group)# priority 100
FW1(config-ha-group)# monitor track trackobj2
FW1(config-ha-group)# exit • 配置 FW2 , group 0為 備 ,group 1 為 主 。
FW1(config)# ha link interface ethernet0/4
FW1(config)# ha link ip 1.1.1.2/24
FW2(config)# ha group 0
FW2(config-ha-group)# priority 100
FW2(config-ha-group)# exit
FW2(config)# ha group 1
FW2(config-ha-group)# priority 50
FW2(config-ha-group)# exit • 配置 FW1 上為 group 1 所生成的 VFI 接口。
VFI(Virtual Forward Interface)接口就是專為 HA group 1 所用
FW1(config)# interface ethernet0/3:1
FW1(config-if-eth0/1:1)# zone trust
FW1(config-if-eth0/1:1)# ip address 192.168.20.1/24
FW1(config-if-eth0/1:1)# exit
FW1(config)# interface ethernet0/1:1
FW1(config-if-eth0/3:1)# zone untrust
FW1(config-if-eth0/3:1)# ip address 100.0.1.2/24
FW1(config-if-eth0/3:1)# exit
FW1(config)# ip vrouter trust-vr
FW1(config-vrouter)# snatrule from any to any eif ethernet0/1 trans-to eif-ip mode dynamicport
FW1(config-vrouter)# snatrule from any to any eif ethernet0/1:1 trans-to eif-ip mode dynamicport group 1
FW1(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1 100.0.1.10
FW1(config-vrouter)# ip route 0.0.0.0/0 ethernet0/1:1 100.0.1.10
FW1(config-vrouter)#exit • 配置 HA 簇開啟HA 功能,等待配置同步。
FW1(config)# ha cluster 1
FW2(config)# ha cluster 1 • 檢視HA協商結果。
FW1# show ha group 0
FW1# show ha group 1
FW2# show ha group 0
FW2# show ha group 1