山石防火墙（HA）

大家好，欢迎来到IT知识分享网。

目录

一、HA常见三种模式

1. Active-Passive（A/P）模式

2. Active-Active（A/A）模式

3. Peer模式

二、热备和冷备

1. 热备

2. 冷备

三、HA主备(A/P)模式配置案例

1.组网拓扑

2.环境说明

3.配置步骤

总结

1. 查看ha状态

2. 手动切换HA

一、HA常见三种模式

1. Active-Passive（A/P）模式

        在HA簇中配置两台设备组成一个HA组，组内只有一台主设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现故障时，备份设备接替主设备工作，转发报文。

2. Active-Active（A/A）模式

        当设备处于NAT模式、路由模式或两者的组合时，可以将HA簇中的两台设备都配置成主动，使两台设备同时运行各自的工作，且相互监测对方的情况。当其中一台设备发生故障时，另外一台设备运行其自身的工作并且接管故障设备的工作，以保证工作不间断。

3. Peer模式

        该模式是一种特殊的HA Active-Active模式。处于Peer模式下的两台设备都处于主动状态且同时运行各自的工作、相互监测对方的情况。当其中一台设备发生故障时，另外一台设备运行其自身的工作并且接管故障设备的工作。Peer模式配置更加灵活，比较适合在非对称路由环境中部署。

二、热备和冷备

1. 热备

        即HA主备模式，需两台采用完全相同的硬件平台、软件版本，均安装相同类型的许可证、功能开启一致且所有接口对应关系一致的 Hillstone 设备。

2. 冷备

        可以是两台不同型号、相同版本的防火墙。

三、HA主备(A/P)模式配置案例

1.组网拓扑

2.环境说明

        组建HA AP模式的两台设备分别为Device A和Device B。配置后，Device A将被选举为主设备，进行流量转发；Device B为备份设备，Device A会将其配置信息以及状态数据同步到备份设备Device B。当主设备Device A出现故障不能正常转发流量时，备份设备Device B会在不影响用户通信的状态下切换为主设备，继续转发流量。 

3.配置步骤

• 步骤一

        配置Device A的监测对象。监控主设备ethernet0/0的工作状态，一旦发现接口工作失败，则进行主备切换。

DeviceA(config)# track track1 //检测对象 名称 DeviceA(config-trackip)# interface ethernet0/0 weight 255 //警戒值

• 步骤二，配置HA组，Device A

DeviceA(config-ha-group)# priority 10 //优先级1-254 DeviceA(config-ha-group)# preempt 3 //主墙可以配置抢占，单位（0-600）s; 0:非抢占。 DeviceA(config-ha-group)# hello interval 200 //hello报文间隔，毫秒 DeviceA(config-ha-group)# hello threshold 15 //hello报文警戒值 DeviceA(config-ha-group)# arp 15 //免费ARP包个数 DeviceA(config-ha-group)# monitor track track1 //检测对象

        Device B

DeviceB(config-ha-group)# priority 100 DeviceB(config-ha-group)# hello interval 200 DeviceB(config-ha-group)# hello threshold 15 DeviceB(config-ha-group)# arp 15 

• 步骤三，配置HA控制连接接口，并开启HA功能

DeviceA(config)# ha link interface ethernet0/2 DeviceA(config)# ha link interface ethernet0/3 DeviceA(config)# ha link ip 1.1.1.1/24 DeviceA(config)# ha cluster 1 node 0

DeviceB(config)# ha link interface ethernet0/2 DeviceB(config)# ha link interface ethernet0/3 DeviceB(config)# ha link ip 1.1.1.2/24 DeviceB(config)# ha cluster 1 node 1

• 步骤四，配置HA控制连接接口，并开启HA功能

DeviceA(config)# interface MGT DeviceA(config-if-eth0/0)# manage ip 192.168.1.253

DeviceB(config)# interface MGT DeviceB(config-if-eth0/0)# manage ip 192.168.1.254

总结

1. 查看ha状态

show ha group 0

2. 手动切换HA

exec ha master switch-over

执行exec ha master switch-over后，主备配置文件中的priority优先级会进行互换。

        注：HA主备切换，一般影响不大，切换过程会丢几个包，用户业务基本无感知，具体看客户业务的敏感程度。不建议在业务高峰期进行HA切换操作。