您的位置: 首页  >  生活常识  >  山石防火墙ha配置详解(山石防火墙策略配置)

山石防火墙ha配置详解(山石防火墙策略配置)

分类: 生活常识 2023-11-22 21:26:58
序言:最近有个业务需求,需要用2台山石的防火墙替代正在运行的天融信防火墙,经过一番实践和折腾,当前HA主备防火墙运行正常,本篇文章将HA主备防火墙配置教程、遇到的问题及解决方法和小伙伴分享一下。一、业务需求2台墙跑HA主备模式,一台墙down了另外一台正常工作;主墙上下行链路down了,自动切换到备墙,网络不受影响。二、网络拓扑备注:上下行路由器和防火墙都是H3C的,中间防火墙是山石R6P14版本。三、实施步骤1、防火墙型号及版本说明品牌:hillstone(山石)应急平台:SG-6000-P932启动文

前言:

最近有业务需要把正在运行的天荣信防火墙换成两个山防火墙。经过一番实践和折腾,目前HA主备防火墙运行正常。本文将HA主备防火墙的配置教程,遇到的问题以及解决方法分享给朋友们。

一.业务需求

两面墙运行在HA主/备模式,一面墙宕机,另一面正常工作;主墙下行不通,自动切换到备用墙,网络不受影响。

二、网络拓扑

备注:上下游路由器和防火墙为H3C,中间防火墙为山石R6P14版本。

三。实施步骤

1.防火墙型号和版本的描述

品牌:希尔斯通

应急平台:SG-6000-P932

启动文件:SG600-M-3-5.5R6P14.bin

Ps:用作HA主备防火墙的防火墙需要相同的品牌型号和版本(目前全部为R6P14)。

2.网络接口配置

(1)网络接口配置包括:管理端口、HA互联端口、上下行接口。

(2)管理端口的IP配置

注:主用墙和备用墙都配有管理端口IP,此处有备注:

(1)登录正在运行的HA主备防火墙时,我们发现两个墙管理端口的IP显示是一样的,那么我们平时连接备用墙的地址在哪里呢?实际上,当你点击备用墙的“高级选项”时,你发现还有一个IP地址是我们平时连接备用墙的管理端口地址。原因见第二条。

(2)当管理端口的IP没有配置为本地IP时,防火墙备份墙的管理端口会自动同步到与主墙相同的地址。所以在HA主备切换后会发现备份墙在工作,但是无法管理。有两种方法可以解决这个问题:

a、配置防火墙管理端口IP时,选择配置为本地IP,这样就不会同步为主墙地址。

b、主备切换后,通过控制台端口连接防火墙,在管理端口配置中增加一个管理端口IP。命令是管理ip地址(先进入界面),如下图所示。

(3)上行接口配置

(4)下行接口配置

3.高可用性配置

(1)主墙HA配置:

  • IP地址:主地址和备用地址不同。
  • HA集群ID和节点ID: ha主备模式,集群ID相同,节点ID一定不同,或者不配置,让防火墙自己选择。
  • 优先级:默认值为100,主墙优先级较高。设置为50。
  • 抢占时间:主墙配置3s,后备墙未配置。
  • 测试对象:HA,在对象页签-测试对象-中创建,名称为HA,成员为上行和下行接口。这是检测主墙异常并自动切换到备用墙的必要条件。一般在上行链路和下行链路连接后,防火墙会增加检测。

    • (2)HA备用墙配置:

  • IP地址:主地址和备用地址不同。
  • HA集群ID和节点ID、HA主备模式、集群ID相同,但节点ID必须不同,或者未配置,防火墙可以自行选择。
  • 优先级:默认是100,保持100就好。
  • 抢占时间:备用墙没有配置抢占时间。
  • 测试对象:哈,原理和主墙一样。

    • 4.HA主/备用切换测试

    (1)准备工作:

  • HA的两个主备墙工作正常(主用HA指示灯始终为绿色,备用墙橙色灯闪烁);
  • 已配置主墙HA设置监控对象;
  • 测试网络是否正常,tracert -d IP跟踪路由各节点信息(默认为R1)。
  • 可以通过HA指示灯、SSH连接和web界面的HA状态来查看主防火墙和备用防火墙。主-主,备用-备份。

    • (2)拔掉主墙FW1的上行路由器光纤,检查HA master是否切换到FW2,检查网络是否正常,检查路由跟踪节点是否发生变化(此时路由R2)。

    (3)恢复防火墙内FW1的上行路由器光纤,检查HA的master是否自动抢占FW1,检查网络是否正常,检查路由跟踪节点是否发生变化(然后路由R1)。

    (4)同样的方法,拔掉主墙FW1下行交换机的光纤,测试网络,追踪路由。

    (5)恢复防火墙FW1下行交换机的光纤,测试网络和路由,跟踪变化。

    四。问题和解决方案总结

    1.在上线之前,防火墙已经在主用和备用之间切换,使两个强的都成为主用?

    解决方法:按照上面的方法,发现主备墙的节点ID设置是一样的,配置不一样,那么就恢复主备模式。

    2.上线后HA主备切换,拔掉主墙上FW1的上行路由器光纤,HA切换正常,网络正常;但是当主墙FW1的下行交换机的光纤拔掉后,HA交换机正常,网络不正常,就不能工作了?

    Ps:一般在配置监控对象时不会出现这种情况。R4P16等以前的版本可以在不配置接口联动组的情况下正常进行主备切换。R6P14是按策略用来分组工作的,刚好升级到这个版本测试运行。

    解决方法:经调查,FW1的下行交换机网线被拔掉,上行路由器仍有流量,导致上述路由器的VRRP无法切换。在主墙上配置接口联动功能,SSH连接,配置接口组,添加上下游接口,这样任何一个接口宕机,这个组的所有接口都宕机。该方法如下:

    描述:进入配置模式,然后输入3个命令:

    接口-组HA型链接

    接口以太网0/7

    接口以太网0/8

    该测试再次表明,无论FW1上行链路或下行链路光纤断开,HA交换机都是正常的,网络也是正常的。

    动词 (verb的缩写)摘要

    实践是检验真理的唯一标准。只有通过更多的操作,更多的实验,才能知道真相!

    相关推荐