Hillstone-HA

发布于:2021-09-13 18:03:04

HillStone HA
Zhang Kun

HillStone HA 配置案例

www.hillstonenet.com

Hillstone Confidential

2

配置前规划
按照*送迹啡仙璞付酝夂投阅诘耐ㄑ督涌冢婊 安全域,规划HA接口 如上图,e0/0属于untrust 安全域 ,e0/1属于trust安全 域 如上图,e0/2和e0/3被设置为HA接口 按照*送迹

www.hillstonenet.com

Hillstone Confidential

3

步骤一 接口和相关配置
先对A机进行配置,包括端口IP的配置,路由的配置, 安全策略的配置等等

www.hillstonenet.com

Hillstone Confidential

4

步骤二、创建HA 步骤二、创建HA Group
在WEBUI下点击“系统” --- “HA” --- “组列 表”,出现组列表的界面,点击右上角的 “新建”,进入组的创建界面

www.hillstonenet.com

Hillstone Confidential

5

“组” 列表 中配置内容如下

当前只能设置为0 当前只能设置为 可任意设置 心跳间隔,默认为 秒 心跳间隔,默认为1秒 心跳阀值,默认为3 心跳阀值,默认为3 设备优先级, 设备优先级,数值越低 优先级越高 主备的抢占功能 切换时发送ARP包的数 切换时发送 包的数 默认为5 目,默认为 监控对象的绑定

www.hillstonenet.com

Hillstone Confidential

6

步骤三、创建HA 步骤三、创建HA 的基本配置
在WEBUI下点击“系统” --- “HA” --- “基本 配置”,进入HA的 基本配置的界面

www.hillstonenet.com

Hillstone Confidential

7

在WEBUI的“基本配置”界面下,添加HA接口,用以传 递主备设备之间的心跳信息和备份的会话等信息

HA接口可以是 个或 个,可根据自己需要设定 接口可以是1个或 接口可以是 个或2个

www.hillstonenet.com

Hillstone Confidential

8

Hillstone安全网关需在HA接口上指定IP,主和备设备相连 的HA端口的IP必须在同一网段上。本案例中,我们设定 hillstone A设备的HA接口的IP是10.1.1.1/30 ; B设备HA接口ip是10.1.1.2/30 在WEBUI的“基本配置”界面下,在 “HA Link Interface IP” 中,输入IP地址和网络掩码,点击 “确认” 后,添加成功

www.hillstonenet.com

Hillstone Confidential

9

步骤四 创建监测对象

在WEBUI下点击“系统” --- “对象” --“监测对象”,进入监测对象的配置界面

www.hillstonenet.com

Hillstone Confidential

10

“监测对象” 中WebUI配置界面如下
对象名称 对象的警戒阀值

监控类型

对象的报警阀值

www.hillstonenet.com

Hillstone Confidential

11

我们需要定义监控对象,并判断由什么因素会造成设备切换, 我们需要定义监控对象,并判断由什么因素会造成设备切换,而HA方案中 方案中 ,重点的监控对象就是对外和对内连接的数据传输端口了

www.hillstonenet.com

Hillstone Confidential

12

步骤五 绑定监测对象
在WEBUI下点击“系统” --- “组列表” , 并“编辑”之前创建的 test 组

监控” 的下拉菜单,选择之前创建的监控对象, 点击 “监控” 的下拉菜单,选择之前创建的监控对象,点击 “确定 后即绑架监测对象了。 ” 后即绑架监测对象了。
www.hillstonenet.com Hillstone Confidential 13

应用HA Cluster并生效 步骤六 应用HA Cluster并生效
基本配置” 在WEBUI下点击“系统” --- “HA” --- “基本配置”, WEBUI下点击“系统” 下点击

需选择1-7,点击确定, 即自动生效 选择 “HA簇”,需选择 ,点击确定,HA即自动生效 簇 如选择 值为 0,则HA被disable , 被

www.hillstonenet.com

Hillstone Confidential

14

步骤7 对备机进行HA HA配置 步骤7 对备机进行HA配置
机进行配置的时候, 生效后, 对B机进行配置的时候,无需配置策略等内容,因为当 生效后,主备的 机进行配置的时候 无需配置策略等内容,因为当HA生效后 信息将自动同步。所以只需配置HA部分即可 部分即可。 的配置内容 的配置内容, 信息将自动同步。所以只需配置 部分即可。HA的配置内容,主备基本 一致,需注意的一点为,备机的优先级阀值需大于主设备。 一致,需注意的一点为,备机的优先级阀值需大于主设备。

备份设备优先级, 备份设备优先级,数值越低优 先级越高

www.hillstonenet.com

Hillstone Confidential

15

DEBUG HA
在某些特殊情况下,可能出现主备配置信息不同步现象。此时, 在某些特殊情况下,可能出现主备配置信息不同步现象。此时,需要用户手动同步主备设备 的配置信息。 的配置信息。 用户可以通过以下方法判断是否需要进行手动同步: 用户可以通过以下方法判断是否需要进行手动同步: 1. 分别在主备设备上执行相应的 分别在主备设备上执行相应的show 命令查看相关配置信息。 命令查看相关配置信息。 2. 根据显示的配置信息,判断是否需要手动同步: 根据显示的配置信息,判断是否需要手动同步: ? 如果显示的配置信息一致,则无需进行手动同步; 如果显示的配置信息一致,则无需进行手动同步; ? 如果显示的配置信息不一致,需要手动执行相应的命令完成配置信息同步 如果显示的配置信息不一致,

? 查看HA 簇配置信息:show ha cluster ? 查看HA 组配置信息:show ha group {config | group-id} ? 查看HA 连接配置状态:show ha link status ? 查看HA 同步状态:show ha sync state {pki | dns | dhcp | vpn | ntp | config | flow} ? 查看HA 同步统计信息:show ha sync statistic {pki | dns | dhcp | vpn | ntp | config} ? 显示接收和发送的HA 协议统计信息:show ha protocol statiscitc

www.hillstonenet.com

Hillstone Confidential

16

HA 同步命令
注意:同步命令需在主设备上执行!!! 注意:同步命令需在主设备上执行!!!

www.hillstonenet.com

Hillstone Confidential

17

如何同时管理主备2 如何同时管理主备2台设备
HA生效后,由于2台设备上接口 和配置完全一致,而Hillstone HA的工作模式为 生效后,由于 台设备上接口 和配置完全一致, 台设备上接口IP和配置完全一致 生效后 的工作模式为 Active-Passive,所以通过接口 去访问和管理设备的时候只能访问到主的那台设 ,所以通过接口ip去访问和管理设备的时候只能访问到主的那台设 如果需要同时管理主备2台设备 台设备, 管理IP” 来解决 备。如果需要同时管理主备 台设备,我们需要通过在接口上配置 “管理 只需要将主备2台设备的管理IP设置为不一样的 就可以通过这2个 去管理 去管理2台设备了 只需要将主备 台设备的管理 设置为不一样的,就可以通过这 个IP去管理 台设备了 台设备的管理 设置为不一样的,

www.hillstonenet.com

Hillstone Confidential

18


相关推荐