HillstoneSG6000之综合实验

写在前面：
Hillstone防火墙高可靠组网工作模式目前有三种：“HA组”AP模式、“HA组”AA模式、“非HA组”AA模式。“HA组”是指两台防火墙通过Hillstone集群管理协议建立互相备份关系，Hillstone集群管理协议是类似于VRRP的Hillstone私有协议；而“非HA组”则是两台防火墙依赖组网中的路由冗余建立互相备份关系。本次实验主要介绍“HA组”AP模式。
所谓“HA组”AP模式，就是两台设备（工作在透明模式或者路由模式）配置成一个“HA组”，一台作为主设备，另一台作为备份设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现设备或链路故障时，备份设备接替主设备工作，转发报文。这种主备模式具有较强冗余性，而且其网络结构简单，便于维护管理。
实验拓扑：

实验目标
1、在主墙上增加策略，配置和会话可同步到备墙，且只可以在主墙上增加策略，备墙无法增加策略
2、实现双机热备的功能，关闭主防火墙，备墙切换为主状态，业务恢复
3、关闭IPS上联的e0/1口，此时主防火墙的E0/1状态仍为UP，使用TRACK与HA Group 0的联动，实现主备墙的切换
实验环境
1、基于EVE-NG模拟器
2、防火墙使用HillstoneSG6000的镜像
3、交换机使用二层交换机镜像
4、IPS为透明模式，使用交换机的镜像模拟，工作在二层
开始配置
一、交换机
SW1：
Vlan 2
vlan 4
interface Ethernet0/0
switchport access vlan 2
switchport mode access
interface Ethernet0/1
switchport access vlan 4
switchport mode access
interface Ethernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Vlan2
ip address 12.1.1.4 255.255.255.0
vrrp 2 ip 12.1.1.6
vrrp 2 priority 120
!
interface Vlan4
ip address 14.1.1.1 255.255.255.0
vrrp 4 ip 14.1.1.3
vrrp 4 priority 120
!
ip route 0.0.0.0 0.0.0.0 12.1.1.1
SW2：
Vlan 2
vlan 4
interface Ethernet0/0
switchport access vlan 2
switchport mode access
!
interface Ethernet0/1
switchport access vlan 4
switchport mode access
!
interface Ethernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Vlan2
ip address 12.1.1.5 255.255.255.0
vrrp 2 ip 12.1.1.6
!
interface Vlan4
ip address 14.1.1.2 255.255.255.0
vrrp 4 ip 14.1.1.3
!
ip route 0.0.0.0 0.0.0.0 12.1.1.1
IPS(交换机模拟）：
interface Ethernet0/0
switchport access vlan 2
switchport mode access
duplex auto
!
interface Ethernet0/1
switchport access vlan 2
switchport mode access
duplex auto
!
二、HillstoneSG6000配置
HillstoneSG6000-01:
hostname SG-6000-01
track “obj”
ip 12.1.1.4 interface ethernet0/1 interval 5 //定义TRACK对象，ping包探测对端地址12.1.1.4，出接口为E0/1
interface ethernet0/0 local
zone “trust”
ip address 192.168.136.11 255.255.255.0 //定义带外管理口地址
manage ssh
manage ping
manage snmp
manage https
exit
interface ethernet0/1
zone “trust”
ip address 12.1.1.1 255.255.255.0 //定义防火墙上联接口地址，安全级别为Trust
manage ping
exit
interface ethernet0/2
zone “untrust”
ip address 13.1.1.1 255.255.255.0 //定义防火墙下联接口地址，安全级别为Untrust
manage ping
exit
ip vrouter “trust-vr”
snatrule id 1 from “13.1.1.100” to “14.1.1.100” service “Any” trans-to eif-ip mode dynamicport //13.1.1.100访问14.1.1.100的流量源地址做NAT，转为e0/1接口地址
ip route 14.1.1.0/24 ethernet0/1 12.1.1.6 //设置静态路由
ha link interface ethernet0/3 //指定 HA 控制连接接口
ha link data interface ethernet0/4 //指定 HA 连接为数据连接。指定后，会话信息将通过 HA 连接接口同步完成
ha link ip 1.1.1.1 255.255.255.0 //HA 连接接口指定完毕，用户需要为 HA 连接接口配置 IP 地址
ha sync rdo session //启动运行时动态对象的主/备同步
ha group 0 //与ScreenOS的VSD相同
priority 50 //数值越小优先级越高
preempt //只需要Master上设置争抢模式
monitor track “obj” //调用failover触发的监控条件
exit
ha cluster 1 //为0-1，与ScreenOS的VSD相同
HillstoneSG6000-02:
hostname SG-6000-02
ha link interface ethernet0/3
ha link data interface ethernet0/4
ha link ip 1.1.1.2 255.255.255.0
ha sync rdo session
ha group 0
priority 90
preempt
exit
ha cluster 1
注明：备墙只需配置心跳地址即可，所有配置自动从主墙同步过来
三、其它
客户机Client：
IP地址：13.1.1.100/24
网关：13.1.1.1
服务器Server：
IP地址：14.1.1.100/24
网关：14.1.1.3
实验现象
实验现象一、在主墙上增加策略，配置和会话可同步到备墙，且只可以在主墙上增加策略，备墙无法增加策略
1、尝试在备墙上192.168.136.12添加一条any到any的策略，备墙提示报错，说明只能在主墙增加策略。

2、在主墙192.168.136.11上添加策略，备墙自动同步配置，也可手动同步。


3、在Client(13.1.1.100)客户机上telnet 14.1.1.100服务器的23端口，同时查看主墙和备墙的会话表，主备墙会话可自动同步。

SG-6000-01(M)# show session sync
session: id 27, proto 6, flag 10000a, flag1 20000, created 28602, life 1761, policy 1,app 5(TELNET) flag 0x0, auth_user_id 0, reverse_auth_user_id 0
flow0(10(ethernet0/2)/200810): 13.1.1.100:27068->14.1.1.100:23
flow1(9(ethernet0/1)/40200810): 14.1.1.100:23->12.1.1.1:27068

SG-6000-01(B)# show session sync
session: id 27, proto 6, flag 10000a, flag1 20000, created 28602, life 1761, policy 1,app 5(TELNET) flag 0x0, auth_user_id 0, reverse_auth_user_id 0
flow0(10(ethernet0/2)/200810): 13.1.1.100:27068->14.1.1.100:23
flow1(9(ethernet0/1)/40200810): 14.1.1.100:23->12.1.1.1:27068

实验现象二、实现双机热备的功能，关闭主防火墙，备墙切换为主状态，业务恢复

1、关闭主墙前，查看主墙和备墙的HA状态


2、关闭主墙后，查看备墙的HA状态

实验现象三、关闭IPS上联的e0/1口，此时主防火墙的E0/1状态仍为UP，使用TRACK与HA Group 0的联动，实现主备墙的切换

1、主墙上添加相关命令
track “obj”
ip 12.1.1.4 interface ethernet0/1 interval 5
ha group 0
preempt
monitor track “obj”
2、关闭IPS的上联接口，查看主墙的HA的相关状态，发现主墙状态为Failed，备墙状态为master
SG-6000-01(F)# show ha group 0
HA Group id=0
state Monitor Failed /主墙监控失败，12.1.1.1和13.1.1.1在备墙上存活
priority 3050
preempt 30
monitor obj
HA peer num 1
HA peer 0
device id 0000117180140956
ip 1.1.1.2
state Master /备墙1.1.1.2为主状态，12.1.1.1和13.1.1.1飘到备墙上下联接口上
priority 90
SG-6000-02(M)# show ha group 0
HA Group id=0
state Master /备墙1.1.1.2为主状态，12.1.1.1和13.1.1.1飘到备墙上下联接口上
priority 90
preempt 30
monitor
HA peer num 1
HA peer 0
device id 0000186034916818
ip 1.1.1.1
state Monitor Failed
priority 3050
3、开启IPS的上联接口，发现主墙仍然为Failed状态
SG-6000-01(F)# show ha group 0
HA Group id=0
state Monitor Failed
priority 3050
preempt 30
monitor obj
HA peer num 1
HA peer 0
device id 0000117180140956
ip 1.1.1.2
state Master
priority 90
经研究，虽然IPS的上联接口开启了，但是ping对端的地址14.1.1.4无法ping通，原因为原主墙上的12.1.1.1地址已飘到备墙，现原主墙上无源地址ping14.1.1.4，所以track状态无法UP起来。需要在主墙的上联接口下添加manage-ip地址
interface ethernet0/1
manage ip 12.1.1.2
SG-6000-01(M)# show ha group 0 //查看主墙状态
HA Group id=0
state Master
priority 50
preempt 30
monitor obj
HA peer num 1
HA peer 0
device id 0000117180140956
ip 1.1.1.2
state Backup
priority 90
SG-6000-01(M)# show track obj
Track name:obj;track ID:2;local:yes;threshold:255;delay threshold:255; bandwidth threshold:255;if ID:0;snat cnt:0
used type:ha; status:SUCCESSFUL; link_status: NORMAL; //track状态为successful
I:interval;T:threshold;W:weight;S:status;F:failed;SU:successful;UN:unknown
M:mode;H:http;P:ping;A:arp;D:dns;T:tcp
HWMK:high watermark; LWMK:low watermark;DW:delay weight
FLAG:link status flag;N:normal;L:long-delay;O:overload

track

---

M Track host Track IP PORT OUT_IF I T W S SRC_IF PRIUSED_SRCIP HWMK LWMK DW FLAG

---

P 12.1.1.4 12.1.1.4 ethernet0/1 5 3 255 SU