山石hillstone防火墙HA高可靠性-主备AP模式

1.配置说明

必须两台设备型号、版本、许可相同

2.实验拓扑

3.配置命令

FW1基本上网配置
FW1(config)# interface ethernet0/3
FW1(config-if-eth0/3)# zone untrust
FW1(config-if-eth0/3)# ip address 200.0.0.2/24
FW1(config-if-eth0/3)# exit
FW1(config)# interface ethernet0/1
FW1(config-if-eth0/1)# zone trust
FW1(config-if-eth0/1)# ip address 192.168.10.1/24
FW1(config-if-eth0/1)# manage ping
FW1(config-if-eth0/1)# exit
FW1(config)#ip vrouter trust-vr
FW1(config-vrouter)# ip route 0.0.0.0/0 200.0.0.1
FW1(config-vrouter)# snatrule from any to any service any eif ethernet0/3 trans-to eif-ip mode dynamicport log
FW1(config-vrouter)# exit
FW1(config)# policy-global
FW1(config-policy)# rule from any to any service any permit
FW1(config-policy)# exit
FW1(config)#
• FW1的track和HA配置
FW1(config)# track trackobj1
FW1(config-trackip)# interface ethernet0/3 weight 255
FW1(config-trackip)# interface ethernet0/1 weight 255
FW1(config-trackip)# exit
FW1(config)# ha link interface e0/4
FW1(config)# ha link ip 1.1.1.1/24
FW1(config)# ha group 0
FW1(config-ha-group)# priority 50
/* 默认优先级为100,FW1做主值改小 */
FW1(config-ha-group)# monitor track trackobj1
FW1(config-ha-group)# exit
• FW2基本上网配置无需配置，等FW1同步。
• FW2的HA配置
/* FW2也不需要配置track，FW1会同步给FW2 */
FW2(config)# ha link interface e0/4
FW2 (config)# ha link ip 1.1.1.2/24
FW2(config)# ha group 0
FW2(config-ha-group)# priority 100
FW2(config-ha-group)# exit
• 两台设备加入HA cluster
FW1(config)# ha cluster 1
FW2(config)# ha cluster 1
或WebUI配置后的命令显示
FW1(config)# ha cluster 1 node 0
FW2(config)# ha cluster 1 node 1
/* 因为5.5版本兼容ha peer mode，合入了node 命令，如果是WebUI配置，务必要选择不同的node节点，如果是CLI直接配置HA可以不配node */
FW(config)# interface ethernet0/1
FW(config-if-eth0/1)# manage ip 192.168.1.254

 

4.同步设备配置：exec ha sync configration

   切换主备：exec ha master swatch-over