山石防火墙双机热备模式配置案例-电子发烧友网

1. 需求分析

配置HA Ac tive- Active[1]工作模式，以提高网络可靠性，保证业务不中断。

本案例将分别演示WebUI和CLI两种配置方式。

2. 案例说明

2.1 环境说明

在配置之前，确认搭建成HA典型组网模式的两台Hillstone设备采用完全相同的硬件平台、固件版本和安装相同的许可证，并且两台设备使用同样的接口连接到网络。

2.2 软硬件信息

硬件平台	软件版本
SG-6000-E1100	SG6000-M-3-5.5R8P5-v6.bin
SG-6000-E1100	SG6000-M-3-5.5R8P5-v6.bin

2.3 组网拓扑

3. 功能配置

3.1 WebUI配置步骤

FW1接口配置，ethernet0/1为外网出接口，ethernet0/3为内网口。

配置安全策略。

配置检测对象，建议同时监测内网口和外网口（本案例只监测外网口）。

配置FW1，group0为主，group1为备（配置 ha link 和 HA group并调用检测对象）。(系统->HA)

配置FW2，group0为备，group1为主。

配置FW1上为group 1所生成的VFI接口。

配置FW1的SNAT和目的路由。

FW1，FW2分别配置HA簇，开启HA功能。

配置完成后，点击“系统 > 系统信息”，两台设备的HA状态分别如下显示：

FW1：

FW2：

3.2 CLI配置步骤

• 配置FW1 ，group 0 为主， group 1 为备。

FW1(config)#interfaceethernet0/1
FW1(config-if-eth0/2)#zoneuntrust
FW1(config-if-eth0/2)#ipaddress100.0.1.1/24
FW1(config-if-eth0/2)#exit
FW1(config)#interfaceethernet0/3
FW1(config-if-eth0/0)#zonetrust
FW1(config-if-eth0/0)#ipaddress192.168.10.1/24
FW1(config-if-eth0/0)#exit
FW1(config)#policy-global
FW1(config-policy)#rulefromanytoanyserviceanypermit
FW1(config-policy)#exit
FW1(config)#
配置track
FW1(config)#tracktrackobj1
FW1(config-trackip)#interfaceethernet0/3weight255
FW1(config-trackip)#interfaceethernet0/1weight255
FW1(config-trackip)#exit
FW1(config)#
FW1(config)#tracktrackobj2
FW1(config-trackip)#interfaceethernet0/3weight255
FW1(config-trackip)#interfaceethernet0/1weight255
FW1(config-trackip)#exit
FW1(config)#
配置halink和HAgroup
FW1(config)#halinkinterfaceethernet0/4
FW1(config)#halinkip1.1.1.1/24
FW1(config)#hagroup0
FW1(config-ha-group)#priority50
FW1(config-ha-group)#preempt5
FW1(config-ha-group)#monitortracktrackobj1
FW1(config-ha-group)#exit
FW1(config)#hagroup1
FW1(config-ha-group)#priority100
FW1(config-ha-group)#monitortracktrackobj2
FW1(config-ha-group)#exit

• 配置 FW2 ， group 0为备，group 1 为主。

FW1(config)#halinkinterfaceethernet0/4
FW1(config)#halinkip1.1.1.2/24
FW2(config)#hagroup0
FW2(config-ha-group)#priority100
FW2(config-ha-group)#exit
FW2(config)#hagroup1
FW2(config-ha-group)#priority50
FW2(config-ha-group)#exit

• 配置 FW1 上为 group 1 所生成的 VFI 接口。

VFI(VirtualForwardInterface)接口就是专为HAgroup1所用
FW1(config)#interfaceethernet0/3:1
FW1(config-if-eth0/1:1)#zonetrust
FW1(config-if-eth0/1:1)#ipaddress192.168.20.1/24
FW1(config-if-eth0/1:1)#exit
FW1(config)#interfaceethernet0/1:1
FW1(config-if-eth0/3:1)#zoneuntrust
FW1(config-if-eth0/3:1)#ipaddress100.0.1.2/24
FW1(config-if-eth0/3:1)#exit
FW1(config)#ipvroutertrust-vr
FW1(config-vrouter)#snatrulefromanytoanyeifethernet0/1trans-toeif-ipmodedynamicport
FW1(config-vrouter)#snatrulefromanytoanyeifethernet0/1:1trans-toeif-ipmodedynamicportgroup1
FW1(config-vrouter)#iproute0.0.0.0/0ethernet0/1100.0.1.10
FW1(config-vrouter)#iproute0.0.0.0/0ethernet0/1:1100.0.1.10
FW1(config-vrouter)#exit

• 配置 HA 簇开启HA 功能，等待配置同步。

FW1(config)#hacluster1
FW2(config)#hacluster1

• 查看HA协商结果。

FW1#showhagroup0
FW1#showhagroup1
FW2#showhagroup0
FW2#showhagroup1

审核编辑：汤梓红

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

接口

接口

+关注

关注
33

文章
8582

浏览量
151065
防火墙

防火墙

+关注

关注
0

文章
417

浏览量
35609
网络

网络

+关注

关注
14

文章
7560

浏览量
88748

原文标题：3. 功能配置

文章出处：【微信号：网络威廉希尔官方网站干货圈，微信公众号：网络威廉希尔官方网站干货圈】欢迎添加关注！文章转载请注明出处。

防火墙双机热备命令行配置方案

部署防火墙双机热备，避免防火墙出现单点故障而导致的网络瘫痪

发表于 01-02 09:45 •998次阅读

<b class='flag-5'>防火墙</b><b class='flag-5'>双机</b><b class='flag-5'>热</b><b class='flag-5'>备</b>命令行<b class='flag-5'>配置</b>方案

发现 STM32 防火墙的安全配置

里提供了几个不同的防火墙配置。那么问题来了，什么是STM32防火墙的应该使用的安全配置呢？本文以STM32参考手册为基础，以最大化安全为目标，来探索发现STM32

发表于 07-27 11:04

NAT在防火墙交换模式和路由模式上的问题

防火墙交换模式是什么？防火墙路由模式又是什么？

发表于 10-18 08:29

防火墙威廉希尔官方网站

防火墙威廉希尔官方网站 .ppt 防火墙及相关概念包过滤型防火墙代理服务型防火墙 防火墙的配置分布

发表于 06-16 23:41 •0次下载

防火墙的配置

实验十三、防火墙的配置一. 实验原理1.1 防火墙原理网络的主要功能是向其他通信实体提供信息传输服务。网络安全威廉希尔官方网站的主

发表于 09-24 13:55 •2155次阅读

<b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>

防火墙的配置--过滤规则示例

防火墙的配置--过滤规则示例

发表于 12-07 14:16 •9267次阅读

<b class='flag-5'>防火墙</b>的<b class='flag-5'>配置</b>--过滤规则示例

谈防火墙及防火墙的渗透威廉希尔官方网站

谈防火墙及防火墙的渗透威廉希尔官方网站传统的防火墙工作原理及优缺点： 1．(传统的)包过滤防火墙的工作原理　　包过滤是在IP层实现的，因

发表于 08-01 10:26 •1056次阅读

防火墙的控制端口

防火墙的控制端口 防火墙的控制端口通常为Console端口，防火墙的初始配置也是通过控制端口（Console）与PC机（通常是便于移动的笔记本电脑）的串口（RS-232

发表于 01-08 10:37 •1094次阅读

防火墙管理

防火墙管理 防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙

发表于 01-08 10:39 •1340次阅读

防火墙的分类

防火墙的分类如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防

发表于 01-08 11:01 •6870次阅读

如何配置Cisco PIX防火墙

如何配置Cisco PIX防火墙在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。防火墙

发表于 01-13 13:26 •585次阅读

究竟什么是防火墙？

究竟什么是防火墙？　　Q：防火墙初级入门：究竟什么是防火墙？　　A：防火墙定义

发表于 02-24 11:51 •781次阅读

防火墙,防火墙的作用有哪些?

防火墙,防火墙的作用有哪些? 防火墙威廉希尔官方网站简介 ——Internet的发展给政府结构、企事业单位带来了革命性的改

发表于 04-03 16:17 •8330次阅读

什么是防火墙？防火墙如何工作？

防火墙是网络与万维网之间的关守，它位于网络的入口和出口。它评估网络流量，仅允许某些流量进出。防火墙分析网络数据包头，其中包含有关要进入或退出网络的流量的信息。然后，基于防火墙上配置的

发表于 09-30 14:35 •5332次阅读

防火墙在云计算安全方案中的应用方案

　　防火墙旁挂在云计算网络的核心交换机上，通过虚拟系统隔离网络中的虚拟机业务。同时，防火墙形成双机热备状态，提高业务的可靠性。

发表于 11-02 16:33 •1452次阅读

搜索历史

山石防火墙双机热备模式配置案例

评论

防火墙双机热备命令行配置方案

发现 STM32 防火墙的安全配置

NAT在防火墙交换模式和路由模式上的问题

防火墙威廉希尔官方网站

防火墙的配置

防火墙的配置--过滤规则示例

谈防火墙及防火墙的渗透威廉希尔官方网站

防火墙的控制端口

防火墙管理

防火墙的分类

如何配置Cisco PIX防火墙

究竟什么是防火墙？

防火墙,防火墙的作用有哪些?

什么是防火墙？防火墙如何工作？

防火墙在云计算安全方案中的应用方案