山石網科-Hillstone-Nav20-HA之配置終結篇

原創 Allen在路上 2018-09-10 04:07

首先,慣例,搞清楚所有需求和配置思路。高可用需求講了太多,我就不多聊了。直接聊配置思路!

上大菜!

配置 HA 所需要具備的條件:

在配置之前,確認搭建成HA 典型組網模式的兩臺安全網關採用完全相同的硬件平臺、固件版本,均啓用VR及防病毒、IPS功能,安裝防病毒、IPS許可證,並且兩臺設備使用同樣的接口連接到網絡。

PS:通俗理解就是:固件版本要一樣,許可證要一樣,連公網和連內網接口要一樣。總之什麼都要一樣才能配置


CLI-主設備配置方法

Hillstone-A(A)(config)#track HA    跟蹤命名  

Hillstone-A(A)(config-trackip)#interface ethernet0/1 weight 255  跟蹤Eth0/1權值默認255

Hillstone-A(config)#ha group 0     創建ha0

Hillstone-A(config-ha-group)#priority 50     配置優先值越小越優先

Hillstone-A(config-ha-group)#preempt         配置角色搶佔一般不配置

Hillstone-A(A)(config-ha-group)#monitor track HA   調用前面配置的跟蹤接口

Hillstone-A(config-ha-group)#exit

Hillstone-A(config)#

Hillstone-A(config)#ha link interface ethernet0/4   制定ha接口eth0/4 配置完成後,eth0/4 zone 自動變成ha

Hillstone-A(config)#ha link ip 172.29.200.1/30      配置halink ip ip與接口IP沒聯繫

Hillstone-A(config)#ha cluster 7                    配置clusterid  配置最關鍵一步

Hillstone-A(M)(config)# 


同樣的配置(備)設備來一次

Hillstone-B(B)(config)#track HA

Hillstone-B(B)(config-trackip)#interface ethernet0/1 weight 255

Hillstone-B(config)#ha group 0

Hillstone-B(config-ha-group)#priority 100

Hillstone-B(config-ha-group)#preempt

Hillstone-B(B)(config-ha-group)#monitor track HA

Hillstone-B(config-ha-group)#exit

Hillstone-B(config)#

Hillstone-B(config)#ha link interface ethernet0/4

Hillstone-B(config)#ha link ip 172.29.200.2/30

Hillstone-B(config)#ha cluster 7

Hillstone-B(B)(config)# 

至此已完成HA的配置,就可以看到倆臺設備主備狀態已經正常。快樂的玩耍吧。

PS:ha link-ip 與內網無關,甚至可以說隨便配置/30即可,我上面的track是監聽上行鏈路的,所以這裏各位兄弟千萬別設置爲監聽HA的心跳口(eth0/4)。


下面介紹Web界面配置方法:

  1. 1.  點擊系統管理中的 HA 按鈕,進入 HA 配置界面

wKioL1Y22Ajxr4G9AAIz_48Fp_I288.jpg

2.配置心跳接口,和心跳接口地址,HA簇 ID 選 1,優先級數值小表示主機,數

值大表示備機,搶佔時間只有主機需要配置(0表示不搶佔) ,配置檢測對象來

控制主備的切換,當監測對象生效時,設備自動變成備機:

wKiom1Y21-jBl5FKAAOMIvOtNr4488.jpg

3.配置檢測對象

點擊對象用戶中的監測對象按鈕,進入配置界面

wKiom1Y22AKDquTSAAEqr-aLKcM968.jpg


監測接口的物理狀態,可以添加多個接口,每個接口有一個權值,該數值表示該接口DOWN 後將釋放的數值,當所有釋放的權值累計數值大於等於警戒值的時候,該檢測對象就生效,權值和警戒值都可以自行調整:

wKioL1Y22H3AGMbRAAGE2yXwROg502.jpg


這裏注意,監聽口務必設置成上行鏈路(公網出接口)或者內網上行鏈路

wKiom1Y22EPiPhlyAAGc41tkZyM677.jpg


(可選)監測鏈路邏輯狀態,可以配置多種形式的探測, 這裏用 ping 舉例, 單機添加,

Ping,名字自取,如圖配置中,設備沒3 秒發一個 ping 包,連續 3 個包不通,

該條目即生效,設備會優先使用配置的收包接口的管理IP 爲源地址(如沒有管

理 IP 就用接口的IP 爲源地址)通過配置的發包接口把 ping 包發出.

wKiom1Y22JzChGXgAAGo0JLeMDQ722.jpg

wKioL1Y22NeQR2rmAAHEhc7p5C4623.jpg


4.配置接口

【如果是主備模式】在 AP 模式下,配置方式和普通上網一致,直接在接口上進行配置即可,同時日常的維護也和平常一樣,沒有任何的改變。

 

【如果不是雙主模式,下面的配置即可忽略】在 AA 模式下,組0 正常配置,組 1 需要配置 VF 接口,如下:

wKiom1Y22PGA7iXuAADNoe7h1MM532.jpg

wKioL1Y22S3xvPW7AAG8KkGsuL8005.jpg

                             

5.配置管理 IP

由於備機是不轉發流量的,所以需要在組0 的接口上配置管理 IP,用於設備的管理和進行 TRACK 監測,配置如下:

wKiom1Y22SWjFsjJAAGusgf0H54927.jpg

wKioL1Y22WGgcTa3AAHULYzGI_w788.jpg


6.配置 NAT

AP 模式下,配置NAT 和普通配置一致,直接配置即可。

AA 模式下,組0 配置 NAT 和普通配置一致,直接配置即可,組 1 配置 NAT 是需要

選擇組 1,如下:

SNAT:

wKiom1Y22VSBjDArAAFdGot0IcY991.jpg


wKioL1Y22ZDCKzXNAADAqT8MvuI537.jpg

DNAT:

wKioL1Y22fPw1K_wAADz_JpvHZA208.jpg


7.正常配置路由以及策略,確保網絡的通暢。



寫到最後,後期我會補充完善更多HA排錯問題。請路過的大拿拍磚!!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Corosync Pacemaker 高可用 Mariadb

mandb 2019-02-23 13:38:22

Lvs + keepalived實現高可用負載均衡集羣

心碎小胖子 2019-02-23 13:34:47

LVS+Keepalived DR模式實現web負載均衡高可用

jack_keyang 2019-02-23 13:21:33

Linux集羣—高可用集羣原理

335729167 2019-02-23 13:00:01

LVS+Keepalived高可用羣集

孫瑞瑞 2019-02-23 00:43:25

基於MySQL-mmm實現MySQL的高可用

SueK1ng 2019-02-23 00:41:41

2018-4-9 15周4次課 用keepalived配置高可用集羣

alexis7gunner 2019-02-23 00:41:20

keepalived實現lvs高可用並負載均衡lamp

xsllqs 2019-02-23 00:38:49

keepalive高可用

IT陳工 2019-02-23 00:36:15

【轉】Nginx雙機熱備高可用解決方案

病毒殺手甲 2019-02-23 00:30:30

讓你的系統“堅挺不倒”的最後一個大招——「降級」

Zachary_Fan 2019-02-23 00:21:41

分佈式系統關注點——初識「高可用」

Zachary_Fan 2019-02-23 00:21:39

億級 ELK 日誌平臺構建實踐

曹林華 2019-02-23 00:20:05

MySQL中mmm實現高可用羣集

涼夏了夏天 2019-02-23 00:19:27

mycat+haproxy服務與高可用(3)

運維小白菜 2019-02-23 00:17:26