山石防火墙HA配置说明

使用高可靠性功能,用户需要按照以下步骤进行配置:

  1. 配置HA组的接口。
  2. 配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。
    对于X系列其他平台,仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口,其他模块卡接口不支持该功能。
  3. 配置HA簇。为设备指定HA簇ID,并且开启设备的HA功能。
  4. 配置HA组。HA组的配置包括指定设备优先级(选举使用)以及设备HA报文相关参数等。

配置HA功能,必须配置HA数据连接接口;且HA组0和组1接口不能配置为HA数据连接接口,只能配置为HA控制连接接口。

配置HA,请按照以下步骤进行操作:

1、选择“系统 > HA”,进入HA配置页面。

null

说明
HA控制连接接口1
指定HA控制连接接口的名称。控制连接同步两台设备间的所有数据。
HA控制连接接口2
指定HA控制连接接口的名称(备份设备)。
HA辅助链路接口
指定HA辅助链路接口的名称。在Active-Passive(A/P)模式中,为了避免当HA连接发生故障时HA设备的主备状态出现异常,用户可以指定HA辅助链路接口,通过配置的HA辅助链路接收和发送心跳报文(Hello报文),以确保HA设备维持正常的主备状态。
说明
在HA连接恢复正常之前,HA辅助链路只能接收和发送心跳报文,不能同步数据报文信息,因此建议用户不要修改当前设备配置信息,在HA连接恢复后,进行手动同步会话信息。
HA辅助链路接口必须使用除HA连接接口以外的接口,并且已绑定到安全域。
HA主备设备需将相同的接口指定为HA辅助链路接口,并确保两端设备的该接口属于同一个VLAN。
HA数据连接接口
指定HA数据连接接口的名称。数据连接仅同步数据报文信息,如会话信息。指定后,会话信息将通过HA数据连接接口同步完成。目前仅支持将物理接口和集聚接口配置为数据连接的接口。用户最多可以指定1个HA数据连接接口。
IP地址
指定HA连接接口的IP地址及网络掩码。
HA簇ID
指定HA簇ID。取值范围为1~8。当选择HA簇ID为无时表示关闭设备的HA功能。
节点ID
开启HA功能后,用户需为设备指定节点ID(HA Node),两台设备需指定不同的节点ID。范围是0到1。如不指定该参数,设备将通过自动协商获取节点ID。
Peer-mode
勾选启用复选框开启 HA Peer模式,并标识该设备在HA簇中的角色。范围是0到1。默认情况下,HA 节点ID为0的设备上的组0为主动状态,节点ID为1的设备上的组0为禁用状态。
对称路由
若指定该参数,设备将工作在对称路由模式下。
HA同步配置
在某些特殊情况下,可能出现主备配置信息不同步现象。此时,需要用户手动同步主备设备的配置信息。点击“HA同步配置”按钮,完成配置信息同步。
HA同步会话
默认情况下,HA设备之间会自动同步会话信息。同步会话会产生一定流量,在高负载情况下可能会对设备性能造成影响。用户可以根据设备负载情况使用HA会话自动同步功能,以确保设备的稳定性。点击“HA同步会话”按钮,启用HA会话自动同步功能。
新建
默认情况下,指定HA簇ID后,系统自动创建组0。点击“新建”按钮, 可创建组1并对其进行配置。
删除
若已创建HA组1,用户可点击“删除”按钮将组1配置删除。
优先级
指定当前设备在HA组中的优先级。优先级高(数字小)的会被选举为主设备。
抢占时间
指定当前设备是否开启抢占模式以及抢占延迟时间。如果将设备配置为抢占模式,一旦设备发现自己的优先级高于主设备,就会将自己升级为主设备,而原先的主设备将变为备份设备。如果输入0,则表示不开启抢占模式;即使设备的优先级高于主设备,它也只能在主设备故障时代替主设备工作。
Hello报文间隔
输入HA设备向HA组中的其它设备发送Hello报文的时间间隔。同一个HA组的设备的Hello报文间隔时间必须相同。
Hello报文警戒值
输入HA组对应的Hello报文的警戒值,即如果设备没有收到对方设备的该命令指定个数的Hello报文,就判断对方无心跳。
免费ARP包个数
指定当前设备选举为主设备后,发送ARP请求包的个数。当备份设备升级为主设备时,新主设备需要向网络中发送ARP请求包,通知相关网络设备更新其ARP表。
监测对象
指定已配置的监测对象的名称。系统利用监测对象监控设备的工作状态。一旦发现设备不能正常工作,立即采取相应措施。
描述
指定该HA组的描述信息。

2、点击“发送”按钮,完成配置。