-
飞塔防火墙HA详解与配置
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
本文介绍飞塔防火墙的HA配置以及选举机制
一、HA配置
- 拓扑图
- 配置
主墙: config system ha set group-id 10 set group-name "6" set mode a-p set password 123456 set hbdev "port1" 0 set session-pickup enable set override disable set priority 250#优先级越大越优先 set monitor "port2" "port3" #监控接口 end 备墙: set group-id 10 set group-name "6" set mode a-p set password 123456 set hbdev "port1" 0 set session-pickup enable set override disable set priority 100 set monitor "port2" "port3" end- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
二、HA主备选举机制
#注意默认1为主
1. 监控端口中的有效接口数量
有效接口数量即为HA配置中的 set monitor “xxx”
当配置了需要被监控的业务端口之后,具有最多数量的有效监控端口的设备会成为主设备。
在图1中,将R2路由器的eth0/1线路删除后。这时,防火墙2变为主。!(即使此时监控接口重新加入后,防火墙1还不会是主。因为此时没有配置抢占overide)
2. 设备运行时间
运行时间较长到设备会成为主设备。该时间参数是以从上一次设备出现故障以来所正常运行的时间
可通过get system ha status 命令查看Cluster Uptime:- 1
因为现在防火墙02为主,通过命令
diagnose sys ha reset-uptime
这也是防火墙手动主备切换的命令将02防火墙的uptime 重新reset,观察防火墙主备状态,发现01变为主.(注意这里不是把防火墙02的cluster uptime变为0。要理解该时间参数是以从上一次设备出现故障以来所正常运行的时间)
通过get system ha status 命令查看Cluster Uptime:发现01 明显运行时间更长,所以他为主。
3.优先级与序列号
一般情况下,前两个条件已经能够比较出来防火墙的主备
前两个条件相同的情况下,优先级为越大越优先4.抢占
如果一个设备的优先级较高,同时开启了overide选项,则在有效接口相同的情况下,该设备将始终作为主设备工作。
现在情况下,防火墙01还是为主。并且01优先级为250,02优先级为100
将两端的overide开启之后,断掉R2线路eth0/0config system ha set override enable- 1
- 2
此时由于HA选举规则1,所以现在防火墙02为主
恢复线路,因为开启override 此时发现 01状态已经为主
- 拓扑图
-
相关阅读:
List类的超详细解析!(超2w+字)
你的应用安全吗?应用安全问题知多少?
2023年【金属非金属矿山(地下矿山)安全管理人员】实操考试视频及金属非金属矿山(地下矿山)安全管理人员操作证考试
PyQt4应用程序的PDF查看器
后台管理弹出框样式设置
Friends or ‘Enemies?‘
Hive 查看和修改 tez 容器的资源
算法练习-LeetCode 剑指 Offer 33. 二叉搜索树的后序遍历序列
【深度学习实践(三)】RNN实现股票预测
Springboot毕业设计毕设作品,农产品销售系统设计与实现
- 原文地址:https://blog.csdn.net/weixin_41903258/article/details/127584364
