• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

F1000-AK9120支持堆叠不

  • 0关注
  • 0收藏,336浏览
粉丝:0人 关注:0人

问题描述:

F1000-AK9120的防火墙支持主备和堆叠不,不支持有什么办法调热备

组网及组网描述:

F1000-AK9120的防火墙支持主备和堆叠不,不支持有什么办法调热备

最佳答案

粉丝:8人 关注:0人

H3C ​​F1000-AK9120​​ 防火墙的 ​​主备(HA)​​ 和 ​​堆叠(IRF)​​ 支持情况如下:

​​1. 官方支持情况​​
​​(1) 主备高可用(HA)​​
​​支持​​:F1000-AK9120 ​​支持主备模式(Active/Standby)​​,可通过 ​​双机热备(HRP)​​ 实现故障切换。
​​配置方式​​:
使用 ​​HRP(H3C Redundancy Protocol)​​ 同步会话表和配置。
需要 ​​专用心跳线​​(建议千兆/万兆口直连)和 ​​业务口监控​​。
​​(2) 堆叠(IRF)​​
​​不支持​​:F1000-AK9120 ​​不支持 IRF(智能弹性架构)堆叠​​,无法像交换机一样通过堆叠形成逻辑单一设备。
​​2. 替代方案(热备方案)​​
如果设备不支持堆叠,可通过以下方式实现 ​​高可用性(HA)​​:

​​(1) 双机热备(HRP)​​
​​原理​​:主备两台防火墙通过 HRP 同步状态,主设备故障时备机自动接管。
​​配置步骤​​:
# 主设备配置
hrp enable
hrp interface GigabitEthernet1/0/1 # 心跳接口
hrp standby-device # 备设备执行此命令

# 配置会话同步
hrp mirror config enable
hrp mirror session enable

# 配置业务接口监控(如外网口)
hrp track interface GigabitEthernet1/0/24
​​切换条件​​:
心跳线超时(默认3秒)。
监控接口 DOWN(如外网口断开)。
​​(2) VRRP + 策略路由(非对称热备)​​
​​适用场景​​:如果 HRP 不可用,可通过 ​​VRRP​​ 实现网关冗余,结合策略路由实现流量切换。
​​配置示例​​:
# 主备设备配置 VRRP
interface Vlan-interface10
vrrp vrid 1 virtual-ip 192.168.1.1
vrrp vrid 1 priority 120 # 主设备优先级更高
vrrp vrid 1 preempt-mode # 允许抢占

# 策略路由引导流量
acl number 3000
rule permit ip source any destination any

policy-based-route PBR permit node 10
if-match acl 3000
apply next-hop 192.168.1.1 # 指向VRRP虚拟IP
​​(3) 第三方负载均衡设备​​
​​方案​​:通过 ​​负载均衡器(如F5、Nginx)​​ 将流量分发到多台防火墙,实现冗余。
​​优点​​:无需依赖防火墙自身HA功能。
​​3. 注意事项​​
​​HRP 要求​​:
主备设备 ​​硬件型号和软件版本必须一致​​。
需预留 ​​专用心跳接口​​(建议物理直连)。
会话同步可能占用带宽,建议千兆以上链路。
​​VRRP 局限性​​:
仅支持 ​​网关层冗余​​,会话状态不同步,可能导致连接中断。
需额外配置 ​​策略路由/NAT​​ 确保流量路径一致。
​​版本兼容性​​:
使用 display version 确认设备版本,部分老版本可能限制 HRP 功能。
​​4. 验证与故障排查​​
​​(1) 检查 HRP 状态​​
display hrp state # 查看主备状态和同步情况
display hrp statistics # 检查心跳报文统计
​​(2) 测试故障切换​​
手动关闭主设备接口,观察备机是否接管:
shutdown GigabitEthernet1/0/24 # 模拟主设备故障
​​(3) 日志分析​​
display logbuffer | include HRP # 查看HRP相关日志

5. 总结​

方案适用场景优点缺点
​HRP 双机热备​官方推荐,支持会话同步切换快(秒级)需专用心跳线
​VRRP+策略路由​HRP不可用时的替代方案兼容性强会话不同步,可能断流
​第三方负载均衡​多防火墙冗余+流量分发灵活,不依赖防火墙功能成本高,配置复杂

​推荐方案​​:优先使用 ​​HRP 双机热备​​,若设备不支持,可尝试 ​​VRRP+策略路由​​ 或引入负载均衡设备。

这个HRP是华为的吧

陈美静 发表时间:2025-08-18 更多>>

这个HRP是华为的吧

陈美静 发表时间:2025-08-18
4 个回答
Xcheng 九段
粉丝:132人 关注:3人

支持RBM主备/双主,具体看业务

zhl188 六段
粉丝:2人 关注:3人

产品功能规格

表1-4 F1000-AK9100 系列功能规格


项目

说明

运行模式

路由模式、透明模式、混杂模式

AAA服务

Portal认证、RADIUS认证、HWTACACS认证、PKI /CA(X.509格式)认证、

域认证、CHAP验证、PAP验证

防火墙

SOP虚拟防火墙技术,支持CPU、内存、存储等硬件资源划分的完全虚拟化

安全区域划分

可以防御Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、端口扫描、SYN Flood、UPD Flood、ICMP Flood、DNS Flood等多种恶意攻击

基础和扩展的访问控制列表

基于时间段的访问控制列表

基于用户、应用的访问控制列表

ASPF应用层报文过滤静态和动态黑名单功能MAC和IP绑定功能

基于MAC的访问控制列表

支持802.1q VLAN 透传

病毒防护

基于病毒特征进行检测

支持病毒库手动和自动升级

报文流处理模式

支持 HTTP、FTP、SMTP、POP3 协议

支持的病毒类型:Backdoor、Email-Worm、IM-Worm、P2P-Worm、Trojan、AdWare、Virus 等

支持病毒日志和报表

深度入侵防

支持对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件、DoS/DDoS 等常见的攻击防御

支持缓冲区溢出、SQL 注入、IDS/IPS 逃逸等攻击的防御

支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)

支持攻击特征库的手动和自动升级(TFTP 和 HTTP)

支持对 BT 等 P2P/IM 识别和控制

邮件/网页/应用层过滤

邮件过滤

SMTP 邮件地址过滤邮件标题过滤

邮件内容过滤邮件附件过滤网页过滤

HTTP URL 过滤HTTP 内容过滤应用层过滤

Java Blocking ActiveX Blocking SQL 注入攻击防范

NAT

支持多个内部地址映射到同一个公网地址

支持多个内部地址映射到多个公网地址

支持内部地址到公网地址一一映射

支持源地址和目的地址同时转换

支持外部网络主机访问内部服务器

支持内部地址直接映射到接口公网IP地址

支持DNS映射功能

可配置支持地址转换的有效时间

支持多种NAT ALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等

VPN

L2TP VPN、IPSec VPN、GRE VPN、SSL VPN

IPv6

基于IPv6的状态防火墙及攻击防范

IPv6协议:IPv6转发、ICMPv6、PMTU、Ping6、DNS6、TraceRT6、Telnet6、DHCPv6 Client、DHCPv6 Relay等

IPv6路由:RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等

IPv6安全:NAT-PT、IPv6 Tunnel、IPv6 Packet Filter、Radius、IPv6域间策略、IPv6连接数限制等

高可靠性

支持IRF 2:1虚拟化

支持双机状态热备(Active/Active和Active/Backup两种工作模式)支持双机配置同步

支持IPSec VPN的IKE状态同步

支持VRRP

易维护性

支持基于命令行的配置管理

支持Web方式进行远程配置管理

智能安全策略

支持H3C SSM安全管理中心进行设备管理

支持标准网管 SNMPv3,并且兼容SNMP v1和v2

环保与认证

支持欧洲严格的RoHS环保认证

z6Kl9 九段
粉丝:77人 关注:2人

支持IRF 2:1虚拟化

支持双机状态热备(Active/Active和Active/Backup两种工作模式)支持双机配置同

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明