作者归档：root

LSI阵列卡常见的工作模式

MR – MegaRAID模式，使用RoC芯片硬件实现RAID功能，常见的带缓存的阵列卡工作在此模式，如ServeRAID M5210、RAID720ix、9260-8i等；

iMR – Integrated MegaRAID模式，通过软件（驱动）实现高级RAID功能（如RAID5），常见的不带缓存的阵列卡工作在此模式，如ServeRAID M1215及移除缓存模块的ServeRAID M5210、9240-8i等；

IR – Integrated RAID模式，只能提供最简单RAID功能（RAID0/1/1E）的SAS卡工作在此模式，如ServeRAID H1110等；

I/T – Initiator and Target模式，即直通模式，无任何RAID功能，SAS HBA卡工作在此模式，如N2215、N2225等。

HP 服务器 UID 指示灯的作用

The Virtual Indicators allow you to monitor, and in some cases control, the state of indicators on the host system, including the Unit Identification Light (UID).

The Unit Identification Light (UID)

The UID helps you identify and locate a system, especially in high-density rack environments. Additionally, the UID is used to indicate that a critical operation is underway on the host, such as Remote console access or ROM flash.
In general, you control the state of the UID using the UID controls or using the physical UID button on the front of your system (or the back, if supported).

The “current state” (on or off) of the UID is the last state chosen using one of these methods. If a new state is chosen while the UID is blinking, this new state becomes the current state, and takes effect when the UID stops blinking.

NOTE: The Unit ID Light web page does not automatically refresh itself if the state of the actual light changes after the page is loaded. To insure the page accurately reflects the state of the UID Light, click on the Virtual Indicators link to update the page.

UID is blinking

The following circumstances cause the UID to blink:

Remote Console is currently active.
Upgrade of iLO Firmware is in progress.
The UID continues to blink until the circumstances causing it to blink subside. The UID reverts to the current state when the cause of the blinking is gone.

Turn Unit ID On

Clicking this button sets the current state of the UID On. However, blinking the UID overrides this state until the cause has subsided.
The UID current state can also by toggled by pressing the physical button on the front of your system (or on the back, if supported). The UID is blue when lit.

Turn Unit ID Off

Clicking this button sets the current state of the UID Off. However, blinking the UID overrides this state until the cause has subsided.
The UID current state can also be toggled by pressing the physical button on the front of your system (or on the back, if supported). The UID has no color when it is off.

浪潮服务器硬盘报错处理方法

现有一台浪潮服务器，阵列卡型号LSI MegaRAID SAS 9260-4i，突然出现多块硬盘告警，并伴随蜂鸣声，现将服务器重启，提示以下信息：

FW could not sync up config/prop changes for some of the VD’s/PD’s.
Press any key to continue, or ‘C’ to load the configuration utility.

进入阵列卡后，发现多块硬盘状态为Unconfigured Bad

此时需要在Physical View下，点击单块硬盘，将硬盘状态改为Unconfigured Good

每块硬盘都改为Unconf Good后，即如下图所示：

此时，在Scan Devices下，导入foreign阵列信息

点击Preview，

Import后，即可，如下图所示，阵列信息恢复正常

所有操作完成，重启后即可正常进入操作系统。

防火墙的逆向路由和路由器的反向接口策略路由

逆向路由：

如果启用，则向外转发数据包时需查询路由表

如果禁用，则向外转发数据包不查路由表，而根据会话信息实现数据包从哪里来，就从哪里出去。

接口的逆向路由影响到运营商（联通）链路设备的连通！

假设防火墙上接口1的IP地址为202.0.0.1/30，接口2的IP地址为61.0.0.1/30 ，接口3的IP地址为219.1.1.1/30

有一条路由为 210.0.0.0/8 next-hop 61.0.0.2

一数据包源IP地址为210.0. 0.1 目的IP地址为 219.1.1.2的数据包从接口1收到，

接口1如果不开启逆向路由，源IP219.1.1.2 目的IP210.0.0.1的回复数据包会从接口1转发（原路返回,匹配会话表），

接口1如果开启逆向路由，会查找路由表，这样SOURCE_IP 219.1.1.2 D_IP 210.0.0.1的回复数据包将从接口2转发。

反向接口策略路由：华三AR6600系列路由器配置案例

1. 组网需求

网关设备Router A通过两个接口（Serail2/2/0和Serial2/2/1）和公网连接。用户PC从公网访问内网的HTTP Server服务，不妨设PC请求报文从Router A接口Serial2/2/0进入，通过网关设备转发，从Router A的私网接口GigabitEthernet2/1/1进入内网访问HTTP Server服务器。

要求：从私网返回的响应报文从Router A的接口GigabitEthernet2/1/1进入，经Router A转发时，能够从原来请求报文的入接口Serial2/2/0进入公网，返回用户PC。

配置步骤

# 配置Router A各接口IP地址，并保证Router A与公网连通（略）。

# 在接口Serial2/2/0上配置内部服务器功能，将HTTP Server的IP地址192.168.1.2/24映射为2.1.1.100/16（和Router A的接口Serial2/2/0的IP地址在同一网段）。

system-view

[RouterA] interface serial 2/2/0

[RouterA-Serial2/2/0] nat server protocol tcp global 2.1.1.100 www inside 192.168.1.2 www

[RouterA-Serial2/2/0] quit

# 在接口Serial2/2/1上配置内部服务器功能，将HTTP Server的IP地址192.168.1.2/24映射为2.2.1.100/16（和Router A的接口Serial2/2/1的IP地址在同一网段）。

[RouterA] interface serial 2/2/1

[RouterA-Serial2/2/1] nat server protocol tcp global 2.2.1.100 www inside 192.168.1.2 www

[RouterA-Serial2/2/1] quit

# 定义10号节点，使匹配反向入接口Serial2/2/0的报文的下一跳地址为2.1.1.2/16。

system-view

[RouterA] policy-based-route test permit node 10

[RouterA-pbr-test-10] if-match reverse-input-interface serial 2/2/0

[RouterA-pbr-test-10] apply ip-address next-hop 2.1.1.2

[RouterA-pbr-test-10] quit

# 在以太网接口GigabitEthernet2/1/1上应用策略test。

[RouterA] interface GigabitEthernet 2/1/1

[RouterA-GigabitEthernet2/1/1] ip policy-based-route test

山石防火墙工作原理

防火墙作为一种网络安全产品，通过控制进出网络的流量，保护网络的安全。防火墙的基本原理是通过分析数据包，根据已有的策略规则，允许或阻断数据流量。除此之外，防火墙也具有连通网络的功能，实现安全可信区域（内部网络）和不信任区域（外部网络）之间的桥接。

应用负载网关是山石网科面向电信运营商、广电市场、院校和大中型企业开发的负载均衡产品，能够使负载分担、安全与网络深度融合。用户可以将其部署在多ISP链路的出口，通过对链路状态的检测，采用对应的调度算法将数据合理、动态的分发到不同链路上，以提高链路利用率。

StoneOS 应用负载网关系统架构

组成StoneOS应用负载网关系统架构的基本元素包括：

安全域：域是一个逻辑实体，将网络划分为不同部分，应用了安全策略的域称为“安全域”。例如，trust安全域通常为内网等可信任网络，untrust安全域通常为互联网等存在安全威胁的不可信任网络。
接口：接口是流量进出安全域的通道，接口必须绑定到某个安全域才能工作。默认情况下，接口都不能互相访问，只有通过策略规则，才能允许流量在接口之间传输。
虚拟交换机（VSwitch）：具有交换机功能。VSwitch工作在二层，将二层安全域绑定到VSwitch上后，绑定到安全域的接口也被绑定到该VSwitch上。一个VSwitch就是一个二层转发域，每个VSwitch都有自己独立的MAC地址表，因此设备的二层转发在VSwitch中实现。并且，流量可以通过VSwitch接口，实现二层与三层之间的转发。
虚拟路由器（VRouter）：简称为VR。VRouter具有路由器功能，不同VR拥有各自独立的路由表。系统中有一个默认VR，名为trust-vr，默认情况下，所有三层安全域都将会自动绑定到trust-vr上。系统支持多VR功能且不同硬件平台支持的最大VR数不同。多VR将设备划分成多个虚拟路由器，每个虚拟路由器使用和维护各自完全独立的路由表，此时一台设备可以充当多台路由器使用。多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠，同时能够在一定程度上避免路由泄露，增加网络的路由安全。
策略：策略是设备的基本功能，控制安全域间/不同地址段间的流量转发。默认情况下，设备会拒绝设备上所有安全域/接口/地址段之间的信息传输。策略规则（Policy Rule）决定从安全域到另一个安全域，或从一个地址段到另一个地址段的哪些流量该被允许，哪些流量该被拒绝。

StoneOS系统的架构中，安全域、接口、虚拟路由器和虚拟交换机之间具有从属关系，也称为“绑定关系”。

各个元素之间的关系为：接口绑定到安全域，安全域绑定到VSwitch或VRouter，进而，接口也就绑定到了某个VSwitch或VRouter。一个接口只能绑定到一个安全域上，一个安全域可以绑定多个接口。二层安全域只能绑定到VSwitch上，三层安全域只能绑定到VRouter上。

安全策略规则

默认情况下，所有的接口之间的流量都是拒绝的。不同的安全域之间、相同的安全域之内的接口流量均不能互访。要实现接口的互访，只有通过创建策略规则，才能将流量放行。如果既有从源到目的的访问，又有反方向的主动访问，那么就要创建两条策略规则，允许双方向的流量通过；如果只有单方向的主动访问，而反方向只回包即可，那么只需要创建源到目的的一条单方向的策略。

根据接口所属的安全域、VSwtich或VRouter的不同，要创建不同的策略才能允许接口互访，具体的规则如下：

属于同一个安全域的两个接口实现互访：
需要创建一条源和目的均为该安全域的策略。
例如，要实现上图中的eth0/0与eth0/1的互访，需要创建从L3-zone1到L3-zone1的允许流量通过的策略；或者，要实现eth0/3与eth0/4的互访，要创建源和目的均为L2-zone2的策略。
两个二层接口所在的安全域属于同一VSwitch，实现接口互访：
需要创建两条策略，第一条策略允许从一个安全域到另一个安全域流量放行，第二条策略允许反方向的流量通过。
例如，要实现上图中的eth0/2与eth0/3的互访，需要创建从L2-zone1到L2-zone2的策略和L2-zone2到L2-zone1这两条策略。
两个二层接口所在的安全域属于不同的VSwtich的，实现接口互访：
每个VSwtich都具有唯一的一个VSwtich接口（VSwitchIF），该VSwtichIF与某个三层安全域绑定。要实现互访，需要创建放行策略，源是一个VswichIF所属的三层安全域，目的是另一个VSwtichIF所属的三层安全域。同时，还需要创建反方向的策略。
两个三层接口所在的安全域属于同一VRouter，实现接口互访：
需要创建策略允许从一个安全域到另一个安全域的流量放行。例如，要实现eth0/0和eth0/5的互访，要创建从L3-zone1到L3-zone2的允许流量通过的策略，然后再创建反方向的策略。
两个三层接口所在的安全域从属于不同的VRouter的，实现接口互访：
若要实现接口互访，需要创建策略规则，允许从一个VRouter到另一个VRouter之间的流量放行。
同一VRouter下的二层接口和三层接口，实现互访：
创建允许流量通过的策略，策略的源是二层接口的VSwtichIF所绑定的三层安全域，策略的目的是三层接口所属的三层安全域。然后，再创建反向策略。
例如，要实现eth0/0与eth0/2的互访，需要创建从L3-zone1到L2-zone1的策略，以及反向策略。

数据包处理流程

二层转发域中的转发规则

在一个VSwitch，即一个二层转发域中，应用负载网关StoneOS通过源地址学习建立MAC地址转发表。每个VSwitch都有自己的MAC地址转发表。StoneOS根据数据包的类型（IP数据包、ARP包和非IP且非ARP包），分别进行不同的处理。

对于IP数据包，StoneOS遵循以下转发规则：

收到数据包。
学习源地址，更新MAC地址转发表。
如果目的MAC地址是单播地址，则根据目的MAC地址查找出接口。这时又有以下两种情况：
- 如果目的MAC地址为VSwitch接口的MAC地址，并且VSwitch接口有IP地址，则按照路由转发规则进行转发；若VSwitch接口没有IP地址，则丢弃。
- 根据目的MAC地址找到出接口。如果找到的出接口是数据包的源接口，则丢弃该数据报，否则从出接口继续转发数据包。
- 如果在MAC地址表中没有找到出接口（未知单播），直接跳到第6步。
根据入接口和出接口确定源域和目的安全域。
查找策略规则。如果策略规则允许则转发数据包；如果策略规则不允许，则丢弃数据包。
如果在MAC地址转发表中没有找到出接口（未知单播），StoneOS则尝试将数据包发给VSwitch中的所有其它二层接口，此时的操作流程为：把其它的每一个二层接口做为出接口，二层接口所在的二层安全域作为目的域，查询策略规则，如果策略允许，则在该二层接口转发数据包，如果策略不允许，则丢弃数据包。概括地说，对未知单播的转发即为策略限制下的广播。对于广播和多播IP包的处理类似于对未知单播的处理，不同的是广播和多播IP包会被同时拷贝一份进行三层处理。

对于ARP包，广播包和未知单播包转发到VSwitch中的其它所有接口，同时，复制一份由ARP模块进行处理。

三层转发域的转发规则

识别数据包的逻辑入接口，可能是一般无标签接口，也可能是子接口。从而确定数据包的源安全域。
StoneOS对数据包进行合法性检查。如果源安全域配置了攻击防护功能，系统会在这一步同时进行攻击防护功能检查。
会话查询。如果该数据包属于某个已建立会话，则跳过4到10，直接进行第11步。
目的NAT（DNAT）操作。如果能够查找到相匹配的DNAT规则，则为包做DNAT标记。因为路由查询需要DNAT转换的IP地址，所以先进行DNAT操作。
*说明：如果系统配置静态一对一BNAT规则，那么先查找匹配的BNAT规则。数据包匹配了BNAT规则之后，按照BNAT的设定进行处理，不再查找普通的DNAT规则。
路由查询。系统的路由查询顺序从前到后依次为：策略路由（PBR）> 源接口路由（SIBR）> 源路由（SBR）> 目的路由（DBR）> ISP路由。此时，系统得到了数据包的逻辑出接口和目的安全域。
源NAT（SNAT）操作。如果能够查找到相匹配的SNAT规则，则为包做SNAT标记。
*说明：如果系统配置静态一对一BNAT规则，那么先查找匹配的BNAT规则。数据包匹配了BNAT规则之后，按照BNAT的设定进行处理，不再查找普通的DNAT规则。
下一跳VR查询。如果下一跳为VR，则继续查看指定的下一跳VR是否超出最大VR数限制（当前版本系统仅允许数据包最多通过3个VR），如果超过则丢弃数据包，如果未超过，返回4；如果下一跳不是VR，则继续进行下一步策略查询。
策略查询。系统根据数据包的源安全域、目的安全域、源IP地址和端口号、目的IP地址和端口号以及协议，查找策略规则。如果找不到匹配的策略规则，则丢弃数据包；如果找到匹配的策略规则，则根据规则指定的行为进行处理，分别是：
- 允许（Permit）：允许数据包通过。
- 拒绝（Deny）：拒绝数据包通过。
- 隧道（Tunnel）：将数据包转发到指定的隧道。
- 是否来自隧道（Fromtunnel）：检查数据包是否来自指定的隧道，如果是，则允许通过，如果不是，则丢弃。
- Web认证（WebAuth）：对符合条件的流量进行Web认证。

第一次应用类型识别。系统根据策略规则中配置的端口号和服务，尝试识别应用类型。
会话建立。
如果需要，进行第二次应用类型识别。根据数据包的内容和流量行为再次对应用类型进行精确识别。
应用层行为（ALG）控制。为特定的复杂协议实施自适应处理。
根据会话中记录的信息，例如NAT标记等，执行相应的处理操作。
将数据包转发到出接口。

山石网科创新产品入选 2019 Gartner NTA 指南

山石网科携山石智·感——智能内网威胁感知系统，成为《指南》中唯一中国网络安全厂商，被Gartner认可为全球范围内具有代表性的NTA产品提供商。山石网科获中国厂商唯一殊荣 2月28日，Gartner发布了《网络流量分析（NTA）市场指南》，山石网科携山石智·感——智能内网威胁感知系统，成为《指南》中唯一的中国网络安全厂商，被Gartner认可为全球范围内具有代表性的NTA产品提供商。

《指南》中收录的大多是专注在NTA领域的创新型厂商，山石网科和思科是为数不多的综合型网络安全厂商。

能够入选这一新兴技术品类指南，再次证明了山石网科在基于人工智能的网络安全威胁检测领域前瞻创新能力，以及全球市场的突出表现，得到了业界认可。什么是NTA

“NTA是一种功能和能力，而非纯粹的一个产品。”——Gartner

NTA (Network Traffic Analysis) 网络流量分析，最早在2013年被提出，是一种威胁检测的新兴技术，2016年逐渐在市场上兴起。

根据Gartner的定义，NTA——融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以检测企业网络中的可疑行为，尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析网络流量，通常部署在关键的网络区域对东西向和南北向的流量进行分析，而不会试图对全网进行监测。

NTA做为五种检测高级威胁的手段之一，连续两年被Gartner选为十一大信息安全技术之一。在NTA入选11大技术的解说词中，Gartner说到——“NTA解决方案通过监测网络的流量、连接和对象来识别恶意的行为迹象。对于那些试图通过基于网络的方式去识别绕过边界安全的高级攻击的企业而言，可以考虑将NTA作为一种备选方案。”

随着人们越来越关注威胁检测与响应，出现了很多新兴的威胁检测技术，包括欺骗技术，以及同在11大技术之列的NTA、EDR，还有UEBA，等等。山石智·感：国内首款获奖NTA网络安全产品 2017年，山石网科发布山石智·感，是国内首个引入NTA技术理念的网络安全产品，产品同时也融入了山石网科在利用人工智能领域，发现高级威胁上积累多年的工程技术。

山石智·感自2017年发布之后，在多次勒索病毒爆发初期，业界尚未明确病毒特征时，利用山石网科的人工智能技术，通过分析内网通信流量和主机访问行为，发现异常高危网络行为、刻画异常互访链条、定位高危主机。

“当下，在不可预测的网络安全领域，保护核心信息，对所有企业来说都是一项重大挑战，”山石网科首席技术官兼联合创始人刘向明表示，“借助山石网科基于人工智能的NTA解决方案，山石网科可为企业的核心资产和信息提供全面、有效的安全防护。”

山石智·感：智能内网威胁感知系统 山石智·感是智能的内网威胁感知系统，设计目标是发现和定位精心伪装或绕过网络边界防护，进入用户内部网络的高级威胁。

山石智·感通过旁路部署监听服务器区的核心交换机流量，利用人工智能、行为分析、蜜罐等多种技术手段，检测内网中的网络威胁，定位风险服务器，最终完成内网风险的评估。

山石智·感发布以来，得到了国内外金融、大企业、教育、政府等客户的广泛认可。山石网科AI基因 山石智·感产品继承了山石网科多年来在利用人工智能领域，积累的高级网络威胁的工程技术经验。早在2013年，山石网科发布智能下一代防火墙时（产品型号：iNGFW），就引入了利用机器智能学习技术，建立了网络通信基线。通过多维度分析发现异常访问，定位高级威胁。

基于iNGFW的技术创新，山石网科在2014年入选Gartner魔力象限时，就位列前瞻性维度全球第三。

H3C无线网络终端MAC白名单问题处理方法

现有一个H3C无线网络，发射无线信号LD，现有一新终端连接LD信号，DHCP获取到IP，但是不能上网，打开任何网页都提示该页无法显示，网关也ping不通。

通过dis cu查看配置，发现该LD信号属于服务模板23，查看服务模板23下面连接的终端，dis wlan client service-template 23，查看到该终端的MAC，但是对应的IP地址显示0.0.0.0，即没有IP地址，继续查看配置dis wlan service-template 23，该服务模板绑定的接口是wlan-ess10口，然后进入interface wlan-ess10下，dis this看下配置，发现该接口下有policy 11，或者通过dis qos policy interface wlan-ess10，可以看到该接口下的policy 11下有一条acl 4020，通过dis acl 4020可以看到设置了MAC白名单，仅放通了相关MAC地址，通过以下配置将新终端的MAC加入后，该新终端即可正常获取到IP地址并且上网。

[H3C-wx]acl number 4020
[H3C-wx]rule x permit source-mac 终端的MAC ffff-ffff-ffff

做好相关配置后做好保存配置操作。

H3C无线控制器V5版本配置AP上线的方法

H3C无线控制器上没有开启自动上线，需要先手动在控制器上输入AP信息，然后新建vlan、新建vlan接口、新建wlan-ess接口、新建无线服务。然后在AP上配置射频参数。交换机上需要开启DHCP，为手机终端分配IP地址，并且交换机上与AP互联的接口启用trunk。

无线控制器上的配置如下：

1、新建vlan
vlan335
2、新建wlan-ess接口
interface WLAN-ESS15
port access vlan 335
3、新建服务模板，绑定wlan-ess接口
wlan service-template 15 clear
ssid wifi
bind WLAN-ESS 15
client forwarding-mode local vlan 335
service-template enable
4、为vlan接口分配地址
interface Vlan-interface335
ip address 192.168.12.253 255.255.255.0
portal server imc method layer3
portal domain imc
portal forwarding-mode local
5、为AP配置射频参数
wlan ap wifi-1 model WA2620i-AGN
serial-id XXXXXXXX
radio 1
radio 2
service-template 15 vlan-id 335
radio enable

交换机上的配置如下：
1、配置admin密码、telnet、设备名
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login local
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie
Ruijie(config)#enable password ruijie
Ruijie(config)#end
Ruijie#write
Ruijie(config)#hostname jiaohuanji
enable service web-server
2、配置1口trunk接上联设备，2-12口trunk接AP，13-48口access接PC
interface range gigabitethernet0/1 – 12
switchport mode trunk
switchport trunk allowed vlan all
no shutdown

interface range gigabitethernet0/16 – 48
switchport access vlan 1
no shutdown
3、配置vlan1地址192.168.1.253/24，vlan325地址192.168.12.1/24
interface vlan335
ip address 192.168.12.1 255.255.255.0
4、配置DHCP
Ruijie(config)#service dhcp
ip dhcp excluded-address 192.168.12.1
ip dhcp excluded-address 192.168.12.253 192.168.12.254
ip dhcp pool wifi
lease 0 2 0
network 192.168.12.0 255.255.255.0
dns-server 218.2.135.1 223.5.5.5
default-router 192.168.12.1
exit
5、配置默认路由
ip route 0.0.0.0 0.0.0.0 192.168.1.254

AP的配置如下：
sysname wifi-1
telnet server enable
wlan ac ip 192.168.X.2
vlan1
vlan 335
interface Vlan-interface1
ipv6 address auto
ip address 192.168.1.1 255.255.255.0
ipv6 address dhcp-alloc
#
interface Vlan-interface325
portal server imc method direct
portal nas-id H3C_CMCC
portal nas-ip 192.168.X.2
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/2
#
interface WLAN-BSS15
port access vlan 335
#
interface WLAN-Radio1/0/1
#
interface WLAN-Radio1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254

防火墙阻断勒索病毒的配置方法

有一个分支机构，网络流量被总部的设备检测到存在勒索病毒，现在需要定位到病毒源并阻隔病毒流量，该分支机构所有网络设备都通过一台防火墙出去。在防火墙上查看会话，目的端口写勒索病毒的几个常用端口，TCP/UDP的135、137、138、139端口和TCP的445端口，可以看到有多台PC的会话，这些PC都是可疑的病毒源，再从防火墙上创建安全策略，源区域写PC所在的区域，源端口所有，目标区域可写所有，目标端口写勒索病毒的几个端口TCP/UDP的135、137、138、139端口和TCP的445端口，在防火墙上配置好后，再对几台PC做杀毒即可。

建议使用专业的IPS设备做安全防护，及时更新IPS库，另外PC上也要安装杀毒软件更新病毒库。

山石防火墙HA配置说明

使用高可靠性功能，用户需要按照以下步骤进行配置：

配置HA组的接口。
配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。
对于X系列其他平台，仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口，其他模块卡接口不支持该功能。
配置HA簇。为设备指定HA簇ID，并且开启设备的HA功能。
配置HA组。HA组的配置包括指定设备优先级（选举使用）以及设备HA报文相关参数等。

配置HA功能，必须配置HA数据连接接口；且HA组0和组1接口不能配置为HA数据连接接口，只能配置为HA控制连接接口。

配置HA，请按照以下步骤进行操作：

1、选择“系统 > HA”，进入HA配置页面。

2、点击“发送”按钮，完成配置。