防火墙双机热备配置案例

1、双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高 的防火墙接替主墙的工作，进行数据转发。在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。在

2、连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。当两台/多台防火墙均正常工作时，由上下游的设备通过运行 VRRP或HSRP进 行冗余备份，以便决定流量由哪台防火墙转发， 所有防火墙处于负载分担状态， 当其中一 台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。双机热备模式基本需求Internet主培图1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。配置要点设置HA心跳口属性设置除心跳口以外的其余通信接口属于VRID2指定

3、HA的工作模式及心跳口的本地地址和对端地址主从防火墙的配置同步WEBUI配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同 步时被对方覆盖。? 主墙a）配置HA心跳口地址。 点击 网络管理 > 接口，然后选择“物理接口”页签，点击eth2接口后的“设置” 图标，配置基本信息，如下图所示。点击“确定”按钮保存配置。 点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮，如下图所示。地扯码；

4、10.1 t. 1ha-static I届性“ha-static”选项必须勾选，否则运行状态同步时IP地址信息也会被同步。点击“确定”按钮保存配置。b）配置 Eth1和Eth0 口的IP地址。配置Eth1和Eth0的IP地址分别为和，具体操作请参见配置HA心跳口地址。说明互为备份的接口必须配置相同的IP地址，所以主墙的Eth1 口必须与从墙Eth1 口的IP地址相同，主墙的 Eth0 口必须与从墙Eth0 口的IP地址相同。? 从墙a）配置HA心跳口地址。配置从墙HA心跳口地址为10.1.1.2,具体步骤请参见主墙的配置，此处不再赘述。b）配置 Eth1和Eth0 口的IP地址。配置从墙Eth

5、1和Eth0的IP地址分别为和，具体步骤请参见主墙的配置，此处不再 赘述。2）设置除心跳口以外的其余通信接口属于VRID2。主备模式下，只能配置一个 VRRP备份组，而且通信接口必须加入到具体的 VRID组 中，防火墙才会根据此接口的 up、down状态，来判断本机的工作状态，以进行 VRID组 内主备状态的切换。主墙a）选择 网络管理 > 接口，然后选择“物理接口”页签，在除心跳口以外的接口后点击“设置”图标（以 eth0为例）。b）勾选“高级属性”后的复选框，设置该接口属于vrid2，如下图所示。MTV：fflAC ；FKld '侦06&-150000:13：32:0

6、2:23:F6恢融省MAC移式如 M.:BB:OC:DD:EE:FFQ自动协彌广手工设直理率：凹IF跟工檯式：|戒工_300-2542Q-25500-1600秒metricE00-14J&O0- 1C0c）参数设置完成后，点击“确定”按钮保存配置。? 从墙具体步骤请参见主墙的配置，此处不再赘述。3）指定HA的工作模式及心跳口的本地地址和对端地址。需要设置HA工作在“双机热备”模式下，并设置当前防火墙为主墙或从墙，心跳口 的本地及对端IP地址信息、心跳间隔等属性。? 主墙a）选择 高可用性 > 双机热备，选中“双机热备”前的单选按钮，配置基本信息, 如下图所示。|当前如I状态：设有

7、启动基事设査G双机热备凤载均衞r连按保护启用|应定设置本机地址为心跳口eth2的IP地址（10.1.1.1）；设置对端地址为从墙心跳口 eth2的IP地址（10.1.1.2），超过两台设备时，必须将“对 端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）；心跳探测间隔可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换；设置热备组为通信接口的VRID （ 2）；选择身份为“主机”；“抢占”模式，是指主墙宕机后，重新恢复正常工作时，是否重新

8、夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时，才需要配置主墙工作在“抢占”模式，否则当主墙恢复工作时主从墙的再次切换浪费系统资源，没有必要。案例中两台防火墙相同， 所以主墙不需要配置为“抢占”模式。b）勾选“高级配置”左侧的复选框，进行高级配置，如下图所示。P高皱配畳配置实时同歩:両V运行对象同步应菩；丽_£应答超时时间：10* 1U-500亳秒应答报交靈跤次数：2* 0-5I启用I停止l应用C）参数设置完成后，点击“应用”按钮保存配置。d）点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。? 从墙配置操作和主墙的基本相同，但注意身份为“从属机”，本机地址为10

9、.1.1.2，对端地址为，不选择“抢占”。4）主从防火墙的配置同步在主墙点击“从本机同步到对端机”，将主墙的当前配置同步到从墙。至此，主墙和从墙的双机热备就可以正常使用了。CLI 配置步骤1）配置HA的交互IP （心跳线相连的两个端口）? 主墙# network interfaceeth2 ip add 10.1.1.1 mask 255.0 ha interface eth0 vrid 2#network interfaceeth1 vrid 2从墙# network interfaceeth2 ip add 10.1.1.2 mask 255.0 ha interface eth0 vri

10、d 2#network interfaceeth1 vrid 22）指定 HA 网口本地地址以及对端地址 ? 主墙# ha mode as# ha local 10.1.1.1# ha peer 10.1.1.2# ha as-vrid 2#ha vrid 2 priority254# ha vrid 2 preempt disable# ha enable? 从墙# ha mode as# ha local 10.1.1.2# ha peer 10.1.1.1# ha as-vrid 2# ha vrid 2 priority100# ha vrid 2 preempt disable# h

11、a enable注意事项1）当主墙或从墙配置发生变更后，手工同步配置可以保证主从墙配置的一致性。2）防火墙的接口均为自适应接口， HA 接口之间的连接可以使用交叉线也可以使用 直连线。路由接口下的负载均衡模式基本需求上图是一个简单的利用物理接口进行负载均衡的拓扑图，防火墙1和防火墙2并联工作，两个防火墙的 Eth3接口间由一条心跳线相连用来同步状态及配置信息；两个防火墙 的Eth1 口属于同一 vridl （防火墙1的优先级高于防火墙 2）;接口 Eth2属于同一 vrid2 （防火墙2的优先级高于防火墙 1）。两台防火墙均正常工作时，网段1通过防火墙1利用电信链路上网，网段2通过防火墙2利用

12、网通链路上网。 当其中一条链路发生故障时，其上的数据流会自动切换，通过另台防火墙转发，从而实现两台防火墙的负载均衡。配置要点配置ethO 口配置VRID组内接口配置心跳口配置防火墙的不同 VRID组的优先级配置HA功能WEBUI配置步骤1）配置 ethO 口? 防火墙1a）点击 网络管理 > 接口，然后选择"物理接口”页签，点击接口 ethO条目后的"设置”图标，设定其IP地址为“ 24”，如下图所示。地址f淹码:1SZ.168.a3.23T/ £55.255.255.0|地址掩码犀性删除更0参数设置完成后，点击“添加”按钮即可。b）点击“确定”按钮保存配置

13、。? 防火墙21的配置。配置防火墙2的IP地址为“，具体步骤请参见防火墙2）配置备份接口设定两台防火墙上 ethl 口和eth2 口互相备份。两台防火墙的ethl 口需要设定相同的IP地址和VRID ;两台防火墙的eth2 口也需要设定相同的IP地址和VRID。? 防火墙1a）点击 网络管理 > 接口，然后选择“物理接口”页签，点击eth1接口后的“设置”图标，配置eth1接口 IP地址为，如下图所示。选中“高级属性”后的复选框，设置ethl的vrid值为1,如下图所示。MTU：150068-15C0WIAC!CO;L5;=52;02;£3;T5协商模式；VELvrid. I免

14、费arp炭送闾 隔；mssFF -EMM值:反向路径菱询；T3籟式如 kA：BB.CC：BB：EE：Ff_ 吃目甲檢商厂手工役置 速率：ioii 双工模式；陀参数设置完成后，点击“确定”按钮即可。b）点击eth2接口后的“设置”图标，配置eth2接口 IP地址为，如下图所示。匱由粗式地址f掩码；/ha-3tsiti c添加地址掩码属性拥隐172.16. 1.3255.255.2S5.0|n选中“高级属性”后的复选框，设置eth2的vrid值为2,如下图所示。地址/掩玛：/I hf地址11性删除17Z 16.0 2255. 255.255.0地址/掩码：? E地址掩码属性172 16.1 325

15、5.255.255.0高领层性庄MTU：MAC：1500L6S-L50O0013；320Z；23；F&耦式如 U：EB:CC!DI?EE!FF 左目动协裔广手工设置 务丨 双工複式：px010M3 r0-254vri d :免费arp发送司 隔：0-1800秒 2M开关:L200-146060 02值:反商歸径萱询:0-100参数设置完成后，点击“确定”按钮即可。防火墙2防火墙2的配置与防火墙1完全一致，具体操作请参见防火墙1。3）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口IP为同一个网段的不同IP （分别为10.0.0.1/24和），并且必须要勾选“ha-st

16、atic”选项。? 防火墙1a）点击 网络管理 > 接口，然后选择“物理接口”页签，在eth3接口后点击“设置”图标，配置该接口为进行同步 HA设置的IP地址，如下图所示。路由複式'II 地址J掩码:I ID D 0 1/药5 255 255 o| P血-肌豪|丽加地址掩码属性删际高甑属性厂确定 职消b）参数设置完成后，点击“添加”按钮，然后点击“确定”按钮即可。? 防火墙2配置防火墙2的eth3 口 IP地址为“ 10.0.0.2/24 ”，具体操作请参见防火墙1的配置。4）指定防火墙的不同 VRID组的优先级。设定防火墙1的vridl的优先级为200, vrid2的优先级为1

17、00。设定防火墙2的vridl 的优先级为100，vrid2的优先级为200。设置完成后，对于 vrid1来说，防火墙1为主墙， 防火墙2为备墙；对于vrid2来说，防火墙2为主墙，防火墙1为备墙。并且设置主墙为“抢占”模式，即主墙能在失效后，重新恢复正常工作时，重获主墙地位。? 防火墙1a） 选择高可用性 > 双机热备，选中“负载均衡”前的单选按钮，然后点击“应用” 按钮。b） 点击“ Vrid ”右侧的“添加”，配置 vrid1的优先级为200，“抢占”模式，如下 图所示。参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为100，如下图所示。参数配置完成后，点击“确定”按

18、钮。? 防火墙2a）选择高可用性 > 双机热备，选中“负载均衡”前的单选按钮，然后点击“应用 按钮。b）点击“ Vrid ”右侧的“添加”，配置 vrid1的优先级为100，如下图所示。参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为200, “抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。5）配置HA功能? 防火墙1a）点击 高可用性 > 双机热备，然后选中“负载均衡”前的单选按钮，配置基本属 性，如下图所示。当前伏喜伏态:没有启动基車设置厂恵机热备金员羲均衡连接保护本地地址；10.0, a 1对端地址：lo a a £心跳J司隔：1* 1-3

19、HF探测:旺探测|厂高级配萱H 停止|应用|设置“本机地址”为心跳口eth3的IP地址（10.0.0.1 ）。设置“对端地址”为另一台墙心跳口eth3的IP地址（10.0.0.2），超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）。“心跳间隔”可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。b）勾选“高级配置”左侧的复选框，配置高级属性，如下图所示。配置卖时同步:运行对彖同步应菩；开启应答超时阿间:10f

20、10-5 00 左秒应答报文重踐次数：2 *【0-皱1启甬停止| |应用|c）参数设置完成后，点击“应用”按钮保存配置。d）点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。当前狀憲状态；屯魅口哄也连接逹立基車设昼效机热备席负载均衡连接糅护启用| 停止 应用|熬备齟舔加Vrid抢占遵量值接口删除1£00MASTER20-ttil.Si3ji2100di satLeBACICUP6.00? 防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.0.0.2，对端地址为。CLI 配置步骤1）设置 eth0 口的 IP 地址。? 防火墙 1? #network in

21、terface eth0 ip add mask 防火墙 2#network interface eth0 ip add mask ）设置备份接口属性。 分别在防火墙 1和防火墙 2 上进行配置。#network interface eth1 ip add mask interface eth2 ip add mask interface eth1 vrid 1#network interface eth2 vrid 23）设置心跳口属性? 防火墙 1? #network interface eth3 ip add 10.0.0.1 mask 255.0 ha 防火墙 2#network in

22、terface eth3 ip add 10.0.0.2 mask 255.0 ha ）指定防火墙的不同 VRID 组的 优先级。? 防火墙 1#ha vrid1 priority 200#ha vrid1 preempt enable#ha vrid2 priority 100#ha vrid2 preempt disable防火墙 2#ha vrid1 priority 100#ha vrid1 preempt disable#ha vrid2 priority 200#ha vrid2 preempt enable5）指定HA 网口本地地址以及对端地址。防火墙 1#ha mode aa#

23、ha local 10.0.0.1#ha peer 10.0.0.2# ha rtosync ack enable #ha rtconfig-sync enable #ha enable? 防火墙 2#ha mode aa#ha local 10.0.0.2#ha peer 10.1.1.1# ha rtosync ack enable#ha rtconfig-sync enable#ha en able注意事项无。Trunk 口下的负载均衡模式基本需求ttbl: in ao. ihtlll!；Nl.UKHW?l：h»20L1.1.1EthZ：EM丄1V1tlhlblrhl Stru

24、nk U i LANl； 7110,24 V L «."4J：171UJ ,1'24Ertal 为trunk 口 tVLAM；1?1.16k&.2?24VL.A2t172 lb J JOI耐段1网段2YridlVridJ2并联的优先图3 Trunk 口下负载均衡模式的网络拓扑图上图是一个简单的利用 Trunk接口进行负载均衡的拓扑图，防火墙1和防火墙工作，两个防火墙的 Eth2接口间由一条心跳线相连用来同步状态及配置信息，两个防火墙的Eth1 口为trunk 口，同时属于 vlan1和vlan2，vlan1属于同一 vrid1 （防火墙1级高于防火墙2）、v

25、ian2属于同一 vrid2 （防火墙2的优先级高于防火墙 1）,这样两台 防火墙均正常工作时，网段1通过防火墙1利用电信链路上网，网段2通过防火墙2利用网通链路上网。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点? 配置ethO 口? 配置VRID组内接口?配置心跳口?配置防火墙的不同 VRID组的优先级? 配置HA功能WEBUI配置步骤1）配置 ethO 口防火墙1a）点击 网络管理 > 接口，然后选择“物理接口”页签，点击接口 ethO条目后的“设置”图标，设定其IP地址为“ 24”，如下图所示。参数设置完成后，点击“

26、添加”按钮即可。b）点击“确定”按钮保存配置。? 防火墙2配置防火墙2的通信用IP地址为“，具体步骤请参见防火墙1的配置。2）配置两台防火墙上 eth1 口为trunk 口，属于 VLAN1和VLAN2。配置两台防火墙的 eth1 口为trunk 口，属于VLAN1和VLAN2 ； VLAN1虚接口互相 备份，VLAN2虚接口也互相备份，需要设定相同的IP地址和vrid。? 防火墙1和防火墙2a）选择 网络管理 > 接口，然后选择“物理接口”页签，点击eth1接口后的“设置”图标，配置接口信息，如下图所示。参数设置完成后，点击“确定”即可。b）点击网络管理 > 二层网络，并选择“

27、VLAN ”页签，点击“添加/删除VLAN范围”添加VLAN，设置VLAN虚接口的属性，如下图所示。参数设置完成后，点击“确定”按钮即可。C）点击网络管理 > 二层网络，然后选择“ VLAN ”页签，点击后的“修改”字段, 设置VLAN虚接口的IP地址为，如下图所示。参数设置完成后，点击“添加”按钮即可。点击“高级属性”后的复选框，设置接口属于vridl，如下图所示。IHU :俯讲关：E5E值：成向掘徑查询:vsid 3vrid =兔贵建1>崑送何隔；HA-mstri(?:确定 取消|参数设置完成后，点击“确定”按钮即可。d)点击网络管理 > 二层网络，然后选择“ VLAN

28、”页签，点击后的“修改”字段, 设置VLAN虚接口的IP地址为，如下图所示。参数设置完成后，点击“添加”按钮即可。点击“高级属性”后的复选框，设置接口属于vrid2，如下图所示。MTU : 心芥关； m時值： 度向路径查询:lid ：rrid ；免费址I境谨间 隔：HA-m & tr 1 c "参数设置完成后，点击“确定”按钮即可。3）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口IP为同一个网段的不同IP （分别为10.0.0.1/24和），并且必须勾选“ ha-static”选项。? 防火墙1a）点击 网络管理 > 接口，然后选择“物理接口”页签

29、，在eth2接口后点击“设置”图标，为该接口配置进行同步HA设置的地址，如下图所示。b）参数设置完成后，点击“添加”按钮，然后点击“确定”按钮即可。? 防火墙2配置防火墙2的eth2 口 IP地址为“ 10.0.0.2/24 ”，具体操作请参见防火墙1。4）配置防火墙的不同VRID组的优先级。设定防火墙1的vridl的优先级为200，vrid2的优先级为100。设定防火墙2的vridl 的优先级为100，vrid2的优先级为200。设定后对vrid1来说防火墙1为主墙，防火墙 2 为备墙，对于vrid2来说防火墙2为主墙，防火墙1为备墙。并且设置主墙为“抢占”模 式，即主墙能在失效后，重新恢复

30、正常工作时，重获主墙地位。? 防火墙1a）选择高可用性 > 双机热备，选中“负载均衡”前的单选按钮，然后点击“应用” 按钮。b）点击“ Vrid ”右侧的“添加”，配置 vrid1的优先级为200，“抢占”模式，如下 图所示。参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为100，如下图所示。参数配置完成后，点击“确定”按钮。? 防火墙2a）选择高可用性 > 双机热备，选中“负载均衡”前的单选按钮，然后点击“应用 按钮。b） 点击“ Vrid ”右侧的“添加”，配置 vridl的优先级为100，如下图所示。参数配置完成后，点击“确定”按钮。5）配置HA功能? 防火墙1

31、a）点击 高可用性 > 双机热备，然后选中“负载均衡”前的单选按钮，配置基本信 息，如下图所示。当茜状畫如：投右启动基本邊晝广取机热备W负或均衡痉接保护厂高级配晝I启用I停止I应甫设置“本机地址”为心跳口eth2的IP地址（10.0.0.1 ）。设置“对端地址”为另一台墙心跳口eth2的IP地址（10.0.0.2），超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）。“心跳间隔”可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致

32、从墙的主从状态的来回切换。b）勾选“高级配置”左侧的复选框，配置高级信息，如下图所示。P高皱配晝配宣实时同步:丽三|运行刑掠同步应菩：丽3应答超时时间：10*亳秒应答报丈重岌次数：2*心-5欢停止应用C）参数设置完成后，点击“应用”按钮保存配置。d）点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。敦机熱备悴负羲均衛厂廷接保护 本地地址：10.0.0. 对谛地址：io.0.0.2 心跳闾隔：1 星i-2秒 血探测：TF探侧厂高烦配置启用| _停止应用Vrid优先纯抢占度量值播口1200MASTER2000012100di s ableJACKUP600002删隱傷改? 防火墙2防火

33、墙2的操作请参见防火墙1的配置，需要设置本机地址为10.0.0.2,对端地址为。CLI配置步骤1）设置ethl 口的IP地址。? 防火墙1?#n etwork in terfaceeth1 ip add mask 防火墙 2#n etwork in terface eth1 ip add mask ）设置备份接口属性。分别在防火墙1和防火墙2上进行配置。#n etwork in terface eth0 switchport mode trunk# n etwork in terface eth0 switchport trunk allowed-vla n 1,2# n etwork vla

34、 n add range 1-2#n etwork in terface ip add mask in terface ip add mask in terfacevrid 1#n etwork in terface vrid 23）设置心跳口属性? 防火墙1?#n etwork in terface eth2 ip add 10.0.0.1 mask 255.0 ha 防火墙 2#network interface eth2 ip add 10.0.0.2 mask 255.0 ha ）指定防火墙的不同 VRID 组的 优先级。? 防火墙 1#ha vrid1 priority200#ha

35、vrid1 preemptenable#ha vrid2 priority100#ha vrid2 preemptdisable防火墙 2#ha vrid1 priority100#ha vrid1 preemptdisable#ha vrid2 priority200#ha vrid2 preemptenable5）指定 HA 网口本地地址以及对端地址。 ? 防火墙 1#ha mode aa#ha local 10.0.0.1#ha peer 10.0.0.2# ha rtosync ack enable#ha rtconfig-sync enable#ha enable? 防火墙 2#ha

36、 mode aa#ha local 10.0.0.2#ha peer 10.0.0.1# ha rtosync ack enable#ha rtconfig-sync enable#ha enable注意事项无。连接保护模式基本需求Hill场火韦I卜-丨1於火审工1 htvrnctthlErlif)叨火拙3iEiOkAi防火增4图4连接保护模式拓扑图上图是一个简单的连接保护模式拓扑图，四台防火墙并行工作，防火墙的Eth2 口HUB （或交换机）相连VRRP或HSRP进行为心跳口（ IP地址分别为“ 10.1.1.1/24”、“、“和“），通过用来协商状态及同步对象和配置。当两台/多台防火墙均正

37、常工作时，由上下游的设备通过运行 冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一 台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。配置要点配置防火墙心跳口配置防火墙中除心跳口以外的接口配置HA属性 设置关闭连接表的严格状态检测功能WEBUI配置步骤1）配置防火墙心跳口。? 防火墙1HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。 接口属性必须要勾选"ha-static”选项。a）点击 网络管理 > 接口，然后选择"物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。点击

38、“确定”按钮保存配置。b）点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮，如下图所示。境由段式地址/掩码:10.1.1. 12E5.255 25S.0F ha stati“ha-static”选项必须勾选，否则运行状态同步时IP地址信息也会被同步。点击“确定”按钮保存配置。? 防火墙2设置防火墙2的心跳口 IP地址为“ 10.1.1.2/24”，其操作与防火墙1的设置方法相同，具体请参加防火墙1的配置步骤。? 防火墙3设置防火墙3的心跳口 IP地址为“ 10.1.1.3/24”，其操作与防火墙1的设置方法相同，具体请参加防火墙1的配置步骤。防火墙

39、4设置防火墙4的心跳口 IP地址为“ 10.1.1.4/24”，其操作与防火墙1的设置方法相同，具体请参加防火墙 1的配置步骤。2）配置防火墙中除心跳口以外的接口。? 防火墙1a）配置 EthO 口 IP 为。点击 网络管理 > 接口，然后选择“物理接口”页签，点击ethO接口后的“设置”图标。在“路由模式”下方配置 EthO 口的IP地址，然后点击“添加”按钮，如下图所示。点击“确定”按钮保存配置。b）配置 Eth1 口 IP 为 10.10.10.2。点击 网络管理 > 接口，然后选择“物理接口”页签，点击eth1接口后的“设置”图标。在“路由模式”下方配置 Eth1 口的IP

40、地址，然后点击“添加”按钮，如下图所示。地址/掩码:10.10. 10-2/ 255 255 255.0厂hart 吐让忝加地址掩码属性删除高皱屋性r1确足取消1点击“确定”按钮保存配置。? 防火墙2a）配置 EthO 口 IP 为。b）配置 Eth1 口 IP 为 10.10.10.3。操作步骤与防火墙1完全一致，请参照防火墙1进行配置。? 防火墙3a）配置 EthO 口 IP 为。b）配置 Eth1 口 IP 为 10.10.10.4。操作步骤与防火墙1完全一致，请参照防火墙1进行配置。? 防火墙4a）配置 EthO 口 IP 为。b）配置 Eth1 口 IP 为 10.10.10.5。操

41、作步骤与防火墙1完全一致，请参照防火墙1进行配置。3）配置HA属性。指定HA网口本地地址以及对端地址，并启用运行对象同步功能。? 防火墙1a）点击高可用性 > 双机热备，选中“连接保护”前的单选按钮，配置基本信息, 如下图所示。设置本机地址为心跳口Eth2的IP地址（10.1.1.1 ）；设置对端地址为eth2 口的子网广播地址（10.1.1.255），当只有两台防火墙并行工作时，建议设置为单播地址；b）勾选“高级配置”左侧的复选框，配置高级信息，如下图所示。啟高皱配置配看实时同母:丽3运行对象同店应笞:I开启二应答超时时间:10* 10-50囿杪1应菩搖史重发欢數：2+ 0-£

42、;次匸启用：！停止应用C）参数设置完成后，点击“应用”按钮保存配置。d）点击“启用”按钮，启动该连接保护模式，心跳口连接建立，如下图所示。防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.2为。? 防火墙3防火墙3的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.3为。? 防火墙4防火墙4的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.4防火墙2为。对端地址对端地址对端地址4）设置关闭连接表的严格状态检测功能。? 防火墙1、防火墙2、防火墙3和防火墙4a）点击 系统管理 > 配置，然后选择“系统参数”页签，选中“高级属性”前的 复选框，在“网络参数

43、”处设置关闭连接完整性检查功能，如下图所示。兀NIF重定向；TCP xeset ；赳校验和；连接完整性：|关-1快速连援重用：冊L5透传：厌 £山-汀壬可曲犬宏亍"且空格隔并10-2000个/杪r限制为b）参数设置完成后，点击“应用”按钮即可。CLI配置步骤1）配置防火墙心跳口属性。? 防火墙1?#n etworkin terfaceeth2ipadd10.1.1.1mask255.0 ha 防火墙2?#n etworkin terfaceeth2ipadd10.1.1.2mask255.0 ha 防火墙3?#n etworkin terfaceeth2ipadd10.1.

44、1.3mask255.0 ha 防火墙4#n etwork in terfaceeth2 ip add 10.1.1.4 mask 255.0 ha）配置防火墙中除心跳口以外的接口属性。? 防火墙1、防火墙2、防火墙3和防火墙4#n etwork vlan add id100#n etwork in terfaceeth0 switchport#n etwork in terfaceeth0 switchport mode trunk#n etwork in terfaceeth0 switchport mode trunk allowed-vlan 100#n etwork in terfa

45、ceeth1 switchport#n etwork in terface eth1 switchport mode trunk#network interface eth1 switchport mode trunk allowed-vlan 1003）配置 HA 的工作模式及心跳口的本地地址和对端地址。 ? 防火墙 1#ha mode lb#ha local 10.1.1.1#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-syncenable? 防火墙 2#ha mode lb#ha local 10.1.1.2#ha peer

46、 10.1.1.255# ha rtosync ack enable#ha rtconfig-syncenable? 防火墙 3#ha mode lb#ha local 10.1.1.3#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-syncenable? 防火墙 4#ha mode lb#ha local 10.1.1.4#ha peer 10.1.1.255# ha rtosync ack enable#ha rtconfig-sync enable 4）设置关闭连接表的严格状态检测功能。? 防火墙 1、防火墙 2、防火墙 3

47、和防火墙 4#network session session-integrity off注意事项如果用户网络拓扑中有可能存在这样的情况：建立连接请求发送的 SYN 包经过一 台防火墙，而返回的 SYN/ACK 包通过另一台防火墙转发，则必须要关闭严格状态检测 开关。当 SYN 包通过墙 A 时，墙 A 上建立了一条状态为 handshake 的连接，同步到 B 墙 上时，为了避免重复同步连接， B 墙上连接状态为 ESTABLISHED 状态；此时如果 SYN/ACK 报文从 B 墙的路径返回，发现墙上已经有一条 ESTABLISHED 的连接，就会 把 ACK 包丢弃，导致 client 和

48、 server 端无法真正建立起连接来， 通信失败。 此时，如果 把严格状态检测开关 off 的话， ACK 包到达 B 墙，虽然发现已经有一条 ESTABLISHED 的连接，但也会放过，报文回复到 client 端时，就可以握手成功了。子接口的负载均衡模式基本需求GWi I7X16JD.I皿16J.IEZ4 GW: I72JI.I图5子接口负载均衡模式的网络示意图上图是一个简单的利用子接口进行负载均衡的示意图。防火墙A和防火墙B并联工作，两个防火墙的 EthO接口间由一条心跳线相连用来同步状态及配置信息；两个防 火墙的子接口和属于 VRID10 （防火墙B的优先级高于防火墙 A）;两个防火

49、墙的子接 口和属于VRID20 （防火墙A的优先级高于防火墙 B）。这样，两台防火墙均正常工作 时，网段“的流量通过防火墙A进行转发，网段“的流量通过防火墙B进行转发。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实 现两台防火墙的负载均衡。配置要点配置备份子接口配置心跳口?配置防火墙的不同 VRID组的优先级? 配置HA功能WEBUI配置步骤1）配置备份子接口? 防火墙Aa） 点击 网络管理 > 接口，激活“子接口”页签，然后点击“添加/删除子接口”， 添加ethl接口的子接口和。b） 点击 网络管理 > 接口，激活“子接口”页签，然后点击“添加/删

50、除子接口”， 添加eth2接口的子接口和。c）在子接口列表中，分别点击各个子接口条目右侧的“属性”图标，配置的IP地址为，属于VRID10 ；配置的IP地址为，属于VRID20 ；配置的IP地址为，属于VRID10 ； 配置的IP地址为，属于 VRID20，如下图所示。物理接口 I孑接口 I越路眾合子撞口祈力“删除子接口】名称世址WTU雇性011 號.169.0. 1/55E. 255.255.01500启用nvethl.02192. 163 0.2/255.255.255 01S00启用nveth2.01172. 16.0 17255 255 2S5 01500眉用nveth202172.

51、16. 1 1/£55 255 £55 01500启用a? 防火墙B配置防火墙B的备份子接口，与防火墙 A的配置完全相同，此处不再赘述。2）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口 IP为同一个网段的不同IP （分别为10.0.0.1/24和），并且必须勾选“ ha-static”选项。防火墙Aa）点击 网络管理 > 接口，然后选择"物理接口”页签，在ethO接口后点击"设置”图标，为该接口配置进行同步HA设置的地址，如下图所示。拥淮实口 I子接口 I體路壌合逐:状态；3小于240字节地址/it码：/厂 lia-Etati

52、 ?添加 |地址掩码属性10.0.C. 1255.255.255,0高皱屋性厂b）参数设置完成后，点击“确定”按钮即可。? 防火墙B配置防火墙B的ethO 口 IP地址为“ 10.0.0.2/24”，具体操作请参见防火墙A。3）配置防火墙的不同 VRID组的优先级。设定防火墙 A的VRID10的优先级为100, VRID20的优先级为200。设定防火墙B 的VRID 10的优先级为200，VRID 20的优先级为100。因此，对 VRID 10来说防火墙 B为主墙，防火墙 A为备墙；对于 VRID 20来说防火墙A为主墙，防火墙 B为备墙。并且设置主墙为“抢占”模式，即主墙能在失效后，重新恢复正常工作时，重获主墙地 位。? 防火墙Aa）选择 高可用性 > 双机热备，然后选中“负载均衡”前的单选按钮。b） 点击“热备组”右侧的“添加”，配置 VRID 10的优先级为100,如下图所示。参数配置完成后，点击“确定”按钮。c）配置VRID20的优先级为200, “抢占