1、雙機熱備網(wǎng)絡衛(wèi)士防火墻可以實現(xiàn)多種方式下的冗余備份，包括：雙機熱備模式、負載均衡模式和連接保護模式。在雙機熱備模式下（最多支持九臺設備），任何時刻都只有一臺防火墻（主墻）處于工作狀態(tài)，承擔報文轉(zhuǎn)發(fā)任務，一組防火墻處于備份狀態(tài)并隨時接替任務。當主墻的任何一個接口（不包括心跳口）出現(xiàn)故障時，處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后，由優(yōu)先級高的防火墻接替主墻的工作，進行數(shù)據(jù)轉(zhuǎn)發(fā)。在負載均衡模式下（最多支持九臺設備），兩臺/多臺防火墻并行工作，都處于正常的數(shù)據(jù)轉(zhuǎn)發(fā)狀態(tài)。每臺防火墻中設置多個VRRP備份組，兩臺/多臺防火墻中VRID相同的組之間可以相互備份，以便確保某臺設備故障時，其他的設備能夠接替其工作。在連

2、接保護模式下（最多支持九臺設備），防火墻之間只同步連接信息，并不同步狀態(tài)信息。當兩臺/多臺防火墻均正常工作時，由上下游的設備通過運行VRRP或HSRP進行冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)，所有防火墻處于負載分擔狀態(tài)，當其中一臺發(fā)生故障時，上下游設備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。雙機熱備模式基本需求圖 1 雙機熱備模式的網(wǎng)絡拓撲圖上圖是一個簡單的雙機熱備的主備模式拓撲圖，主墻和一臺從墻并聯(lián)工作，兩個防火墻的Eth2接口為心跳口，由心跳線連接用來協(xié)商狀態(tài)，同步對象及配置信息。配置要點Ø 設置HA心跳口屬性Ø 設置除心跳口以外的其余通信接口屬于VRID2&#

3、216; 指定HA的工作模式及心跳口的本地地址和對端地址Ø 主從防火墻的配置同步WEBUI配置步驟1）配置HA心跳口和其他通訊接口地址HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ha-static”選項，否則HA心跳口的IP地址信息會在主從墻運行配置同步時被對方覆蓋。Ø 主墻a）配置HA心跳口地址。 點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth2接口后的“設置”圖標，配置基本信息，如下圖所示。點擊“確定”按鈕保存配置。 點擊eth2接口后的“設置”圖標，在“路由模式”下方配置心跳口的IP地址，然后點擊“

4、添加”按鈕，如下圖所示?！癶a-static”選項必須勾選，否則運行狀態(tài)同步時IP地址信息也會被同步。點擊“確定”按鈕保存配置。b）配置Eth1和Eth0口的IP地址。配置Eth1和Eth0的IP地址分別為192.168.83.219和172.16.1.20，具體操作請參見 配置HA心跳口地址。說明² 互為備份的接口必須配置相同的IP地址，所以主墻的Eth1口必須與從墻Eth1口的IP地址相同，主墻的Eth0口必須與從墻Eth0口的IP地址相同。Ø 從墻a）配置HA心跳口地址。配置從墻HA心跳口地址為.2，具體步驟請參見主墻的配置，此處不再贅述。b）配置Eth1和Eth0口

5、的IP地址。配置從墻Eth1和Eth0的IP地址分別為192.168.83.219和172.16.1.20，具體步驟請參見主墻的配置，此處不再贅述。2）設置除心跳口以外的其余通信接口屬于VRID2。主備模式下，只能配置一個VRRP備份組，而且通信接口必須加入到具體的VRID組中，防火墻才會根據(jù)此接口的up、down狀態(tài)，來判斷本機的工作狀態(tài)，以進行VRID組內(nèi)主備狀態(tài)的切換。Ø 主墻a）選擇 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，在除心跳口以外的接口后點擊“設置”圖標（以eth0為例）。b）勾選“高級屬性”后的復選框，設置該接口屬于vrid2，如下圖所示。c）參數(shù)設置完

6、成后，點擊“確定”按鈕保存配置。Ø 從墻具體步驟請參見主墻的配置，此處不再贅述。3）指定HA的工作模式及心跳口的本地地址和對端地址。需要設置HA工作在“雙機熱備”模式下，并設置當前防火墻為主墻或從墻，心跳口的本地及對端IP地址信息、心跳間隔等屬性。Ø 主墻a）選擇 高可用性 > 雙機熱備，選中“雙機熱備”前的單選按鈕，配置基本信息，如下圖所示。設置本機地址為心跳口eth2的IP地址（.1）；設置對端地址為從墻心跳口eth2的IP地址（.2），超過兩臺設備時，必須將“對端地址”設為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設備）；心跳探測間隔可以使用默認值（1秒）

7、，心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設置一致，否則很可能導致從墻的主從狀態(tài)的來回切換；設置熱備組為通信接口的VRID（2）；選擇身份為“主機”；“搶占”模式，是指主墻宕機后，重新恢復正常工作時，是否重新奪回主墻的地位。只有當主墻與從墻相比有明顯的性能差異時，才需要配置主墻工作在“搶占”模式，否則當主墻恢復工作時主從墻的再次切換浪費系統(tǒng)資源，沒有必要。案例中兩臺防火墻相同，所以主墻不需要配置為“搶占”模式。b）勾選“高級配置”左側(cè)的復選框，進行高級配置，如下圖所示。c）參數(shù)設置完成后，點擊“應用”按鈕保存配置

8、。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。Ø 從墻配置操作和主墻的基本相同，但注意身份為“從屬機”，本機地址為10.1.1.2，對端地址為10.1.1.1，不選擇“搶占”。4）主從防火墻的配置同步在主墻點擊“從本機同步到對端機”，將主墻的當前配置同步到從墻。至此，主墻和從墻的雙機熱備就可以正常使用了。CLI配置步驟1）配置HA的交互IP（心跳線相連的兩個端口）Ø 主墻# network interface eth2 ip add .1 mask 255.255.255.0 ha-static#network interface eth0 vrid

9、2#network interface eth1 vrid 2Ø 從墻# network interface eth2 ip add .2 mask 255.255.255.0 ha-static#network interface eth0 vrid 2#network interface eth1 vrid 22）指定HA網(wǎng)口本地地址以及對端地址Ø 主墻# ha mode as# ha local .1# ha peer .2# ha as-vrid 2#ha vrid 2 priority 254# ha vrid 2 preempt disable# ha enab

10、leØ 從墻# ha mode as# ha local .2# ha peer .1# ha as-vrid 2# ha vrid 2 priority 100# ha vrid 2 preempt disable# ha enable注意事項1）當主墻或從墻配置發(fā)生變更后，手工同步配置可以保證主從墻配置的一致性。2）TOS3.3防火墻的接口均為自適應接口，HA接口之間的連接可以使用交叉線也可以使用直連線。路由接口下的負載均衡模式基本需求圖 2 路由接口下負載均衡模式的網(wǎng)絡拓撲圖上圖是一個簡單的利用物理接口進行負載均衡的拓撲圖，防火墻1和防火墻2并聯(lián)工作，兩個防火墻的Eth3接口間

11、由一條心跳線相連用來同步狀態(tài)及配置信息；兩個防火墻的Eth1口屬于同一vrid1（防火墻1的優(yōu)先級高于防火墻2）；接口Eth2屬于同一vrid2（防火墻2的優(yōu)先級高于防火墻1）。兩臺防火墻均正常工作時，網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火墻2利用網(wǎng)通鏈路上網(wǎng)。當其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點Ø 配置eth0口Ø 配置VRID組內(nèi)接口Ø 配置心跳口Ø 配置防火墻的不同VRID組的優(yōu)先級Ø 配置HA功能WEBUI配置步驟1）配置eth0口Ø 防火墻

12、1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊接口eth0條目后的“設置”圖標，設定其IP地址為“24”，如下圖所示。參數(shù)設置完成后，點擊“添加”按鈕即可。b）點擊“確定”按鈕保存配置。Ø 防火墻2配置防火墻2的IP地址為“”，具體步驟請參見防火墻1的配置。2）配置備份接口設定兩臺防火墻上eth1口和eth2口互相備份。兩臺防火墻的eth1口需要設定相同的IP地址和VRID；兩臺防火墻的eth2口也需要設定相同的IP地址和VRID。Ø 防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth1接口后的“設置”圖標，配置eth1接

13、口IP地址為172.16.0.2/24，如下圖所示。選中“高級屬性”后的復選框，設置eth1的vrid值為1，如下圖所示。參數(shù)設置完成后，點擊“確定”按鈕即可。b）點擊eth2接口后的“設置”圖標，配置，如下圖所示。選中“高級屬性”后的復選框，設置eth2的vrid值為2，如下圖所示。參數(shù)設置完成后，點擊“確定”按鈕即可。Ø 防火墻2防火墻2的配置與防火墻1完全一致，具體操作請參見防火墻1。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設定心跳口IP為同一個網(wǎng)段的不同IP（分別為.1/24和10.0.0.2/24），并且必須要勾選“ha-static”選項。Ø

14、 防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，在eth3接口后點擊“設置”圖標，配置該接口為進行同步HA設置的IP地址，如下圖所示。b）參數(shù)設置完成后，點擊“添加”按鈕，然后點擊“確定”按鈕即可。Ø 防火墻2配置防火墻2的eth3口IP地址為“.2/24”，具體操作請參見防火墻1的配置。4）指定防火墻的不同VRID組的優(yōu)先級。設定防火墻1的vrid1的優(yōu)先級為200，vrid2的優(yōu)先級為100。設定防火墻2的vrid1的優(yōu)先級為100，vrid2的優(yōu)先級為200。設置完成后，對于vrid1來說，防火墻1為主墻，防火墻2為備墻；對于vrid2來說，防火墻2為主

15、墻，防火墻1為備墻。并且設置主墻為“搶占”模式，即主墻能在失效后，重新恢復正常工作時，重獲主墻地位。Ø 防火墻1a）選擇 高可用性 > 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應用”按鈕。b）點擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)先級為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為100，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。Ø 防火墻2a）選擇 高可用性 > 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應用”按鈕。b）點擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)先級為1

16、00，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。5）配置HA功能Ø 防火墻1a）點擊 高可用性 > 雙機熱備，然后選中“負載均衡”前的單選按鈕，配置基本屬性，如下圖所示。設置“本機地址”為心跳口eth3的IP地址（.1）。設置“對端地址”為另一臺墻心跳口eth3的IP地址（.2），超過兩臺設備時，必須將“對端地址”設為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設備）?！靶奶g隔”可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢測對端設

17、備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設置一致，否則很可能導致從墻的主從狀態(tài)的來回切換。b）勾選“高級配置”左側(cè)的復選框，配置高級屬性，如下圖所示。c）參數(shù)設置完成后，點擊“應用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。Ø 防火墻2防火墻2的操作請參見防火墻1的配置，需要設置本機地址為.2，對端地址為10.0.0.1。CLI配置步驟1）設置eth0口的IP地址。Ø 防火墻1#network interface eth0 ip add mask Ø 防火墻2#network interface eth0 ip ad

18、d mask 2）設置備份接口屬性。分別在防火墻1和防火墻2上進行配置。#network interface eth1 ip add mask #network interface eth2 ip add mask #network interface eth1 vrid 1#network interface eth2 vrid 23）設置心跳口屬性Ø 防火墻1#network interface eth3 ip add .1 mask 255.255.255.0 ha-staticØ 防火墻2#network interface eth3 ip add .2 mask

19、255.255.255.0 ha-static4）指定防火墻的不同VRID組的優(yōu)先級。Ø 防火墻1#ha vrid 1 priority 200#ha vrid 1 preempt enable#ha vrid 2 priority 100#ha vrid 2 preempt disableØ 防火墻2#ha vrid 1 priority 100#ha vrid 1 preempt disable#ha vrid 2 priority 200#ha vrid 2 preempt enable5）指定HA網(wǎng)口本地地址以及對端地址。Ø 防火墻1#ha mode aa

20、#ha local .1#ha peer .2# ha rtosync ack enable #ha rtconfig-sync enable#ha enableØ 防火墻2#ha mode aa#ha local .2#ha peer .1# ha rtosync ack enable #ha rtconfig-sync enable#ha enable注意事項無。Trunk口下的負載均衡模式基本需求圖 3 Trunk口下負載均衡模式的網(wǎng)絡拓撲圖上圖是一個簡單的利用Trunk接口進行負載均衡的拓撲圖，防火墻1和防火墻2并聯(lián)工作，兩個防火墻的Eth2接口間由一條心跳線相連用來同步狀態(tài)

21、及配置信息，兩個防火墻的Eth1口為trunk口，同時屬于vlan1和vlan2，vlan1屬于同一vrid1（防火墻1的優(yōu)先級高于防火墻2）、vlan2屬于同一vrid2（防火墻2的優(yōu)先級高于防火墻1），這樣兩臺防火墻均正常工作時，網(wǎng)段1通過防火墻1利用電信鏈路上網(wǎng)，網(wǎng)段2通過防火墻2利用網(wǎng)通鏈路上網(wǎng)。當其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點Ø 配置eth0口Ø 配置VRID組內(nèi)接口Ø 配置心跳口Ø 配置防火墻的不同VRID組的優(yōu)先級Ø 配置HA功能WEBUI配置步驟1）配

22、置eth0口Ø 防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊接口eth0條目后的“設置”圖標，設定其IP地址為“24”，如下圖所示。參數(shù)設置完成后，點擊“添加”按鈕即可。b）點擊“確定”按鈕保存配置。Ø 防火墻2配置防火墻2的通信用IP地址為“”，具體步驟請參見防火墻1的配置。2）配置兩臺防火墻上eth1口為trunk口，屬于VLAN1和VLAN2。配置兩臺防火墻的eth1口為trunk口，屬于VLAN1和VLAN2；VLAN1虛接口互相備份，VLAN2虛接口也互相備份，需要設定相同的IP地址和vrid。Ø 防火墻1和防火墻2a）選擇

23、 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth1接口后的“設置”圖標，配置接口信息，如下圖所示。參數(shù)設置完成后，點擊“確定”即可。b）點擊 網(wǎng)絡管理 > 二層網(wǎng)絡，并選擇“VLAN”頁簽，點擊“添加/刪除VLAN范圍”添加VLAN，設置VLAN虛接口的屬性，如下圖所示。參數(shù)設置完成后，點擊“確定”按鈕即可。c）點擊 網(wǎng)絡管理 > 二層網(wǎng)絡，然后選擇“VLAN”頁簽，點擊vlan.0001后的“修改”字段，設置VLAN虛接口vlan.0001的IP地址為172.16.0.2/24，如下圖所示。參數(shù)設置完成后，點擊“添加”按鈕即可。點擊“高級屬性”后的復選框，設置vl

24、an.0001接口屬于vrid1，如下圖所示。參數(shù)設置完成后，點擊“確定”按鈕即可。d）點擊 網(wǎng)絡管理 > 二層網(wǎng)絡，然后選擇“VLAN”頁簽，點擊vlan.0002后的“修改”字段，設置VLAN虛接口vlan.0002的IP地址為172.16.1.3/24，如下圖所示。參數(shù)設置完成后，點擊“添加”按鈕即可。點擊“高級屬性”后的復選框，設置vlan.0002接口屬于vrid2，如下圖所示。參數(shù)設置完成后，點擊“確定”按鈕即可。3）配置心跳口連接心跳線的HA通信接口必須工作在路由模式下，設定心跳口IP為同一個網(wǎng)段的不同IP（分別為.1/24和10.0.0.2/24），并且必須勾選“ha-s

25、tatic”選項。Ø 防火墻1a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，在eth2接口后點擊“設置”圖標，為該接口配置進行同步HA設置的地址，如下圖所示。b）參數(shù)設置完成后，點擊“添加”按鈕，然后點擊“確定”按鈕即可。Ø 防火墻2配置防火墻2的eth2口IP地址為“.2/24”，具體操作請參見防火墻1。4）配置防火墻的不同VRID組的優(yōu)先級。設定防火墻1的vrid1的優(yōu)先級為200，vrid2的優(yōu)先級為100。設定防火墻2的vrid1的優(yōu)先級為100，vrid2的優(yōu)先級為200。設定后對vrid1來說防火墻1為主墻，防火墻2為備墻，對于vrid2來說防火

26、墻2為主墻，防火墻1為備墻。并且設置主墻為“搶占”模式，即主墻能在失效后,重新恢復正常工作時，重獲主墻地位。Ø 防火墻1a）選擇 高可用性 > 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應用”按鈕。b）點擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)先級為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為100，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。Ø 防火墻2a）選擇 高可用性 > 雙機熱備，選中“負載均衡”前的單選按鈕，然后點擊“應用”按鈕。b）點擊“Vrid”右側(cè)的“添加”，配置vrid1的優(yōu)

27、先級為100，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置vrid2的優(yōu)先級為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。5）配置HA功能Ø 防火墻1a）點擊 高可用性 > 雙機熱備，然后選中“負載均衡”前的單選按鈕，配置基本信息，如下圖所示。設置“本機地址”為心跳口eth2的IP地址（.1）。設置“對端地址”為另一臺墻心跳口eth2的IP地址（.2），超過兩臺設備時，必須將“對端地址”設為本地地址所在子網(wǎng)的子網(wǎng)廣播地址（最多支持八臺對端設備）?！靶奶g隔”可以使用默認值（1秒），心跳探測間隔是兩個防火墻間互通狀態(tài)信息報文的時間間隔，也是用于檢

28、測對端設備是否異常的重要參數(shù)，互為熱備的防火墻的此參數(shù)必須設置一致，否則很可能導致從墻的主從狀態(tài)的來回切換。b）勾選“高級配置”左側(cè)的復選框，配置高級信息，如下圖所示。c）參數(shù)設置完成后，點擊“應用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該主備模式，心跳口連接建立，如下圖所示。Ø 防火墻2防火墻2的操作請參見防火墻1的配置，需要設置本機地址為.2，對端地址為10.0.0.1。CLI配置步驟1）設置eth1口的IP地址。Ø 防火墻1#network interface eth1 ip add mask Ø 防火墻2#network interface eth1 i

29、p add mask 2）設置備份接口屬性。分別在防火墻1和防火墻2上進行配置。#network interface eth0 switchport mode trunk# network interface eth0 switchport trunk allowed-vlan 1,2# network vlan add range 1-2#network interface vlan.0001 ip add mask #network interface vlan.0002 ip add mask #network interface vlan.0001 vrid 1#network int

30、erface vlan.0001 vrid 23）設置心跳口屬性Ø 防火墻1#network interface eth2 ip add .1 mask 255.255.255.0 ha-staticØ 防火墻2#network interface eth2 ip add .2 mask 255.255.255.0 ha-static4）指定防火墻的不同VRID組的優(yōu)先級。Ø 防火墻1#ha vrid 1 priority 200#ha vrid 1 preempt enable#ha vrid 2 priority 100#ha vrid 2 preempt d

31、isableØ 防火墻2#ha vrid 1 priority 100#ha vrid 1 preempt disable#ha vrid 2 priority 200#ha vrid 2 preempt enable5）指定HA網(wǎng)口本地地址以及對端地址。Ø 防火墻1#ha mode aa#ha local .1#ha peer .2# ha rtosync ack enable #ha rtconfig-sync enable#ha enableØ 防火墻2#ha mode aa#ha local .2#ha peer 10.0.0.1# ha rtosync

32、ack enable #ha rtconfig-sync enable#ha enable注意事項無。連接保護模式基本需求圖 4 連接保護模式拓撲圖上圖是一個簡單的連接保護模式拓撲圖，四臺防火墻并行工作，防火墻的Eth2口為心跳口（IP地址分別為“.1/24”、“”、“”和“”），通過HUB（或交換機）相連用來協(xié)商狀態(tài)及同步對象和配置。當兩臺/多臺防火墻均正常工作時，由上下游的設備通過運行VRRP或HSRP進行冗余備份，以便決定流量由哪臺防火墻轉(zhuǎn)發(fā)，所有防火墻處于負載分擔狀態(tài)，當其中一臺發(fā)生故障時，上下游設備經(jīng)過協(xié)商后會將其上的數(shù)據(jù)流通過其他防火墻轉(zhuǎn)發(fā)。配置要點Ø 配置防火墻心跳口&

33、#216; 配置防火墻中除心跳口以外的接口Ø 配置HA屬性Ø 設置關閉連接表的嚴格狀態(tài)檢測功能WEBUI配置步驟1）配置防火墻心跳口。Ø 防火墻1HA心跳口必須工作在路由模式下，而且要配置同一網(wǎng)段的IP以保證相互通信。接口屬性必須要勾選“ha-static”選項。a）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth2接口后的“設置”圖標，配置基本信息，如下圖所示。點擊“確定”按鈕保存配置。b）點擊eth2接口后的“設置”圖標，在“路由模式”下方配置心跳口的IP地址，然后點擊“添加”按鈕，如下圖所示?！癶a-static”選項必須勾選，否則運行狀

34、態(tài)同步時IP地址信息也會被同步。點擊“確定”按鈕保存配置。Ø 防火墻2設置防火墻2的心跳口IP地址為“.2/24”，其操作與防火墻1的設置方法相同，具體請參加防火墻1的配置步驟。Ø 防火墻3設置防火墻3的心跳口IP地址為“.3/24”，其操作與防火墻1的設置方法相同，具體請參加防火墻1的配置步驟。Ø 防火墻4設置防火墻4的心跳口IP地址為“.4/24”，其操作與防火墻1的設置方法相同，具體請參加防火墻1的配置步驟。2）配置防火墻中除心跳口以外的接口。Ø 防火墻1a）配置Eth0口IP為172.16.1.2。點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接

35、口”頁簽，點擊eth0接口后的“設置”圖標。在“路由模式”下方配置Eth0口的IP地址，然后點擊“添加”按鈕，如下圖所示。點擊“確定”按鈕保存配置。b）配置Eth1口IP為.2。點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，點擊eth1接口后的“設置”圖標。在“路由模式”下方配置Eth1口的IP地址，然后點擊“添加”按鈕，如下圖所示。點擊“確定”按鈕保存配置。Ø 防火墻2a）配置Eth0口IP為172.16.1.3。b）配置Eth1口IP為.3。操作步驟與防火墻1完全一致，請參照防火墻1進行配置。Ø 防火墻3a）配置Eth0口IP為172.16.1.4。b）配置

36、Eth1口IP為.4。操作步驟與防火墻1完全一致，請參照防火墻1進行配置。Ø 防火墻4a）配置Eth0口IP為172.16.1.5。b）配置Eth1口IP為.5。操作步驟與防火墻1完全一致，請參照防火墻1進行配置。3）配置HA屬性。指定HA網(wǎng)口本地地址以及對端地址，并啟用運行對象同步功能。Ø 防火墻1a）點擊 高可用性 > 雙機熱備，選中“連接保護”前的單選按鈕，配置基本信息，如下圖所示。設置本機地址為心跳口Eth2的IP地址（10.1.1.1）；設置對端地址為eth2口的子網(wǎng)廣播地址（10.1.1.255），當只有兩臺防火墻并行工作時，建議設置為單播地址；b）勾選“

37、高級配置”左側(cè)的復選框，配置高級信息，如下圖所示。c）參數(shù)設置完成后，點擊“應用”按鈕保存配置。d）點擊“啟用”按鈕，啟動該連接保護模式，心跳口連接建立，如下圖所示。Ø 防火墻2防火墻2的操作請參見防火墻1的配置，需要設置本機地址為10.1.1.2，對端地址為10.1.1.255。Ø 防火墻3防火墻3的操作請參見防火墻1的配置，需要設置本機地址為10.1.1.3，對端地址為10.1.1.255。Ø 防火墻4防火墻4的操作請參見防火墻1的配置，需要設置本機地址為10.1.1.4，對端地址為10.1.1.255。4）設置關閉連接表的嚴格狀態(tài)檢測功能。Ø 防火

38、墻1、防火墻2、防火墻3和防火墻4a）點擊 系統(tǒng)管理 > 配置，然后選擇“系統(tǒng)參數(shù)”頁簽，選中“高級屬性”前的復選框，在“網(wǎng)絡參數(shù)”處設置關閉連接完整性檢查功能，如下圖所示。b）參數(shù)設置完成后，點擊“應用”按鈕即可。CLI配置步驟1）配置防火墻心跳口屬性。Ø 防火墻1#network interface eth2 ip add 10.1.1.1 mask 255.255.255.0 ha-staticØ 防火墻2#network interface eth2 ip add 10.1.1.2 mask 255.255.255.0 ha-staticØ 防火墻3

39、#network interface eth2 ip add 10.1.1.3 mask 255.255.255.0 ha-staticØ 防火墻4#network interface eth2 ip add 10.1.1.4 mask 255.255.255.0 ha-static2）配置防火墻中除心跳口以外的接口屬性。Ø 防火墻1、防火墻2、防火墻3和防火墻4#network vlan add id 100#network interface eth0 switchport#network interface eth0 switchport mode trunk#net

40、work interface eth0 switchport mode trunk allowed-vlan 100#network interface eth1 switchport#network interface eth1 switchport mode trunk#network interface eth1 switchport mode trunk allowed-vlan 1003）配置HA的工作模式及心跳口的本地地址和對端地址。Ø 防火墻1#ha mode lb#ha local .1#ha peer .255# ha rtosync ack enable #ha

41、rtconfig-sync enableØ 防火墻2#ha mode lb#ha local .2#ha peer .255# ha rtosync ack enable #ha rtconfig-sync enableØ 防火墻3#ha mode lb#ha local .3#ha peer .255# ha rtosync ack enable #ha rtconfig-sync enableØ 防火墻4#ha mode lb#ha local .4#ha peer .255# ha rtosync ack enable #ha rtconfig-sync e

42、nable4）設置關閉連接表的嚴格狀態(tài)檢測功能。Ø 防火墻1、防火墻2、防火墻3和防火墻4#network session session-integrity off注意事項如果用戶網(wǎng)絡拓撲中有可能存在這樣的情況：建立連接請求發(fā)送的SYN包經(jīng)過一臺防火墻，而返回的SYN/ACK包通過另一臺防火墻轉(zhuǎn)發(fā)，則必須要關閉嚴格狀態(tài)檢測開關。當SYN包通過墻A時，墻A上建立了一條狀態(tài)為handshake的連接，同步到B墻上時，為了避免重復同步連接，B墻上連接狀態(tài)為ESTABLISHED狀態(tài)；此時如果SYN/ACK報文從B墻的路徑返回，發(fā)現(xiàn)墻上已經(jīng)有一條ESTABLISHED的連接，就會把ACK包

43、丟棄，導致client和server端無法真正建立起連接來，通信失敗。此時，如果把嚴格狀態(tài)檢測開關off的話，ACK包到達B墻，雖然發(fā)現(xiàn)已經(jīng)有一條ESTABLISHED的連接，但也會放過，報文回復到client端時，就可以握手成功了。子接口的負載均衡模式基本需求圖 5 子接口負載均衡模式的網(wǎng)絡示意圖上圖是一個簡單的利用子接口進行負載均衡的示意圖。防火墻A和防火墻B并聯(lián)工作，兩個防火墻的Eth0接口間由一條心跳線相連用來同步狀態(tài)及配置信息；兩個防火墻的子接口veth1.01和veth2.01屬于VRID10（防火墻B的優(yōu)先級高于防火墻A）；兩個防火墻的子接口veth1.02和veth2.02屬于

44、VRID20（防火墻A的優(yōu)先級高于防火墻B）。這樣，兩臺防火墻均正常工作時，網(wǎng)段“”的流量通過防火墻A進行轉(zhuǎn)發(fā)，網(wǎng)段“”的流量通過防火墻B進行轉(zhuǎn)發(fā)。當其中一條鏈路發(fā)生故障時，其上的數(shù)據(jù)流會自動切換，通過另一臺防火墻轉(zhuǎn)發(fā)，從而實現(xiàn)兩臺防火墻的負載均衡。配置要點Ø 配置備份子接口Ø 配置心跳口Ø 配置防火墻的不同VRID組的優(yōu)先級Ø 配置HA功能WEBUI配置步驟1）配置備份子接口Ø 防火墻Aa）點擊 網(wǎng)絡管理 > 接口，激活“子接口”頁簽，然后點擊“添加/刪除子接口”，添加eth1接口的子接口veth1.01和veth1.02。b）點擊 網(wǎng)

45、絡管理 > 接口，激活“子接口”頁簽，然后點擊“添加/刪除子接口”，添加eth2接口的子接口veth2.01和veth2.02。c）在子接口列表中，分別點擊各個子接口條目右側(cè)的“屬性”圖標，配置veth1.01的IP地址為192.168.0.1，屬于VRID10；配置veth1.02的IP地址為192.168.0.2，屬于VRID20；配置veth2.01的IP地址為172.16.0.1，屬于VRID10；配置veth2.02的IP地址為172.16.1.1，屬于VRID20，如下圖所示。Ø 防火墻B配置防火墻B的備份子接口，與防火墻A的配置完全相同，此處不再贅述。2）配置心跳

46、口連接心跳線的HA通信接口必須工作在路由模式下，設定心跳口IP為同一個網(wǎng)段的不同IP（分別為.1/24和10.0.0.2/24），并且必須勾選“ha-static”選項。Ø 防火墻Aa）點擊 網(wǎng)絡管理 > 接口，然后選擇“物理接口”頁簽，在eth0接口后點擊“設置”圖標，為該接口配置進行同步HA設置的地址，如下圖所示。b）參數(shù)設置完成后，點擊“確定”按鈕即可。Ø 防火墻B配置防火墻B的eth0口IP地址為“.2/24”，具體操作請參見防火墻A。3）配置防火墻的不同VRID組的優(yōu)先級。設定防火墻A的VRID10的優(yōu)先級為100，VRID20的優(yōu)先級為200。設定防火墻B

47、的VRID 10的優(yōu)先級為200，VRID 20的優(yōu)先級為100。因此，對VRID 10來說防火墻B為主墻，防火墻A為備墻；對于VRID 20來說防火墻A為主墻，防火墻B為備墻。并且設置主墻為“搶占”模式，即主墻能在失效后，重新恢復正常工作時，重獲主墻地位。Ø 防火墻Aa）選擇 高可用性 > 雙機熱備，然后選中“負載均衡”前的單選按鈕。b）點擊“熱備組”右側(cè)的“添加”，配置VRID 10的優(yōu)先級為100，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。c）配置VRID20的優(yōu)先級為200，“搶占”模式，如下圖所示。參數(shù)配置完成后，點擊“確定”按鈕。Ø 防火墻Ba）選擇 高可用性 > 雙機熱備，然后選中“負載均衡”前的單選按鈕。b）點擊“熱備組”右側(cè)的“添加”，配置VRID10的優(yōu)先級為20