防火墙双机热备3.3配置案例

1、双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于 工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高 的防火墙接替主墙的工作，进行数据转发。在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

2、在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。当两台/多台防火墙均正常工作时，由上下游的设备通过运行 VRRP或HSRP进行 冗余备份，以便决定流量由哪台防火墙转发， 所有防火墙处于负载分担状态， 当其中一台 发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。双机热备模式基本需求图1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。配置要点设置HA心跳口属性设置除心跳口以外的其余通信接口属于VRID2指定HA的工作模式及心

3、跳口的本地地址和对端地址主从防火墙的配置同步WEBU配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ ha-static ”选项，否则 HAL、跳口的IP地址信息会在主从墙运行配置 同步时被对方覆盖。主墙a）配置HA心跳口地址。 点击 网络管理 > 接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。最多3叶宇符或者15个浜宇1点击“确定”按钮保存配置。 点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮，如下图所示。

4、路曲霍式地址/掩玛：101 1.1.1/255. 255. 255帀疗 htt'Etaticmt掩码删除“ha-static ”选项必须勾选，否则运行状态同步时IP地址信息也会被同步。点击“确定”按钮保存配置。b）配置 Eth1和Eth0 口的IP地址。配置Eth1和Eth0的IP地址分别为192.168.83.219 和172.16.1.20,具体操作请参见配置HAL、跳口地址。说明互为备份的接口必须配置相同的IP地址，所以主墙的Eth1 口必须与从墙 Eth1 口的IP地址相同，主墙的 Eth0 口必须与从墙Eth0 口的IP地址相同。从墙a）配置HA心跳口地址。配置从墙HA心跳口

5、地址为10.1.1.2 ，具体步骤请参见主墙的配置，此处不再赘述。b）配置 Eth1和Eth0 口的IP地址。配置从墙Eth1和Eth0的IP地址分别为192.168.83.219 和172.16.1.20 ，具体步骤 请参见主墙的配置，此处不再赘述。2）设置除心跳口以外的其余通信接口属于VRID2。主备模式下，只能配置一个 VRRP备份组，而且通信接口必须加入到具体的 VRID组中, 防火墙才会根据此接口的 up、down状态，来判断本机的工作状态， 以进行VRID组内主备 状态的切换。主墙a）选择 网络管理 > 接口，然后选择“物理接口”页签，在除心跳口以外的接口后 点击“设置”图标

6、（以 eth0为例）。b）勾选“高级属性”后的复选框，设置该接口属于vrid2，如下图所示。MTU：MAC：协茴複式：vsi d :vri d :150066-150000 l3：32：02：23：F6恢复駛省間臥格式如 aa：ee：cc：dd：ee：ff 命目孕协商手工设置 速率：10M三敦工模式：m沙值:反向路轻直询:MA_metric :200-14600-100免费冲发送间c）参数设置完成后，点击“确定”按钮保存配置。从墙具体步骤请参见主墙的配置，此处不再赘述。3）指定HA的工作模式及心跳口的本地地址和对端地址。需要设置HA工作在“双机热备”模式下，并设置当前防火墙为主墙或从墙，心跳口

7、 的本地及对端IP地址信息、心跳间隔等属性。主墙a）选择高可用性 > 双机热备，选中“双机热备”前的单选按钮，配置基本信息, 如下图所示。当前状玄伏态:没有启动基本设置双机热备广负载均衡厂连接保护启用 停止 应用设置本机地址为心跳口 eth2的IP地址（10.1.1.1）；设置对端地址为从墙心跳口eth2的IP地址（10.1.1.2 ），超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）；心跳探测间隔可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息 报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须

8、设置一致，否则很可能导致从墙的主从状态的来回切换；设置热备组为通信接口的 VRID（2）；选择身份为“主机”；“抢占”模式，是指主墙宕机后，重新恢复正常工作时，是否重新夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时，才需要配置主墙工作在“抢占”模式，否则当主墙恢复工作时主从墙的再次切换浪费系统资源，没有必要。案例中两台防火墙相同, 所以主墙不需要配置为“抢占”模式。b）勾选“高级配置”左侧的复选框，进行高级配置，如下图所示。两高级配置配置实时同步:1开启运行对象同步应答:1开启zJ应答起时时间：10* LA50D毫秒应答报文重发次数：2* 0-5次启用| 停止 应用C）参数设置完成后，

9、点击“应用”按钮保存配置。d）点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。当前状臺状态:业跳口呎B2连接建立工作状喜:工作机齿双机热备负旣均衡连接保护启用|停止Yr id忧先级抢占状态度星值接口修改删除2254nabl MASTER0ethDethl0从墙10.1.1.2 ，对配置操作和主墙的基本相同，但注意身份为“从属机”，本机地址为 端地址为10.1.1.1 ，不选择“抢占”。4）主从防火墙的配置同步在主墙点击“从本机同步到对端机”，将主墙的当前配置同步到从墙。 至此，主墙和从墙的双机热备就可以正常使用了。CLI配置步骤1）配置HA的交互IP （心跳线相连的两个端口）主墙

10、# n etwork in terfaceeth2 ip add 10.1.1.1 mask 255.255.255.0 ha-static#n etwork in terfaceeth0 vrid 2#n etwork in terfaceeth1 vrid 2从墙# n etwork in terfaceeth2 ip add 10.1.1.2 mask 255.255.255.0 ha-static#n etwork in terfaceeth0 vrid 2#n etwork in terfaceeth1 vrid 22）指定HA网口本地地址以及对端地址主墙# ha modeas# h

11、a local# ha peer# ha as-vrid2#ha vrid 2 priority254# ha vrid2 preemptdisable# ha en able从墙# ha modeas# ha local# ha peer# ha as-vrid2# ha vrid2 priority100# ha vrid2 preemptdisable# ha en able注意事项1) 当主墙或从墙配置发生变更后，手工同步配置可以保证主从墙配置的一致性。2) TOS3.3防火墙的接口均为自适应接口，HA接口之间的连接可以使用交叉线也可以 使用直连线。路由接口下的负载均衡模式基本需求图2

12、路由接口下负载均衡模式的网络拓扑图上图是一个简单的利用物理接口进行负载均衡的拓扑图，防火墙1和防火墙2并联工作，两个防火墙的 Eth3接口间由一条心跳线相连用来同步状态及配置信息；两个防火墙 的Eth1 口属于同一 vridl （防火墙1的优先级高于防火墙 2）；接口 Eth2属于同一 vrid2 （防火墙2的优先级高于防火墙 1）。两台防火墙均正常工作时， 网段1通过防火墙1利用电信链路上网，网段2通过防火 墙2利用网通链路上网。 当其中一条链路发生故障时， 其上的数据流会自动切换， 通过另 一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点配置ethO 口配置VRID组内接口配置心跳口

13、配置防火墙的不同 VRID组的优先级配置HA功能WEBU配置步骤1）配置 ethO 口防火墙1a）点击 网络管理 > 接口，然后选择"物理接口”页签，点击接口 ethO条目后的"设 置”图标，设定其 IP地址为“ 192.168.83.237/24”，如下图所示。踣由裡式地址/掩码：| 192.168.03 237/ 厂 ha-static地址淹码属性删除高级屋性厂确定丨 取消参数设置完成后，点击“添加”按钮即可。b）点击"确定”按钮保存配置。防火墙2配置防火墙2的IP地址为“ ”，具体步骤请参见防火墙 1的配置。2）配置备份接口设定两台防火墙上 eth1

14、口和eth2 口互相备份。两台防火墙的 eth1 口需要设定相同 的IP地址和VRID;两台防火墙的eth2 口也需要设定相同的IP地址和VRID。防火墙1a）点击 网络管理 > 接口，然后选择“物理接口”页签，点击eth1接口后的“设置”图标，配置eth1接口 IP地址为，如下图所示。路由複式地址/掩玛：1/1 ha static地址掩码雇性删除1T2. 16 0.2255. 25S. 255.0n确定取消选中“高级属性”后的复选框，设置ethl的vrid值为1，如下图所示。路由模式地址/掩码：| / |1 ha-stati c1添加地址掩码属性删除25S. 255.255.0a高级屋

15、性P150060-150000：13：32：02:23:F5恢复缺省 HAC格式如 AA：BB:CC：D：HE：FFMTU：MAC :协商模式：vsid :vrid -免费up发送间 隔：开关：ESS值:反向路谨查询：MA-metric-参数设置完成后，点击“确定”按钮即可。b）点击eth2接口后的“设置”图标，配置eth2接口 IP地址为，如F图所示。路由複式地址/掩码：/1 hastatic 蘇加地址掩码属性删除IT2. 161 3255.255,255.0n高级雇性厂确定 取消选中“高级属性”后的复选框，设置eth2的vrid值为2，如下图所示。路曲複式地址/掩码：1| / |1 ha-

16、static地址掩码属性删除172 MTU：150069-1500MAC :00:13;32:02:23:F6恢复缺省MAC格式如 AA:BB:CC:M:EE:FF忖自动协商厂手工设置协商模式：速率：110M双工模式：1聖匚dvsid :°0-264vrid -20-255免费pp发送间 隔：00-1000秒EEE开关：皿壬值:200-1450反向路径香询：HA-metric :600-100参数设置完成后，点击“确定”按钮即可。防火墙2防火墙2的配置与防火墙1完全一致，具体操作请参见防火墙1。3）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口 IP为同一个网段的

17、不同IP （分别为和10.0.0.2/24），并且必须要勾选“ ha-static ”选项。防火墙1a）点击 网络管理 > 接口，然后选择“物理接口”页签，在eth3接口后点击“设置” 图标，配置该接口为进行同步HA设置的IP地址，如下图所示。路由複式地址/掩码:地址10 0.0. 1掩玛/ 2SS.2SS. 属性删除W|b）参数设置完成后，点击“添加”按钮，然后点击“确定”按钮即可。防火墙2配置防火墙2的eth3 口 IP地址为“ ”，具体操作请参见防火墙1的配置。4）指定防火墙的不同VRID组的优先级。设定防火墙1的vridl的优先级为200,vrid2的优先级为100。设定防火墙2

18、的vridl 的优先级为100，vrid2的优先级为200。设置完成后，对于 vridl来说，防火墙1为主 墙，防火墙2为备墙；对于vrid2来说，防火墙2为主墙，防火墙1为备墙。并且设置主 墙为“抢占”模式，即主墙能在失效后，重新恢复正常工作时，重获主墙地位。防火墙1a）选择高可用性 > 双机热备，选中“负载均衡”前的单选按钮，然后点击“应用” 按钮。b） 点击“ Vrid ”右侧的“添加”，配置 vrid1的优先级为200,“抢占”模式，如 下图所示。VridS 置v>i«:1优先级;200抢占：P确定取消参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为

19、100，如下图所示。参数配置完成后，点击“确定”按钮。防火墙2a）选择高可用性 > 双机热备，选中“负载均衡”前的单选按钮，然后点击“应用按钮。b）点击“ Vrid ”右侧的“添加”，配置 vridl的优先级为100,如下图所示。Vri诅设置Vrid： 忧先飯： 抢占：1 *100 *匚确定砸消参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为200, “抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。5）配置HA功能防火墙1a）点击 高可用性 > 双机热备，然后选中“负载均衡”前的单选按钮，配置基本属 性，如下图所示。基卓设置双机热备金负我均衡连接保护设置“

20、本机地址”为心跳口eth3的IP地址（10.0.0.1 ）。设置“对端地址”为另一台墙心跳口 eth3的IP地址（10.0.0.2 ）,超过两台设备时, 必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）。“心跳间隔”可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。b）勾选“高级配置”左侧的复选框，配置高级属性，如下图所示。疗高级配置配置实时同步：丽运行对象同步应答:匡肓习应笞超时时间：10* 10-500毫秒应答报文重发

21、次数：2* 0-5次启用停止 应用C）参数设置完成后，点击“应用”按钮保存配置。d）点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。当前状态伏态関6口寸出连接逹立基本设置欢机燥备R负载均衡连接傑护厂高僵配置启用 停止 应用热备组【添加Vrid优先级抢占状态度量值接口修改1200ensileMASTERZDethll.ol2100di sableBACKUP60ath2回151防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为，对端地址为 10.0.0.1 。CLI配置步骤1）设置ethO 口的IP地址。防火墙1#n etwork in terfaceethO ip a

22、dd 192.168.83.237 mask 防火墙2#n etwork in terfaceeth0 ip add 202.1.1.2 mask 2）设置备份接口属性。分别在防火墙1和防火墙2上进行配置。#n etwork in terfaceeth1 ip addmask #n etwork in terfaceeth2 ip addmask #n etwork in terfaceeth1 vrid 1#n etwork in terfaceeth2 vrid 23）设置心跳口属性防火墙1#n etwork in terfaceeth3 ip addmask 255.255.255.0

23、ha-static防火墙2#n etwork in terfaceeth3 ip addmask 255.255.255.0 ha-static4）指定防火墙的不同VRID组的优先级。防火墙1#ha vrid 1 priority200#ha vrid 1 preempten able#ha vrid 2 priority100#ha vrid 2 preemptdisable防火墙2#ha vrid 1 priority100#ha vrid 1 preemptdisable#ha vrid 2 priority200#ha vrid 2 preempten able5）指定HA网口本地地址

24、以及对端地址。防火墙1#ha mode aa#ha local #ha peer # ha rtos ync ack en able#ha rtcon fig-s yncen able#ha en able防火墙2#ha mode aa#ha local #ha peer # ha rtos ync ack en able#ha rtcon fig-s yncen able#ha en able注意事项无。Trunk 口下的负载均衡模式基本需求XIXKrh(KEthl Strunk, iVLA>l:172.lfr.«.M4VLANl:l711d4.372420L1JJEiM:I

25、OJIA1Lfh2: 10 Aft. IkthLlrunk 口 lV I ASIH72.16.0.2. 24、期丹IMR2 Vrid I Vridl图3 Trunk 口下负载均衡模式的网络拓扑图上图是一个简单的利用Trunk接口进行负载均衡的拓扑图，防火墙1和防火墙2并联工作，两个防火墙的Eth2接口间由一条心跳线相连用来同步状态及配置信息，两个防火墙的Eth1 口为trunk 口，同时属于 vlanl和vian2，vlanl属于同一 vridl （防火墙1的 优先级高于防火墙 2）、vian2属于同一 vrid2 （防火墙2的优先级高于防火墙1），这样两台防火墙均正常工作时，网段1通过防火墙

26、1利用电信链路上网，网段2通过防火墙2利用网通链路上网。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点配置ethO 口配置VRID组内接口配置心跳口配置防火墙的不同 VRID组的优先级配置HA功能WEBU配置步骤1）配置 ethO 口防火墙1a）点击 网络管理 > 接口，然后选择"物理接口”页签，点击接口 ethO条目后的"设 置”图标，设定其 IP地址为“ 192.168.83.237/24”，如下图所示。踣由裡式地址/掩码：| 192.168.03 237/ 厂 ha-static地址淹码属性删除高级

27、屋性厂确定丨 取消参数设置完成后，点击“添加”按钮即可。b）点击"确定”按钮保存配置。防火墙2配置防火墙2的通信用IP地址为“ ”，具体步骤请参见防火墙1的配置。2）配置两台防火墙上 eth1 口为trunk 口，属于 VLAN1和VLAN2配置两台防火墙的 eth1 口为trunk 口，属于VLAN1和VLAN? VLAN1虚接口互相备份， VLAN2虚接口也互相备份，需要设定相同的IP地址和vrid。防火墙1和防火墙2a）选择 网络管理 > 接口，然后选择“物理接口”页签，点击eth1接口后的“设置” 图标，配置接口信息，如下图所示。物理接口 I子接口 I搭路聚合基本信息最

28、多比个字符或者15个浜字0-££££；十六进制L1-4094L1-4D94格式50 ： 1-100,可以输入窖个高疆属性厂确走 取消参数设置完成后，点击“确定”即可。b）点击网络管理 > 二层网络，并选择“ VLAN页签，点击“添加/删除VLAN范围”添加VLAN设置VLAN虚接口的属性，如下图所示。AKF | VLAJT | NAC | CDF慕加vuji id : r添加VUK范围:1- 2毗除皿ji范围：r-注意：VUN IDJbI是1- 4094 ,总数最多是200个确定 取消参数设置完成后，点击“确定”按钮即可。c）点击网络管理 >

29、 二层网络，然后选择“ VLAN页签，点击vlan.0001后的“修改”字段，设置 VLAN虚接口 vlan.0001的IP地址为，如下图所示。ARP | VLAH | MAC | CDP接口信息接口名称:0001接口捲述：接口状态启用jj地址信自地址F掩码：1弦-1&山2/ 255-255-255-D厂ha-stati c添加地址掩码属性删除参数设置完成后，点击“添加”按钮即可。点击“高级属性”后的复选框，设置Vian.0001接口属于vridl ,如下图所示。HTU：mu开关： mnsH，S '反向路径查询:vsid :vrid :U-metrie :免毀吐哉送间 隔：确定

30、 腿消参数设置完成后，点击“确定”按钮即可。d）点击网络管理 > 二层网络，然后选择“ VLAN页签，点击vlan.0002后的“修改”字段，设置 VLAN虚接口 vlan.0002的IP地址为，如下图所示。砸P I VLWT | 收 | CDP接口信宜地址信貝地址#掩码：172.16 1 3/ 厂 ha-stati e添I® |世址掩码雇性删除高级属性厂确定取消参数设置完成后，点击“添加”按钮即可。点击“高级属性”后的复选框，设置vian.0002接口属于vrid2，如下图所示。1500(off二|200-1460(off二P0-£542C0-25500-1600秒

31、600-100MTU：mzs开关：2百值：反向路径查询:vsi d :vrid :免费arp发送间 隔：c ：确定 职消参数设置完成后，点击“确定”按钮即可。3）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口 IP为同一个网段的不同IP （分别为和10.0.0.2/24），并且必须勾选“ ha-static ”选项。防火墙1a）点击 网络管理 > 接口，然后选择“物理接口”页签，在eth2接口后点击“设置” 图标，为该接口配置进行同步HA设置的地址，如下图所示。物理接口 I子接口基本信息蛊多30个字符或者15个汉字地址掩码属性删除地址/掩码：/ 255.255.255

32、,0高级馬性厂确定取消b）参数设置完成后，点击“添加”按钮，然后点击“确定”按钮即可。防火墙2配置防火墙2的eth2 口 IP地址为“ ”，具体操作请参见防火墙1。4）配置防火墙的不同VRID组的优先级。设定防火墙1的vridl的优先级为200,vrid2的优先级为100。设定防火墙2的vridl 的优先级为100，vrid2的优先级为200。设定后对vridl来说防火墙1为主墙，防火墙2 为备墙，对于vrid2来说防火墙2为主墙，防火墙1为备墙。并且设置主墙为“抢占”模 式，即主墙能在失效后，重新恢复正常工作时，重获主墙地位。防火墙1a）选择高可用性 > 双机热备，选中“负载均衡”前的

33、单选按钮，然后点击“应用” 按钮。b） 点击“ Vrid ”右侧的“添加”，配置 vrid1的优先级为200,“抢占”模式，如 下图所示。Vrid 置Vrid：1优先级;200*抢占：P确定取消参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为100,如下图所示。Vri d设置Vrid：忧先级: 抢占：确取消参数配置完成后，点击“确定”按钮。防火墙2a）选择高可用性 > 双机热备，选中“负载均衡”前的单选按钮，然后点击“应用 按钮。b） 点击“ Vrid ”右侧的“添加”，配置 vridl的优先级为100，如下图所示。Vri诅设置Vrid： 忧先级： 抢占：1 *100 *r

34、确定取消参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为200， “抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。5）配置HA功能防火墙1a）点击高可用性 > 双机热备，然后选中“负载均衡”前的单选按钮，配置基本信 息，如下图所示。当前状态状彥：没有启动基本设置r舉机热备忖负载均衡广连接保护10 0 0 110.04).21* 17 秒TF探测|本地地址：10 0 0. 1对端地址：10.0?C,2心跳间隔：1+ 1-3秒口探测：TF探测|厂高级配置启用|停|± |应用设置“本机地址”为心跳口eth2的IP地址（10.0.0.1 ）。设置“对端地址”为

35、另一台墙心跳口 eth2的IP地址（10.0.0.2 ）,超过两台设备时,必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）。“心跳间隔”可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。b）勾选“高级配置”左侧的复选框，配置高级信息，如下图所示。配置实时同步 运行对象同步应答应答起时时间 应答报文重发枚数应用c）参数设置完成后，点击“应用”按钮保存配置。d）点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。当前

36、狀态状态：心跳口呎肚瘵接建立基本设置广双机热备a负载均衡连接保护 本地地址：iaaai 对端地址：1DD0 2心跳间隔：1* 1-3秒店探测：IF探测厂高皱配養启用停止| 应用|Yr id忧先级抢占状态度量值接口修改1200enableMASTER20vlan. 000102100disableBACKUP&0vlan, tJCOC0忝加删除防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为，对端地址为 10.0.0.1 。CLI配置步骤1）设置eth1 口的IP地址。防火墙1#n etwork in terfaceeth1 ip add 192.168.83.237 ma

37、sk 防火墙2#n etwork in terfaceeth1 ip add 202.1.1.2 mask 2）设置备份接口属性。分别在防火墙1和防火墙2上进行配置。modetr unktrunk allowed-vlan1,2172.16.0.2 mask 172.16.1.3 mask #n etwork in terfaceeth0 switchport# n etwork in terfaceeth0 switchport# n etwork vlan add range 1-2#n etwork in terfacevla n.0001 ip add#n etwork in terf

38、acevla n.0002 ip add#n etwork in terfacevla n.0001 vrid 1#n etwork in terfacevla n.0001 vrid 23）设置心跳口属性防火墙1#n etwork in terfaceeth2 ip add 10.0.0.1 mask 255.255.255.0 ha-static防火墙2#n etwork in terfaceeth2 ip add 10.0.0.2 mask 255.255.255.0 ha-static4）指定防火墙的不同VRID组的优先级。防火墙1#ha vrid1 priority200#ha vr

39、id1 preempten able#ha vrid2 priority100#ha vrid2 preemptdisable防火墙2#ha vrid1 priority100#ha vrid1 preemptdisable#ha vrid2 priority200#ha vrid2 preempten able5）指定HA网口本地地址以及对端地址。防火墙1#ha mode aa #ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able#ha en able防火墙2#ha mode aa #ha local #h

40、a peer # ha rtos ync acken able#ha rtcon fig-s yncen able#ha en able注意事项无。连接保护模式基本需求訪火罟1(KtTh2场火fs八、舫火肺1图4连接保护模式拓扑图上图是一个简单的连接保护模式拓扑图，四台防火墙并行工作，防火墙的Eth2 口为心跳口（ IP 地址分别为“ 10.1.1.1/24”、“ 10.1.1.2/24”、“”和“10.1.1.4/24”），通过HUB（或交换机）相连用来协商状态及同步对象和配置。当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRRS行冗余备份，以便决定流量由哪台防火墙转发

41、，所有防火墙处于负载分担状态，当其中一台 发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。配置要点配置防火墙心跳口配置防火墙中除心跳口以外的接口配置HA属性 设置关闭连接表的严格状态检测功能WEBUSE置步骤1）配置防火墙心跳口。防火墙1HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选"ha-static ”选项。a）点击 网络管理 > 接口，然后选择"物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。基本信貝描述：肚畔跳口最多3时字符或者15个孜字1状感:|启用模式:j略由d点击

42、“确定”按钮保存配置。b）点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮，如下图所示。路曲桎式地址/掩玛：10 1.1.1/255. 255. 25576"mt掩码删除“ha-static ”选项必须勾选，否则运行状态同步时IP地址信息也会被同步。点击“确定”按钮保存配置。防火墙2设置防火墙2的心跳口 IP地址为“ ”，其操作与防火墙1的设置方法 相同，具体请参加防火墙1的配置步骤。防火墙3设置防火墙3的心跳口 IP地址为“ ”，其操作与防火墙1的设置方法 相同，具体请参加防火墙1的配置步骤。防火墙4设置防火墙4的心跳口 IP地址为“

43、”，其操作与防火墙1的设置方法 相同，具体请参加防火墙1的配置步骤。2）配置防火墙中除心跳口以外的接口。防火墙1a）配置 EthO 口 IP 为 。点击 网络管理 > 接口，然后选择“物理接口”页签，点击ethO接口后的“设置”图标。在“路由模式”下方配置 EthO 口的IP地址，然后点击“添加”按钮，如下图所示。歸由複式地址/掩码：1花一16一1.2/ L添加地址掩码属性删除点击“确定”按钮保存配置。b）配置 Eth1 口 IP 为 。点击 网络管理 > 接口，然后选择“物理接口”页签，点击eth1接口后的“设置”图标。在“路由模式”下方配置 Eth1 口的IP地址，然后点击“添

44、加”按钮，如下图所示。路曲複式地址/掩码:10.10. 10.2/ 255.255.255 01 ka-stati c添加地址掩码属性删除高级展性厂确定取消点击“确定”按钮保存配置。防火墙2a） 配置 EthO 口 IP 为 b） 配置 Eth1 口 IP 为 操作步骤与防火墙1完全一致，请参照防火墙 1进行配置。 防火墙3a） 配置 EthO 口 IP 为 。b） 配置 Eth1 口 IP 为 。操作步骤与防火墙1完全一致，请参照防火墙 1进行配置。 防火墙4a） 配置 EthO 口 IP 为 。b） 配置 Eth1 口 IP 为 。操作步骤与防火墙1完全一致，请参照防火墙 1进行配置。3）

45、配置HA属性。指定HA网口本地地址以及对端地址，并启用运行对象同步功能。防火墙1a）点击高可用性 > 双机热备，选中“连接保护”前的单选按钮，配置基本信息, 如下图所示。当前状嘉状态:没有启动基本设置艰机热备负羲均衡金连接保护设置本机地址为心跳口Eth2的IP地址（10.1.1.1 ）；设置对端地址为eth2 口的子网广播地址（10.1.1.255 ），当只有两台防火墙并行 工作时，建议设置为单播地址；b）勾选“高级配置”左侧的复选框，配置高级信息，如下图所示。P高藝配置配置实时同步：丽3运行对象同步应答:应答超时时间：io* lo-sao亳秒应答报文重拔次数：2* 卜5次启用停止|应用

46、C）参数设置完成后，点击“应用”按钮保存配置。d）点击“启用”按钮，启动该连接保护模式，心跳口连接建立，如下图所示。当前伏态状态：札射E口寸弦连接題立基本设置广艰机热备负我均衡恪连接保护本地地址：10. 1, 1 j*对端地址：1D丄1.255*厂高级配宣启用| 停止| 应用|防火墙2的操作请参见防火墙1的配置，需要设置本机地址为为。防火墙3防火墙3的操作请参见防火墙1的配置，需要设置本机地址为为。防火墙4防火墙4的操作请参见防火墙1的配置，需要设置本机地址为防火墙2为 10.1.1.255 。，对端地址，对端地址，对端地址4）设置关闭连接表的严格状态检测功能。防火墙1、防火墙2、防火墙3和防

47、火墙4a）点击 系统管理 > 配置，然后选择“系统参数”页签，选中“高级属性”前的以上参数恢复默认复选框，在“网络参数”处设置关闭连接完整性检查功能，如下图所示。0-255,可以输入多亍以空格隔开10-2003 47秒b）参数设置完成后，点击“应用”按钮即可。CLI配置步骤1）配置防火墙心跳口属性。防火墙1#n etwork in terface防火墙2eth2ip add10.1.1.1mask ha-static#n etwork in terfaceeth2ip add10.1.1.2mask ha-static防火墙3#n etwork in terfaceeth2ip add1

48、0.1.1.3mask ha-static防火墙4#n etwork in terfaceeth2ip add10.1.1.4mask ha-static2）配置防火墙中除心跳口以外的接口属性。防火墙1、防火墙2、防火墙3和防火墙4#n etwork vlan add id100#n etwork in terfaceethO switchport#n etwork in terfaceeth0 switchport mode trunk#n etwork in terfaceeth0switchport modetrunkallowed-vla n100#n etwork in terfac

49、eeth1switchport#n etwork in terfaceeth1switchport modetrunk#n etwork in terfaceeth1switchport modetrunkallowed-vla n1003）配置HA的工作模式及心跳口的本地地址和对端地址。 防火墙1#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able防火墙2#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fi

50、g-s yncen able防火墙3#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able防火墙4#ha mode lb#ha local #ha peer # ha rtos ync acken able#ha rtcon fig-s yncen able4）设置关闭连接表的严格状态检测功能。防火墙1、防火墙2、防火墙3和防火墙4#n etwork sessi on sessi on-i ntegrityoff注意事项如果用户网络拓扑中有可能存在这样的情况：建立连接请求发送的 SYN包经

51、过一台防火墙，而返回的SYN/ACK包通过另一台防火墙转发，则必须要关闭严格状态检测开关。当SYN包通过墙A时，墙A上建立了一条状态为 handshake的连接，同步到 B墙上 时，为了避免重复同步连接，B墙上连接状态为 ESTABLISHED状态；此时如果 SYN/ACK报文从B墙的路径返回，发现墙上已经有一条 ESTABLISHE啲连接，就会把ACK包丢弃， 导致client和server端无法真正建立起连接来，通信失败。此时，如果把严格状态检 测开关off的话，ACK包到达B墙，虽然发现已经有一条ESTABLISHE啲连接，但也会放过，报文回复到 clie nt端时，就可以握手成功了。子接口的负载均衡模式基本需求图5子接口负载均衡模式的网络示意图上图是一个简单的利用