防火墙双机热备配置案例

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。双机热备模式基本需求图1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。配置 要点 综治信访维稳工作要点综治信访维稳工作要点2018综治平安建设工作要点新学期教学工作要点医院纪检监察工作要点 设置HA心跳口属性设置除心跳口以外的其余通信接口属于VRID2指定HA的工作模式及心跳口的本地地址和对端地址主从防火墙的配置同步WEBUI配置步骤1配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。主墙a）配置HA心跳口地址。①点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。点击“确定”按钮保存配置②点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的  IP地址,然后点击“添加”按钮，如下图所示。“ha-static选项必须勾选，否则运行状态同步时IP地址信息也会被同步。点击“确定”按钮保存配置。b）配置Eth1和EthO口的IP地址。配置Eth1和EthO的IP地址分别为192.168.83.21和172.16.1.20具体操作请参见配置HA心跳口地址。说明互为备份的接口必须配置相同的IP地址，所以主墙的Eth1口必须与从墙Eth1口的IP地址相同，主墙的Eth0口必须与从墙Eth0口的IP地址相同。从墙a）  配置HA心跳口地址。配置从墙HA心跳口地址为10.1.1.2具体步骤请参见主墙的配置，此处不再赘述。b）  配置Eth1和Eth0口的IP地址。配置从墙Eth1和Eth0的IP地址分别为192.168.83.21和172.16.1.20具体步骤请参见主墙的配置，此处不再赘述2）设置除心跳口以外的其余通信接口属于VRID2主备模式下，只能配置一个VRRP备份组，而且通信接口必须加入到具体的VRID组中，防火墙才会根据此接口的up、down状态，来判断本机的工作状态，以进行VRID组内主备状态的切换。主墙a）  选择网络管理>接口，然后选择“物理接口”页签，在除心跳口以外的接口后点击“设置”图标（以ethO为例）。b）勾选“高级属性”后的复选框，设置该接口属于  vrid2，如下图所示。c）  参数设置完成后，点击“确定”按钮保存配置。从墙具体步骤请参见主墙的配置，此处不再赘述。3）指定HA的工作模式及心跳口的本地地址和对端地址。需要设置HA工作在“双机热备”模式下，并设置当前防火墙为主墙或从墙，心跳口的本地及对端IP地址信息、心跳间隔等属性。主墙a）选择高可用性>双机热备，选中“双机热备”前的单选按钮，配置基本信息，如下图所示设置本机地址为心跳口eth2的IP地址（10.1.1.1；设置对端地址为从墙心跳口eth2的IP地址（10.1.1.2，超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）；心跳探测间隔可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，  互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换；设置热备组为通信接口的VRID（2）；选择身份为“主机”；“抢占”模式，是指主墙宕机后，重新恢复正常工作时，是否重新夺回主墙的地位。只有当主墙与从墙相比有明显的性能差异时，才需要配置主墙工作在“抢占”模式，否则当主墙恢复工作时主从墙的再次切换浪费系统资源，  没有必要。案例中两台防火墙相同，所以主墙不需要配置为“抢占”模式。b）  勾选“高级配置”左侧的复选框，进行高级配置，如下图所示。c）  参数设置完成后，点击“应用”按钮保存配置。d）  点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。从墙配置操作和主墙的基本相同，但注意身份为“从属机”，本机地址为  10.1.1.2对端地址为10.1.1.1不选择“抢占”。4）主从防火墙的配置同步在主墙点击“从本机同步到对端机”，将主墙的当前配置同步到从墙至此，主墙和从墙的双机热备就可以正常使用了。CLI配置步骤1）配置HA的交互IP（心跳线相连的两个端口）主墙#networkinterfaceeth2ipadd10.1.1.1mask255.255.255.0ia-static#networkinterfaceeth0vrid2#networkinterfaceeth1vrid2从墙#networkinterfaceeth2ipadd10.1.1.2mask255.255.255.（ha-static#networkinterfaceeth0vrid2#networkinterfaceeth1vrid22）指定HA网口本地地址以及对端地址主墙#hamodeas#halocallO.1.1.1#hapeer10.1.1.2#haas-vrid2#havrid2priority254#havrid2preemptdisable#haenable从墙#hamodeas#halocal10.1.1.2#hapeer10.1.1.1#haas-vrid2#havrid2priority100#havrid2preemptdisable#haenable注意事项1)当主墙或从墙配置发生变更后，手工同步配置可以保证主从墙配置的一致性。2)TOS3.3防火墙的接口均为自适应接口，HA接口之间的连接可以使用交叉线也可以使用直连线。路由接口下的负载均衡模式基本需求图2路由接口下负载均衡模式的网络拓扑图上图是一个简单的利用物理接口进行负载均衡的拓扑图，防火墙  1和防火墙2并联工作，两个防火墙的Eth3接口间由一条心跳线相连用来同步状态及配置信息；两个防火墙的Eth1口属于同一vridl（防火墙1的优先级高于防火墙2）;接口Eth2属于同一vrid2（防火墙2的优先级高于防火墙1）。两台防火墙均正常工作时，网段1通过防火墙1利用电信链路上网，网段2通过防火墙2利用网通链路上网。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点配置ethO口配置VRID组内接口配置心跳口配置防火墙的不同VRID组的优先级配置HA功能WEBUI配置步骤1）  配置ethO口防火墙1a）点击网络管理>接口，然后选择“物理接口”页签，点击接口  ethO条目后的“设置”图标，设定其IP地址为“192.168.83.237/24，如下图所示。参数设置完成后，点击“添加”按钮即可。b）  点击“确定”按钮保存配置。防火墙2配置防火墙2的IP地址为“202.1.1.2/24',具体步骤请参见防火墙1的配置。2）  配置备份接口设定两台防火墙上eth1口和eth2口互相备份。两台防火墙的eth1口需要设定相同的IP地址和VRID;两台防火墙的eth2口也需要设定相同的IP地址和VRID。防火墙1a）点击网络管理>接口，然后选择“物理接口”页签，点击eth1接口后的“设置”图标，配置eth1接口IP地址为172.16.0.2/24如下图所示选中“高级属性”后的复选框，设置  ethl的vrid值为1,如下图所示。参数设置完成后，点击“确定”按钮即可。b）点击eth2接口后的“设置”图标，配置eth2接口IP地址为172.16.1.3/24如下图所示。选中“高级属性”后的复选框，设置  eth2的vrid值为2,如下图所示。参数设置完成后，点击“确定”按钮即可。防火墙2防火墙2的配置与防火墙1完全一致，具体操作请参见防火墙1。3）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口IP为同一个网段的不同IP（分别为10.0.0.1/24和10.0.0.2/24,并且必须要勾选“ha-statiC'选项。防火墙1a）点击网络管理>接口，然后选择“物理接口”页签，在eth3接口后点击“设置”图标，配置该接口为进行同步HA设置的IP地址，如下图所示。b）参数设置完成后，点击“添加”按钮，然后点击“确定”按钮即可配置防火墙2的eth3口IP地址为“10.0.0.2/24',具体操作请参见防火墙1的配置。4）指定防火墙的不同VRID组的优先级。设定防火墙1的vridl的优先级为200,vrid2的优先级为100。设定防火墙2的vrid1的优先级为100,vrid2的优先级为200。设置完成后，对于vrid1来说，防火墙1为主墙，防火墙2为备墙；对于vrid2来说，防火墙2为主墙，防火墙1为备墙。并且设置主墙为“抢占”模式，即主墙能在失效后，重新恢复正常工作时，重获主墙地位。防火墙1a）  选择高可用性>双机热备，选中“负载均衡”前的单选按钮，然后点击“应用”按钮。b）点击“Vrid”右侧的“添加”，配置vrid1的优先级为200,“抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。c）  配置vrid2的优先级为100,如下图所示。参数配置完成后，点击“确定”按钮a）  选择高可用性>双机热备，选中“负载均衡”前的单选按钮，然后点击“应用”按钮。b）  点击“Vrid”右侧的“添加”，配置vridl的优先级为100,如下图所示参数配置完成后，点击“确定”按钮。c）  配置vrid2的优先级为200,“抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。5）配置HA功能防火墙1a）点击高可用性>双机热备，然后选中“负载均衡”前的单选按钮，配置基本属性，如下图所示。设置“本机地址”为心跳口eth3的IP地址（10.0.0.1。设置“对端地址”为另一台墙心跳口eth3的IP地址（10.0.0.2，超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）。“心跳间隔”可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。b）  勾选“高级配置”左侧的复选框，配置高级属性，如下图所示。c）  参数设置完成后，点击“应用”按钮保存配置。d）  点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.0.0.2对端地址为10.0.0.1CLI配置步骤1）  设置eth0口的IP地址。防火墙1#networkinterfaceeth0ipadd192.168.83.23mask255.255.255.0防火墙2#networkinterfaceeth0ipadd202.1.1.2mask255.255.255.02）  设置备份接口属性。分别在防火墙1和防火墙2上进行配置#networkinterfaceethlipadd172.16.0.2mask255.255.255.0#networkinterfaceeth2ipadd172.16.1.3mask255.255.255.0#networkinterfaceethlvrid1#networkinterfaceeth2vrid23)设置心跳口属性防火墙1#networkinterfaceeth3ipadd10.0.0.1mask255.255.255.0ia-static防火墙2#networkinterfaceeth3ipadd10.0.0.2mask255.255.255.(ha-static4)指定防火墙的不同VRID组的优先级。防火墙1#havrid1priority200#havrid1preemptenable#havrid2priority100#havrid2preemptdisable防火墙2#havrid1priority100#havrid1preemptdisable#havrid2priority200#havrid2preemptenable5）指定HA网口本地地址以及对端地址防火墙1#hamodeaa#halocal10.0.0.1#hapeer10.0.0.2#hartosyncackenable#hartconfig-syncenable#haenable防火墙2#hamodeaa#halocal10.0.0.2#hapeer10.1.1.1#hartosyncackenable#hartconfig-syncenable#haenable注意事项无。Trunk口下的负载均衡模式基本需求图3Trunk口下负载均衡模式的网络拓扑图上图是一个简单的利用Trunk接口进行负载均衡的拓扑图，防火墙1和防火墙2并联工作，两个防火墙的Eth2接口间由一条心跳线相连用来同步状态及配置信息，两个防火墙的Eth1口为trunk口，同时属于vlan1和vlan2，vlan1属于同一vridl（防火墙1的优先级高于防火墙2）、vian2属于同一vrid2（防火墙2的优先级高于防火墙1），这样两台防火墙均正常工作时，网段1通过防火墙1利用电信链路上网，网段2通过防火墙2利用网通链路上网。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点配置ethO口配置VRID组内接口配置心跳口配置防火墙的不同VRID组的优先级配置HA功能WEBUI配置步骤1）配置ethO口防火墙1a）点击网络管理>接口，然后选择“物理接口”页签，点击接口  ethO条目后的“设置”图标，设定其IP地址为“192.168.83.237/24，如下图所示。参数设置完成后，点击“添加”按钮即可。b）  点击“确定”按钮保存配置。防火墙2配置防火墙2的通信用IP地址为“202.1.1.2/24',具体步骤请参见防火墙1的配置。2）配置两台防火墙上ethl口为trunk口，属于VLAN1和VLAN2配置两台防火墙的ethl口为trunk口，属于VLAN1和VLAN2;VLAN1虚接口互相备份，VLAN2虚接口也互相备份，需要设定相同的IP地址和vrid。防火墙1和防火墙2a）  选择网络管理>接口，然后选择“物理接口”页签，点击ethl接口后的“设置”图标，配置接口信息，如下图所示。参数设置完成后，点击“确定”即可。b）  点击网络管理>二层网络，并选择“VLAN”页签，点击“添加/删除VLAN范围”添加VLAN，设置VLAN虚接口的属性，如下图所示。参数设置完成后，点击“确定”按钮即可。c）  点击网络管理>二层网络，然后选择“VLAN”页签，点击vian.OOO1后的“修改”字段，设置VLAN虚接口vian.0001的IP地址为172.16.0.2/24如下图所示。参数设置完成后，点击“添加”按钮即可。点击“高级属性”后的复选框，设置vian.0001接口属于vridl,如下图所示。参数设置完成后，点击“确定”按钮即可d）点击网络管理>二层网络，然后选择“VLAN”页签，点击vian.0002后的“修改”字段，设置VLAN虚接口vian.0002的IP地址为172.16.1.3/24如下图所示。参数设置完成后，点击“添加”按钮即可。点击“高级属性”后的复选框，设置vlan.0002接口属于vrid2,如下图所示。参数设置完成后，点击“确定”按钮即可。3）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口IP为同一个网段的不同IP（分别为10.0.0.1/24和10.0.0.2/24，并且必须勾选“ha-statiC'选项。防火墙1a）点击网络管理>接口，然后选择“物理接口”页签，在eth2接口后点击“设置”图标，为该接口配置进行同步  HA设置的地址，如下图所示。b）  参数设置完成后，点击“添加”按钮，然后点击“确定”按钮即可。防火墙2配置防火墙2的eth2口IP地址为“10.0.0.2/24',具体操作请参见防火墙1。4）配置防火墙的不同VRID组的优先级设定防火墙1的vridl的优先级为200,vrid2的优先级为100。设定防火墙2的vridl的优先级为100,vrid2的优先级为200。设定后对vridl来说防火墙1为主墙，防火墙2为备墙，对于vrid2来说防火墙2为主墙，防火墙1为备墙。并且设置主墙为“抢占”模式，即主墙能在失效后，重新恢复正常工作时，重获主墙地位。防火墙1a）  选择高可用性>双机热备，选中“负载均衡”前的单选按钮，然后点击“应用”按钮。b）点击“Vrid”右侧的“添加”，配置vrid1的优先级为200,“抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。c）  配置vrid2的优先级为100,如下图所示。参数配置完成后，点击“确定”按钮。防火墙2a）选择高可用性>双机热备，选中“负载均衡”前的单选按钮，然后点击“应用”按钮b）点击“Vrid”右侧的“添加”，配置vridl的优先级为100,如下图所示参数配置完成后，点击“确定”按钮。c）配置vrid2的优先级为200,“抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。5）配置HA功能防火墙1a）点击高可用性>双机热备，然后选中“负载均衡”前的单选按钮，配置基本信息，如下图所示。设置“本机地址”为心跳口eth2的IP地址（10.0.0.1。设置“对端地址”为另一台墙心跳口  eth2的IP地址（10.0.0.2，超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台对端设备）。“心跳间隔”可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。b）勾选“高级配置”左侧的复选框，配置高级信息，如下图所示c）参数设置完成后，点击“应用”按钮保存配置d）点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.0.0.2对端地址为10.0.0.1CLI配置步骤1）  设置ethl口的IP地址。防火墙1#networkinterfaceeth1ipadd192.168.83.23mask255.255.255.0防火墙2#networkinterfaceeth1ipadd202.1.1.2mask255.255.255.02）  设置备份接口属性。分别在防火墙1和防火墙2上进行配置。#networkinterfaceeth0switchportmodetrunk#networkinterfaceeth0switchporttrunkallowed-vlan1,2#networkvlanaddrange1-2#networkinterfacevian.OOOlipadd172.16.0.2mask255.255.255.0#networkinterfacevian.0002ipadd172.16.1.3mask255.255.255.0#networkinterfacevian.0001vrid1#networkinterfacevian.0001vrid23）  设置心跳口属性防火墙1#networkinterfaceeth2ipadd10.0.0.1mask255.255.255.0ia-static防火墙2#networkinterfaceeth2ipadd10.0.0.2mask255.255.255.0ia-static4）  指定防火墙的不同VRID组的优先级。防火墙1#havrid1priority200#havrid1preemptenable#havrid2priority100#havrid2preemptdisable防火墙2#havrid1priority100#havrid1preemptdisable#havrid2priority200#havrid2preemptenable5）指定HA网口本地地址以及对端地址防火墙1#hamodeaa#halocal10.0.0.1#hapeer10.0.0.2#hartosyncackenable#hartconfig-syncenable#haenable防火墙2#hamodeaa#halocal10.0.0.2#hapeer10.0.0.1#hartosyncackenable#hartconfig-syncenable#haenable注意事项无。连接保护模式基本需求图4连接保护模式拓扑图上图是一个简单的连接保护模式拓扑图，四台防火墙并行工作，防火墙的Eth2口为心跳口（IP地址分别为“10.1.1.1/24'、“10.1.1.2/24'、“10.1.1.3/24'和“10.1.1.4/24'），通过HUB（或交换机）相连用来协商状态及同步对象和配置。当两台/多台防火墙均正常工作时，由上下游的设备通过运行  VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。配置要点配置防火墙心跳口配置防火墙中除心跳口以外的接口配置HA属性设置关闭连接表的严格状态检测功能WEBUI配置步骤1）配置防火墙心跳口。防火墙1HA心跳口必须工作在路由模式下，而且要配置同一网段的  IP以保证相互通信。接口属性必须要勾选“ha-statiC选项。a）  点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。点击“确定”按钮保存配置。b）  点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址，然后点击“添加”按钮，如下图所示。“ha-static选项必须勾选，否则运行状态同步时  IP地址信息也会被同步。点击“确定”按钮保存配置。防火墙2设置防火墙2的心跳口IP地址为“10.1.1.2/24'，其操作与防火墙1的设置方法相同，具体请参加防火墙1的配置步骤。防火墙3设置防火墙3的心跳口IP地址为“10.1.1.3/24',其操作与防火墙1的设置方法相同，具体请参加防火墙1的配置步骤。防火墙4设置防火墙4的心跳口IP地址为“10.1.1.4/24'，其操作与防火墙1的设置方法相同，具体请参加防火墙1的配置步骤。2）配置防火墙中除心跳口以外的接口。防火墙1a）  配置Eth0口IP为172.16.1.2点击网络管理>接口，然后选择“物理接口”页签，点击  eth0接口后的“设置”图标。在“路由模式”下方配置Eth0口的IP地址，然后点击“添加”按钮，如下图所示。点击“确定”按钮保存配置。b）  配置Eth1口IP为10.10.10.2点击网络管理>接口，然后选择“物理接口”页签，点击  eth1接口后的“设置”图标。在“路由模式”下方配置Eth1口的IP地址，然后点击“添加”按钮，如下图所示。点击“确定”按钮保存配置。防火墙2a）  配置Eth0口IP为172.16.1.3b）  配置Eth1口IP为10.10.10.3操作步骤与防火墙1完全一致，请参照防火墙1进行配置防火墙3a）  配置Eth0口IP为172.16.1.4b）  配置Eth1口IP为10.10.10.4操作步骤与防火墙1完全一致，请参照防火墙1进行配置防火墙4a）  配置Eth0口IP为172.16.1.5b）  配置Eth1口IP为10.10.10.5操作步骤与防火墙1完全一致，请参照防火墙1进行配置3）配置HA属性。指定HA网口本地地址以及对端地址，并启用运行对象同步功能防火墙1a）  点击高可用性>双机热备，选中“连接保护”前的单选按钮，配置基本信息，如下图所示。设置本机地址为心跳口Eth2的IP地址（10.1.1.1；设置对端地址为eth2口的子网广播地址（10.1.1.255，当只有两台防火墙并行工作时，建议设置为单播地址；b）  勾选“高级配置”左侧的复选框，配置高级信息，如下图所示。c）  参数设置完成后，点击“应用”按钮保存配置。d）  点击“启用”按钮，启动该连接保护模式，心跳口连接建立，如下图所示。防火墙2防火墙2的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.2对端地址为10.1.1.255防火墙3防火墙3的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.3对端地址为10.1.1.255防火墙4防火墙4的操作请参见防火墙1的配置，需要设置本机地址为10.1.1.4对端地址为10.1.1.2554）设置关闭连接表的严格状态检测功能。防火墙1、防火墙2、防火墙3和防火墙4a）点击系统管理>配置，然后选择“系统参数”页签，选中“高级属性”前的复选框，在“网络参数”处设置关闭连接完整性检查功能，如下图所示。b）  参数设置完成后，点击“应用”按钮即可。CLI配置步骤1）配置防火墙心跳口属性。防火墙1#networkinterfaceeth2ipadd10.1.1.1mask255.255.255.0ia-static防火墙2#networkinterfaceeth2ipadd10.1.1.2mask255.255.255.（ha-static防火墙3#networkinterfaceeth2ipadd10.1.1.3mask255.255.255.（ha-static防火墙4#networkinterfaceeth2ipadd10.1.1.4mask255.255.255.0ia-static2）  配置防火墙中除心跳口以外的接口属性。防火墙1、防火墙2、防火墙3和防火墙4#networkvlanaddid100#networkinterfaceeth0switchport#networkinterfaceeth0switchportmodetrunk#networkinterfaceeth0switchportmodetrunkallowed-vlan100#networkinterfaceeth1switchport#networkinterfaceeth1switchportmodetrunk#networkinterfaceeth1switchportmodetrunkallowed-vlan1003）  配置HA的工作模式及心跳口的本地地址和对端地址。防火墙1#hamodelb#halocal10.1.1.1#hapeer10.1.1.255#hartosyncackenable#hartconfig-syncenable防火墙2#hamodelb#halocal10.1.1.2#hapeer10.1.1.255#hartosyncackenable#hartconfig-syncenable防火墙3#hamodelb#halocal10.1.1.3#hapeer10.1.1.255#hartosyncackenable#hartconfig-syncenable防火墙4#hamodelb#halocal10.1.1.4#hapeer10.1.1.255#hartosyncackenable#hartconfig-syncenable4）设置关闭连接表的严格状态检测功能。防火墙1、防火墙2、防火墙3和防火墙4#networksessionsession-integrityff注意事项如果用户网络拓扑中有可能存在这样的情况：建立连接请求发送的SYN包经过一台防火墙，而返回的SYN/ACK包通过另一台防火墙转发，则必须要关闭严格状态检测开关。当SYN包通过墙A时，墙A上建立了一条状态为handshake的连接，同步到B墙上时，为了避免重复同步连接，B墙上连接状态为ESTABLISHED状态；此时如果SYN/ACK报文从B墙的路径返回，发现墙上已经有一条ESTABLISHED的连接，就会把ACK包丢弃，导致client和server端无法真正建立起连接来，通信失败。此时，如果把严格状态检测开关off的话，ACK包到达B墙，虽然发现已经有一条ESTABLISHED的连接，但也会放过，报文回复到client端时，就可以握手成功了。子接口的负载均衡模式基本需求图5子接口负载均衡模式的网络示意图上图是一个简单的利用子接口进行负载均衡的示意图。防火墙  A和防火墙B并联工作，两个防火墙的EthO接口间由一条心跳线相连用来同步状态及配置信息；两个防火墙的子接口veth1.01和veth2.01属于VRID10（防火墙B的优先级高于防火墙A）;两个防火墙的子接口veth1.02和veth2.02属于VRID20（防火墙A的优先级高于防火墙B）。这样，两台防火墙均正常工作时，网段“172.16.0.0/24的流量通过防火墙A进行转发，网段“172.16.1.0/24的流量通过防火墙B进行转发。当其中一条链路发生故障时，其上的数据流会自动切换，通过另一台防火墙转发，从而实现两台防火墙的负载均衡。配置要点配置备份子接口配置心跳口配置防火墙的不同VRID组的优先级配置HA功能WEBUI配置步骤1）配置备份子接口防火墙Aa）  点击网络管理>接口，激活“子接口”页签，然后点击“添加/删除子接口”，添加ethl接口的子接口vethl.01和veth1.02b）点击网络管理>接口，激活“子接口”页签，然后点击“添加/删除子接口”，添加eth2接口的子接口veth2.01和veth2.02c）  在子接口列表中，分别点击各个子接口条目右侧的“属性”图标，配置veth1.01的IP地址为192.168.0.1属于VRID10;配置veth1.02的IP地址为192.168.0.2属于VRID20;配置veth2.01的IP地址为172.16.0.1属于VRID10;配置veth2.02的IP地址为172.16.1.1属于VRID20，如下图所示。防火墙B配置防火墙B的备份子接口，与防火墙A的配置完全相同，此处不再赘述。2）配置心跳口连接心跳线的HA通信接口必须工作在路由模式下，设定心跳口  IP为同一个网段的不同IP（分别为10.0.0.1/24和10.0.0.2/24,并且必须勾选“ha-stati（”选项。防火墙Aa）  点击网络管理>接口，然后选择“物理接口”页签，在eth0接口后点击“设置”图标，为该接口配置进行同步  HA设置的地址，如下图所示。b）  参数设置完成后，点击“确定”按钮即可。防火墙B配置防火墙B的eth0口IP地址为“10.0.0.2/24',具体操作请参见防火墙A。3）配置防火墙的不同VRID组的优先级。设定防火墙A的VRID10的优先级为100,VRID20的优先级为200。设定防火墙B的VRID10的优先级为200,VRID20的优先级为100=因此，对VRID10来说防火墙B为主墙，防火墙A为备墙；对于VRID20来说防火墙A为主墙，防火墙B为备墙。并且设置主墙为“抢占”模式，即主墙能在失效后，重新恢复正常工作时，重获主墙地位。防火墙Aa）选择高可用性>双机热备，然后选中“负载均衡”前的单选按钮b）点击“热备组”右侧的“添加”，配置VRID10的优先级为100,如下图所示。参数配置完成后，点击“确定”按钮。c）配置VRID20的优先级为200,“抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。防火墙Ba）  选择高可用性>双机热备，然后选中“负载均衡”前的单选按钮。b）  点击“热备组”右侧的“添加”，配置VRID10的优先级为200,“抢占”模式，如下图所示。参数配置完成后，点击“确定”按钮。c）  配置VRID20的优先级为100,如下图所示。参数配置完成后，点击“确定”按钮。4）配置HA功能防火墙Aa）点击高可用性>双机热备，然后选中“负载均衡”前的单选按钮，配置基本信息，如下图所示设置“本机地址”为心跳口ethO的IP地址（10.0.0.1。设置“对端地址”为另一台墙心跳口  ethO的IP地址（10.0.0.2，超过两台设备时，必须将“对端地址”设为本地地址所在子网的子网广播地址（最多支持八台设备）。“心跳间隔”可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备是否异常的重要参数，互为热备的防火墙的此参数必须设置一致，否则很可能导致从墙的主从状态的来回切换。b）  勾选“高级配置”左侧的复选框，配置高级信息，如下图所示。c）  参数设置完成后，点击“应用”按钮保存配置。d）  点击“启用”按钮，启动该主备模式，心跳口连接建立，如下图所示。防火墙B防火墙B的操作请参见防火墙A的配置，需要设置本机地址为10.0.0.2对端地址为10.0.0.1CLI配置步骤1）配置备份子接口。#networkinterfaceethlsubifaddrange1-2#networkinterfacevethl.Olipadd192.168.0.1mask255.255.255.0#networkinterfaceveth1.01vrid10#networkinterfaceveth1.02ipadd192.168.0.2mask255.255.255.0#networkinterfaceveth1.02vrid20#networkinterfaceeth2subifaddrange1-2#networkinterfaceveth2.01ipadd172.16.0.1mask255.255.255.0#networkinterfaceveth2.01vrid10#networkinterfaceveth2.02ipadd172.16.1.1mask255.255.255.0#networkinterfaceveth2.02vrid20防火墙B配置防火墙B的备份子接口，与防火墙A的配置完全相同，此处不再赘述。2）配置心跳口#networkinterfaceeth0ipadd10.0.0.1mask255.255.255.0ia-static防火墙B#networkinterfaceethOipadd10.0.0.2mask255.255.255.(ha-static3)配置防火墙的不同VRID组的优先级。防火墙A#havrid10priority100#havrid10preemptdisable#havrid20priority200#havrid20preemptenable防火墙B#havrid10priority200#havrid10preemptenable#havrid20priority100#havrid20preemptdisable4)配置HA功能。#hamodeaa#halocal10.0.0.1#hapeer10.0.0.2#hartosyncackenable#hartconfig-syncenable#haenable防火墙B#hamodeaa#halocal10.0.0.2#hapeer10.0.0.1#hartosyncackenable#hartconfig-syncenable#haenable注意事项无。