序言：

最近有個業務需求，需要用2臺山石的防火墻替代正在運行的天融信防火墻，經過一番實踐和折騰，當前HA主備防火墻運行正常，本篇文章將HA主備防火墻配置教程、遇到的問題及解決方法和小伙伴分享一下。

一、業務需求

2臺墻跑HA主備模式，一臺墻down了另外一臺正常工作；主墻上下行鏈路down了，自動切換到備墻，網絡不受影響。

二、網絡拓撲

備注：上下行路由器和防火墻都是H3C的，中間防火墻是山石R6P14版本。

三、實施步驟

1、防火墻型號及版本說明

品牌：hillstone（山石）

應急平臺：SG-6000-P932

啟動文件：SG600-M-3-5.5R6P14.bin

ps：做HA主備的防火墻需要品牌型號和版本一樣（當前都是R6P14）。

2、網絡接口配置

（1）網絡接口配置包含：管理口、HA互聯口、上下行鏈路接口。

（2）管理口IP配置

說明：主墻和備墻各配置管理口IP，這里面有個注意點：

（1）登陸運行中的HA主備模式防火墻時發現兩個墻管理口IP顯示一樣的，那我們平時連接備墻的地址在哪里？其實備墻點擊“高級選項”發現還有個IP是我們平時連接備墻的管理口地址了，原因見第2條。

（2）當不配置管理口IP為Local IP時，防火墻主備切換后備墻的管理口會自動同步和主墻一樣的地址。所以在HA主備切換后會發現備墻在工作，但是無法管理了。可以通過兩種方法解決：

A、配置防火墻管理口IP時，選擇配置為Local IP，這樣就不會同步為主墻地址了。

B、主備切換后，通過console口連接防火墻，在管理口配置中加入一個管理口IP即可，命令為manage ip 地址（先進入到該接口下），如下圖。

（3）上行接口配置

（4）下行接口配置

3、HA配置

（1）主墻HA配置：

IP地址：主備地址不一樣。

HA簇ID和節點ID：HA主備模式，簇ID是一樣的，節點ID必須不一樣，或者不配置，讓防火墻自己選。

優先級：默認為100，主墻優先級要高，設置50。

搶占時間：主墻配置3s，備墻不配置。

檢測對象：HA，這是在對象選項卡--檢測對象--創建名稱為HA，成員為上下行接口。這是為了檢測主墻有異常，自動切換到備墻的必要條件。一般防火墻上架上下行鏈路都通了后再添加檢測。

（2）HA備墻配置：

IP地址：主備地址不一樣。

HA簇ID和節點ID，HA主備模式，簇ID是一樣的，節點ID必須不一樣，或者不配置，讓防火墻自己選。

優先級：默認為100，保持100就可以。

搶占時間：備墻不配置搶占時間。

檢測對象：HA，原理同主墻。

4、HA主備切換測試

（1）準備工作：

HA主備2臺墻工作正常（主HA指示燈綠色常亮，備墻橙色燈閃爍）；

主備墻HA設置監測對象已配置；

測試網絡是否正常，tracert -d IP追蹤路由各節點信息（默認走R1）。

防火墻主備可以通過HA指示燈、SSH連接、web界面HA狀態查看，主-master，備-backup。

（2）拔掉主墻FW1的上行路由器光纖，查看HA主是否切換到FW2，查看網絡是否正常，路由追蹤節點是否變化（這時路由走R2）。

（3）恢復主墻FW1的上行路由器光纖，查看HA的主是否自動搶占為FW1，查看網絡是否正常，路由追蹤節點是否變化（這時路由走R1）。

（4）同理拔掉主墻FW1的下行交換機光纖，測試網絡和追蹤路由。

（5）恢復主墻FW1的下行交換機光纖，測試網絡和路由追蹤變化。

四、問題匯總和解決方案

1、未上線前防火墻HA主備切換，將2臺強都弄成master主了？

解決方法：按照上面方法排查，原來是主備墻節點ID設置一樣，配置不一樣后恢復主備模式。

2、上線后HA主備切換，拔掉主墻FW1的上行路由器光纖，HA切換正常，網絡正常；但是拔掉主墻FW1的下行交換機光纖，HA切換正常，網絡異常，不通？

ps：一般情況配置監測對象不會出現這樣情況的，之前的R4P16等版本都不要配置接口聯動組就能正常主備切換，R6P14是為了使用策略分組工作，剛好都升級到這個版本測試下運行情況。

解決方法：經過排查FW1的下行交換機網線拔了，上行路由器還有流量，導致上面的路由器VRRP沒有切換。在主墻上配置接口聯動功能，SSH連接，配置接口組，將上下行接口加進去，這樣任意一個接口down了，這個組接口都down了。方法如下：

說明：進入到配置模式，然后輸入3條命令：

interface-group HA type linkage

interface ethernet0/7

interface ethernet0/8

這樣再次測試，無論斷開FW1的上行還是下行光纖，HA切換正常，網絡正常。

五、總結

實踐是檢驗真理的唯一標準，多操作，多試驗才能出真知！