山石防火墻HA主備模式上行路由器VRRP模式協商失敗都是Master狀態，所以要將防火墻HA改為雙主Peer-mode模式，小編和大家分享下HA雙主配置的方法和注意事項，期望大家遇到少踩坑。

一、網絡拓撲

二、路由器雙Master分析

超鏈接：山石防火墻HA主備模式配置教程

在防火墻上放行組播地址，源地址any，目的地址組播地址224.0.0.18，服務any。

因為HA是主備模式，備墻是不走流量的，相當于是斷開狀態，所以上行路由器VRRP會協商失敗，都認為自己主Master。

ps：但若是雙主模式，兩個墻都走流量，上行路由器VRRP就能協商成功了，所以提前在防火墻中增加上面的策略放行組播策略。

三、雙主Peer-mode模式配置

1、配置管理口

（1）中心思想：兩臺墻各配置管理口IP，取消HA同步，Local IP選項也不用勾選，這樣按照上面的網絡拓撲可以正常連接訪問。

（2）配置管理口

FW1：

FW2：

ps:

1、管理口的逆向路由相關不用管。

2、管理口配置遇到了挺多的坑，實驗環境和生產環境上FW1配置100.251，創建管理口虛擬轉發口0/1:1配置100.250，管理口HA同步開啟，HA雙主模式生效后，FW1和FW1上面都有251和250兩個地址，但是FW1防火墻管理口192.168.100.251連接正常，FW2防火墻192.168.100.250只能在直連的交換機ping通，跨路由器就無法訪問了，這個暫未解決，后面繼續研究。

2、配置業務上下聯接口

這里只需要配置FW1的即可，FW2的等HA狀態協商后會自動同步的，注意勾選HA同步和安全域配置即可。

FW1（這里是透明模式，不用配置接口IP）：

上行鏈路連接路由器：

下行鏈路連接交換機

FW2：

不用配置，等HA狀態協商成功，自動同步到FW2.

3、配置HA

包含：HA控制連接接口e0/2、HA數據連接接口e0/3，FW1的HA地址，FW2的HA地址，組0和組1。

備注：

1、HA簇和節點先不啟用，不然HA狀態就開始協商了，等兩臺墻HA地址都配置好了再協商HA開啟Peer-mode。

2、監測對象HA和HA1先不調用，若是測試環境上下行沒有接線就不要調用，不然HA狀態會協商有問題，生產環境監測對象最后再調用。

3、提前將兩臺墻的e0/2和e0/3接口互聯線接好。

FW1：

HA地址：1.1.1.1/255.255.255.252

HA控制連接接口和數據連接接口選擇調用。

創建組0和組1，FW1的組0優先級高（數值越小，優先級越高），配置搶占。

FW2：

HA地址：1.1.1.2/255.255.255.252

HA控制連接接口和數據連接接口選擇調用。

創建組0和組1，FW2的組1優先級高（數值越小，優先級越高），配置搶占。

4、創建業務虛擬轉發口

FW1:

配置上行虛擬轉發口

配置下行虛擬轉發口

FW2：

不用配置，等HA狀態協商成功，自動同步到FW2.

5、創建監測對象

創建2個檢測對象，分別檢測上行e0/7和下行e0/8，和上行虛擬轉發口e0/7:1和虛擬轉發口下行e0/8:1

FW1：

監測對象HA

監測對象HA1

FW2：

不用配置，等HA狀態協商成功，自動同步到FW2.

6、配置HA為雙主Peer-mode模式

1、web界面配置

FW1：

HA簇為1，節點為0，啟用Peer-mode模式

FW2：

HA簇為1，節點為1，啟用Peer-mode模式

圖片參照上面第3項配置HA查看。

2、console口配置

FW1：

FW2：

7、查看HA狀態

FW1：

FW2：

8、查看防火墻管理口

1、首先查看管理口地址FW1：192.168.100.251和FW2:192.168.100.250是否正常通信。

2、分別登陸FW1和FW2，FW2是無法增加策略什么的，只有等主墻出現問題，HA切換到FW2，才能操作。

9、配置HA檢測

配置HA組0和組1分別調用監測對象HA和HA1，這樣當FW1上下行鏈路出現異常時，所有流量從FW2走。

FW1：

HA中組0和組1分別調用HA和HA1

FW2：

HA中組0和組1分別調用HA和HA1

ps：在HA中調用監測對象HA和HA1后，監測對象狀態就變為正常了。

10、配置interface-group組

因為模擬FW1下行交換機鏈路斷開時，HA沒有切換成功，所以增加一個接口組將上下行鏈路加進去，這樣斷開上下行鏈路HA都能切換到FW2.

11、模擬防火墻上下行鏈路斷開，HA和網絡情況。

通過模擬以下幾個場景，查看防火墻HA和網絡情況，通過ping地址和tracer -d IP查看路徑確認網絡是否正常，流量走的是R1還是R2.

（1）模擬FW1上行鏈路斷開場景

（2）模擬FW1下行鏈路斷開場景

（3）模擬FW2上行鏈路斷開場景

（4）模擬FW2下行鏈路斷開場景

四、總結

主要有以下幾條注意一下：

1、FW1需要配置管理口地址，HA相關，其余都等FW1同步過來。

2、雙主Peer-mode模式管理口配置注意一下，以防FW2管理口不通。

3、從主備模式改為雙主模式，先將HA調用監測對象取消，等雙主HA狀態正常，網絡都正常后，再調用監測對象。

4、一定要做模擬鏈路斷開場景測試網絡情況。