拓扑如上,两条防火墙使用port3、port4互联,做HA接口。
防火墙port 5 地址 1.1.1.2/24,port 2 地址172.16.1.1/24,Router e0/0接口地址 1.1.1.1/24。
防火墙 port 1 连接Net网络,桥接到物理机,做带外管理口使用。
VPC 地址 172.16.1.10/24,模拟内网PC。
- 配置主设备,进入菜单系统管理→高可用性
| 模式 | 主动-被动 |
| 设备优先级 | 200,主墙优先级需高于备墙 |
| 组名称 | 自定义,本次配置为HA |
| 密码 | 自定义,本次配置为 123456 |
| 会话交接 | 勾选,主墙和备墙之间实时进行会话信息的同步 |
| 监控接口 | port 2、port 5 |
| 心跳接口 | port 3、port 4 |
端口监控:HA监控的接口,作为HA切换依据之一;本案例中监控port5(外网口)和port2(内网口)。业务端口需要被防火墙监控,当端口出现故障时会进行切换,具有数量多的有效监控端口的设备会作为主墙处理数据。
心跳接口:启用两个心跳接口:port3、port4。用于配置同步,会话同步,对方存活心跳检测等,为了集群的稳定建议配置2条或以上的线条线。在有多条心跳线路的情况下,心跳端口的 心跳优先级 决定了优先使用那条线路同步心跳(优先级高的端口连接的线路优先使用)
- 配置备设备。除优先级配置为 125 外,其余配置与主机相同
- 在系统管理 - 设置 中,修改主机名称,便于后期维护
- 结果验证
- 在主墙上完成防火墙基本上网配置