【2022争霸赛*干货满满】AF虚拟网线双主模式部署案列分享

前提条件：

1、组建双机条件：软件版本、内存、网口和授权一致。

2、AF设备业务口（内网口、外网口）、HA口以及IP地址规划好。

3.、主控已配置好透明部署模式以及相关安全策略。

4.、先配置主控信息，再配置备控；

一、部署规划：

         服务器防火墙部署模式为虚拟网线双主模式，如下图所示，Eth7和ETH8做聚合，为心跳口；同一种颜色为一组虚拟网线，防火墙Eth10-Eth12为一组，Eth9和Eth11为一组，ETH9、ETH10连接内网核心交换机，为virtual_untrust区域，ETH11、ETH12连接服务器汇聚交换机，为virtual_trust区域；上下联核心交换机、服务器汇聚交换机为堆叠模式，交换机分别连接防火墙的四个端口为聚合口；主控心跳口IP地址为8.8.8.1/24，备控心跳口IP地址为8.8.8.2/24,Eth1为管理口，主控管理IP地址为172.16.12.16/24，备控管理IP地址 为172.16.12.17/24。

二、部署思路：

1、防火墙主主双机（虚拟网线模式），先配置主控，再配置备控；

2、主控先将eth7、eth8两个口做聚合，配置心跳地址，再配置其它接口，路由，区域，配置应用策略，安全策略等，然后配置双机，在系统高可用性选项，配置基础信息、配置同步、双机聚合。

3、备控先将eth7、eth8两个口做聚合，配置心跳地址，配置eth1管理口即可，管理地址后记得加-HA，其它接口组成双机后会同步过来，不需要配置，然后配置双机，在系统高可用性选项，配置基础信息、配置同步、双机聚合。

4、双机组成后再在主控完善策略，如应用控制策略、安全策略、本机访问控制等，备控不可配置，只能查看，注意日志不能同步，在排查故障需要查看安全日志、行为日志时，需要登录备控。

三、配置步骤：

1、主控配置心跳口，将eth7、eth8口做聚合，工作模式为主备模式，IP地址设置为8.8.8.1/24-HA；

2、主控配置其它接口，并划入相应安全区域，eth1作为管理口，IP地址后加-HA;

3、主控配置默认路由指向管理地址的网关；

4、主控配置接口联动；

5、主控配置高可用基本信息，主线路本机地址选择聚合口aggr.1，对端地址配置8.8.8.2，辅线路本机地址选择eth1,对端地址配置备控的管理地址；

6、主控启用配置同步，配置同步角色为主控；

7、主控配置双机聚合，模式选择上下游堆叠，同步口设置本机接口和对端接口都为aggr.1，配置内网区域设置，外网区域设置；

8、备控配置心跳口，将eth7、eth8口做聚合，工作模式为主备模式，IP地址设置为8.8.8.2/24-HA；

9、备控配置高可用基本信息，主线路本机地址选择聚合口aggr.1，对端地址配置8.8.8.1，辅线路本机地址选择eth1,对端地址配置主控的管理地址；

10、备控启用配置同步，配置同步角色为备控；

11、备控配置双机聚合，模式选择上下游堆叠，同步口设置本机接口和对端接口都为aggr.1，配置内网区域设置，外网区域设置；

       至此双机配置完成，先开主控AF接心跳线和双机聚合数据线以及其他业务线，等主控AF开机完成后再开备控AF接心跳线和双机聚合数据线以及其他业务线。在备控AF上可以看到成功同步了主控AF的配置。双主模式下首页的系统状态中，双机状态是未开启，是正常的，如果是主备模式下，双机状态才会显示主控或者备控。

专家点评：感谢楼主分享，文章介绍了AF虚拟网线双主模式部署的有关内容，期待更多优秀的分享

写的非常好，接口信息标识清晰，和配置对比一致，新手很容易理解，谢谢作者

感谢分享

学习了，就是图片不是很清晰，个别细节有点不太懂

学习了，感谢分享。。。。。。。。。。

稳的一批，昨天刚参考这个部署完。

坚持每天学习一点，每天进步一点

思路清晰，步骤明确，感谢分享