AF主备，对端设备不同IP

【拓扑图】：

【需求描述】：

1、AF必须做路由模式，且要做双机热备，不需要做NAT；

2、对端设备R1、R2接AF的接口IP不一样；

【问题点】：

AF主备路由部署，如果默认“配置同步”，除“-HA”接口外，其他所有接口IP都会被同步，但是两台AF的对端IP不一样，如果同步配置，在切换主备后，导致网络通信异常；

【相关注意点】：

1、AF只有主备支持路由部署，主主不支持路由部署；

2、AF接口IP后加“-HA”参数，则不会同步该接口IP；

3、AF万兆光口不能插千兆模块，不能自适应为千兆；

4、数据出AF的时候（例如从lan到wan），会先匹配路由，再匹配NAT策略；

5、AF的NAT策略不能监测IP可用性；

【解决方法】：

方案1：

AF1和AF2分别使用两个口，分别设置两个IP，但是有一个口不接线；

例如：

AF1使用eth1和eth2，配置IP，eth1:1.1.1.1/24，eth2:2.2.2.1/24，但是eth2不接线，新增两条路由，下一跳是1.1.1.2和2.2.2.2。

AF2使用eth1和eth2，配置IP，eth1:1.1.1.1/24，eth2:2.2.2.1/24，但是eth1不接线，新增两条路由，下一跳是1.1.1.2和2.2.2.2。

方案分析：

1、两个接口，两个IP，即使同步接口IP，当AF切换主备后也不影响。

2、AF切换主备后，只有插着网线的接口的路由会生效；

3、如果有NAT需求，则此方案不可行，因为NAT策略无法检测IP是否有效。

注意：

1、如果利用业务接口加“-HA”的特性，的确不会同步接口IP，路由条目也需要同步；

感谢楼主分享，在配置双机主备的时候需要注意的一点是网口监视，因为AF的双机主备是通过网口监视来控制让备机监视口不发包的，所以如果需要备机业务也需要发包，那么就需要在备机不要将需要发包的业务口加入到网口监视中，这样才能实现主机和备机都发包，同样，如果只允许主机发包备机不发包，那么主机和备机的业务口都需要加入到网口监视中，这样就可以实现只有主机发包，备机不发包。楼主的分享很贴近实战，期待楼主有更加精彩的分享

感谢楼主分享，不同的数据流匹配的地址转换的顺序是不一样的，源地址转换是先匹配路由，目的地址转换是先匹配NAT策略。期待楼主有更加精彩的分享。

感谢楼主分享，比较有借鉴价值的一个分享。不过这种方式需要注意网口监视和链接监视的写法。网口监视需要把两个外网口（接线和未接线）都加入网口监视，同时加入同一组监视组，所以可以变相实现接线的接口故障，实现双机切换，链接监视同理。另外这个拓扑是否有考虑过不用两个外网口，直接把两个网段的地址配置在同一个接口内？

感谢发帖，如果是原创内容，可以参加#原创分享活动。

打赏学习

感谢分享

感谢分享

感谢楼主分享，很详细的一篇设备主备实战案例教程。