#原创分享#AF主备模式部署全过程

项目背景：

客户新采购两台防火墙，透明模式部署在网络中，两台主备模式运行。

实施过程：

第一步：achek升级到最新版本，AF规则库更新一下

（1）检测版本

（2）升级AF规则库

（3）执行巡检

（4）巡检结果

（5）校验MD5值

（6）打护网补丁

（7）关闭业务学习模型

（8）再次巡检，可以看到都已修复

第二步：激活设备

（1）登陆https://license.sangfor.com.cn/协助客户注册账号

（2）使用注册的账号登陆，并填写网关序列号导入设备

（3）导入成功后该设备显示未激活

（4）登陆设备控制台，授权界面，切换成离线激活

（5）导出硬件信息

（6）上传硬件信息，并导出授权文件

（7）把授权文件导入到设备

（8）设备显示成功激活

第三步：升级规则库

（1）使用ccproxy

（2）启用代理服务器，把规则库升级到最新

第四步：主机网络配置

（1）接口配置

（2）路由配置

（3）区域配置

（4）接口联动

（5）应用控制策略暂时先全放通后期优化

（6）安全策略

第六步：备机网络配置

第七步：高可用性配置

（1）主机配置

基本信息

双机热备

配置同步

（2）备机配置

基本信息

双机热备

配置同步

注意事项：

1. 2个设备配置双机同步后，配置会同步，接口IP也是一样的，不需要虚拟IP。

2.根据虚拟组ID找同伴，同一虚拟组的设备之间选主备。

3. 选择对应的网络接口加入虚拟路由组，加入虚拟路由组的接口都是正常UP的，加入后备机的接口会通过丢包模块丢包，主机接口正常收发数据；未加入虚拟路由组的接口则正常收发包。

4.可能影响主备的条件：优先级，优先级高的为主，数值越大优先级越高；接口IP，IP地址大的为主，因接口IP一样，对比心跳口IP。

5.可以设置抢占模式，优先级高的设备故障恢复后，如果配置成抢占模式，可以成为主

6.心跳协商通过组播224.0.0.18

7.AF需要配置心跳口，心跳口是一个普通网口，用网线对接。

8.影响双机切换的条件：

心跳数据超时；监测网口掉线；链路故障检测接口故障。

9. 主备机都勾选了配置同步，则任一台配置变更都会同步给对方。建议配置期间，备机可先不勾选配置同步，待双机测试完成后，再把备机增加配置同步。

感谢楼主分享，楼主的帖子中对于双机主备部署及巡检介绍的都比较详细，双机主备部署时一定要注意需要将主备机的所有网口都加入到网口监视，否则会出现主备机同时发包进而出现业务异常的情况，期待楼主有更加精彩的分享~

感谢大佬分享

好详细，感谢分享

学习学习

您好，您的文章已被收录到原创分享计划并放到技术博客中，以便让更多的小伙伴们关注和学习，文章将交由专家评审小组评审，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！
发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创内容要求及奖励规则：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=124801

使用直连代理服务器升级规则库是什么版本的功能

详细的AF主备部署步骤，还帮助客户激活授权 你真个聪明的小可爱！

对双机主备模式部署介绍的很详细，感谢分享。