【2022争霸赛*干货满满】新架构AF主备高可用及VRRP配置详解

哈喽，大家好，纯洁的小莫冷又来给大家科普啦

不知道大家在新架构的AF上有没有配置过高可用性，可能小伙伴们刚看到会一脸懵逼，What？这是啥玩意儿，咋跟以前配过的不一样了呢？

其实这是咱们新架构防火墙做的修改，新架构防火墙的热备协议使用了标准的VRRP协议，而这与老架构防火墙的协议是不同的，这也就导致了新老架构的热备配置不一样的问题。

VRRP协议的中文名称叫做虚拟路由冗余协议，也就是咱们说的主备功能所使用的协议，它的主要作用是由两台路由器虚拟出来一个虚拟路由器，由虚拟路由器来负责处理数据的转发等操作， 两台真实路由器分为主路由器和备份路由器，当主路由器故障时，虚拟路由器则会切换到备份路由器，这也就是咱们常说的主备切换了，而无论主路由器、备份路由器还是虚拟路由器，都需要IP地址来进行交互，这也就是与咱们老架构AF最大的区别了，老架构的AF主备只需要一套IP，而新架构的AF则需要3套，即主AF一套，备AF一套，虚拟AF一套，所以以后大家碰到新架构的AF之后要跟客户好好沟通清楚哦！

好了，接下来就由我来给大家讲讲这个新架构的防火墙究竟怎么配置主备吧~

首先，当然是需要我们的心跳口啦，新架构的AF不再需要-HA来指定心跳口，只需要正常填写IP地址即可，截图如下所示

高可用处编辑心跳口

这里控制链路和数据链路官方没有说明，按照我个人的理解控制链路是负责主备控制的，也就是主备切换时所使用的链路，数据链路则是处理设备配置同步的，当数据链路为空时，则控制链路用来承载数据链路的功能。

虚拟IP设置

接口处填写真实IP地址

高可用界面处填写虚拟IP（此处IP不可与真实IP冲突）

链路检测，链路检测分为接口监视和关联链路检测对象，接口监视可以监视网口、VLAN接口的启用状态，关联链路检测对象可以检测网络连通性，正常情况下两个都需要开启

接口监视

关联链路检测对象，与老架构防火墙一致

链路故障检测大家配置的肯定也不少了，这里就不多赘述了，但是如果接口为直连外网口的话建议开启DNS解析

监视对象处引用新建的监视对象

好了，新架构AF的高可用性主备配置基本就是这样，今天的分享完成了，大家走过路过不要错过，点个赞再走呗

感谢楼主分享！文章记录了新架构AF配置VRRP的案例和注意事项，图文并茂，期待楼主带来更多有价值的案例分享

感谢大佬分享，图文并茂

冲鸭！！！！！！！！！！！

感谢分享