【2022争霸赛*干货满满】】AF路由主备部署案列分享

前提条件： 1. 组建双机条件：软件版本、内存、网口和授权一致。 2. AF设备业务口（内网口、外网口）、HA口以及IP地址规划好。 3. 主机已配置好透明部署模式以及相关安全策略。 4. 先配置主机信息，再配置备机。 一、部署规划： 此场景为医院内网环境，存在医保专线、5G专线、财政专线、工行专线、电信5G专线等多根专线，需要全部割接至新增的专线防火墙，专线互联地址均配置在专线防火墙上，以下为相应的网络拓扑图，路由模式仅支持主备部署，由于防火墙端口有限，无法将多根专线全部接到防火墙上，因此需要增加一台专线接入交换机进行接入（因交换机缺，无法进行交换机双机，双机更能增强冗余性），起到集线作用；专线接入的交换机端口配置不同的VLAN给相应的专线，VLAN可以自定义，不冲突即可；交换机端口47和48分别下联专线防火墙ETH4口，端口配置trunk，不需要做聚合口，放通专线端口VLAN；各专线的互联地址配置在防火墙ETH4的子接口上；ETH5为心跳口，ETH6、ETH7做聚合口，分别连接内网核心交换机，地址配置172.16.245.1；ETH4为L3_Untrust_A安全域，ETH6、ETH7为L3_trust_A安全域。 二、部署思路： 1、 配置防火墙主备双机； 2、 配置网络接口、区域，NAT、静态路由、应用策略、安全策略等； 3、 防火墙连通专线交换机、核心交换机； 4、 割接时逐条专线接入到专线接入交换机，并在核心交换机修改相应专线的路由指向专线防火墙172.16.245.1。 三、配置步骤： 1、主控配置网络接口、聚合接口，配置心跳口、IP、划分安全域等： 2、主控配置子接口，配置专线互联IP： 3、主控配置去往各专线以及回内网的静态路由： 4、主控配置NAT： 5、主控配置应用控制策略、安全策略（图略）； 6、主控配置高可用基本信息，主线路本机地址选择ETH5，对端地址配置8.8.8.2： 7、主控配置双机热备，如无特殊需求，建议抢占模式选择否； 8、主控配置同步信息，配置同步角色为主控： 9、备控配置心跳口，IP地址设置为8.8.8.2/24-HA； 10、备控配置高可用基本信息，主线路本机地址选择ETH5，对端地址配置8.8.8.1； 11、备控配置双机热备，[优先级]设置比主机的低如50； 12、备控配置同步信息，配置同步角色为备控；       至此主机和备机的主备模式配置完成，先开主机接心跳线以及其他业务线，等主机AF开机完成后再开备机AF接心跳线以及其他业务线。建立双机后在[首页/设备和系统运营]选项中可以看到本机的双机状态。