双机防火墙

双机防火墙

俗话说有备无患、未雨绸缪，安全现在紧要关头，又购壹台 某公司 AF 防火墙。部署在用户网络出口处做 SNAT，代理内网用户上网。防火墙 A 为主防火墙，防火墙 B 为备防火墙。希望实现当主防火墙出现问题时，备防火墙接替工作；防火墙 A故障修复，则防火墙 A 自动切换成主防火墙，以实现防火墙的高度冗余。

升级后的精简拓扑图：

1、登陆防火墙WEB界面，步骤略

2、网络---接口/区域  区域划分如下图所示：

3、物理接口窗口中，类型为路由，基本属性勾选允许PING。IPV4选择静态IP为X.X.X.X/X-HA,如下图所示：

注：HA地址，加-HA后缀。

4、防火墙 A：源地址转换规则，步骤略。

5、防火墙 A：系统---高可用性。在基本信息中本机地址选择上面配置好的HA接口；对端地址填写为X.X.X.X.如下图所示：

6、防火墙 A：系统---高可用性---双机热备，启用双机热备，然后点击新增，在弹出新增虚拟路由组窗口，虚拟组为 100，优先级为 100，勾选抢占。如下图所示：

7、网口监视中新增ETH2\ETH3。如下图所示：

8、提交，再提交。

9、防火墙 A：系统---高可用性---配置同步，同步对象中选用户认证、会话表、配置同步，点击保存，如下图所示：

10、配置防火墙 B只需要配置防火墙 B 的 ETH5口以及双机热备信息，其余的配置可以从防火墙 A 同步过来，不需要配置。进入防火墙 B 的配置接口，配置 ETH5接口 IP X.X.X.X/X-HA，如下图所示：

11、防火墙B：系统---高可用性，基本信息中本机地址，选择本端接口ETH5。对端通信 IP 地址 X.X.X.X，点击保存，如下图所示：

12、防火墙B： 系统---高可用性---双击热备，设置与对端设备一样的虚拟组100，优先级设置为 90 ，备机不抢占，心跳时间为1，选择网口ETH2/ETH4,提交。如下图所示：

13、防火墙 B：配置同步针对防火墙 B， 备机是一般是备控角色，配置由主控同步过来，且角色为备控的设备，无法修改配置。如下图所示:

      将防火墙A 和防火墙 B 都断电，并且接好在线架。防火墙 A 先开机，待防火墙 A 开机后，再开启防火墙 B。防火墙 A 会向防火墙 B 同步配置信息。

注意开机顺序不能反！! !

好详细，感谢分享，比资料库里面的说明书好多了。

感谢分享。

主备模式  最常用了

设置步骤很详细，学习了！

7、网口监视中新增ETH2\ETH3。如下图所示：应该改成ETH2\ETH4会更完美的！

感谢楼主图文并茂的分享

谢谢分享，有助工作。

文章结构不太清晰，很难看懂，建议用通俗易懂的文字表达！