山石防火墙HA双主Peer-mode模式配置教程

山石防火墙HA主备模式上行路由器VRRP模式协商失败都是Master状态，所以要将防火墙HA改为双主Peer-mode模式，小编和大家分享下HA双主配置的方法和注意事项，期望大家遇到少踩坑。

一、网络拓扑

二、路由器双Master分析

在防火墙上放行组播地址，源地址any，目的地址组播地址224.0.0.18，服务any。

因为HA是主备模式，备墙是不走流量的，相当于是断开状态，所以上行路由器VRRP会协商失败，都认为自己主Master。

ps：但若是双主模式，两个墙都走流量，上行路由器VRRP就能协商成功了，所以提前在防火墙中增加上面的策略放行组播策略。

三、双主Peer-mode模式配置

1、配置管理口

（1）中心思想：两台墙各配置管理口IP，取消HA同步，Local IP选项也不用勾选，这样按照上面的网络拓扑可以正常连接访问。

（2）配置管理口

FW1：

FW2：

ps:

1、管理口的逆向路由相关不用管。

2、管理口配置遇到了挺多的坑，实验坏境和生产环境上FW1配置100.251，创建管理口虚拟转发口0/1:1配置100.250，管理口HA同步开启，HA双主模式生效后，FW1和FW1上面都有251和250两个地址，但是FW1防火墙管理口192.168.100.251连接正常，FW2防火墙192.168.100.250只能在直连的交换机ping通，跨路由器就无法访问了，这个暂未解决，后面继续研究。

2、配置业务上下联接口

这里只需要配置FW1的即可，FW2的等HA状态协商后会自动同步的，注意勾选HA同步和安全域配置即可。

FW1（这里是透明模式，不用配置接口IP）：

上行链路连接路由器：

下行链路连接交换机

FW2：

不用配置，等HA状态协商成功，自动同步到FW2.

3、配置HA

包含：HA控制连接接口e0/2、HA数据连接接口e0/3，FW1的HA地址，FW2的HA地址，组0和组1。

备注：

1、HA簇和节点先不启用，不然HA状态就开始协商了，等两台墙HA地址都配置好了再协商HA开启Peer-mode。

2、监测对象HA和HA1先不调用，若是测试环境上下行没有接线就不要调用，不然HA状态会协商有问题，生产环境监测对象最后再调用。

3、提前将两台墙的e0/2和e0/3接口互联线接好。

FW1：

HA地址：1.1.1.1/255.255.255.252

HA控制连接接口和数据连接接口选择调用。

创建组0和组1，FW1的组0优先级高（数值越小，优先级越高），配置抢占。

FW2：

HA地址：1.1.1.2/255.255.255.252

HA控制连接接口和数据连接接口选择调用。

创建组0和组1，FW2的组1优先级高（数值越小，优先级越高），配置抢占。

4、创建业务虚拟转发口

FW1:

配置上行虚拟转发口

配置下行虚拟转发口

FW2：

不用配置，等HA状态协商成功，自动同步到FW2.

5、创建监测对象

创建2个检测对象，分别检测上行e0/7和下行e0/8，和上行虚拟转发口e0/7:1和虚拟转发口下行e0/8:1

FW1：

监测对象HA

监测对象HA1

FW2：

不用配置，等HA状态协商成功，自动同步到FW2.

6、配置HA为双主Peer-mode模式

1、web界面配置

FW1：

HA簇为1，节点为0，启用Peer-mode模式

FW2：

HA簇为1，节点为1，启用Peer-mode模式

图片参照上面第3项配置HA查看。

2、console口配置

FW1：

FW2：

7、查看HA状态

FW1：

FW2：

8、查看防火墙管理口

1、首先查看管理口地址FW1：192.168.100.251和FW2:192.168.100.250是否正常通信。

2、分别登陆FW1和FW2，FW2是无法增加策略什么的，只有等主墙出现问题，HA切换到FW2，才能操作。

9、配置HA检测

配置HA组0和组1分别调用监测对象HA和HA1，这样当FW1上下行链路出现异常时，所有流量从FW2走。

FW1：

HA中组0和组1分别调用HA和HA1

FW2：

HA中组0和组1分别调用HA和HA1

ps：在HA中调用监测对象HA和HA1后，监测对象状态就变为正常了。

10、配置interface-group组

因为模拟FW1下行交换机链路断开时，HA没有切换成功，所以增加一个接口组将上下行链路加进去，这样断开上下行链路HA都能切换到FW2.

11、模拟防火墙上下行链路断开，HA和网络情况。

通过模拟以下几个场景，查看防火墙HA和网络情况，通过ping地址和tracer -d IP查看路径确认网络是否正常，流量走的是R1还是R2.

（1）模拟FW1上行链路断开场景

（2）模拟FW1下行链路断开场景

（3）模拟FW2上行链路断开场景

（4）模拟FW2下行链路断开场景

四、总结

主要有以下几条注意一下：

1、FW1需要配置管理口地址，HA相关，其余都等FW1同步过来。

2、双主Peer-mode模式管理口配置注意一下，以防FW2管理口不通。

3、从主备模式改为双主模式，先将HA调用监测对象取消，等双主HA状态正常，网络都正常后，再调用监测对象。

4、一定要做模拟链路断开场景测试网络情况。