序言：

最近有个业务需求，需要用2台山石的防火墙替代正在运行的天融信防火墙，经过一番实践和折腾，当前HA主备防火墙运行正常，本篇文章将HA主备防火墙配置教程、遇到的问题及解决方法和小伙伴分享一下。

一、业务需求

2台墙跑HA主备模式，一台墙down了另外一台正常工作；主墙上下行链路down了，自动切换到备墙，网络不受影响。

二、网络拓扑

备注：上下行路由器和防火墙都是H3C的，中间防火墙是山石R6P14版本。

三、实施步骤

1、防火墙型号及版本说明

品牌：hillstone（山石）

应急平台：SG-6000-P932

启动文件：SG600-M-3-5.5R6P14.bin

ps：做HA主备的防火墙需要品牌型号和版本一样（当前都是R6P14）。

2、网络接口配置

（1）网络接口配置包含：管理口、HA互联口、上下行链路接口。

（2）管理口IP配置

说明：主墙和备墙各配置管理口IP，这里面有个注意点：

（1）登陆运行中的HA主备模式防火墙时发现两个墙管理口IP显示一样的，那我们平时连接备墙的地址在哪里？其实备墙点击“高级选项”发现还有个IP是我们平时连接备墙的管理口地址了，原因见第2条。

（2）当不配置管理口IP为Local IP时，防火墙主备切换后备墙的管理口会自动同步和主墙一样的地址。所以在HA主备切换后会发现备墙在工作，但是无法管理了。可以通过两种方法解决：

A、配置防火墙管理口IP时，选择配置为Local IP，这样就不会同步为主墙地址了。

B、主备切换后，通过console口连接防火墙，在管理口配置中加入一个管理口IP即可，命令为manage ip 地址（先进入到该接口下），如下图。

（3）上行接口配置

（4）下行接口配置

3、HA配置

（1）主墙HA配置：

• IP地址：主备地址不一样。
• HA簇ID和节点ID：HA主备模式，簇ID是一样的，节点ID必须不一样，或者不配置，让防火墙自己选。
• 优先级：默认为100，主墙优先级要高，设置50。
• 抢占时间：主墙配置3s，备墙不配置。
• 检测对象：HA，这是在对象选项卡--检测对象--创建名称为HA，成员为上下行接口。这是为了检测主墙有异常，自动切换到备墙的必要条件。一般防火墙上架上下行链路都通了后再添加检测。

（2）HA备墙配置：

• IP地址：主备地址不一样。
• HA簇ID和节点ID，HA主备模式，簇ID是一样的，节点ID必须不一样，或者不配置，让防火墙自己选。
• 优先级：默认为100，保持100就可以。
• 抢占时间：备墙不配置抢占时间。
• 检测对象：HA，原理同主墙。

4、HA主备切换测试

（1）准备工作：

• HA主备2台墙工作正常（主HA指示灯绿色常亮，备墙橙色灯闪烁）；
• 主备墙HA设置监测对象已配置；
• 测试网络是否正常，tracert -d IP追踪路由各节点信息（默认走R1）。
• 防火墙主备可以通过HA指示灯、SSH连接、web界面HA状态查看，主-master，备-backup。

（2）拔掉主墙FW1的上行路由器光纤，查看HA主是否切换到FW2，查看网络是否正常，路由追踪节点是否变化（这时路由走R2）。

（3）恢复主墙FW1的上行路由器光纤，查看HA的主是否自动抢占为FW1，查看网络是否正常，路由追踪节点是否变化（这时路由走R1）。

（4）同理拔掉主墙FW1的下行交换机光纤，测试网络和追踪路由。

（5）恢复主墙FW1的下行交换机光纤，测试网络和路由追踪变化。

四、问题汇总和解决方案

1、未上线前防火墙HA主备切换，将2台强都弄成master主了？

解决方法：按照上面方法排查，原来是主备墙节点ID设置一样，配置不一样后恢复主备模式。

2、上线后HA主备切换，拔掉主墙FW1的上行路由器光纤，HA切换正常，网络正常；但是拔掉主墙FW1的下行交换机光纤，HA切换正常，网络异常，不通？

ps：一般情况配置监测对象不会出现这样情况的，之前的R4P16等版本都不要配置接口联动组就能正常主备切换，R6P14是为了使用策略分组工作，刚好都升级到这个版本测试下运行情况。

解决方法：经过排查FW1的下行交换机网线拔了，上行路由器还有流量，导致上面的路由器VRRP没有切换。在主墙上配置接口联动功能，SSH连接，配置接口组，将上下行接口加进去，这样任意一个接口down了，这个组接口都down了。方法如下：

说明：进入到配置模式，然后输入3条命令：

interface-group HA type linkage

interface ethernet0/7

interface ethernet0/8

这样再次测试，无论断开FW1的上行还是下行光纤，HA切换正常，网络正常。

五、总结

实践是检验真理的唯一标准，多操作，多试验才能出真知！