深信服防火墙路由模式HA配置说明

防火墙路由模式一般只能配置成主备,无法配置成主主。

除了两台防火墙的HA口配置为-HA,即不同步,一般其他网口都不需要加-HA,且都要放在双机监视网口中,每组监视网口中的所有网口都断开则会切换,比如防火墙有2个WAN口,1个LAN,如果把每个WAN口和LAN口都放在独立的网口监视组中,那么当2个WAN口和1个LAN口有任意一个网口断开都会切换,但是如果把2个WAN口放到同一个网口监视组中,那么只有当2个WAN口都断开才会主备切换。

如果两台防火墙除了WAN口和LAN口还要接带外管理口,那么可以为带外管理口加-HA,即两台使用不同的管理口地址,可以同时管理主备两台防火墙,如果管理口上还需要跑路由,那么就不能加-HA,且一定要加到双机热备的网口监视中,如果不加到网口监视,那么该带外管理口的地址会在两台防火墙上造成地址冲突,即使用该管理口地址会随机登录到主备其中一台且会频繁注销。

另外如果做端口聚合,下接交换机是静态聚合时,深信服防火墙上配置工作模式负载均衡-hash,如果有问题可以都配置成动态聚合。

另外截止深信服防火墙的8.0.26版本,防火墙上最多只能配置256个VLAN,DHCP地址池的地址总数只能有1万个,超过1万会不生效。

以下是两台防火墙路由模式配置HA的截图,主机:

HA配置:

备机只需要将eth4口配置成-HA的心跳口地址,备机HA配置: