H3C SecPath F1000-AK1010防火墙设备怎么设置双防火墙主备HA部署

RBM，参考手册： 

F1000-AK1010 做双机主备 HA，用的是 H3C 标准的 RBM（远端备份管理）+ VRRP 方案：
RBM：负责心跳、配置同步、会话表同步
VRRP：在外网 / 内网接口上配置虚拟 IP，作为网关，故障时秒级切换
下面给你一套可直接照着做的完整配置（V7 平台，命令行 + Web 思路）。
一、组网规划（先定好地址）
两台防火墙：FW1（主）、FW2（备）
外网：GE1/0/1
FW1：202.96.1.1/24
FW2：202.96.1.2/24
VRRP 虚 IP：202.96.1.254/24
内网：GE1/0/2
FW1：10.1.1.1/24
FW2：10.1.1.2/24
VRRP 虚 IP：10.1.1.254/24
心跳（RBM）：GE1/0/3（直连，不要过交换机）
FW1：192.168.100.1/30
FW2：192.168.100.2/30
二、FW1（主设备）配置
1. 接口 IP
bash
运行
system-view

# 外网
interface GigabitEthernet1/0/1
ip address 202.96.1.1 255.255.255.0

# 内网
interface GigabitEthernet1/0/2
ip address 10.1.1.1 255.255.255.0

# 心跳
interface GigabitEthernet1/0/3
ip address 192.168.100.1 255.255.255.252
2. VRRP（外网 + 内网虚拟 IP）
bash
运行
# 外网 VRRP
interface GigabitEthernet1/0/1
vrrp vrid 1 virtual-ip 202.96.1.254
vrrp vrid 1 priority 150 # 主设备优先级高

# 内网 VRRP
interface GigabitEthernet1/0/2
vrrp vrid 2 virtual-ip 10.1.1.254
vrrp vrid 2 priority 150
3. RBM 双机热备核心
bash
运行
# 开启 RBM
remote-backup group

# 本端/对端心跳 IP
local-ip 192.168.100.1
remote-ip 192.168.100.2

# 心跳口
data-channel interface GigabitEthernet1/0/3

# 角色：主设备
device-role primary

# 开启配置、会话同步
configuration sync enable
session sync enable

# 监控业务口（Down 就切换）
track interface GigabitEthernet1/0/1
track interface GigabitEthernet1/0/2

# 抢占：主故障恢复后 60 秒切回
preempt-mode timer delay 60

# 全局开启 RBM
remote-backup enable
三、FW2（备设备）配置
1. 接口 IP
bash
运行
system-view

interface GigabitEthernet1/0/1
ip address 202.96.1.2 255.255.255.0

interface GigabitEthernet1/0/2
ip address 10.1.1.2 255.255.255.0

interface GigabitEthernet1/0/3
ip address 192.168.100.2 255.255.255.252
2. VRRP
bash
运行
interface GigabitEthernet1/0/1
vrrp vrid 1 virtual-ip 202.96.1.254
vrrp vrid 1 priority 100

interface GigabitEthernet1/0/2
vrrp vrid 2 virtual-ip 10.1.1.254
vrrp vrid 2 priority 100
3. RBM
bash
运行
remote-backup group
local-ip 192.168.100.2
remote-ip 192.168.100.1

data-channel interface GigabitEthernet1/0/3

device-role secondary # 备设备

configuration sync enable
session sync enable

track interface GigabitEthernet1/0/1
track interface GigabitEthernet1/0/2

preempt-mode timer delay 60

remote-backup enable
四、Web 界面快速路径（不想敲命令）
网络 → 接口：配置内外网、心跳口 IP
网络 → VRRP：在外网 / 内网接口创建虚拟 IP，主备不同优先级
系统 → 高可靠性 → 双机热备（RBM）：
开启双机热备
填入本端 / 对端心跳 IP
选择心跳接口
角色：主 / 备
开启配置同步、会话同步
监控业务接口
五、验证命令
bash
运行
# 查看 RBM 状态
display remote-backup-group status

# 查看 VRRP 状态
display vrrp brief

# 查看同步是否正常
display remote-backup-group configuration
正常情况：
FW1：Primary、VRRP Master
FW2：Secondary、VRRP Backup
六、关键点（避坑）
心跳口 必须直连，不要经过交换机，防止脑裂
所有业务接口都要 track，否则接口断了不切换
只在 主设备 上做策略、NAT、对象，会自动同步到备机
建议加 60 秒抢占延迟，防止链路震荡频繁切来切去

 准备工作与核心要求

1. 硬件与软件一致：两台防火墙的硬件型号（F1000-AK1010）和软件版本必须完全一致。
2. 初始化配置：
   • 使用默认的 G1/0/1 接口（默认 IP 192.168.0.1/24）登录 Web 管理界面。
   • 首次登录后，务必修改 admin 的默认密码。
   • 配置 NTP 服务器，确保两台设备的系统时间完全同步。

 Web界面配置实战步骤

第一步：规划并配置心跳链路（HA的核心）

1. 物理连接：找一根网线，直接连接两台防火墙的闲置物理接口（例如都使用 GigabitEthernet 1/0/2 接口）。
2. 配置心跳接口 IP：
   • 登录主防火墙 Web 界面，进入 网络 > 接口 页面。
   • 找到 G1/0/2 接口，配置心跳 IP 地址（例如：1.1.1.1/24）。
   • 登录备用防火墙 Web 界面，同样进入接口页面，将 G1/0/2 接口配置为同网段 IP（例如：1.1.1.2/24）。
3. 关闭安全策略：确保心跳接口上关闭所有安全策略、限速功能以及 NAT 等安全业务，保证心跳报文能无阻碍通过。

第二步：配置 HA 主备模式

1. 登录防火墙 Web 界面，在菜单栏中找到 高可靠性（HA） 或 双机热备 相关的配置选项。
2. 开启 HA 功能：勾选开启 HA。
3. 选择工作模式：在模式选择中，选择 主备模式（Active-Standby）。这种模式下，平时只有主设备处理流量，备用设备处于待命状态，切换速度极快（通常小于1秒），非常适合中小型企业的关键业务出口。
4. 指定设备角色：将其中一台设备指定为“主设备（Master）”，另一台指定为“备设备（Slave/Backup）”。
5. 配置心跳接口：在 HA 配置页面中，将之前规划好的心跳接口（G1/0/2）指定为 HA 控制通道和数据通道。
6. 保存并同步：在主设备上保存配置。正常情况下，主设备的关键配置和业务表项（如会话信息）会自动通过心跳链路同步到备用设备。