防火墙web主备切换

主备模式下，正常情况仅由主设备处理业务，备设备处于待命状态；当主设备接口、链路或整机故障时，备设备立即切换为主设备，接替原主设备处理业务。

双机热备配置

1. 选择“系统 > 高可靠性 > 双机热备”。

2. 在“双机热备”页面单击<配置>按钮，进入“配置双机热备”页面，配置RBM运行模式为主备模式。

3. 配置双机热备，具体配置内容如下所示：

   图-8 配置双机热备

   

   

   

   

   

   表-1 双机热备配置参数表

   参数	说明
   双机热备开关	双机热备开关包括两种状态：开启和关闭
   管理角色	双机热备中的设备分为主、从两种管理角色，用于控制设备之间关键配置信息的同步。配置信息只能从“主管理设备”同步到“从管理设备”，并覆盖从管理设备上的相关配置信息。双机热备系统中只能有一台设备为主管理设备，另一台为从管理设备，当角色模式为自动选择时，两台设备的角色模式都应设置为自动选择 双机热备中设备的管理角色有手动配置和自动选择两种方式，具体内容如下： 手工配置：此方式需要手工指定设备的管理角色，可指定为主、从两种管理角色，一旦指定后设备的管理角色将固定不变。如需更改，则需要在“配置双机热备”页面手工更改。此方式适用于设备上有独立管理接口的网络环境，此方式仅支持在双机热备的主备和双主工作模式下使用，不能在镜像工作模式下使用 自动选举：此方式下设备的管理角色根据运行角色自动选择，并跟随运行角色一同切换。管理角色与运行角色始终保持一致，即运行主是主管理设备，运行备是从管理设备。此方式适用于设备上使用业务接口作为管理接口的网络环境，此方式仅支持在双机热备的主备和镜像运行模式下使用，双主运行模式中不能使用。在此方式下管理员可在“双机热备”页面的运行管理角色处查看设备当前实际运行的管理角色为主管理设备还是从管理设备
   控制通道本端IP地址	配置用于建立控制通道的本端IP地址，Server端将使用此Local IP提供TCP监听服务。支持IPv4和IPv6两种类型，但不能同时配置 本端IP地址与对端IP地址不能相同
   控制通道对端IP地址	配置用于建立控制通道的对端IP地址。支持IPv4和IPv6两种类型，但不能同时配置 本端IP地址与对端IP地址不能相同
   对端端口号	配置用于建立控制通道的对端端口号，在主备设备上配置的对端端口号必须一致
   管理接口	配置用于连接网关设备或日志主机的镜像模式管理接口，镜像模式管理接口下的配置信息不会进行同步 仅镜像模式下支持配置
   数据通道	主/备设备使用此功能配置的接口建立双机热备的数据通道，此数据通道仅用于传输设备之间的热备报文和透传报文，不用于传输主/备设备之间的其他报文
   数据通道报文传输模式	数据通道支持以下报文传输模式： 二层：当报文传输模式为二层模式时，支持中间跨越二层交换机，但不可以跨越三层设备 三层：当报文传输模式为三层模式时，二三层设备都可以跨越，在无法使用二层通道作为数据通道进行报文传输的组网环境下，可以通过本功能将双机热备数据通道的报文传输模式配置为三层模式，例如：使用虚拟化设备进行RBM组网
   心跳间隔	双机热备通道建立后，设备会以配置的心跳间隔为周期向对端设备发送双机热备 Keepalive报文，以探测双机热备通道的连通性
   心跳失效阈值	双机热备通道建立后，如果设备发送Keepalive报文的次数达到心跳失效阈值后仍然没有收到对端的回应，则双机热备通道断开，双机热备失效
   主动抢占	双机热备组网中的主设备发生故障后，流量自动切换到对端设备。开启此功能后，当原来的主设备再次恢复为主设备后，流量会回切
   流量回切延迟时间	由于业务表项在主/备设备之间进行备份需要一定的时间。为了保证业务能够平滑切换，所以需要延迟流量的回切
   备份会话表项	开启此功能后，主设备会将其生成的业务表项实时备份到备设备，当主设备发生故障时备设备可以平滑地接替主设备的工作，保证业务不中断
   备份HTTP协议 备份DNS协议	配置此功能后，设备将会把DNS协议或HTTP协议报文触发创建的会话表项实时备份到备设备 除了DNS和HTTP应用协议，其它应用协议创建的会话不受本功能控制，只要双机热备热备业务表项功能处于开启状态，就会进行这些会话表项备份 此功能的应用场景建议如下： 在非对称路径的双机热备网络环境中，需要开启此功能，以保证同一条流量的正反向报文在两台设备上能够被正常处理 在双机热备主备模式、镜像模式或对称路径的双机热备网络环境中，关闭此功能后，可减少设备性能的消耗；但是设备间流量平滑的时效性将受到一些影响。因此，请管理员根据实际业务情况来判断是否需要关闭此功能。因为对于DNS和HTTP类型的应用协议，通常在很少的报文交互之后就会断开连接，当发生主备切换造成当前连接中断时，客户端会立即重新发起请求，用户通常感知不到连接异常。所以可以关闭这两个协议触发创建会话的备份功能
   备份AFT端口块表项	开启此功能后，主设备会将其生成的AFT端口块表项实时同步到备设备，当主设备发生故障时备设备可以平滑地接替主设备的工作，保证业务不中断
   备份保持上一跳	当主设备在接口上开启保持上一跳功能，并全局开启备份保持上一跳功能后，当该接口接收到正向流量的第一个IP报文，会保存上一跳信息，同时将该上一跳信息备份到从设备，当反向流量报文到达主设备或从设备上进行转发时可以直接通过该上一跳信息指导报文进行转发。本功能不同设备的支持情况不同，请以设备Web页面的实际支持情况为准
   配置信息一致性检查	此功能用于检测双机热备状态下的两台设备的配置信息是否一致，用于防止发生两台设备配置信息不一致，导致主备切换后业务不通的情况。当配置信息不一致时，会发送日志信息，以提示管理员进行配置信息的手动同步
   配置信息一致性检查模式	设置配置信息一致性检查的模式，当前可配置的模式如下： 固定时间间隔：每隔一段时间进行一次配置信息一致性检查 每天：每天的一个固定时间进行一次配置信息一致性检查 每周：每周的一个固定时间进行一次配置信息一致性检查
   自动同步配置信息	开启此功能前，主管理设备上已经配置信息，将会在开启此功能后进行一次批量备份，之后新增的配置信息将实时备份到从管理设备 配置信息很多时，批量备备份时间会很长可能需要一到两个小时。因此在初始规划网络配置时，建议先开启此功能，以减少后面配置信息进行批量备份的时间
   自动同步静态路由	本功能仅需要在双机热备的镜像模式或双机热备+虚拟IP地址引流的组网场景中使用，其他双机热备组网场景中请勿开启本功能 开启本功能后，当双机热备的主管理设备向从管理设备自动或者手工同步配置信息时，会将设备上已配置的静态路由同步到从管理设备。此时会出现以下两种情况： 当开启配置信息自动备份功能后开启本功能时，后续新增的静态路由可以进行自动同步，之前的需要通过手工同步配置信息功能进行手工批量备份； 当开启本功能后开启配置信息自动备份功能时，设备会将已配置的所有静态路由同步到从管理设备。

4. （可选）在“配置双机热备”页面中监控对象处配置双机热备联动Track项，具体配置内容如下所示：

   图-9 配置双机热备联动Track项

   

   表-2 双机热备联动Track项配置参数表

   参数	说明
   联动Track项	配置此功能后，当双机热备联动的其中一个Track项的状态为Negative状态时，双机热备将进行设备的主备切换，将上下行流量同时切换到新的主设备，保证业务不中断

5. 在“配置双机热备”页面，单击<确定>按钮完成双机热备的配置。

配置双机热备联动VRRP

请在VRRP中将VRRP与高可靠性关联，具体配置步骤，请参见“VRRP”中的详细介绍。

配置双机热备联动虚拟地址

此组网环境中RBM必须关联Track项，否则上下行链路或接口故障时，双机热备不能主备切换。

双机热备联动虚拟地址的具体配置步骤如下：

1. 选择“网络 > 接口与VRF > 接口”，进入“接口配置”页面。

2. 在“接口配置”页面选择需要联动双机热备的业务接口，单击<编辑>按钮，进入“修改接口设置”页面。

   图-10 修改接口设置

   

3. 在“修改接口设置”页面的IPv4/IPv6地址页签勾选“虚拟IP”后，这些业务接口上的虚拟地址将与RBM进行关联，并受RBM的统一管理和控制。

   图-11 虚拟IP

   

配置双机热备联动路由

此组网环境中RBM必须关联Track项，否则上下行链路或接口故障时，双机热备不能主备切换。

双机热备联动路由的具体配置步骤如下：

1. 选择“系统 > 高可靠性 > 双机热备”。

2. 在“双机热备”页面单击<配置>按钮，进入“配置双机热备”页面，配置双机热备的路由联动功能，具体配置内容如下所示：

   图-12 配置双机热备的路由联动功能

   

   表-3 双机热备联动路由的配置参数表

   参数	说明
   OSPF	表示双机热备调整备设备上OSPF协议的开销值
   IS-IS	表示双机热备调整备设备上IS-IS协议的开销值
   BGP	表示双机热备调整备设备上BGP协议的开销值
   OSPFv3	表示双机热备调整备设备上OSPFv3协议的开销值
   调整cost绝对值	表示备设备以绝对值的形式对外通告动态路由协议的开销值，即设备直接对外通告此绝对值
   调整cost增量值	表示备设备以增量值的形式对外通告动态路由协议的开销值，即设备在原有开销值上增加此增量值后对外通告

3. 在“配置双机热备”页面，单击<确定>按钮完成双机热备的配置。

配置双机热备透明组网

双机热备透明组网的具体配置步骤如下：

1. 选择“系统 > 高可靠性 > 双机热备”。

2. 在“双机热备”页面单击<配置>按钮，进入“配置双机热备”页面，在监控对象处配置双机热备透明组网的相关配置，具体配置内容如下所示：

   图-13 监控接口和VLAN

   

   表-4 双机热备透明组网的配置参数表

   参数	说明
   接口	配置此功能后，双机热备监控的所有接口的状态将相互联动并保持一致，这些接口将同时都具备或都不具备报文传输能力。只有双机热备监控接口的状态均为UP时，这些接口才能转发报文。否则，双机热备监控的所有接口均不能转发报文 使用监控接口功能时，不能监控聚合接口的成员接口
   VLAN	配置此功能后，双机热备会监控VLAN成员端口的状态，并将成员端口的状态相互联动并保持一致，此VLAN中的成员端口将同时都具备或都不具备报文传输能力。只有VLAN所有成员端口状态均为UP时，此VLAN的成员端口才能转发报文。否则，此VLAN的所有成员端口均不能转发报文 基于以上双机热备监控VLAN的运行原理，请勿配置监控 VLAN 1。因为设备上所有Access端口缺省都属于VLAN 1，所以当VLAN 1中有端口未被使用时其接口状态为Down，这时也会导致VLAN 1中正常使用的端口无法转发报文

3. 在“配置双机热备”页面，单击<确定>按钮完成双机热备透明组网的配置。

配置双主模式双机热备

双主模式下，两台设备同时处理业务，充分利用设备资源，提高系统负载能力，此模式通过互为主备方法实现。并且当其中一台设备发生故障时，另外一台设备会立即承担其业务，保证业务不中断。

双机热备配置

1. 选择“系统 > 高可靠性 > 双机热备”。

2. 在“双机热备”页面单击<配置>按钮，进入“配置双机热备”页面，配置RBM运行模式为双主模式。

   图-14 配置RBM运行模式

   

3. 配置双机热备，具体配置内容请参见“双机热备配置”章节。

4. （可选）在“配置双机热备”页面中监控对象处配置双机热备联动Track项，具体配置内容请参见“双机热备配置”中配置双机热备联动Track项内容。

5. 在“配置双机热备”页面，单击<确定>按钮完成双机热备的配置。

配置双机热备联动VRRP

请在VRRP中将VRRP与高可靠性关联，具体配置步骤，请参见“VRRP”中的详细介绍。

配置双机热备联动路由

此组网环境中RBM必须关联Track项，否则上下行链路或接口故障时，双机热备不能主备切换。

双机热备联动路由的具体配置请参见“配置双机热备联动路由”章节。

配置双机热备透明组网

双机热备透明组网的具体配置请参见“配置双机热备透明组网”章节。

配置镜像模式双机热备

镜像模式是一种特殊的主备模式，部署方式与主备模式相同。在镜像模式下，两台设备的接口（镜像模式管理接口和RBM通道接口除外）使用相同的IP地址，正常情况下同样由主设备处理业务，备设备处于待命状态；当主设备接口、链路或整机故障时，备设备立即切换为主设备，接替原主设备处理业务。

此组网环境中RBM必须关联Track项，否则上下行链路或接口故障时，双机热备不能主备切换。

具体配置步骤如下：

1. 选择“系统 > 高可靠性 > 双机热备”。

2. 在“双机热备”页面单击<配置>按钮，进入“配置双机热备”页面，配置RBM运行模式为镜像模式。

   图-15 配置RBM运行模式

   

3. 配置双机热备，具体配置内容请参见“双机热备配置”章节。

4. 在“配置双机热备”页面中监控对象处配置双机热备联动Track项，具体配置内容请参见“双机热备配置”中配置双机热备联动Track项内容。

5. 在“配置双机热备”页面，单击<确定>按钮完成镜像模式双机热备的配置。

双机热备高级功能

1. 在“双机热备”页面，单击<手工一致性检查>按钮或<手工同步配置信息>按钮，可以进行手工检查配置信息的一致性和同步配置信息。

   图-16 手工一致性检查和手工同步配置信息

   

   表-5 手工检查配置信息的一致性和同步配置信息

   参数	说明
   手工一致性检查	当需要确认主从管理设备上配置信息是否一致时，可以通过单击此按钮即时触发配置信息一致性检查。若配置信息不一致，则系统会发送日志信息，以提示管理员进行配置信息的手动同步
   手工同步配置信息	单击此按钮后，主管理设备上的配置信息将同步到从管理设备

2. 在“双机热备”页面，可以手工进行主备业务状态切换。管理员可通过本功能触发主备倒换或其中一台设备的升主、降备，引导业务流量切换到相应的主设备上，以便更换备设备上的部件或升级软件等。在双机热备联动VRRP的组网环境中，当使用此功能进行主备运行状态倒换时，可能会导致短暂的VRRP虚拟IP地址冲突，属于正常现象。本功能的参数支持情况与RBM运行模式有关，请以页面实际情况为准。

   图-17 手工进行主备业务状态切换

   

   表-6 手工进行主备业务状态切换

   参数	说明
   状态切换	当双机热备中主备设备无故障，可通过此按钮触发主备倒换，将业务切换到对端设备上进行处理，以便管理员可以更换主设备上的部件或升级软件等 在主备和镜像组网中，在主设备或备设备上执行本功能均会触发主备倒换
   将对端升为运行主	在双主组网中，正常情况下两台设备均为主设备，可在其中一台设备上执行本功能使其成为备设备，另外一台设备仍为主设备
   将对端降为运行备	在双主组网中，正常情况下两台设备均为主设备，可在其中一台设备上执行本功能使其保持不变仍为主设备，另外一台设备将自动成为备设备
   重置	在主设备或备设备上执行本功能均会触发RBM对设备的业务角色进行重新选举