高可用性主备部署

适用版本 AF8.0.51 及以上

版权所有 © 2022 深信服科技股份有限公司 第 1页

课程内容 课程目标
主备部署概述 了解主备部署的原理和应用场景
主备部署配置 掌握主备部署的配置思路和步骤

版权所有 © 2022 深信服科技股份有限公司 第 2页

功能概述
两台 AF 主备部署也称为双机热备部署，一台设备处于工作状态，另外一台处于热备状态。两台设备通过心跳口
检测对端是否存在并同步配置及会话，当主设备出现问题触发切换条件时，设备会自动把业务切换到备设备，并
且通过会话同步等机制，保证业务不断，从而实现业务稳定的运行 。

版权所有 © 2022 深信服科技股份有限公司 第 3页

基本原理
主备部署，是通过 VRRP 协议来实现主备关系之间的选择和切换，优先级高的为主，优先级相同的情况下心跳
口 IP 地址大的为主。但 AF 又不完全是使用标准的 VRRP 协议，在标准 VRRP 协议上做了一定的开发。

VRRP （ Virtual Router Redundancy Protocol ，虚拟路由器冗余协议）将可以承担网关功能的一组路由器加

入到备份组中，形成一台虚拟路由器，这样主机的网关设置成虚拟网关，就能够实现冗余。

标准 VRRP 协议 AF 双机热备

两个路由器 IP 地址不一样，需要虚拟 IP 两个路由器 IP 地址一样，需要虚拟 IP

根据虚拟组 ID 找同伴，同一虚拟组的设备之间选主备 同标准 VRRP 一样

可能影响主备的条件： 1 、优先级，优先级高的为主， AF 也是一样，但因为接口 IP 一致，最终是看心

2 、接口 IP ， IP 地址大的为主 跳口 IP 的大小
可以设置抢占模式，优先级高的设备故障恢复后，如 同标准 VRRP 一样
果配置成抢占模式，可以成为主
心跳协商通过组播 224.0.0.18 同标准 VRRP 一样

一般不用配置心跳口 需要配置心跳口，心跳口是一个普通路由口

版权所有 © 2022 深信服科技股份有限公司 第 4页

状态切换

引发主备机切换的条件有很多种，修改优先级，监控口故障，链路探测故障，设备故障， keepalived 退出等。

切换原因 切换时长

抢占模式、修改主机优先级 1 个心跳时间内切换

监控网口 down 掉，主机发送 priority=0 的多播包 无延时切换

链路探测失败后，得到通知消息 无延时切换

keepalived 进程正常退出 延时 3 倍心跳时间切换

设备宕机 延时 3 倍心跳时间切换

设备掉电 延时 3 倍心跳时间切换

版权所有 © 2022 深信服科技股份有限公司 第 5页

应用场景
主要应用于对网络可靠性高，业务连续性强的网络环境，在出现故障时能快速切换到热备的线路上，保证
业务的连续性，常用的是路由模式和网桥模式下主备部署（网桥模式包括透明模式和虚拟网线模式）。

VRRP

路由模式
网桥模式

VRRP
VRRP

版权所有 © 2022 深信服科技股份有限公司 第 6页

配置思路

主 AF 配置思路概要 备 AF 配置思路概要

配置基础网络配置（心跳口以及数据同步口 IP 地 配置基础网络配置（心跳口以及数据同步口
址），配置接口链路检测 IP 地址）

配置路由、安全策略等
配置双机（基本信息、双机热备、配置同步）
• 基本配置：选择心跳接口和数据同步接口以及本
端 IP ，填写对端 IP ，
• 双机热备：虚拟路由组 100 ，优先级 100 ，非
抢占，网口监视接口，路由模式下可再配置链路
监视
• 配置同步（启用并勾选会话表），默认选择主控
断电、上架、接线先开机
上线后同步主防火墙 A 配置
配置双机（基本信息、双机热备、配置同
步）
• 基本配置：选择心跳接口和数据同步接口
以及本端 IP ，填写对端 IP
• 双机热备：虚拟路由组 100 ，优先级
50 （比主 AF 低即可），非抢占，网口监
视接口，路由模式下可再配置链路监视
• 配置同步（启用并勾选会话表），选择备
控
断电、上架、接线待主机完全开机后开机

版权所有 © 2022 深信服科技股份有限公司 第 7页

检查双机状态 检查双机状态，是否配置同步
配置案例
客户内网是 VRRP 环境，为了避免单点故障，购买了两台 AF 需要做网关主备部署在公网出口替换原有的防火墙，
任一设备或链路故障，实现快速切换，保障业务稳定性。

路由模式

eth3 eth3

VRRP

版权所有 © 2022 深信服科技股份有限公司 第 8页

配置步骤 - 主机

1. 配置基础网络配置、路由、策略等（略）；
2. 配置心跳口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做心跳口配置 IP 地址；

版权所有 © 2022 深信服科技股份有限公司 第 9页

配置步骤 - 主机

1. 配置基础网络配置、路由、策略等（略）；
2. 配置心跳口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做数据同步接口配置 IP 地址；

版权所有 © 2022 深信服科技股份有限公司 第 10页

配置步骤 - 主机

3. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】 - 【配置】页面，勾选启用，选择主备备份，选

择本机心跳口和数据同步口的 IP 地址，以及填写备机心跳口和数据同步口 IP 地址；

版权所有 © 2022 深信服科技股份有限公司 第 11页

配置步骤 - 主机

4. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】页面，配置接口监视（一般使用业务口做监视），

根据实际情况配置链路监视；

版权所有 © 2022 深信服科技股份有限公司 第 12页

配置步骤 - 主机

4. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】页面，配置设备优先级，还有对应业务口的虚拟

IP ；

版权所有 © 2022 深信服科技股份有限公司 第 13页

配置步骤 - 主机

5. 启用配置同步，在【系统】 - 【高可用性】 - 【配置同步】页面，，同步对象勾选会话表和 OSPF 路由，同

步角色只有二层透明主主才能手动切换；

版权所有 © 2022 深信服科技股份有限公司 第 14页

配置步骤 - 备机

1. 配置心跳口和数据同步接口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做心跳口配置 IP

地址，选择一个非业务口做数据同步口配置 IP 地址 ；
2. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】 - 【配置】页面，勾选启用，选择主备备份，选
择本机心跳口和数据同步口的 IP 地址，以及填写备机心跳口和数据同步口 IP 地址；
3. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】页面，配置接口监视（一般使用业务口做监视），
根据实际情况配置链路监视；
4. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】页面，配置设备优先级（低于主机优先级），还
有对应业务口的虚拟 IP
5. 启用配置同步，在【系统】 - 【高可用性】 - 【配置同步】页面，，同步对象勾选会话表和 OSPF 路由，然
后上架备机。

版权所有 © 2022 深信服科技股份有限公司 第 15页

镜像模式
除了新架构的这几种双机模式之外，防火墙还支持镜像模式，也就是老架构的双机模式，除了心跳口护网管理口
地址还有双机配置之外，其他所有配置全部一样，由主机同步到备机上，接口上面的 IP/MAC 都会同步，不需
要配置虚 IP  。

主防火墙 备防火墙

版权所有 © 2022 深信服科技股份有限公司 第 16页

注意事项

1. 双机热备页面中抢占与链路检测不能同时开启；

2. 不要使用两个成对的 bypass 接口做双机业务口，避免广播风暴；

3. 心跳口建议使用聚合接口；

4. 网口监视和链路监视的切换条件有组的概念，即多个接口可以配置在同组中，同组中任一接口检测故障即判
定该组故障，任意一组故障，即双机发生切换；

5. 主机强制是主控，备机强制是备控。

版权所有 © 2022 深信服科技股份有限公司 第 17页

版权所有 © 2022 深信服科技股份有限公司 第 18页