高可用性主主部署

适用版本 AF8.0.51 及以上

版权所有 © 2022 深信服科技股份有限公司 第 1页

课程内容 课程目标
主主部署概述 了解主主部署的概述和应用场景
主主部署配置 掌握主主部署的配置思路和步骤

版权所有 © 2022 深信服科技股份有限公司 第 2页

功能概述
两台 AF 均处于工作状态，根据流量转发到不同 AF 的情况，来进行数据处理，通过心跳口同步配置及会话，主
主部署包括路由主主和透明主主。

注意：透明主主在链路聚合的环境下，需要配置双机聚合功能，防止出现非对称数据转发问题。

版权所有 © 2022 深信服科技股份有限公司 第 3页

应用场景
主要应用于对网络可靠性高，业务连续性强的网络环境，两台 AF 同时在工作，常用于透明以及路由模式
部署于 VRRP 组网环境和链路聚合环境。

VRRP
路由模式
透明网桥模式

VRRP
VRRP

版权所有 © 2022 深信服科技股份有限公司 第 4页

配置思路

主控 AF 配置思路概要 备控 AF 配置思路概要

配置基础网络配置（心跳口 IP 地址） 配置基础网络配置（心跳口 IP 地址）

配置路由、安全策略等 上线后同步主控 AF 配置

配置双机（基本信息、配置同步） 配置双机（基本信息、配置同步）
• 基本配置：选择心跳口和本端地址，填写对 • 基本配置：选择本端地址，填写对端地址
端地址 • 配置同步（启用并勾选会话表、配置同
• 配置同步（启用并勾选会话表、配置同步）， 步）选择备控
默认选择主控 • 双机聚合（链路聚合环境下存在来回路径
• 双机聚合（链路聚合环境下存在来回路径不 不一致时需要配置，非此环境不用配置）
一致时需要配置，非此环境不用配置）
断电、上架、接线先开机 断电、上架、接线待主控 AF 完全开机后开
机
是否配置同步
版权所有 © 2022 深信服科技股份有限公司 第 5页
配置案例（透明主主模式）
客户互联网出口两台路由器做 VRRP ，两台核心交换机做堆叠，路由器和核心交换机之间互联的线路做了链路
聚合，现购买了两台 AF 做安全防护，准备透明主主部署进网络中。

VRRP

版权所有 © 2022 深信服科技股份有限公司 第 6页

配置步骤 - 主控

1. 配置基础网络配置（两对虚拟网线）、路由、策略等（略）；
2. 配置心跳口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做心跳口配置 IP 地址；

版权所有 © 2022 深信服科技股份有限公司 第 7页

配置步骤 - 主控

1. 配置基础网络配置（两对虚拟网线）、路由、策略等（略）；
2. 配置心跳口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做数据同步口配置 IP 地址；

版权所有 © 2022 深信服科技股份有限公司 第 8页

配置步骤 - 主控

3. 配置接口联动，进入【网络】 - 【接口】 - 【接口联动】，勾选启用接口 LINK 状态联动，新增两组业务口

的接口联动，一对虚拟网线为一组（如 eth2 和 eth3 是一对虚拟网线）；

版权所有 © 2022 深信服科技股份有限公司 第 9页

配置步骤 - 主控

4. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】 - 【配置】页面，勾选启用，选择主主负载，选

择本机心跳口和数据同步口的 IP 地址，以及填写备机心跳口和数据同步口 IP 地址，勾选透明模式；

版权所有 © 2022 深信服科技股份有限公司 第 10页

配置步骤 - 主机

5. 启用配置同步，在【系统】 - 【高可用性】 - 【配置同步】页面，同步对象勾选会话表，配置同步角色设置

为主控；

版权所有 © 2022 深信服科技股份有限公司 第 11页

配置步骤 - 主控

6. 配置双机聚合，在【系统】 - 【高可用性】 - 【双机聚合】页面，勾选启用，设置主机和备机内外网区域的

接口（接口需一一对应），上架主机；

版权所有 © 2022 深信服科技股份有限公司 第 12页

配置步骤 - 备控

1. 配置心跳口和数据同步接口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做心跳口配置 IP

地址，选择一个非业务口做数据同步口配置 IP 地址 ；
2. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】 - 【配置】页面，勾选启用，选择主备备份，选
择本机心跳口和数据同步口的 IP 地址，以及填写备机心跳口和数据同步口 IP 地址，勾选透明模式；
3. 启用配置同步，进入【系统】 - 【高可用性】 - 【配置同步】页面，勾选启用，同步对象勾选会话表，配置
同步角色设置为备控；
4. 配置双机聚合，在【系统】 - 【高可用性】 - 【双机聚合】页面，勾选启用，设置主机和备机内外网区域的
接口（接口需一一对应），接心跳线和双机聚合同步线上架备机。

版权所有 © 2022 深信服科技股份有限公司 第 13页

配置案例（三层主主模式）
客户互联网两条运营商线路进来，两台核心交换机做堆叠，我们防火墙以路由模式接入其中，进行安全防护。

虚 IP
G0:10.2.1.3/24
eth2:10.2.1.1/24 G1:10.2.1.4/24 eth2:10.2.1.2/24
路由模式
虚 IP
eth3:10.3.1.1/24 G0:10.3.1.3/24 eth3:10.3.1.2/24
G1:10.3.1.4/24

VRRP

版权所有 © 2022 深信服科技股份有限公司 第 14页

配置步骤 - 主控 1

1. 配置基础网络配置、路由、策略等（略）；
2. 配置心跳口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做心跳口配置 IP 地址；

版权所有 © 2022 深信服科技股份有限公司 第 15页

配置步骤 - 主控 1

3. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】 - 【配置】页面，勾选启用，选择主主负载，选

择本机心跳口的 IP 地址，以及填写备机心跳口 IP 地址；；

版权所有 © 2022 深信服科技股份有限公司 第 16页

配置步骤 - 主控 1

4. 新增业务口监视对象，在【接口监视】点“新增”，检测模式选“任一满足”，接口选择“物理接口”，选
择 eth2 、 eth3 。点“确定”提交；

版权所有 © 2022 深信服科技股份有限公司 第 17页

配置步骤 - 主控 1

5. HA 组 0 添加虚 IP ，一个业务接口配置一个虚 IP ，配置设备优先级为 100. 勾选抢占开关

6. HA 组 0 引用监控对象，“监视对象”选择业务口监视中的对象

版权所有 © 2022 深信服科技股份有限公司 第 18页

配置步骤 - 主控 1

7. HA 组 1 添加虚 IP ，一个业务接口配置一个虚 IP ，配置设备优先级为 99. 勾选抢占开关

8. HA 组 1 引用监控对象，“监视对象”选择业务口监视中的对象

版权所有 © 2022 深信服科技股份有限公司 第 19页

配置步骤 - 主控 1

9. 启用配置同步，在【系统】 - 【高可用性】 - 【配置同步】页面，同步对象勾选会话表，；

版权所有 © 2022 深信服科技股份有限公司 第 20页

配置步骤 - 主控 2

10. 配置基础网络配置、路由、策略等（略）；
11. 配置心跳口，进入【网络】 - 【接口】 - 【物理接口】，选择一个非业务口做心跳口配置 IP 地址；

版权所有 © 2022 深信服科技股份有限公司 第 21页

配置步骤 - 主控 2

12. 配置双机热备，在【系统】 - 【高可用性】 - 【双机热备】 - 【配置】页面，勾选启用，选择主主负载，

选择本机心跳口的 IP 地址，以及填写备机心跳口 IP 地址；；

版权所有 © 2022 深信服科技股份有限公司 第 22页

配置步骤 - 主控 2

13. 新增业务口监视对象，在【接口监视】点“新增”，检测模式选“任一满足”，接口选择“物理接口”，
选择 eth2 、 eth3 。点“确定”提交；

版权所有 © 2022 深信服科技股份有限公司 第 23页

配置步骤 - 主控 2

14. HA 组 0 添加虚 IP ，一个业务接口配置一个虚 IP ，配置设备优先级为 99. 勾选抢占开关

15. HA 组 0 引用监控对象，“监视对象”选择业务口监视中的对象

版权所有 © 2022 深信服科技股份有限公司 第 24页

配置步骤 - 主控 2

16. HA 组 1 添加虚 IP ，一个业务接口配置一个虚 IP ，配置设备优先级为 100. 勾选抢占开关

17. HA 组 1 引用监控对象，“监视对象”选择业务口监视中的对象

版权所有 © 2022 深信服科技股份有限公司 第 25页

配置步骤 - 主控 2

18. 启用配置同步，在【系统】 - 【高可用性】 - 【配置同步】页面，同步对象勾选会话表，；

版权所有 © 2022 深信服科技股份有限公司 第 26页

配置完成

19. 查看设备双机状态；
20. 在主机点“查看切换信息”查看设备切换状态。

版权所有 © 2022 深信服科技股份有限公司 第 27页

关于主主模式下 VRRP 组说明

1 ：三层主主模式下，主控 1 和主控 2 都配置了两个 VRRP 组；

2 ：两台设备的两个 VRRP 组是互为主备关系；主控 1 的组 0 为主控的时候，主控 2 的组 0 就为备控，对应的

主控 1 的组 1 就是备控，主控 2 的组 1 为主控；

3 ：主控 1 和主控 2 相对应的组虚 IP 是相同的，比如主控 1 和主控 2 的组 0 虚 IP 相同，同理组 1 也是；

4 ：两台主机共同维护两个 VRRP 组，正常转发时，主控 1 通过组 0 虚 IP 转发数据，主控 2 通过组 1 虚 IP 转发

数据，当主控 1 故障时，主控 2 的组 0 开始工作，同步主控 1 上面关于组 0 的会话状态，继续进行数据转发，

保证业务的连续性。

版权所有 © 2022 深信服科技股份有限公司 第 28页

注意事项

1. 不要使用两个成对的 bypass 接口做双机，避免广播风暴；

2. 心跳口建议使用聚合接口，如无条件做聚合接口，也可以单线路；

3. 透明主主需将实际业务口做接口联动，防止链路故障导致业务中断；

4. 双机聚合数据同步接口支持使用双机聚合接口；

5. 管理口也可以作为双机同步口或者业务口；

6. 路由主主模式的时候，根据组 0 的情况来判断设备是主控还是备控，组 0 是主机的时候，在配置同步中就是

主机，反之则是备机；

版权所有 © 2022 深信服科技股份有限公司 第 29页

版权所有 © 2022 深信服科技股份有限公司 第 30页