Active-Active（A/A）模式配置举例

本节介绍如何将两台设备配置为HA A/A冗余模式。在配置之前，确认搭建成HA典型组网模式的两台安全网关采用完全相同的硬件平台、固件版本，均启用VR及防病毒功能、安装防病毒许可证，并且两台设备使用同样的接口连接到网络。

配置完成后，两台设备均会开启HA功能。系统将安全网关A选举为group0的主设备。安全网关A向安全网关B进行同步配置。同步配置完成后，安全网关B抢占为group1的主设备。在正常情况下，两台设备独立运行各自的工作：安全网关A对财务部和研发部访问网络的流量进行转发；安全网关B对研发服务器群访问网络的流量进行转发。如果其中一台设备发生故障，另外一台设备可运行自身工作的同时接管故障设备的工作，保证工作不间断。例如：安全网关B故障无法工作，安全网关A在转发财务部和研发部访问网络流量的同时，将转发研发服务器群访问网络的流量。

组网图如下：

请按照以下步骤进行操作：

第一步：配置监测对象。利用监测对象监控安全网关A接口和安全网关B接口的工作状态，一旦发现接口工作失败，则进行设备切换。

安全网关A

1. 从工具栏的<对象用户>下拉菜单选择『监测对象』，弹出<监测对象>对话框。
2. 点击列表左上方的『新建』按钮，弹出<新建监测对象>对话框。具体配置信息如下：
   • 名称：group0
   • 警戒值：255
   • 监测类型：选择<接口>单选按钮，并点击『添加』按钮
   • 接口：ethernet0/0
   • 权值：255
3. 点击『确定』按钮保存所做配置并返回<监测对象>对话框。
4. 重复步骤2至步骤3，创建名称为group1、警戒值为255、监测类型为接口、接口名称为ethernet0/1：1和ethernet0/3：1、接口权值均为255的监测对象。

安全网关B：在安全网关B上做相同的配置。

创建名称为group0、警戒值为255、监测类型为接口、接口名称为ethernet0/0、接口权值为255的监测对象。

创建名称为group1、警戒值为255、监测类型为接口、接口名称为ethernet0/1：1和ethernet0/3：1、接口权值均为255的监测对象。

第二步：配置HA组。

安全网关A

1. 从工具栏的<系统管理>下拉菜单选择『HA』，弹出<HA>对话框。 在<组0>处配置如下信息：
   • 优先级：10
   • 抢占时间：1
   • 监测对象：group0
2. 点击按钮，添加HA组1配置，配置信息如下：
   • 抢占时间：60
   • 监测对象：group1
3. 点击『确定』按钮保存所做配置。

安全网关B

1. 从工具栏的<系统管理>下拉菜单选择『HA』，弹出<HA>对话框。 在<组0>处配置如下信息：
   • 优先级：200
   • 抢占时间：60
   • ARP包个数：3
   • 监测对象：group0
2. 点击按钮，添加HA组1配置，配置信息如下：
   • 优先级：20
   • 抢占时间：1
   • ARP包个数：3
   • 监测对象：group1
3. 点击『确定』按钮保存所做配置。

第三步：在安全网关A上配置接口和域。

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 点击安全域列表中的『新建』按钮，系统弹出<安全域配置>对话框。
3. 在<安全域名称>文本框中输入安全域的名字“yanfa”，并点击『确定』按钮保存所做配置。
4. 重复步骤2至步骤3，创建安全域caiwu、internet和server。
5. 选中接口列表中“ethernet0/0”对应的复选框，点击接口列表左上方的『编辑』按钮，系统弹出<接口配置>对话框。具体配置信息如下：
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选中“internet”
• 类型：静态IP
• IP地址：192.168.1.1
• 网络掩码：255.255.255.0
  

6. 点击『确定』按钮保存所做配置并返回网络连接页面。
7. 重复步骤5至步骤6，创建接口名称为ethernet0/1、所属安全域为caiwu、IP地为10.1.1.1、网络掩码为255.255.255.0的HA组组0接口。
8. 点击接口列表左上方的『新建』按钮，并在弹出的菜单中选择<Virtual Forward接口>，系统弹出<接口配置>对话框。具体配置信息如下：
• 名称：在下拉菜单中选择ethernet0/0，并在其后的文本框中输入1
• 绑定安全域：三层安全域
• 安全域：从下拉菜单中选中“internet”
• 类型：静态IP
• IP地址：192.168.1.2
• 网络掩码：255.255.255.0
  

9. 点击『确定』按钮，完成创建ethernet0/0：1。
10. 重复步骤8至步骤9，创建接口名称为ethernet0/1：1、所属安全域为yanfa、IP地址为10.1.1.2、网络掩码为255.255.255.0的HA组组1的接口。
11. 重复步骤8至步骤9，创建接口名称为ethernet0/3：1、所属安全域为server、IP地址为30.1.1.1、网络掩码为255.255.255.0的HA组组1的接口。

第四步：在安全网关A上配置路由。

1. 从页面左侧导航树选择并点击“配置网络路由”，进入目的路由页面。
2. 点击目的路由列表左上角的『新建』按钮，弹出<目的路由配置>对话框。具体配置信息如下：
• 目的地：0.0.0.0
• 子网掩码：0
• 下一跳：接口
• 接口：从下拉菜单中选择ethernet0/0
• 网关：192.168.1.200

3. 点击『确定』按钮保存所做配置。
4. 重复以上步骤，创建路由条目。具体配置信息如下：
• 目的地：0.0.0.0
• 子网掩码：0
• 下一跳：接口
• 接口：从下拉菜单中选择ethernet0/0：1
• 网关：192.168.1.200

5. 点击『确定』按钮保存所做配置。

第五步：在安全网关A上配置SNAT。配置SNAT之前，用户需要首先配置地址簿。

1. 从工具栏的<对象用户>下拉菜单选择『地址簿』，弹出<地址簿>对话框。
2. 点击列表上方的『新建』按钮，弹出<配置地址簿>对话框。具体配置信息如下：
   • 名称：caiwu
   • 成员：依次选择“IP/掩码”、“10.1.1.1”、“24”，并点击『添加』按钮
3. 点击『确定』按钮保存所做配置。
4. 重复以上步骤，创建名称为yanfa、IP地址为10.1.1.2、掩码为24的地址簿。
5. 重复以上步骤，创建名称为server、IP地址为30.1.1.1、掩码为24的地址簿。
6. 从页面左侧导航树选择并点击“配置网络NAT”，进入源NAT页面。
7. 点击源NAT列表中的『新建』按钮，弹出<新建源NAT>对话框。具体配置信息如下：
   • 源地址：依次选择“地址簿”、“caiwu”
   • 目的地址：依次选择“地址簿”、“Any”
   • 出流量：依次选择“出接口”、“ethernet0/0”
   • 转换为：出接口IP
   • 点击『更多配置』标签，在<HA组>后选择单选按钮“0”
8. 点击『确定』按钮保存所做配置。
9. 重复以上步骤，创建源NAT条目。具体配置信息如下：
• 源地址：依次选择“地址簿”、“yanfa”
• 目的地址：依次选择“地址簿”、“Any”
• 出流量：依次选择“出接口”、“ethernet0/0：1”
• 转换为：出接口IP
• 点击『更多配置』标签，在<HA组>后选择单选按钮“1”

第六步：在安全网关A上配置策略。

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 点击策略列表左上方的『新建』按钮，弹出<策略配置>对话框。具体配置信息如下：
• 源安全域：caiwu
• 目的安全域：internet
• 源地址：caiwu
• 目的地址：Any
• 服务簿：Any
• 行为：允许

3. 点击『确定』按钮保存所做配置并返回策略页面。
4. 重复步骤1至步骤3再次创建策略，具体配置信息如下：
• 源安全域：yanfa
• 目的安全域：internet
• 源地址：yanfa
• 目的地址：Any
• 服务簿：Any
• 行为：允许
5. 重复步骤1至步骤3再次创建策略，具体配置信息如下：
• 源安全域：yanfa
• 目的安全域：server
• 源地址：yanfa
• 目的地址：server
• 服务簿：Any
• 行为：允许

第七步：配置HA连接接口，并开启HA功能。

安全网关A

1. 从工具栏的<系统管理>下拉菜单选择『HA』，弹出<HA>对话框。具体配置信息如下：
   • HA连接接口1：ethernet0/4
   • IP地址：100.0.0.1/24
   • HA簇ID：1
2. 点击『确定』按钮保存所做配置。

安全网关B

1. 从工具栏的<系统管理>下拉菜单选择『HA』，弹出<HA>对话框。具体配置信息如下：
   • HA连接接口1：ethernet0/4
   • IP地址：100.0.0.100/24
   • HA簇ID：1
2. 点击『确定』按钮保存所做配置。