防火墙HA配置

一、防火墙HA概述

高可靠性（High Availability），简称为HA，能够在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。实现HA功能，用户需要配置两台采用完全相同的硬件平台、固件版本，均启用VR及防病| 毒功能、安装防病毒许可证的安全网关，组成HA簇。当一台设备不可用或者不能处理来自客户端的请求时，该请求会及时转到另外的可用设备来处理，这样就保证了网络通信的不间断进行，极大地提高了通信的可靠性。

1、安全网关支持HA的3种工作模式：

Active-Passive（A/P）模式、Active-Active（A/A）模式和Peer模式：

Active-Passive（A/P）模式：在HA簇中配置两台设备组成一个HA组，组内只有一台主设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现故障时，备份设备接替主设备工作，转发报文。这种A/P模式具有较强冗余性，而且其网络结构简单，便于维护管理。

Active-Active（A/A）模式：当设备处于NAT模式、路由模式或两者的组合时，可以将HA簇中的两台设备都配置成主动，使两台设备同时运行各自的工作，且相互监测对方的情况。当其中一台设备发生故障时，另外一台设备运行其自身的工作并且接管故障设备的工作，以保证工作不间断，该模式称为Active-Active模式。这种A/A模式具有高性能以及负载均衡的优点。

Peer模式：该模式是一种特殊的HA Active-Active模