北信源第二代防火墻使用手冊2024年6月第.2.3配置管理地址可選REF_Ref529434021\r\h58.2.4HA全局配置在導航欄中選擇“系統(tǒng)管理>系統(tǒng)設定>高可用性>HA全局配置”，進入HA的配置頁面，如REF_Ref393202810\r\h圖58-3所示。HA全局配置頁面頁面的詳細說明如REF_Ref393112159\r\h表8-3。HA全局配置的詳細說明項目說明工作模式HA的工作模式，有不啟用、主備模式、主主模式三個選項。配置同步是否啟用HA配置同步。運行狀態(tài)同步是否配置HA運行狀態(tài)同步。庫同步是否配置HA庫同步。搶占模式是否配置HA搶占模式。模式HA的搶占模式，有主和備兩個選項。延時時間HA搶占延時時間。HA通訊接口HA的通訊接口，只能選擇物理接口和聚合接口。被監(jiān)控接口HA監(jiān)控的接口。選中左邊的接口列表中的接口，點擊<添加>按鈕，可以將選中接口配置成到監(jiān)控接口。選中右邊的監(jiān)控接口列表中的接口，點擊<刪除>按鈕，可以將選中接口從監(jiān)控接口列表中刪除。輸入完畢后，點擊<提交>按鈕，應用配置。HA狀態(tài)顯示和維護在導航欄中選擇“系統(tǒng)管理>系統(tǒng)設定>高可用性>HA全局配置”，點擊頁面上方的“HA監(jiān)控”標簽，進入HA監(jiān)控頁面，如REF_Ref393181443\r\h圖58-4所示。HA監(jiān)控頁面頁面的詳細說明如REF_Ref393185251\r\h表58-3。HA監(jiān)控的詳細說明項目說明設備名稱本地設備和HA鄰居設備的設備名稱。主備狀態(tài)本地設備和HA鄰居設備的HA狀態(tài)。系統(tǒng)配置本地設備和HA鄰居設備的配置是否同步。WAF庫本地設備和HA鄰居設備的WAF特征庫是否同步。IPS庫本地設備和HA鄰居設備的IPS特征庫是否同步。AV庫本地設備和HA鄰居設備的AV特征庫是否同步。APP庫本地設備和HA鄰居設備的APP特征庫是否同步。URL庫本地設備和HA鄰居設備的URL特征庫是否同步。TI庫本地設備和HA鄰居設備的TI特征庫是否同步。點擊<同步配置>按鈕，可以將主設備的配置同步給備設備，并且重啟備設備。點擊<主備切換>按鈕，可以手動切換主備設備的HA狀態(tài)。如果系統(tǒng)配置已經相同，無需再次同步，<同步配置>按鈕無法點擊。如果配置了搶占模式，無法進行手動切換狀態(tài)，<主備切換>按鈕無法點擊。配置管理地址在導航欄中選擇“系統(tǒng)管理>系統(tǒng)設定>高可用性>HA全局配置”，點擊頁面上方的“HA接口管理地址”標簽，進入HA接口管理地址配置頁面，如REF_Ref393185169\r\h圖58-5所示。HA接口管理地址頁面頁面的詳細說明如REF_Ref393185263\r\h表58-4。HA接口管理地址的詳細說明項目說明接口名稱配置管理地址接口名稱。管理地址接口配置的管理地址。操作對管理地址可進行的操作。點擊<新建>按鈕，進入HA接口管理地址的新建頁面，如REF_Ref393202833\r\h圖58-6所示。HA接口管理地址新建頁面頁面的詳細說明如REF_Ref393185495\r\h表58-5。HA接口管理地址的詳細說明項目說明接口名稱配置管理地址接口名稱，只包含物理接口，橋接口和VLAN子接口。管理地址接口配置的管理地址。輸入完畢后，點擊<提交>按鈕，應用配置。在HA接口管理地址顯示頁面，可以點擊管理地址右邊的<刪除>按鈕，刪除對應的管理地址。HA配置舉例HA主備模式配置舉例組網需求設備A配置為主設備，設備B配置成為備設備。設備A的ge2接口作為HA接口和設備B的ge2接口相連。設備A配置為搶占主模式，設備B配置成搶占備模式。設備A和設備B的keepalive間隔設置為1秒，重試次數(shù)為3次。設備A和設備B配置ge0和ge1為監(jiān)控接口。設備A和設備B配置自動同步session，配置特征庫。組網圖HA主備模式組網圖配置思路配置設備A為主設備，設備B為備設備。設備A監(jiān)控自己的ge0和ge1接口，當ge0或者ge1down后，設備A切換成備狀態(tài)，設備B切換成主狀態(tài)。設備B監(jiān)控設備A的狀態(tài)，當B收不到A的心跳報文，認為設備A已經失效，設備B變成主狀態(tài)。當設備A的狀態(tài)恢復正常后，設備A會搶回自己的主狀態(tài)。設備A變成主設備，設備B變成備設備。配置步驟配置設備A的HA全局配置。設備A的HA全局配置在設備A的ge0接口配置管理地址00/24。配置設備A的管理地址配置設備B的HA全局配置。設備B的HA全局配置在設備B的ge0接口配置管理地址01/24。配置設備B的管理地址點擊設備A的HA監(jiān)控頁面的配置同步按鈕，同步配置。驗證配置通過管理地址00/24訪問設備A，查看HA監(jiān)控頁面。設備A的HA監(jiān)控頁面顯示通過管理地址01/24訪問設備B，查看HA監(jiān)控頁面。設備B的HA監(jiān)控頁面顯示HA主主模式配置舉例組網需求設備A配置為主設備，設備B配置成為主設備。設備A的ge2接口作為HA接口和設備B的ge2接口相連。設備A和設備B配置ge0和ge1監(jiān)控接口。設備A和設備B配置自動同步session，自動同步監(jiān)控接口地址。組網圖HA主主模式組網圖配置思路配置設備A為主設備，設備B也為主設備。設備A監(jiān)控自己的ge0和ge1接口，當ge0或者ge1down后，設備A切換成主故障狀態(tài)（MasterN），不再轉發(fā)數(shù)據(jù)。設備B切換成全主狀態(tài)（MasterA）,繼續(xù)處理設備A之前承載的業(yè)務，保證業(yè)務不中斷。設備B監(jiān)控設備A的狀態(tài)，當B收不到A的心跳報文，認為設備A已經失效，設備B變成全主狀態(tài)（MasterA）。當設備A的狀態(tài)恢復正常后，設備A會搶回自己的主狀態(tài)，由原來的故障狀態(tài)MasterN狀態(tài)切回Master狀態(tài)。設備A變成主設備，設備B由原來承載所有流量的MasterA狀態(tài)切回正常的Master狀態(tài)。主主模式下，設備上沒有一鍵同步配置功能，需要管理員自己保證主主模式下兩臺設備的配置一樣。配置步驟配置設備A的HA全局配置。設備A的HA全局配置在設備A的ge0接口配置管理地址00/24。配置設備A的管理地址配置設備B的HA全局配置。設備B的HA全局配置在設備B的ge0接口配置管理地址01/24。配置設備B的管理地址驗證配置通過管理地址00/24訪問設備A，查看HA監(jiān)控頁面。設備A的HA監(jiān)控頁面顯示通過管理地址01/24訪問設備B，查看HA監(jiān)控頁面。設備B的HA監(jiān)控頁面顯示

接口狀態(tài)同步組概述接口狀態(tài)同步組，即是為加快鏈路狀態(tài)變化的快速響應而出現(xiàn)的一種高可靠的功能。主要功能是將一個組內的多個接口狀態(tài)保持同步，即組內的某一成員狀態(tài)首先發(fā)生變化，則組內的其他成員也同時被置為與其一致的狀態(tài)，只有當該成員狀態(tài)恢復時，其他組內成員的狀態(tài)才可以恢復。接口狀態(tài)同步組通過菜單“系統(tǒng)管理>系統(tǒng)設定>高可用性>接口狀態(tài)同步組”，進入如REF_Ref393727082\r\h圖59-1所示頁面。在該頁面上，可以查看和編輯已經配置的接口狀態(tài)同步組。詳細信息說明如REF_Ref392775730\r\h表7-1所示。接口狀態(tài)同步組接口狀態(tài)同步組的顯示信息標題項說明組名稱接口狀態(tài)同步組名稱。接口成員同步組內成員。狀態(tài)表示組狀態(tài)為up，表示組狀態(tài)為down組狀態(tài)分為up，down和unknow三種狀態(tài)；組狀態(tài)的確定：當全部成員的鏈路狀態(tài)都為up時，組狀態(tài)為up；當某一成員的鏈路狀態(tài)為down時，組狀態(tài)為down；當條件2中有成員的鏈路狀態(tài)變?yōu)閡p時，將組內其它成員置為管理up，組狀態(tài)置為unknow；當組狀態(tài)為unknow時，繼續(xù)調用1、2操作；unknow狀態(tài)為中間狀態(tài)，為防止組內成員間的互相影響，所以當組狀態(tài)為unknow時，需要下一輪循環(huán)更新組狀態(tài)。操作點擊可以對該配置進行修改，點擊可以刪除該條配置。接口狀態(tài)同步組配置通過點擊REF_Ref393727082\r\h圖59-1中的“新建”，進入如REF_Ref392776123\r\h圖7-2所示頁面。各配置項含義如REF_Ref392776132\r\h表7-2所示。接口狀態(tài)同步組配置頁面接口狀態(tài)同步組配置項含義標題項說明組名稱設置接口狀態(tài)同步組的名稱接口成員左側為設備上現(xiàn)有的接口列表，右側為已經加入該同步組的接口列表接口狀態(tài)同步組中，最多可以配置8個物理接口。一個物理接口只能屬于一個接口狀態(tài)同步組。設備支持的接口狀態(tài)同步組的最大個數(shù)為16。

地址探測概述地址探測簡介使用ICMP協(xié)議，TCP協(xié)議和DNS協(xié)議確定地址是否可達，從而實現(xiàn)判斷鏈路狀態(tài)?；诮涌谔綔y配置過程中可以指定探測報文的發(fā)送接口，也可以不指定具體接口，根據(jù)路由選路。指定接口主要用于和路由聯(lián)動的情況。防止由于正常的鏈路失效后，備份路由啟用，探測報文選擇了備份路由接口，錯誤的認為探測地址可達的情況?？梢栽贖A備設備使用路由探測HA備設備只允許源地址為管理地址的報文發(fā)送，所以備設備發(fā)送探測報文的源地址為接口的管理地址。如果HA的備設備需要使用地址探測，必須在出接口上配置HA管理地址，否則無法發(fā)送探測報文。地址探測組可以將多個地址探測條目加入一個地址探測組中，地址探測組可以根據(jù)組內探測條目的結果，判斷地址探測組的狀態(tài)。探測組可以配置嚴格模式或者非嚴格模式。嚴格模式中，地址組內所有的探測條目都成功，探測組的狀態(tài)才是成功的。非嚴格模式中，只要探測組中有一個探測條目成功，探測組的狀態(tài)說就是成功的。地址探測和其他模塊的聯(lián)動和路由或者ISP路由聯(lián)動，可以根據(jù)探測結果，禁用和啟用某條路由。詳見靜態(tài)路由配置和ISP路由配置。和接口狀態(tài)聯(lián)動，可以根據(jù)探測結果，開啟和關閉接口，以便通知下游設備。和HA聯(lián)動，HA可以根據(jù)探測結果，判斷網絡狀態(tài)。如果主設備地址探測結果失敗，將切換成備設備。如果備設備的地址探測結果成功，并且配置了搶占為主，也可以搶占成主設備。詳見HA配置。配置文件全部讀取完成后，如果配置HA，HA的狀態(tài)不再是init狀態(tài)后。地址探測才能開始發(fā)包和計算超時。如果路由和狀態(tài)為初始化的地址探測聯(lián)動時，路由暫定為有效，直到地址探測失敗，才將路由置為無效。HA和狀態(tài)為初始化的地址探測聯(lián)動，暫時不改變HA狀態(tài)，直到地址探測成功或者地址探測失敗，再通知到HA修改狀態(tài)。和地址探測聯(lián)動的路由，當?shù)刂诽綔y失敗時，不可以被其他報文的轉發(fā)使用，但是可以被地址探測的報文使用。比如配置默認路由和地址探測聯(lián)動，當?shù)刂诽綔y失敗時，非探測報文不可以使用默認路由轉發(fā)，但是地址探測報文依然可以使用默認路由轉發(fā)。配置地址探測配置概述地址探測配置的推薦步驟如REF_Ref388782741\r\h表8-1所示。地址探測配置的推薦步驟配置任務說明詳細配置配置地址探測必選REF_Ref393202767\r\h0配置地址探測組可選REF_Ref402016896\r\h60.3.3地址探測配置在導航欄中選擇“策略配置>對象管理>地址對象”，點擊上方“地址探測”標簽進入地址探測顯示頁面，如REF_Ref393202810\r\h圖58-3所示。地址探測顯示頁面頁面的詳細說明如REF_Ref393112159\r\h表8-3。地址探測顯示的詳細說明項目說明名稱地址探測的名稱。探測目標地址探測的目標，可以使IP地址，也可以是域名。類型地址探測的類型，有PING，TCP和DNS三種。出接口地址探測報文的出接口。間隔時間地址探測報文發(fā)送時間間隔。重試次數(shù)在地址探測失敗之前可以發(fā)送的探測報文個數(shù)。狀態(tài)地址探測的狀態(tài)，表示探測成功，表示探測失敗。操作可以執(zhí)行刪除操作。點擊右側的刪除按鈕，可以刪除對應的地址探測。點擊<新建>按鈕，可以進入地址探測配置頁面，如REF_Ref402014951\r\h圖60-2所示。地址探測配置頁面如果在類型中選中TCP，頁面中還會彈出TCP端口輸入框，如REF_Ref402015192\r\h圖60-3。TCP地址探測配置頁面頁面的詳細說明如REF_Ref402015192\r\h圖60-3示。地址探測配置頁面詳細說明項目說明名稱地址探測的名稱。探測目標地址探測的目標，可以使IP地址，也可以是域名。類型地址探測的類型，有PING，TCP和DNS三種。端口TCP探測的目標端口。出接口地址探測報文的出接口。間隔時間地址探測報文發(fā)送時間間隔。重試次數(shù)在地址探測失敗之前可以發(fā)送的探測報文個數(shù)。輸入完畢后，點擊<提交>按鈕，應用配置。已經被配置為地址探測出接口的接口不能配置和地址探測聯(lián)動。子接口已經被配置為地址探測出接口的接口不能配置和地址探測聯(lián)動。已經配置了和地址探測聯(lián)動的接口不能作為地址探測的出接口。已經配置了和地址探測聯(lián)動的接口的子接口不能作為地址探測出接口。地址探測組配置在導航欄中選擇“策略配置>對象管理>地址對象”，點擊上方“地址探測組”標簽進入地址探測組顯示頁面，如REF_Ref402274014\r\h圖60-4所示。地址探測組顯示頁面頁面的詳細說明如REF_Ref402341339\r\h表60-4。地址探測組顯示頁面詳細說明項目說明名稱地址探測組的名稱。成員地址探測組的成員。模式地址探測組的模式，有嚴格模式和非嚴格模式兩種。描述地址探測組的描述。狀態(tài)地址探測組的狀態(tài)表示探測成功，表示探測失敗。操作可以對地址探測組執(zhí)行的操作。點擊頁面左上方的<新建>鈕者地址探測組右側的<編輯>按鈕，可以進入地址探測組的配置頁面,如REF_Ref402015843\r\h圖60-5。地址探測組編輯頁面地址探測組頁面的詳細描述如REF_Ref402341390\r\h表60-5。地址探測組配置頁面詳細描述項目說明名稱地址探測組的名稱。描述地址探測組的描述。模式地址探測組的模式，選中復選框表示嚴格模式，不選中是非嚴格模式，缺省是非嚴格模式。已選成員目前已經選中的地址探測組的成員。名稱可以加入探測組的地址探測的名稱。探測目標地址探測的目標。狀態(tài)地址探測的狀態(tài)表示已經探測成功，表示探測失敗。輸入完畢后，點擊<提交>按鈕，應用配置。一個地址探測組中最多只能加入10個地址探測成員。配置接口狀態(tài)探測接口狀態(tài)探測配置在導航欄中選擇“系統(tǒng)管理>系統(tǒng)設定>高可用性>接口狀態(tài)探測”，進入接口狀態(tài)探測顯示頁面，如REF_Ref402017191\r\h圖60-6所示。接口狀態(tài)探測顯示頁面頁面的詳細說明如REF_Ref402341437\r\h表60-6。地址探測顯示的詳細說明項目說明監(jiān)控接口狀態(tài)探測的接口。地址探測和接口聯(lián)動的地址探測或地址探測組。狀態(tài)地址探測或地址探測組的狀態(tài)，表示探測成功，表示探測失敗。操作可以執(zhí)行刪除操作。這里的狀態(tài)指和接口聯(lián)動的地址探測或者地址探測組狀態(tài)，而不是接口的當前物理狀態(tài)。點擊右側的刪除按鈕，可以刪除對應的接口狀態(tài)探測。點擊<新建>按鈕，可以進入接口狀態(tài)探測配置頁面，如REF_Ref402017967\r\h圖60-7所示。接口狀態(tài)探測配置頁面頁面的詳細說明如REF_Ref402018252\r\h表60-7。接口狀態(tài)探測頁面詳細說明項目說明監(jiān)控接口狀態(tài)探測的接口。地址探測和接口聯(lián)動的地址探測或地址探測組。輸入完畢后，點擊<提交>按鈕，應用配置。已經被配置為地址探測出接口的接口不能配置和地址探測聯(lián)動。子接口已經被配置為地址探測出接口的接口不能配置和地址探測聯(lián)動。已經配置了和地址探測聯(lián)動的接口不能作為地址探測的出接口。已經配置了和地址探測聯(lián)動的接口的子接口不能作為地址探測出接口。配置舉例接口狀態(tài)探測配置舉例組網需求兩臺設備使用透明模式和兩臺網關RouterB，RouterC以及核心路由器RouterA相連。設備A和設備B在橋上配置IP地址，并且都可以訪問Internet。組網圖接口狀態(tài)配置組網圖配置思路設備通過各自連接網關探測Internet上的服務器，檢查網關是否正常。當網關發(fā)生錯誤，無法連接Internet時，被設備發(fā)現(xiàn)，關閉和RouterA相連的接口，促使RouterA改變路由選路，從另外一側發(fā)送數(shù)據(jù)。配置步驟橋接口配置IP地址設備A的橋接口配置設備B的橋接口配置配置地址探測設備A和設備B的地址探測配置配置接口狀態(tài)探測設備A和設備B的接口狀態(tài)探測驗證配置查看設備A和設備B的接口狀態(tài)探測顯示頁面設備A和設備B的接口狀態(tài)顯示頁面U盤零配置啟動設備初始安裝時通常需要預先進行配置才能上線。傳統(tǒng)上此項業(yè)務主要交由實施人員手工進行配置。但此種上線模式主要適合小規(guī)模安裝，并容忍一定的人為出錯幾率。而對于較大型的項目，需要實施的網點多，手工配置的方式則較為費時費力，安裝和實施成本較高。因此需要支持通過U盤進行零配置上線的方案。具體流程如下：設備在啟動過程中判斷U盤根目錄是否有文件名為“ausbsetup.tst”的文件，有表示該盤是零配置啟動盤，沒有則表示該盤非零配置啟動盤；當確認是零配置啟動盤之后，需要設備根據(jù)自己的軟件序列號，查找該零配置啟動盤上是否有按照自己軟件序列號命名的文件夾；如果有以自己軟件序列號命名的文件夾，則讀取改文件夾下的version文件，從中獲取需要升級的版本號和需要升級的bin文件；通過設備上運行的版本號和讀取到的版本號判斷是否需要升級，版本號相同則不需要升級，版本號不同則需要升級；根據(jù)需要升級的bin文件名到U盤根目錄下的version文件夾中獲取需要升級的bin文件，獲取到bin文件后開始正常的升級流程；設備版本升級完成之后繼續(xù)執(zhí)行配置的導入，將與設