两台防火墙硬件型号和软件版本都完全相同，为了避免防火墙不堪重负而宕机引起网络中断，可以考虑应用双机热备（HA）解决方案。双机热备能够把两台防火墙构成一个工作组，一主一备，保证数据通信畅通，有效地增强网络的可靠性。

HA能够在主设备通信线路或发生故障时提供及时的备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。正常情况下主设备处于活动状态，转发报文，当主设备出现故障时，备份设备接替其工作，转发报文。启用HA的两台防火墙的硬件型号和软件版本必须相同。

实验拓扑图如下所示

配置步骤：

一、防火墙上添加监控对象

      用户可以为设备指定监测对象，监控设备的工作状态。一旦发现设备不能正常工作，即采取相应措施。目前设备监控对象只能在命令行实现。

1． 在A墙上CLI下全局配置监控对象

FW-1800(config)# track judy       //进入监控配置

FW-1800(config-trackip)# interface ethernet0/0 weight 255     //监控接口e0/0，权值为255

FW-1800(config-trackip)# interface ethernet0/1 weight 255     //监控接口e0/1，权值为255

FW-1800(config-trackip)# exit  //退出到监控配置模式

二、配置HA组列表

      1．首先在A防火墙上访问菜单“系统管理”->“HA”，新建HA组列表。对于组列表中的参数我们只要填写组ID为0，设置一个优先级，选择监控地址即可。其他参数可以使用系统默认值

      2．同样在 B 防火墙上实现 HA 配置，除优先级设置及 HA 连接接口地址不同外，其他参数要与 A 墙参数一致。B 墙上设置相同的心跳接口和 HA 簇，心跳地址要与 A 防火墙同网段的心跳地址。 其中优先级在初始设置时两台墙一定要设置不同的优先级，数字越小优先级越高。优先级高的防火墙将被选举为主设备。B防火墙的HA设置。

三、配置接口管理地址

      处于热备的两台防火墙的配置是相同的，包括设备的接口地址，此时只有一台防火墙处于主状态，所以我们在通过接口地址去管理防火墙时， 只能登陆处于主状态的防火墙。如果我们要同时管理处于主备状态两台防火墙的话，需要在接口下设置管理地址。

      修改A防火墙管理地址

      首先我们在 A防火墙上设置内网接口管理地址为 192.168.1.91/24

四、将主设备配置同步到备份设备

      将两台墙连接入网络中并使用网线将两台防火墙的心跳接口 eth0/2 连接起来， 在主设备上执行以下命令 ：

      FW-1800(config)# exec ha sync configuration

      此时主设备的配置便会同步到备份设备。

五、测试

      将处于主状态的防火墙外线拔掉后会看到内网PC访问外网有短时掉线，后又恢复外网连接，说明主防火墙已切换到备份墙上。