华为防火墙双机热备：心跳线和心跳接口的配置建议与配置注意事项

华为防火墙双机热备：心跳线和心跳接口的配置建议与配置注意事项
 （1）心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接。建议将组成双机热备的两台FW安装在同一个机架或者相邻的机架上，心跳接口使用网线或者光纤直连。
 （2）对于USG6680E和USG6712E/6716E，请使用专门的两个HA接口作为心跳接口，这两个HA接口默认已加入Eth-Trunk 65535接口，且不允许从Eth-Trunk 65535移出作为业务接口使用。
有关HA接口的详细介绍，请参见设备支持的接口类型。如果两个HA接口的带宽仍不满足使用需求，支持将其他以太网接口加入Eth-Trunk 65535接口，以增加备份通道的带宽。
（3）对于其他未提供专门HA接口的机型，建议规划专门的接口作为心跳接口，该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文，不要将业务报文引导到该接口上转发。同时，建议将多个以太网接口绑定成Eth-Trunk接口，使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性，又可以增加备份通道的带宽。
 （4）心跳接口需要发送业务相关的表项备份报文，心跳接口的流量大小与业务流量大小有关。心跳接口的带宽建议不低于峰值业务流量的30%。
 （5）建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳接口作为备份。

心跳线和心跳接口的配置注意事项
    MGMT接口（MEth0/0/0）不能作为心跳接口。
    配置了vrrp virtual-mac enable命令的接口不能用作心跳接口。
    两台FW心跳接口的类型、接口编号、链路协议类型必须相同。如果使用Eth-Trunk接口作为心跳接口，Eth-Trunk接口的成员接口也要相同。如果使用VLAN接口（VLANIF）作为心跳接口，实际收发报文的二层物理接口也必须相同。
    两台FW心跳接口必须加入相同的安全区域。
    接口MTU值小于1500的接口不能作为心跳接口。
    配置和表项备份报文的最大长度为1500字节，且报文不支持分片。如果心跳接口MTU值小于1500，会导致报文发送失败。
    心跳接口通过交换机或路由器连接时，交换机或路由器上转发心跳报文和备份报文的接口的MTU值不能小于1500。
    心跳接口非直连需要配置相关路由时，请正确配置路由，否则，shutdown/undo shutdown心跳接口后，心跳接口可能会进入异常状态，无法恢复，只能通过删除该错误路由或者重新配置心跳接口才能解决。
    例如，在主备设备任一设备上配置了一条静态路由ip route-static dest-heartbeat-address 32 other-up-interface，其目的IP地址为对端心跳接口IP地址，下一跳出接口为任意其他状态为Up的接口，此时shutdown/undo shutdown该心跳接口，心跳接口将进入异常运行状态，无法恢复正常。
    如果FW上配置了虚拟系统，心跳接口不能是虚拟系统的接口，必须是根系统的接口。虚拟系统的配置命令和表项也能通过规划在根系统的心跳接口备份到对端设备。