深信服防火墙AF做双机时虚拟MAC问题的处理办法

现有四台深信服防火墙AF，名称分别为A、B、C、D，A和B做成HA，C和D做成HA，都是路由模式，网口1都是带外管理口，并且都加入到了监视网口，双机热备配置的虚拟ID组都是默认的100，A、B两台带外管理口地址是192.168.1.1/24，C、D两台带外管理口地址是192.168.1.2/24。

做好配置后，发现192.168.1.1/24和192.168.1.2/24无法同时管理，当可以打开192.168.1.1控制台时，192.168.1.2则打不开，并且两个IP也无法同时ping通，当192.168.1.1可以ping通时，192.168.1.2则ping不通，当192.168.1.2可以ping通时，则192.168.1.1ping不通，在同网段设备上查看arp，发现192.168.1.1和192.168.1.2的MAC地址是一样的。

经确认，深信服防火墙AF做双机时，网卡的虚拟MAC是根据虚拟ID组和网口编号计算得出的，所以这个环境中，虚拟ID组都是100，网卡编号都是eth1口，它们的虚拟MAC就是一样的。

这种情况的处理办法非常简单，一是修改其中一个的虚拟ID组即可，还有一种办法是将A、B或者C、D的带外管理口不要加到网口监视中，并且每台带外管理口配置成-HA的不同的地址即可。

针对这个问题，建议厂家可以将虚拟MAC的计算方式复杂一点，比较加个随机数或者加个网关编号、硬盘ID等等，使得每个虚拟MAC都不相同。

有的环境下，尤其一个项目中，防火墙设备数量较多的情况下，建议修改默认的虚拟ID组，并且不同的HA设备采用的心跳口都设置成不同的网段，比如A、B用5.5.5.0/24段，C、D用6.6.6.0/24段，来避免一些问题。