运行期间，可通过路由器和防火墙冗余对安全模块 SCALANCE S623（V4 及更高版本）和 SCALANCE S627-2M（V4 及更高版本）的故障自动进行补偿。为此，通过激活两个安全模块的路由器和防火墙冗余将 SCALANCE S623 或 SCALANCE S627-2M 类型的两个安全模块以构成冗余关系的方式分在一个组中。然后，决定正常模式下冗余关系的哪个安全模块为被动模块（次模块）。设置正常运行时冗余关系的哪个安全模块为主动模块（主模块）。操作期间，如果主模块出现故障，则次模块将自动接管其功能，充当防火墙和 (NAT/NAPT) 路由器。为确保两个安全模块的组态相同，须通过它们的 DMZ 接口将这两个安全模块连接在一起，并在运行期间同步它们的组态。这种情况下，所涉及安全模块的 DMZ 接口不能用于其他用途。

地址冗余

除了其模块 IP 地址外，两个安全模块还在外部接口和内部接口上共用一个公共的 IP 地址，从而在其中一个安全模块出现故障时，*修改 IP 地址。为此，需要为冗余关系的外部和内部接口组态一个 IP 地址。

冗余关系对安全模块的影响

在安全模块之间创建冗余关系时，这些安全模块的一些属性会自动调整以建立与冗余关系的兼容性。以下属性受该调整的影响：

冗余关系中安全模块的组态

启用路由器和防火墙冗余并选择冗余关系的主模块后，一些模块属性只能使用主模块进行组态。此时为主模块组态的属性将应用于冗余关系，无法为次模块组态这些属性。可以为冗余关系组态以下属性：

冗余关系的基本设置（次模块、网络参数）

防火墙（单独为各个安全模块组态 IP 服务的标准规则）。

路由

NAT/NAPT 路由（非 1:1 NAT）

上面列出的属性值较初采自冗余关系的主模块。

各安全模块的下列设置保持激活状态，即使将安全模块加入冗余关系中也如此。因此，组态主模块这些属性不会影响次模块。

接口组态（无法禁用接口和切换 VIP 分配方法“静态地址”）。

IP 服务的标准规则（防火墙）

DDNS

时钟同步

日志设置

SNMP

RADIUS