防火墙双机热备设计与应用

论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。

在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。

当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。

配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

➢主墙a）配置HA心跳口地址。

①点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。

点击“确定”按钮保存配置。

双机热备⽬录1、双机热备基础概念双机热备是⼀种概念，各种设备均可以采⽤此概念进⾏部署，⽐如三层交换机、路由器、防⽕墙、服务器等。

如果仅部署⼀台设备，难免会有单点故障的风险，所以部署两台，⼀主⼀备较为保险，⼀台坏了，另⼀台⾃动“顶上”，保证业务不中断，这就是双机热备。

最常见的双机热备就是同时带着同⼀品牌的两台⼿机，A坏了，B登录A的账号，通讯录与邮箱会同步过来，与保证业务不中断。

NOTE：1. 等保三级以上要求必须要有冗余设备，关键设备必须是⼀主⼀备的，这样才能保证业务的稳定性。

双机热备是⽹络⼯程师必须熟练掌握的技术之⼀。

2. 防⽕墙的双机热备其它设备不同，防⽕墙的双机热备需要⼀条专门的备份通道，⽤于两台防⽕墙之间的协商主备状态，以及会话等状态信息。

双机热备主要包括主备备份和负载分担两个场景。

主备备份指正常情况下仅由主⽤设备处理业务，备⽤设备空闲；当主⽤设备接⼝、链路或整机故障时，备⽤设备切换为主⽤设备，接替主⽤设备处理业务。

负载分担也可以称为“互为主备”，即两台设备同时处理业务。

当其中⼀台设备发⽣故障时，另外⼀台会⽴即承担其业务，保证业务不中断。

2、链路聚合讲双机热备之前，必须先讲链路聚合和VRRP，因为双机热备是在这两个技术的基础上进⾏实现的。

2.1 链路聚合的基本概念因为以太⽹的信息传输率主要有：10Mbit/s、100Mbit/s、1000Mbit/s（1Gibt/s）、10Gibt/s、100Gibt/s，它们之间的关系呈10倍递增。

发送/接收速率为10Mbit/s的以太⽹端⼝称为标准以太⽹端⼝。

发送/接收速率为100Mbit/s的以太⽹端⼝称为快速以太⽹端⼝，简称FE（fast ethernet）。

发送/接收速率为1000Mbit/s的以太⽹端⼝称为千兆以太⽹端⼝，1000兆达到了吉，所以也称GE（gigabit ethernet）。

发送/接收速率为10Gbit/s的以太⽹端⼝称为万兆以太⽹端⼝，⼀吉等于1000兆，⼗吉就等于⼗个1000兆，⼗个1000就是⼀万，所以这种接⼝就被称为万兆以太⽹端⼝。

备份/冗余：提高网络的可靠性，防止单点故障二层冗余机制：STP，链路聚合，浮动静态路由，VRRP虚拟路由器冗余协议，HA高可用性，热备，冷备热备：通过冗余技术/协议实现动态的主备切换/负载分担可靠性高冷备：备份设备下电状态，当主设备失效后，进行物理替换节省费用（电费）双机热备技术产生的原因：1.防火墙通过VRRP协议实现备份---主备设备会话表无法同步2.通过防火墙的流量路径来回不一致造成数据丢失（不同VRRP组主备切换不一致）防火墙双机热备：组成：VRRP虚拟路由器冗余协议：管理一个VRRP组的主备切换，实现备份VGMP VRRP组统一管理协议（华为私有）：统一管理VRRP组，实现多个VRRP组主备切换一致HRR 华为私有冗余协议：实现防火墙会话表同步VGMP基本原理：当防火墙上的VGMP为Active/Standby状态时，组内所有VRRP备份组的状态统一为Active/Standby状态状态为Active的VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）状态：Active：主用防火墙，所有报文都将从该防火墙上通过，该状态下VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）Standby：备用防火墙，接收到对端发送HELLO报文，会回应一个ACK消息，该消息中也会携带本身的优先级、VRRP成员状态等成员的状态动态调整，以此完成两台防火墙的主备倒换VGMP HELLO报文发送周期缺省为1秒。

当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态防火墙的VGMP优先级有一个初始优先级，当防火墙的接口或者单板等出现故障时，会在初始优先级基础上减去一定的降低值USG6000和NGFW Module的初始优先级为45000USG9500的VGMP组的初始优先级与LPU板（接口板）上的插卡个数和SPU板（业务板）上的CPU个数有关VGMP组管理：状态一致性管理：VGMP管理组控制所有的VRRP备份组统一切换（VRRP备份组加入到管理组后，状态不能自行单独切换）抢占管理：当原来出现故障的主设备故障恢复时，其优先级恢复，此时可以重新将自己的状态抢占为主HRP：HRP（Huawei Redundancy Protocol）协议：用来实现防火墙双机之间动态状态数据和关键配置命令的备份在双机热备组网中，当主防火墙出现故障时，所有流量都将切换到备防火墙。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

防火墙双机热备特性FAQ1：问：R6新增了支持防火墙和路由器双机热备份组网，的这种组网是如何实现的防火墙主备组网的，需要在防火墙上配置哪些命令，需要注意哪些东西？答：R6上新增支持防火墙和路由器双机热备份组网，这种组网防火墙和路由器之间器OSPF 协议，同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值，使得路由器学到的路由都指向主防火墙，保证业务都从主防火墙上过，形成双机热备份的。

为了实现防火墙和双机热备份组网，需要在主备防火墙上配置命令：hrp ospf-cost adjust-enable，这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值，主防火墙直接发布路由。

这个COST值默认是65500。

防火墙和路由器组网的时候，心跳线不能配置成transfer-only，同时需要使用VRRP的优先级作为防火墙的VGMP的优先级，VRRP需要track上和路由器相连的接口。

2：问：R6双机热备份是如何支持来回路径不一致的，会话快速备份和传统的会话实时备份有什么区别，会话快速备份涉及到哪些命令行。

答：R6是通过支持会话快速备份来支持来回路径不一致的，会话快速备份就是在会话建立的时候就立即备份到对端防火墙上，保证即使是来回路径不一致，到备防火墙上的报文也能命中会话进行转发。

会话快速备份和传统的会话实时备份的区别是：1：会话快速备份在会话一建立就备份到备防火墙上，而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的，所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上，所以仅仅有会话实时备份不能支持来回路径不一致。

2：会话快速备份能备份tcp半连接会话和ICMP会话，而会话实时备份不备份半连接会话和ICMP的会话。

会话快速备份首先需要配置心跳口，并配置high-availability参数，保证此接口是高可用性接口，同时配置hrp mirror session enable。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

Eudemon防火墙双机热备业务特性与配置Eudemon防火墙是华为公司推出的一款高性能、高可靠性的网络安全设备。

在网络架构中，防火墙是非常重要的部分，其主要作用是监控和控制数据流量，保护网络安全。

而双机热备技术则是防火墙设备中的一项重要功能，能够在主设备故障的情况下，自动进行切换，保障网络的连续性和可靠性。

Eudemon防火墙的双机热备技术具有以下几个特性：1、高可用性：双机热备技术使得主备设备之间的状态保持实时同步，当主设备发生故障时，备设备可以立即接管主设备的工作，保证网络的持续运行。

2、高性能：双机热备技术采用硬件加速和负载均衡技术，可以将数据流量均匀地分发到主备设备上进行处理，提高防火墙的处理能力和响应速度。

3、灵活的部署方式：双机热备技术支持主备设备的本地部署和远程部署，可以根据实际情况进行选择，灵活满足不同网络环境的需求。

4、恢复能力强：双机热备技术具备自动切换和自动恢复功能，当主设备恢复正常运行时，能够自动将工作从备设备切换回主设备，实现系统的自动恢复和平滑过渡。

5、稳定可靠：双机热备技术采用了多种冗余设计，包括硬件冗余、软件冗余和数据冗余等，可以有效地提高防火墙的稳定性和可靠性，有效避免单点故障的发生。

对于Eudemon防火墙双机热备的配置，可以按照以下步骤进行：1、设备连接和初始化：将主备设备之间进行物理连接，确保两者之间的网络畅通，然后进行设备的初始化配置，包括设置IP地址、子网掩码、网关等，以及进行设备的授权和许可证的导入。

2、主备设备的信息同步：在主备设备之间进行信息同步，包括配置文件、路由表、状态信息等。

这是保证主备设备之间能够实时同步状态的基础。

3、配置双机热备功能：在主设备上开启双机热备功能，并设置备设备的优先级，配置主备设备的心跳检测参数，以便能够实时监测主备设备的状态。

4、测试和验证：在配置完成后，进行测试和验证，包括主备设备之间的切换测试、数据流量的负载均衡测试等，确保双机热备功能的正常运行和可靠性。

防火墙双机热备设计与应用作者：孙中诺来源：《电子技术与软件工程》2018年第03期摘要防火墙内外网通信，可通过防火墙信任区域与非信任区域，采用防火墙安全策略，实现内外网络通信。

使用单台防火墙可实现数据正常转发，但单台设备容易造成网络不可靠。

一旦直连链路或设备故障将会造成网络中断，内外网无法正常通信。

为了解决单点故障，采用防火墙双机热备组网方式，基于虚拟组管理协议，其中一台为主防火墙，另一台为备用防火墙，正常情况下主防火墙负责数据正常转发，当主防火墙或直连链路故障，备用防火墙担任主防火墙角色，实现链路数据正常转发，确保网络稳定性和可靠性。

【关键词】安全区域虚拟组管理协议心跳线1 防火墙双机热备拓扑结构与需求需求（如图1）：（1）按照网络拓扑结构，给出相应设备IP地址信息，华为防火墙USG5500FW1与USG5500FW2 g0/0/1端口属于trust区域，g0/0/2端口属于untrust区域，g0/0/3端口属于dmz 区域，全网采用OSPF路由协议，实现AR1能够与AR2正常通信。

（2）FW1为主防火墙，FW2为备用防火墙，通过心跳线，将防火墙配置信息和工作状态传递给备用防火墙。

当FW1防火墙出现故障或直连链路出现故障，主防火墙FW1失效，FW2备用防火墙担任主防火墙角色，实现链路数据正常转发。

（3）当主防火墙FW1恢复正常，备用防火墙FW2交还防火墙Master角色，继续作为Backup角色。

2 安全区域安全区域是一个或者多个接口所连接的网络。

防火墙提供缺省安全区域，本地区域（Local）、信任区域（Trust）、非军事化区域（Dmz）、非信任区域（Untrust），本地区域优先级为100，信任区域优先级为85、非军事化区域优先级为50、非信任区域优先级为5。

优先级的值越大，安全级别越高。

同一安全区域发送数据，不存在安全风险，不同区域之间发送数据会执行区域安全策略。

FW1防火墙配置：[FW1]firewall zone trust 进入防火墙trust区域[FW1-zone-trust]add interface g0/0/1 将g0/0/1端口加入到trust区域[FW1]firewall zone untrust进入防火墙untrust区域[FW1-zone-untrust]add interface g0/0/2将g0/0/2端口加入到untrust区域[FW1]firewall zone dmz 进入防火墙dmz区域[FW1-zone-untrust]add interface g0/0/3将g0/0/3端口加入到dmz区域同理防火墙FW2做相应的配置。

Eudemon防火墙双机热备业务上机指导书一、准备工作1. 确认硬件设备：需要一台Eudemon防火墙主设备和一台Eudemon防火墙备设备，两台设备应具有相同的硬件配置。

2. 确认网络环境：主备设备之间需要建立一个可靠的通信链路，保证数据的传输和同步。

3. 确认操作系统版本：主备设备应使用相同的Eudemon防火墙操作系统版本，以保证配置的一致性。

二、配置步骤1. 登录主设备：使用浏览器登录主设备的Web界面，进入系统配置界面。

2. 创建集群：在系统配置界面中，选择“集群管理”功能，点击“新建”按钮创建一个集群，填写集群的名称和描述。

3. 配置集群参数：在创建集群后，点击“更多设置”按钮，配置集群的参数，如通信链路的类型、通信链路的IP地址等。

4. 添加备设备：在集群配置界面中，点击“添加设备”按钮，输入备设备的IP地址，点击“确定”按钮。

5. 配置备设备参数：添加备设备后，点击“更多设置”按钮，配置备设备的参数，如备设备的优先级、数据同步方式等。

6. 启动集群：在集群配置界面中，点击“启动”按钮，确认启动集群操作。

7. 同步配置：在主设备上完成集群的配置后，需要将配置同步到备设备上，点击“同步配置”按钮进行同步。

8. 启动备设备：完成配置同步后，在备设备上点击“启动”按钮，确认启动备设备操作。

9. 检查集群状态：在集群配置界面中，点击“集群状态”按钮，确认集群状态显示为“正常”或“异常”。

10. 测试故障切换：可以通过人为断开主设备的网络连接或者重新启动主设备的方式来测试故障切换功能。

当主设备发生故障时，备设备能够自动接管工作。

三、注意事项1. 主备设备之间的通信链路必须稳定可靠，确保数据的传输和同步正常。

2. 主备设备的硬件配置必须一致，操作系统版本也必须一致。

3. 在配置集群参数时，需要根据实际网络环境进行具体配置，确保配置的准确性。

4. 在进行故障切换测试时，需要提前做好备份工作，以防止数据丢失或其他意外情况发生。

防火墙双机热备实验报告引言防火墙作为网络安全中的重要组成部分，能够帮助保护网络免受恶意攻击和未经授权的访问。

为了提高防火墙的可用性和可靠性，我们进行了防火墙双机热备实验。

本报告将详细介绍实验的背景、实验目的与方法、实验过程和结果，并进行总结和展望。

一、实验背景网络安全是当今世界面临的重要挑战之一，保护网络免受攻击和未经授权访问的需求日益增长。

防火墙作为网络安全的关键设备之一，能够监控和控制网络流量，实现对网络的安全保护。

然而，由于防火墙可能会出现故障或需要进行维护，可能会导致网络中断，给组织和用户带来不便和损失。

为了解决这一问题，防火墙双机热备技术应运而生。

该技术通过在两台防火墙设备上建立镜像配置和状态同步，实现了一台防火墙设备出现故障时，另一台设备能够自动接管工作，确保网络的连续性和安全性。

二、实验目的与方法本实验的主要目的是验证防火墙双机热备技术的可行性和效果。

我们选择了一对相同型号和配置的防火墙设备，分别命名为主防火墙和备份防火墙。

主要通过以下步骤来进行实验：1. 网络拓扑规划：根据实验需求和设备性能，设计了适合的网络拓扑结构。

确保主防火墙和备份防火墙之间能够进行数据通信和状态同步。

2. 防火墙配置：在主防火墙和备份防火墙上进行防火墙配置，包括网络接口配置、安全策略设置等。

确保两台防火墙设备的配置一致。

3. 连接测试：通过ping命令和其他网络工具，测试主防火墙和备份防火墙之间的连通性。

确保数据能够正常传输。

4. 故障模拟：模拟主防火墙故障情况，比如断电或设备故障。

观察备份防火墙是否能够自动接管工作，并确保网络的连续性和安全性。

三、实验过程和结果我们按照上述方法进行了防火墙双机热备实验。

在实验过程中，主防火墙和备份防火墙之间能够正常进行数据通信和状态同步。

当主防火墙出现故障时，备份防火墙能够自动接管工作，并正常处理网络流量。

经过多次测试，实验结果表明防火墙双机热备技术具有良好的可行性和效果。

[防火墙技术案例5]双机热备（负载分担）组网下的IPSec配置论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

[组网需求]如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

[需求分析]针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以与解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态？两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道？正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导？总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。