防火墙双机热备配置案例精编WORD版

SecPath-防火墙双机热备典型配置SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

华为防火墙的双机热备方案在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受因单点故障而导致的网络中断的风险。

防火墙一般用作内网到外网的出口，是业务关键路径上的设备，为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网。

双机热备组网的建立和运行需要解决以下五个关键问题：1.设备的主备状态是如何决定的2.如何监控并发现接口或者设备故障3.发现故障后，如何保证设备的主备状态切换4.正常情况和故障后，流量是如何引导的5.如何进行信息同步，保证主备切换后业务不中断以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP 共同配合解决的。

首先，VRRP自然不需要多说，我相信大家都非常清楚，这是一个公有的网关冗余技术，可以在两台设备之间形成虚拟IP地址，建立主备的冗余关系，但是传统的VRRP在安全领域有一个不可忽略的问题，就是当防火墙上下行业务端口上都配置了VRRP备份组的时候，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况。

我们来看下面这个图这是最基本的一个防火墙双机热备的连接拓扑，防火墙的业务接口工作在三层，上下行连接交换机，防火墙的上行接口和下行接口分别运行了两个独立的VRRP组，FW1为主设备，FW2为备设备，正常情况下，流量会在FW1上进行往返（也就是沿着蓝色箭头的方向走），现在假设FW1的下行接口故障，因此运行在下行接口的VRRP组会检测到这个问题，从而引发主备切换， FW2的下行接口会成为主接口，上行流量会从FW2转发出去，访问外部网络，但是因为上下行的VRRP组是独立运行的，所以对于上行接口而言，主设备依然还在FW1上，因此外部网络返回的流量依然会转发到FW1上，这样就造成了网络不通，这个问题，传统的VRRP是无法解决的，因此，华为在VRRP的基础之上，开发了VGMP协议。

VGMP的基本功能是集中管理和监控VRRP备份组，控制VRRP 备份组的统一切换，将一组VRRP备份组组成一个VGMP管理组，由VGMP管理组控制所有VRRP备份组同步倒换，保证所有VRRP备份组状态一致，VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。

NGX R70 checkpoint 防火墙双机热备安装文档说明：需要二个防火墙和一个管理服务器。

二个防火墙必须用3个以上的网卡（外网，内网，心跳线）。

我们先装第一台防火墙。

系统的提示信息出现，90秒内没有按键，安装将取消，立刻按enter 键。

其中，add driver可用于添加设备，可以通过device list查看设备驱动是否正常。

选择ok键继续选择你要安装的软件刀片。

动态路由的选择，如果不需要就选第一个。

选择US 键盘。

配置。

配置第一个防火墙的IP和默认网关，为避免冲突我们把WEB https://192.168.1.254:4434/访问的端口改成4434格式化你的硬盘选择OK。

安装完成OK，重新启动。

第二台防火墙的安装，和第一台一样（IP不太一样）。

立即按回车90秒以内。

选择OK按自己的需求选择软件刀片选择路由是否需要动态路由。

不需要选第一个。

US键盘编辑第一端口方便进入WEB https://192.168.1.253:4434/进行配置。

配置IP和默认网关。

修改成4434端口。

格式化。

重新启动。

在IE浏览器输入https://192.168.1.254:4434/进行第一台防火强的环境配置。

默认帐号和密码都是admin输入一个新的密码。

下一步。

配置3个接口，外网，内网，和心跳线。

配置外网的默认网关。

配置对应的DNS。

修改一下防火强的名称。

时间配置。

下一步，所有人都人访问这个CLIENT。

集群中的checkpoint防火墙此界面只选择安全网关Security Gateway，不需要在每个集群成员中安装管理服务Security ManagementSecurity Management组件需要安装到一个独立的服务器上（Windows/liunx均可），以便统一管理集群中的各个网关成员我们要配置的防火墙集群，所以这里的网关类型选择“this gateway is a member of a cluster”（这个网关是一个集群的成员）。

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。

在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。

当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。

配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

➢主墙a）配置HA心跳口地址。

①点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。

点击“确定”按钮保存配置。

双机热备服务器配置举例一、为什么要配置双机热备双机热备针对的是服务器的故障。

服务器的故障可能由各种原因引起，如设备故障、操作系统故障、软件系统故障等等。

——操作系统故障：非法指令造成的系统崩溃，系统文件被破坏导致无法启动操作系统等。

——应用程序损坏：缺少文件或程序本身不完善导致程序无法运行。

——整机损坏：由掉电、火灾、地震等造成设备无法运行。

——硬盘故障：硬盘是精密的机电设备，安装时的无意磕碰、掉电、电流突然波动等原因都有可能造成设备无法运行。

——网络设备故障：传输距离过长、设备添加与移动、传输介质的质量问题和老化都有可能造成故障。

——病毒错误：由于病毒引起系统崩溃或数据丢失。

一般地讲，在技术人员在现场的情况下，恢复服务器正常可能需要１０分钟、几小时甚至几天。

从实际经验上看，除非是简单地重启服务器（可能隐患仍然存在），否则往往需要几个小时以上。

而如果技术人员不在现场，则恢复服务的时间就更长了。

而对于生产系统而言，用户很难忍受长时间的服务中断的。

因此，就需要通过双机热备，来避免长时间的服务中断，保证系统长期、可靠的服务。

决定是否使用双机热备，正确的方法是要分析一下系统的重要性以及对服务中断的容忍程度，以此决定是否使用双机热备。

即，你的用户能容忍多长时间恢复服务，如果服务不能恢复会造成多大的影响。

在考虑双机热备时，需要注意，一般意义上的双机热备都会有一个切换过程，这个切换过程可能是一分钟左右。

在切换过程中，服务是有可能短时间中断的。

但是，当切换完成后，服务将正常恢复。

因此，双机热备不是无缝、不中断的，但它能够保证在出现系统故障时，能够很快恢复正常的服务，业务不致受到影响。

而如果没有双机热备，则一旦出现服务器故障，可能会出现几个小时的服务中断，对业务的影响就可能会很严重。

另有一点需要强调，即服务器的故障与交换机、存储设备的故障不同，其概念要高得多。

原因在于服务器是比交换机、存储设备复杂得多的设备，同时也是既包括硬件、也包括操作系统、应用软件系统的复杂系统。

概述juniper防火墙的双机具有高冗余性和安全性，便于管理，分为三种组网模式：layer3的A/P组网模式layer3的full-mesh的A/P组网模式layer3的full-mesh的A/A组网模式其中layer3A/P模式对环境要求最低，是业界广为流行的配置。

但是，其利用率不高，同一时间只有一台防火墙处理网络流量，一侧链路和设备出现故障时提供冗余切换。

配置要求硬件和软件版本相同，接口编号相同，放入HA的接口要统一。

配置时只需清空备的那一台，然后将HA、manger ip 、MGT端口ip，及个性化配置即可。

两台防火墙用e4口连接。

配置主防火墙unset interface e4 ip//清空e4口的ip地址set interface e4 zone ha//将e4口和HA区域绑定//-----配置NSRP----set nsrp cluster id 1//设置cluster组号set nsrp vsd id 0//设置虚拟安全数据库的组号0set nsrp vsd-group id 0 priority 50//设置nsrp主设备的优先级（优先级数值越大，优先级越小）set nsrp rto syn//设置配置同步set nsrp vsd-group id 0 monitor interface ethernet3set nsrp vsd-group id 0 monitor interface ethernet1//设置防火墙监控的端口//只有当备份防火墙配置之后，主设备上才能检测到备防火墙的状态（get nsrp）set nsrp vsd-group hb-interval 200//设置心跳信息每隔200秒发送问候信息set nsrp vsd-group hb-threshold 3//设置心跳信息总共发出3次问候信息save//保存配置备防火墙unset all//恢复出厂设置set interface e4 zone ha//将e4和ha区域绑定set nsrp cluster id 1//设置cluster组号set nsrp vsd id 0//设置vsd组号set nsrp vsd-group id 0 priority 100//设置nsrp主设备的优先级（优先级数值越大，优先级越小）set nsrp rto syn//设置配置同步set nsrp vsd-group id 0 monitor interface ethernet3set nsrp vsd-group id 0 monitor interface ethernet1//设置防火墙监控的端口set nsrp vsd-group hb-interval 200//设置心跳信息每隔200秒发送问候信息set nsrp vsd-group hb-threshold 3//设置心跳信息总共发出3次问候信息save //保存同步配置在备机上操作exec nsrp sync global-config check-sum//将两台设备的配置进行校检，如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中exec nsrp sync global-config save//如有不同，备份的设备将会在重启后把主设备上的配置导入备份主机中。

配置路由模式下主备备份方式的双机热备份举例组网需求Eudemon 1000E作为安全设备被部署在业务节点上。

其中上下行设备均是交换机，Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备，且均工作在路由模式下。

网络规划如下：∙需要保护的网段地址为10.100.10.0/24，与Eudemon 1000E的GigabitEthernet 0/0/1接口相连，部署在Trust区域。

∙外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连，部署在Untrust区域。

∙两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。

其中，各安全区域对应的VRRP组虚拟IP地址如下：∙Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。

∙Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。

∙DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。

组网图如图1所示。

图1 路由模式下主备备份方式的双机热备份配置举例组网图数据规划操作步骤1.在Eudemon 1000E A上完成以下基本配置。

# 配置GigabitEthernet 0/0/1的IP地址。

<Eudemon A> system-view[Eudemon A] interface GigabitEthernet 0/0/1[Eudemon A-GigabitEthernet0/0/1] ip address 10.100.10.2 24[Eudemon A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/2的IP地址。

[Eudemon A] interface GigabitEthernet 0/0/2[Eudemon A-GigabitEthernet0/0/2] ip address 10.100.20.2 24[Eudemon A-GigabitEthernet0/0/2] quit# 配置GigabitEthernet 0/0/3的IP地址。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

双机热备典型配置双机热备典型配置-网桥模式：测试拓扑：防火墙FW1配置：1 配置网桥eth100并将eth2和eth3口加入到网桥eth100中2 增加全通规则3 双机热备配置：热备接口：eth100 主IP 地址：1.1.1.1/24同步接口：eth34 启动双机热备服务防火墙FW2配置：1 配置网桥eth100并将eth2和eth3口加入到网桥eth100中2 增加全通规则3 双机热备配置：热备接口：eth100 备IP 地址：1.1.1.1/24同步接口：eth3Eth1004 启动双机热备服务测试内容：Host a 和Host b 经过防火墙通信，其中，防火墙FW1是主墙，防火墙FW2是备墙，当防火墙FW1工作异常时，启用防火墙FW2；当防火墙FW1恢复正常时，切换回防火墙FW1。

将主墙的包过滤规则和NA T规则同步到备墙。

注意：网桥必须启动生成树，否则两台墙的双机热备服务均启动时成环；网桥做热备接口，配主备IP地址，区分主备墙。

双机热备典型配置-路由（bond）模式：测试拓扑：防火墙FW1配置：1 配置地址绑定bond0并将eth0和eth2口加入到bond0中2 增加全通规则3 增加缺省网关：192.168.1.2124 SNA T：源地址对象（192.168.0.1/24）NA T后地址：192.168.1.845 双机热备配置：热备接口：bond0 主IP地址：192.168.1.84/24热备接口：eth1 主IP地址：192.168.0.84/24同步接口：eth36 启动双机热备服务防火墙FW2配置：1 配置地址绑定bond0并将eth0和eth2口加入到bond0中2 增加全通规则3 增加缺省网关：192.168.1.2124 SNA T：源地址对象（192.168.0.1/24）NA T后地址：192.168.1.845 双机热备配置：热备接口：bond0 备IP地址：192.168.1.84/24热备接口：eth1 备IP地址：192.168.0.84/24同步接口：eth36 启动双机热备服务测试内容：Host a 和Host b 经过防火墙通信，其中，防火墙FW1是主墙，防火墙FW2是备墙，当防火墙FW1工作异常时，启用防火墙FW2；当防火墙FW1恢复正常时，切换回防火墙FW1。

天融信防火墙双机热备配置说明天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

在核心交换机不做堆叠的情况下防火墙热备的案例一、需求分析数据中心建设高可用的网络架构，但是考虑到成本和运维，想选择一种经济实惠但是稳定可靠的架构二、设计思路1.为了节约公网IP地址所以在防火墙接口上面配置IP地址为内网地址，同时将公网IP地址设置成为VRRP组中的虚拟地址2.在防火墙A和防火墙B上使用双链路做聚合，再将聚合端口配置好IP地址加入到HRP 安全域中并指为HRP心跳检测端口3.核心交换机A和核心交换机B使用多链路做聚合，再将聚合端口配置为trunk属性透传业务vlan，在核心交换机A上配置业务VLAN的网关并为VRRP组中的master 在核心交换机B上配置vlan的网关并作为VRRP组中的slave同时交换机上的DHCP分配都采用全局地址池的方式并指定虚拟IP地址为业务网关。

4.核心交换机与接入交换机之间采用多链路互联，并部署MSTP保证二层链路的冗余（如果考虑到业务的负载均衡可以将不同的vlan划分到不同的mstp实例中去，这里就按单实例部署）5.正常情况下流量由核心交换机A和防火墙A做处理，当防火墙故障或者核心交换机故障都会触发主备的切换6.防火墙A上通过配置IP-link监控外网链路或者端口状态同时与HRP主备进行联动（防火墙上的业务端口down了或者失效的情况触发HRP主备切换）7.核心交换机A上通过配置vrrp组与上行端口进行联动（一旦与防火墙互联的端口down掉或者失效将会触发vrrp主备切换）三、设计拓扑内网防火墙ATrunk防火墙B核心交换机A心跳线互联网internet核心交换机B内网222.222.222.2/24IP:172.31.0.1/24virtual-IP 222.222.222.2vrrp ID 1masterIP:172.31.0.2/24virtual-IP 222.222.222.2vrrp ID 1SlaveVRRP group 1IP:10.0.0.2/24virtual-IP 10.0.0.254vrrp ID 2masterIP:10.0.0.3/24virtual-IP 10.0.0.254vrrp ID 2Slavevlanif3 192.168.3.1vrrp id 3virtual-ip 192.168.3.254Priority 120Track 上行端口vlanif4 192.168.4.1vrrp id 4virtual-ip 192.168.4.254Priority 120Track 上行端口vlanif3 192.168.3.2vrrp id 3virtual-ip 192.168.3.254Priority 100vlanif4 192.168.4.2vrrp id 4virtual-ip 192.168.4.254Priority 100MSTP 单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 3IP:10.0.0.4/24virtual-IP 10.0.0.1vrrp id 1Priority 120IP:10.0.0.5/24virtual-IP 10.0.0.1vrrp id 1Priority 100四、实验拓扑1.正常情况下的流量走向内网防火墙ATrunk防火墙B心跳线互联网internet核心交换机B内网222.222.222.2/24VRRP group 1MSTP 单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 32.主防火墙故障的情况内网防火墙ATrunk防火墙B心跳线互联网internet核心交换机B内网222.222.222.2/24VRRP group 1MSTP 单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 3内网一台主机ping外网的测试（掉了几个包，真实情况收敛速度会快点）备防火墙替代主防火墙的业务，快速会话同步防火墙B上的日志（主防火墙down掉，备防火墙承担业务）------------------------------------------------------------------------------------------------------------------------ %2015-12-23 14:24:27 FW-B %%01IFNET/4/LINK_STATE(l): Line protocol on interface G igabitEthernet0/0/2 has turned into DOWN state.%2015-12-23 14:24:25 FW-B %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0 /0/0, Virtual Router 1 : BACKUP changed to MASTER!%2015-12-23 14:24:25 FW-B %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0 /0/1, Virtual Router 2 : BACKUP changed to MASTER!%2015-12-23 14:24:25 FW-B %%01VGMP/4/STATE(l): Virtual Router Management Group SL AVE : SLAVE --> MASTER-------------------------------------------------------------------------------------------------------------------------防火墙B上的HRP状态------------------------------------------------------------------------------------------------------------------------ HRP_M<FW-B>display hrp state14:29:10 2015/12/23The firewall's config state is: MASTERCurrent state of virtual routers configured as slave:GigabitEthernet0/0/1 vrid 2 : master (peer down)GigabitEthernet0/0/0 vrid 1 : master (peer down)------------------------------------------------------------------------------------------------------------------------防火墙上B的会话表（实时同步防火墙A上的会话表，保证业务的连续性）----------------------------------------------------------------------------------------------------------------------HRP_M<FW-B>display firewall session table14:30:18 2015/12/23Current Total Sessions : 5icmp VPN:public --> public 192.168.3.253:30527[222.222.222.2:2092]-->222.222.222.1:2048icmp VPN:public --> public 192.168.3.253:30783[222.222.222.2:2093]-->222.222.222.1:2048icmp VPN:public --> public 192.168.3.253:31039[222.222.222.2:2094]-->222.222.222.1:2048icmp VPN:public --> public 192.168.3.253:31295[222.222.222.2:2095]-->222.222.222.1:2048icmp VPN:public --> public 192.168.3.253:31551[222.222.222.2:2096]-->222.222.222.1:2048------------------------------------------------------------------------------------------------------------------------核心交换A和B上的vrrp主备情况（因为和防火墙A的互联端口联动，如果防火墙A的状态异常会触发核心交换机VRRP组的切换）-------------------------------------------------------------------------------------------------------------------------------- <Core-A>display vrrp briefVRID State Interface Type Virtual IP----------------------------------------------------------------1 Backup Vlanif2 Normal 10.0.0.13 Backup Vlanif3 Normal 192.168.3.2544 Backup Vlanif4 Normal 192.168.4.254----------------------------------------------------------------Total:3 Master:0 Backup:3 Non-active:0<Core-A><Core-B>display vrrp briefVRID State Interface Type Virtual IP----------------------------------------------------------------1 Master Vlanif2 Normal 10.0.0.13 Master Vlanif3 Normal 192.168.3.2544 Master Vlanif4 Normal 192.168.4.254----------------------------------------------------------------Total:3----------------------------------------------------------------------------------------------------------------------------此时的流量走向情况内网防火墙ATrunk防火墙B心跳线互联网internet核心交换机B内网222.222.222.2/24VRRP group 1MSTP 单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 33.主核心交换机故障的情况内网防火墙ATrunk防火墙B心跳线互联网internet核心交换机B内网222.222.222.2/24VRRP group 1MSTP 单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 3内网主机ping外网测试的情况（由于核心交换机A故障会触发STP的计算，所以收敛速度相比交换机stack和css的速度是要慢点，真实情况会在15秒左右）核心交换机B上的vrrp情况（由于核心交换机A异常，触发核心交换机B抢占VRRP组的master）------------------------------------------------------------------------------------------------------------------------------ <Core-B>dis vrrp briefVRID State Interface Type Virtual IP----------------------------------------------------------------1 Master Vlanif2 Normal 10.0.0.13 Master Vlanif3 Normal 192.168.3.2544 Master Vlanif4 Normal 192.168.4.254----------------------------------------------------------------Total:3 Master:3 Backup:0 Non-active:0-------------------------------------------------------------------------------------------------------------------------------防火墙A和防火墙B上的HRP主备情况------------------------------------------------------------------------------------------------------------------------------ HRP_M<FW-A>2015-12-23 14:46:28 FW-A %%01IFNET/4/LINK_STATE(l): Line protocol on interface Gi gabitEthernet0/0/1 has turned into DOWN state.2015-12-23 14:46:28 FW-A %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0/1, Virtual Router 2 : MASTER changed to INITIALIZE!2015-12-23 14:46:28 FW-A %%01VGMP/4/STATE(l): Virtual Router Management Group MAS TER : MASTER --> MASTER_TO_SLAVE2015-12-23 14:46:28 FW-A %%01VGMP/4/STATE(l): Virtual Router Management Group MAS TER : MASTER_TO_SLAVE --> SLAVE2015-12-23 14:46:28 FW-A %%01VRRP/4/STATEWARNING(l): Interface: GigabitEthernet0/0/0, Virtual Router 1 : MASTER changed to BACKUP!HRP_S<FW-A>HRP_S<FW-A>display hrp state14:53:36 2015/12/23The firewall's config state is: SLAVECurrent state of virtual routers configured as master:GigabitEthernet0/0/1 vrid 2 : initialize (down)GigabitEthernet0/0/0 vrid 1 : slaveHRP_M<FW-B>display hrp state14:55:16 2015/12/23The firewall's config state is: MASTERCurrent state of virtual routers configured as slave:GigabitEthernet0/0/1 vrid 2 : master (peer down)GigabitEthernet0/0/0 vrid 1 : master-------------------------------------------------------------------------------------------------------------------------这种情况下流量的走向情况内网防火墙A Trunk防火墙B心跳线互联网internet核心交换机B内网222.222.222.2/24VRRP group 1MSTP单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 34.主链路中断的情况 内网防火墙A Trunk防火墙B心跳线互联网internet核心交换机B内网222.222.222.2/24VRRP group 1MSTP单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 3内网主机ping外网地址时候的情况（让主链路中断的情况下，会触发防火墙的hrp主备切换，但是不会触发核心交换机的vrrp主备切换）防火墙A和防火墙B上的HRP主备情况------------------------------------------------------------------------------------------------------------------------------- HRP_S<FW-A>display hrp state15:05:39 2015/12/23The firewall's config state is: SLAVECurrent state of virtual routers configured as master:GigabitEthernet0/0/1 vrid 2 : slaveGigabitEthernet0/0/0 vrid 1 : initialize (down)HRP_S<FW-A>HRP_M<FW-B>display hrp state15:07:00 2015/12/23The firewall's config state is: MASTERCurrent state of virtual routers configured as slave:GigabitEthernet0/0/1 vrid 2 : masterGigabitEthernet0/0/0 vrid 1 : master (peer down)核心交换机A和核心交换机B的vrrp主备情况--------------------------------------------------------------------------------------------------------------------------------- <Core-A>display vrrp briefVRID State Interface Type Virtual IP----------------------------------------------------------------1 Master Vlanif2 Normal 10.0.0.13 Master Vlanif3 Normal 192.168.3.2544 Master Vlanif4 Normal 192.168.4.254----------------------------------------------------------------Total:3 Master:3 Backup:0 Non-active:0<Core-B>display vrrp briefVRID State Interface Type Virtual IP----------------------------------------------------------------1 Backup Vlanif2 Normal 10.0.0.13 Backup Vlanif3 Normal 192.168.3.2544 Backup Vlanif4 Normal 192.168.4.254----------------------------------------------------------------Total:3 Master:0 Backup:3 Non-active:0<Core-B>--------------------------------------------------------------------------------------------------------------------------------- 这种情况下的流量走向内网防火墙A Trunk防火墙B心跳线互联网internet核心交换机B内网222.222.222.2/24VRRP group 1MSTP单实例或者多实例接入交换机接入交换机VRRP group 2VRRP group 3六、设备配置1.防火墙A配置HRP_M<FW-A>display current-configuration15:13:44 2015/12/23#stp region-configurationregion-name a07fd81520e0active region-configuration#interface GigabitEthernet0/0/0alias GE0/MGMTip address 172.31.0.1 255.255.255.0vrrp vrid 1 virtual-ip 222.222.222.2 255.255.255.0 master vrrp virtual-mac enable#interface GigabitEthernet0/0/1ip address 10.0.0.2 255.255.255.0vrrp vrid 2 virtual-ip 10.0.0.254 mastervrrp virtual-mac enable#interface GigabitEthernet0/0/2ip address 1.1.1.1 255.255.255.252#interface GigabitEthernet0/0/3#interface GigabitEthernet0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8#interface NULL0alias NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/1#firewall zone untrustset priority 5add interface GigabitEthernet0/0/0#firewall zone dmzset priority 50#firewall zone name hrpset priority 95add interface GigabitEthernet0/0/2#aaalocal-user admin password cipher %$%$wJn>:F9}OK>IC%K%pW8"1md[%$%$ local-user admin service-type web terminal telnetlocal-user admin level 15authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##nqa-jitter tag-version 1#ip route-static 192.168.3.0 255.255.255.0 10.0.0.1ip route-static 192.168.4.0 255.255.255.0 10.0.0.1#banner enable#user-interface con 0authentication-mode noneuser-interface vty 0 4authentication-mode noneprotocol inbound all#slb#right-manager server-group#sysname FW-A#l2tp domain suffix-separator @#hrp mirror session enablehrp enablehrp interface GigabitEthernet0/0/2#firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone local hrp direction inbound firewall packet-filter default permit interzone local hrp direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone hrp trust direction inbound firewall packet-filter default permit interzone hrp trust direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound firewall packet-filter default permit interzone hrp untrust direction inbound firewall packet-filter default permit interzone hrp untrust direction outbound firewall packet-filter default permit interzone hrp dmz direction inbound firewall packet-filter default permit interzone hrp dmz direction outbound#nat address-group 1 222.222.222.2 222.222.222.2#ip df-unreachables enable#firewall ipv6 session link-state checkfirewall ipv6 statistic system enable#dns resolve#firewall statistic system enable#pki ocsp response cache refresh interval 0pki ocsp response cache number 0#undo dns proxy#license-server domain #web-manager enable#nat-policy interzone trust untrust outboundpolicy 0action source-natpolicy source 192.168.3.0 mask 24policy source 192.168.4.0 mask 24address-group 1#returnHRP_M<FW-A>2.防火墙B配置HRP_S<FW-B>display current-configuration15:15:31 2015/12/23#stp region-configurationregion-name 3070d815b0d0active region-configuration#interface GigabitEthernet0/0/0alias GE0/MGMTip address 172.31.0.2 255.255.255.0vrrp vrid 1 virtual-ip 222.222.222.2 255.255.255.0 slave vrrp virtual-mac enable#interface GigabitEthernet0/0/1ip address 10.0.0.3 255.255.255.0vrrp vrid 2 virtual-ip 10.0.0.254 slavevrrp virtual-mac enable#interface GigabitEthernet0/0/2ip address 1.1.1.2 255.255.255.252#interface GigabitEthernet0/0/3#interface GigabitEthernet0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8#interface NULL0alias NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/1#firewall zone untrustset priority 5add interface GigabitEthernet0/0/0#firewall zone dmzset priority 50#firewall zone name hrpset priority 95add interface GigabitEthernet0/0/2#aaalocal-user admin password cipher %$%$e~3G@/}FG"N@E]=,y}OG1cZQ%$%$ local-user admin service-type web terminal telnetlocal-user admin level 15authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##nqa-jitter tag-version 1#ip route-static 192.168.3.0 255.255.255.0 10.0.0.1ip route-static 192.168.4.0 255.255.255.0 10.0.0.1#banner enable#user-interface con 0authentication-mode noneuser-interface vty 0 4authentication-mode noneprotocol inbound all#slb#right-manager server-group#sysname FW-B#l2tp domain suffix-separator @#hrp mirror session enablehrp enablehrp interface GigabitEthernet0/0/2#firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone local hrp direction inbound firewall packet-filter default permit interzone local hrp direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone hrp trust direction inbound firewall packet-filter default permit interzone hrp trust direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound firewall packet-filter default permit interzone hrp untrust direction inbound firewall packet-filter default permit interzone hrp untrust direction outbound firewall packet-filter default permit interzone hrp dmz direction inbound firewall packet-filter default permit interzone hrp dmz direction outbound#nat address-group 1 222.222.222.2 222.222.222.2 #ip df-unreachables enable#firewall ipv6 session link-state checkfirewall ipv6 statistic system enable#dns resolve#firewall statistic system enable#pki ocsp response cache refresh interval 0pki ocsp response cache number 0#undo dns proxy#license-server domain #web-manager enable#nat-policy interzone trust untrust outbound policy 0action source-natpolicy source 192.168.3.0 mask 24policy source 192.168.4.0 mask 24address-group 1#returnHRP_S<FW-B>3.核心交换机A配置<Core-A>display current-configuration#sysname Core-A#vlan batch 2 to 4#cluster enablentdp enablendp enable#drop illegal-mac alarm#dhcp enable#diffserv domain default#drop-profile default#ip pool 3gateway-list 192.168.3.254network 192.168.3.0 mask 255.255.255.0#ip pool 4gateway-list 192.168.4.254network 192.168.4.0 mask 255.255.255.0#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http#interface Vlanif2ip address 10.0.0.4 255.255.255.0vrrp vrid 1 virtual-ip 10.0.0.1vrrp vrid 1 priority 120vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 #interface Vlanif3ip address 192.168.3.1 255.255.255.0vrrp vrid 3 virtual-ip 192.168.3.254vrrp vrid 3 priority 120vrrp vrid 3 track interface GigabitEthernet0/0/1 reduced 30 dhcp select global#interface Vlanif4ip address 192.168.4.1 255.255.255.0vrrp vrid 4 virtual-ip 192.168.4.254vrrp vrid 4 priority 120vrrp vrid 4 track interface GigabitEthernet0/0/1 reduced 30 dhcp select global#interface MEth0/0/1interface GigabitEthernet0/0/1port link-type accessport default vlan 2#interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 4094 #interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 2 to 4094 #interface NULL0#ip route-static 0.0.0.0 0.0.0.0 10.0.0.254 #user-interface con 0user-interface vty 0 4#return<Core-A>4.核心交换机B配置<Core-B>display current-configuration #sysname Core-B#vlan batch 2 to 4#cluster enablentdp enablendp enable#drop illegal-mac alarm#dhcp enable#diffserv domain default#drop-profile defaultip pool 3gateway-list 192.168.3.254network 192.168.3.0 mask 255.255.255.0 #ip pool 4gateway-list 192.168.4.254network 192.168.4.0 mask 255.255.255.0 #aaaauthentication-scheme default authorization-scheme default accounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple admin local-user admin service-type http#interface Vlanif2ip address 10.0.0.5 255.255.255.0vrrp vrid 1 virtual-ip 10.0.0.1#interface Vlanif3ip address 192.168.3.2 255.255.255.0 vrrp vrid 3 virtual-ip 192.168.3.254 dhcp select global#interface Vlanif4ip address 192.168.4.2 255.255.255.0 vrrp vrid 4 virtual-ip 192.168.4.254 dhcp select global#interface MEth0/0/1#interface GigabitEthernet0/0/1port link-type accessport default vlan 2#interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/3port link-type trunkinterface NULL0#ip route-static 0.0.0.0 0.0.0.0 10.0.0.254 #user-interface con 0user-interface vty 0 4#return<Core-B>5.接入交换机配置<ACC-1>display current-configuration#sysname ACC-1#vlan batch 3 to 4#cluster enablentdp enablendp enable#drop illegal-mac alarm#diffserv domain default#drop-profile default#aaaauthentication-scheme default authorization-scheme default accounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple admin local-user admin service-type http#interface Vlanif1#interface MEth0/0/1#interface GigabitEthernet0/0/1port link-type trunk#interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/3port link-type accessport default vlan 3#interface GigabitEthernet0/0/4port link-type accessport default vlan 4interface NULL0#user-interface con 0user-interface vty 0 4#return<ACC-1>注：核心交换机和接入交换机默认运行MSTP这里不再阐述在核心交换机做堆叠的情况下防火墙热备的案例以后推出，请关注琨哥动态。

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。

在负载均衡模式下（最多支持九台设备），两台/ 多台防火墙并行工作，都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID 相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。

当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP 进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1 双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。

配置要点设置HA心跳口属性设置除心跳口以外的其余通信接口属于VRID2指定HA的工作模式及心跳口的本地地址和对端地址主从防火墙的配置同步WEBUI配置步骤1配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ ha-static选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

主墙a）配置HA心跳口地址。

① 点击网络管理> 接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。

点击“确定”按钮保存配置② 点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮，如下图所示。

【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D 处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态？两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道？正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导？总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。