防火墙双机热备配置案例

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

Quidway Eudemon300/500/1000配置指南可靠性分册目录目录1双机热备份配置 (1)1.1简介 (2)1.1.1总体概述 (2)1.1.2VRRP概述 (4)1.1.3VGMP概述 (5)1.1.4备份方式分类 (6)1.1.5HRP应用 (10)1.1.6配置设备的主从划分 (10)1.1.7配置命令和状态信息的备份 (11)1.1.8双机热备份的组网方式 (12)1.1.9报文来回路径不一致的组网 (13)1.2配置VRRP备份组 (18)1.2.1建立配置任务 (18)1.2.2配置未加入VRRP管理组的VRRP备份组 (18)1.2.3配置加入VRRP管理组的VRRP备份组 (19)1.2.4检查配置结果 (20)1.3配置VRRP管理组 (21)1.3.1建立配置任务 (21)1.3.2配置路由模式下的VRRP管理组 (22)1.3.3配置混合模式下的VRRP管理组 (23)1.3.4检查配置结果 (24)1.4配置双机热备份 (24)1.4.1建立配置任务 (24)1.4.2配置来回路径一致时的双机热备份 (26)1.4.3检查配置结果 (26)1.5配置来回路径不一致时的链路可达性检查 (27)1.5.1建立配置任务 (27)1.5.2检查链路可达性 (27)1.6使能来回路径不一致时的会话快速备份和报文搬迁 (28)1.6.1建立配置任务 (28)目录Quidway Eudemon300/500/1000配置指南可靠性分册1.6.2使能会话快速备份 (29)1.6.3使能报文搬迁 (29)1.7配置备防火墙上的NAT (30)1.7.1建立配置任务 (30)1.7.2配置备防火墙上的NAT (30)1.7.3配置备防火墙上的内部服务器 (30)1.8维护 (31)1.8.1调试VRRP报文、状态和定时器 (31)1.8.2调试VRRP管理组 (31)1.8.3调试HRP (31)1.8.4检查两端配置的一致性 (32)1.8.5查看IP链路状态 (32)1.8.6调试IP链路 (32)1.8.7调试HRP配置检查功能 (33)1.9配置举例 (33)1.9.1配置使用VRRP管理组的主备备份示例 (33)1.9.2配置使用VRRP管理组的负载分担示例 (37)1.9.3配置混合模式下的使用VRRP管理组的主备备份示例 (42)1.9.4配置路由模式下的双机热备份示例 (45)1.9.5配置混合模式下的双机热备份示例 (46)1.9.6配置OSPF和双机热备份混合组网示例 (48)1.9.7配置IP link示例 (56)1.9.8配置两端状态一致性检查 (58)1.9.9配置会话快速备份 (60)1.9.10配置报文搬迁 (61)Quidway Eudemon300/500/1000配置指南可靠性分册插图目录插图目录图1-1来回路径一致组网图 (2)图1-2来回路径不一致组网图 (3)图1-3采用缺省路由的组网 (4)图1-4采用VRRP的虚拟路由器组网 (4)图1-5Eudemon备份的典型组网 (5)图1-6Eudemon备份的状态 (5)图1-7主备备份组网 (6)图1-8负载分担组网（1） (7)图1-9负载分担组网（2） (9)图1-10Eudemon主备备份的典型数据路径 (10)图1-11来回路径不一致组网图 (13)图1-12H型结构 (14)图1-13h型结构 (15)图1-14N型结构 (16)图1-15|-型结构 (17)图1-16使用VRRP管理组的主备备份组网 (34)图1-17使用VRRP管理组的负载分担组网 (38)图1-18混合模式下的VRRP管理组的主备备份组网图 (42)图1-19混合模式下的双机热备分组网图 (47)图1-20OSPF和双机热备份混合组网图 (49)图1-21采用路由器的双机热备分组网图 (56)图1-22配置两端状态一致性检查组网图 (59)图1-23配置会话快速备份 (60)Quidway Eudemon300/500/1000配置指南可靠性分册表格目录表格目录表1-1主备备份方式下各设备的状态 (7)表1-2负载分担方式下各设备的状态（1） (8)表1-3负载分担方式下各设备的状态（2） (8)表1-4检查VRRP备份组配置 (20)表1-5检查VRRP管理组配置 (24)表1-6检查双机热备配置 (26)表1-7调试VRRP报文、状态和定时器的相关操作 (31)表1-8调试VRRP管理组的相关操作 (31)表1-9调试HRP的相关操作 (31)表1-10查看IP链路状态 (32)表1-11调试IP链路的相关操作 (33)表1-12调试HRP配置检查功能的相关操作 (33)Quidway Eudemon300/500/1000配置指南可靠性分册1双机热备份配置1双机热备份配置关于本章本章描述内容如下表所示。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

负载分担模式双机热备典型配置举例4.1 组网需求在图36所示的防火墙动态路由OSPF双机热备组网中，需要实现：∙  通过配置等价路由，在主、备防火墙正常工作时，主、备防火墙可以负载分担内外网流量。

∙  当其中一台防火墙故障或与两台交换机相连的某一条链路故障时，流量可以及时从两台防火墙切换至一台防火墙，从而保证新发起的会话能正常建立，当前正在进行的会话也不会中断，网络业务能够平稳运行。

图36 负载分担模式双机热备组网图4.2 配置思路为了使数据流量能够负载分担通过防火墙进行转发，需要使防火墙的路由度量值保持一致。

4.3 使用版本本举例是在U200-A R5135版本上进行配置和验证的。

4.4 配置注意事项∙  双机热备只支持两台设备进行备份。

∙  双机热备的两台设备要求硬件配置和软件版本一致，并且要求接口卡的型号与所在的槽位一致，否则会出现一台设备备份过去的信息，在另一台设备上无法识别，或者找不到相关物理资源，从而导致流量切换后报文转发出错或者失败。

∙  在双机热备页面进行配置后，如果没有提交配置就单击<修改备份接口>按钮进入备份接口配置页面，则对双机热备页面进行的配置会丢失。

∙  双机热备的两台设备上的备份接口之间可以通过转发设备（如：路由器、交换机、HUB）进行中转，但是必须保证经过转发设备后报文携带的Tag为备份VLAN的VLAN Tag。

4.5 配置步骤4.5.1 Firewall A的配置1. 通过Web方式配置(1)配置接口GigabitEthernet0/1、GigabitEthernet0/2接口的IP地址。

# 在导航栏中选择“设备管理> 接口管理”。

点击接口对应的编辑按钮“”，进入“接口编辑”配置页面。

# 配置接口工作在“三层”模式以及IP地址。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

两台USG5120防火墙多ISP接入，运行双机热备主备模式。

内网两台S7706交换机运行VRRP，各自连接到USG5120防火墙上。

应用服务器做双网卡绑定(主备模式)，分别连接两台S7706交换机上。

两台USG防火墙上、下行运行VRRP。

通过配置VRRP备份组，分别加入到VGMP管理组中。

通过Master和Slave状态统一监控。

心跳接口不参加业务流量。

启用HRP备份功能，对两台USG的配置与状态进行实时备份，避免网络异常业务中断长久。

配置NAT策略，供内网用户上Internet。

配置端口映射将内部应用发布到外网。

防火墙默认域间策略全部放行，方便测试。

网络拓扑：set priority 15add interface GigabitEthernet 0/0/0#interface GigabitEthernet 0/0/1ip add 10.10.12.1 24#firewall zone name wan2set priority 10add interface GigabitEthernet 0/0/1#interface GigabitEthernet 0/0/2ip add 10.10.10.1 24#firewall zone trustadd interface GigabitEthernet 0/0/2#interface GigabitEthernet 0/0/3ip address 10.10.254.1 24#firewall zone dmzadd interface GigabitEthernet 0/0/8#firewall packet-filter default permit all#ip route-static 10.88.85.0 255.255.255.0 10.10.10.20 ip route-static 0.0.0.0 0.0.0.0 202.100.1.100#FW2：#Sysname FW2#interface GigabitEthernet 0/0/0ip address 10.10.11.2 24#firewall zone trustundo add interface GigabitEthernet 0/0/0#firewall zone name wan1set priority 15add interface GigabitEthernet 0/0/0#interface GigabitEthernet 0/0/1ip add 10.10.12.2 24#firewall zone name wan2set priority 10add interface GigabitEthernet 0/0/1#interface GigabitEthernet 0/0/2ip add 10.10.10.2 24#firewall zone trustadd interface GigabitEthernet 0/0/2#interface GigabitEthernet 0/0/3ip address 10.10.254.2 24#firewall zone dmzadd interface GigabitEthernet 0/0/8#firewall packet-filter default permit all#ip route-static 10.88.85.0 255.255.255.0 10.10.10.20ip route-static 0.0.0.0 0.0.0.0 202.100.2.100#配置内网核心交换机，并配置VRRP、S7706-1为Master VRRP S7706-1:#sysname S7706-1#vlan batch 10 885#interface Vlanif10ip address 10.10.10.21 255.255.255.0vrrp vrid 10 virtual-ip 10.10.10.20vrrp vrid 10 priority 105#interface Vlanif885ip address 10.88.85.241 255.255.255.0 vrrp vrid 85 virtual-ip 10.88.85.240vrrp vrid 85 priority 105#interface Eth-Trunk1description HAport link-type trunkport trunk allow-pass vlan 10 885mode lacp#interface GigabitEthernet6/0/1port link-type accessport default vlan 10#interface GigabitEthernet6/0/2port link-type accessport default vlan 885#interface GigabitEthernet6/0/42eth-trunk 1#interface GigabitEthernet6/0/43eth-trunk 1#ip route-static 0.0.0.0 0.0.0.0 10.10.10.10 #S7706-2:#sysname S7706-2#vlan batch 10 885#interface Vlanif10ip address 10.10.10.22 255.255.255.0 vrrp vrid 10 virtual-ip 10.10.10.20#interface Vlanif885ip address 10.88.85.241 255.255.255.0 vrrp vrid 85 virtual-ip 10.88.85.240#interface Eth-Trunk1description HAport link-type trunkport trunk allow-pass vlan 10 885mode lacp#interface GigabitEthernet6/0/1port link-type accessport default vlan 10#interface GigabitEthernet6/0/2port link-type accessport default vlan 885#interface GigabitEthernet6/0/42eth-trunk 1#interface GigabitEthernet6/0/43eth-trunk 1#ip route-static 0.0.0.0 0.0.0.0 10.10.10.10#2.配置USG防火墙VRRP备份组，并加入VGMP管理组。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

将此防火墙设置为从防火墙模式，且把防火墙的ID号设置为1。

e. 第三步是通过防火墙管理软件连接上防火墙，可按实际网络环境需要配置相应的访问策略（如有疑问请参看“防火墙4000访问策略和通信策略”相关文档或DEMO演示）；
f. 接下来在防火墙管理器中点击“工具”→“配置管理” 中的“同步”按钮，使得主从防火墙的状态保持一致；
g. 以上步骤完成以后，防火墙即进入双机热备状态：一旦主防火墙系统出现故障或主传输线路中断时，从防火墙便会立即接替工作。

h. 本操作暂无DEMO演示（以后版本中会加以补充）。

注意：
在双机热备的系统中，两台防火墙的软件版本必须相同，网络端口的数目和类型也要相同；必须将每个防火墙的最后一个接口作为热备口；心跳线必须选用交叉线连接；如果防火墙有多余的端口，必须将其DOWN掉，具体操作如下（进入串口模式）：
另外，两台防火墙的配置必须保持一致；管理员通过管理器只能对一台防火墙进行管理，配置完毕后，必须通过“同步”菜单将修改信息发送到另一台防火墙。

关键词：
状态传输开关：用于保护防火墙已经建立的连接在主从防火墙切换时不会导致丢失。

例如某个连接经过主防火墙，此时主墙发生故障，由从墙接替工作。

如果状态传输（STP）开关没有打开，则这个连接必须重新建立才能通信；如果开关打开，则连接不需要重新建立，两端的通信机器可以完全没有意识到故障的存在。

知识点：
双机热备：将两台网络设备并联在网络中，在任何时刻只有一台设备工作（称为主设备），另一台设备（称为从设备）监视主设备的工作状态；当主设备发生故障时，由从设备来接替工作。

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。

在负载均衡模式下（最多支持九台设备），两台/ 多台防火墙并行工作，都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID 相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。

当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP 进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1 双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。

配置要点设置HA心跳口属性设置除心跳口以外的其余通信接口属于VRID2指定HA的工作模式及心跳口的本地地址和对端地址主从防火墙的配置同步WEBUI配置步骤1配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ ha-static选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

主墙a）配置HA心跳口地址。

① 点击网络管理> 接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。

点击“确定”按钮保存配置② 点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮，如下图所示。

【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D 处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态？两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道？正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导？总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。

路由模式防火墙和路由器以及交换机双机热备组网路由模式下防火墙和交换机的组网，防火墙可以对外发布VRRP虚地址，使VRRP虚地址作为路由的下一跳地址，同时防火墙和路由器之间起OSPF，使得路由器形成备份关系。

图1 路由模式和路由器及交换机双机热备组网图如图1所示，此种组网是防火墙上行是路由器下行为交换机，是应用较多的一种组网，对于此种组网，防火墙需要和路由器之间运行OSPF 协议，防火墙对交换机一侧起VRRP协议，使VRRP虚地址作为交换机下面设备的下一跳地址来保证报文转发到主防火墙上。

如果要形成主备组网，可以在防火墙的上下行路由器上对特定的链路调整COST值，保证业务都从同一边的路由器上转发；或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令，使备防火墙发布路由的时候增大COST，保证业务在同一边的路由器上转发。

如果要形成负载分担的组网，即主备防火墙上都有转发业务，需要保证防火墙上下行的路由器上都能有业务到达防火墙，这个可以通过配置路由的方式实现，对交换机一侧需要起两个VRRP，分别加入不同VRRP管理组中，两个VRRP管理组在两台防火墙上分别为主状态，同时最好保证来回路径一致，可以通过在路由器上配置策略路由来实现。

如果存在来回路径不一致的情况，需要在防火墙上配置会话快速备份功能。

组网优点：∙防火墙上行是路由器下行是交换机，能适应绝大部分的组网需要，在绝大部分的组网需求中通过在汇聚层交换机和核心层路由器之加防火墙来保护网络免受攻击。

∙防火墙下行为交换机，通过VRRP报文来感知网络故障，故障相应速度快，防火墙上行路由器和防火墙之间起路由协议，能快速收敛。

∙此种组网能适合路由模式下的防火墙的所有的应用类型，对外提供虚IP，能以虚IP地址作为L2tp或者是IPSec的协商地址，使此种应用也能在一台防火墙发生故障的时候能进行链路备份。

∙防火墙上下行业务口采用GE口，转发性能高，能达到防火墙最大转发性能。