Vrrp双机热备

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。

在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。

当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。

配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

➢主墙a）配置HA心跳口地址。

①点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。

点击“确定”按钮保存配置。

一、实验目的本次实验旨在通过搭建双机热备系统，实现对关键服务的自动故障切换和高可用性保障。

通过实验，掌握双机热备系统的搭建、配置和测试方法，提高对高可用性解决方案的理解和实际操作能力。

二、实验环境1. 硬件环境：- 服务器A：Intel Xeon CPU E5-2620 v3，16GB内存，1TB硬盘- 服务器B：Intel Xeon CPU E5-2620 v3，16GB内存，1TB硬盘- 网络设备：交换机、路由器等2. 软件环境：- 操作系统：CentOS 7.6- 软件包：LVS、Keepalived、Nginx等三、实验步骤1. 环境准备- 服务器A、B安装CentOS 7.6操作系统，并进行必要的网络配置。

- 在服务器A、B上安装LVS、Keepalived、Nginx等软件包。

2. LVS配置- 在服务器A上配置LVS的Director角色，设置虚拟IP地址（VIP）和端口映射。

- 在服务器B上配置LVS的RealServer角色，设置真实服务器地址和端口。

3. Keepalived配置- 在服务器A、B上分别配置Keepalived，设置VRRP虚拟路由冗余协议。

- 服务器A作为主服务器，拥有VIP地址，负责提供服务。

- 服务器B作为备份服务器，处于监控状态，一旦服务器A故障，自动接管VIP地址。

4. Nginx配置- 在服务器A、B上安装Nginx，并配置相同的虚拟主机。

- 设置Nginx反向代理，将请求转发到后端RealServer。

5. 实验测试- 在服务器A上测试服务，确保Nginx正常运行。

- 通过ping命令测试VIP地址，确认服务器A拥有VIP。

- 模拟服务器A故障，查看服务器B是否自动接管VIP地址。

- 在服务器B上测试服务，确保Nginx正常运行。

四、实验结果与分析1. 实验结果- 成功搭建双机热备系统，实现了对关键服务的自动故障切换和高可用性保障。

- 在服务器A故障的情况下，服务器B自动接管VIP地址，保证服务正常运行。

双机热备⽬录1、双机热备基础概念双机热备是⼀种概念，各种设备均可以采⽤此概念进⾏部署，⽐如三层交换机、路由器、防⽕墙、服务器等。

如果仅部署⼀台设备，难免会有单点故障的风险，所以部署两台，⼀主⼀备较为保险，⼀台坏了，另⼀台⾃动“顶上”，保证业务不中断，这就是双机热备。

最常见的双机热备就是同时带着同⼀品牌的两台⼿机，A坏了，B登录A的账号，通讯录与邮箱会同步过来，与保证业务不中断。

NOTE：1. 等保三级以上要求必须要有冗余设备，关键设备必须是⼀主⼀备的，这样才能保证业务的稳定性。

双机热备是⽹络⼯程师必须熟练掌握的技术之⼀。

2. 防⽕墙的双机热备其它设备不同，防⽕墙的双机热备需要⼀条专门的备份通道，⽤于两台防⽕墙之间的协商主备状态，以及会话等状态信息。

双机热备主要包括主备备份和负载分担两个场景。

主备备份指正常情况下仅由主⽤设备处理业务，备⽤设备空闲；当主⽤设备接⼝、链路或整机故障时，备⽤设备切换为主⽤设备，接替主⽤设备处理业务。

负载分担也可以称为“互为主备”，即两台设备同时处理业务。

当其中⼀台设备发⽣故障时，另外⼀台会⽴即承担其业务，保证业务不中断。

2、链路聚合讲双机热备之前，必须先讲链路聚合和VRRP，因为双机热备是在这两个技术的基础上进⾏实现的。

2.1 链路聚合的基本概念因为以太⽹的信息传输率主要有：10Mbit/s、100Mbit/s、1000Mbit/s（1Gibt/s）、10Gibt/s、100Gibt/s，它们之间的关系呈10倍递增。

发送/接收速率为10Mbit/s的以太⽹端⼝称为标准以太⽹端⼝。

发送/接收速率为100Mbit/s的以太⽹端⼝称为快速以太⽹端⼝，简称FE（fast ethernet）。

发送/接收速率为1000Mbit/s的以太⽹端⼝称为千兆以太⽹端⼝，1000兆达到了吉，所以也称GE（gigabit ethernet）。

发送/接收速率为10Gbit/s的以太⽹端⼝称为万兆以太⽹端⼝，⼀吉等于1000兆，⼗吉就等于⼗个1000兆，⼗个1000就是⼀万，所以这种接⼝就被称为万兆以太⽹端⼝。

USG双机热备vrrp+hrp配置（上接二层，下接三层的交叉组网模式）1.配置各接口IP以及vrrp，并加入相应的zone(写vrid的时候一定要加入掩码比如/24，否则不允许不同网段的vrid存在)2.给配置vrrp的接口下面启用vrrpvirtual-mac enable这样vrid才可以ping到，尤其是在ensp中3.isp1的vrrp为master，而isp2的vrrp为slave4.暂时打开防火墙的所有通路firewallpacket-filter default permit all5.配置域间路由6.开启双击热备hrpenable(如果已经开启了hrp又想在备墙上面做配置，可以通过开启配置来进行，即：HRP_S[FW2]hrpslave config enable)要添加的静态路由：HRP_M[FW1]ip route-static 192.168.10.0 24 10.1.14.254HRP_S[FW2]ip route-static 192.168.10.0 24 10.1.14.254 [S1]ip route-static 1.1.1.0 24 10.1.14.100[S2]ip route-static 10.1.14.0 24 192.168.10.254[isp1]ip route-static 10.1.18.0 255.255.255.0 1.1.1.1 [isp1]ip route-static 192.168.10.0 24 1.1.1.1[isp2]ip route-static 10.1.18.0 255.255.255.0 2.2.2.2 [isp2]ip route-static 192.168.10.0 24 2.2.2.2[FW1]interface GigabitEthernet 0/0/1[FW1-GigabitEthernet0/0/1]ip address 10.1.11.1 24[FW1-GigabitEthernet0/0/1]vrrpvrid 1 virtual-ip 1.1.1.1 24 master [FW1-GigabitEthernet0/0/1]vrrp virtual-mac enable因为是在模拟器中，所以要开启MAC，否则会访问不了虚拟的网关地址。

备份/冗余：提高网络的可靠性，防止单点故障二层冗余机制：STP，链路聚合，浮动静态路由，VRRP虚拟路由器冗余协议，HA高可用性，热备，冷备热备：通过冗余技术/协议实现动态的主备切换/负载分担可靠性高冷备：备份设备下电状态，当主设备失效后，进行物理替换节省费用（电费）双机热备技术产生的原因：1.防火墙通过VRRP协议实现备份---主备设备会话表无法同步2.通过防火墙的流量路径来回不一致造成数据丢失（不同VRRP组主备切换不一致）防火墙双机热备：组成：VRRP虚拟路由器冗余协议：管理一个VRRP组的主备切换，实现备份VGMP VRRP组统一管理协议（华为私有）：统一管理VRRP组，实现多个VRRP组主备切换一致HRR 华为私有冗余协议：实现防火墙会话表同步VGMP基本原理：当防火墙上的VGMP为Active/Standby状态时，组内所有VRRP备份组的状态统一为Active/Standby状态状态为Active的VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）状态：Active：主用防火墙，所有报文都将从该防火墙上通过，该状态下VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）Standby：备用防火墙，接收到对端发送HELLO报文，会回应一个ACK消息，该消息中也会携带本身的优先级、VRRP成员状态等成员的状态动态调整，以此完成两台防火墙的主备倒换VGMP HELLO报文发送周期缺省为1秒。

当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态防火墙的VGMP优先级有一个初始优先级，当防火墙的接口或者单板等出现故障时，会在初始优先级基础上减去一定的降低值USG6000和NGFW Module的初始优先级为45000USG9500的VGMP组的初始优先级与LPU板（接口板）上的插卡个数和SPU板（业务板）上的CPU个数有关VGMP组管理：状态一致性管理：VGMP管理组控制所有的VRRP备份组统一切换（VRRP备份组加入到管理组后，状态不能自行单独切换）抢占管理：当原来出现故障的主设备故障恢复时，其优先级恢复，此时可以重新将自己的状态抢占为主HRP：HRP（Huawei Redundancy Protocol）协议：用来实现防火墙双机之间动态状态数据和关键配置命令的备份在双机热备组网中，当主防火墙出现故障时，所有流量都将切换到备防火墙。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

防⽕墙双机热备概念双机热备的⼯作原理 1、双机热备概述 a) 双机热备是通过部署两台或多台防⽕墙实现热备及负载均衡 b) 双机热备功能是通过提供⼀条⼼跳线，协商防⽕墙之间的主备状态及备份会话表和server-map表 c) 备⽤设备实时从主⽤设备下载当前的会话表及server-map表 d) 要求：1. ⼼跳线的接⼝加⼊相同的安全区域2. ⼼跳线接⼝的设备编号必须⼀致 e) 两种模式：1. 热备模式：⼀台转发数据，其他不转发，但会同步会话表及server-map表2. 负载均衡模式：多台防⽕墙同时转发数据，相互为备⽤设备 2、 VRRP a) 概述1. VRRP：虚拟路由冗余协议2. VRRP技术可以解决⽹关⾃动切换的问题3. 概念：1. VRRP路由器：运⾏VRRP协议的路由器2. 虚拟路由器：⼀个主路由器和若⼲备⽤路由器组成备份组，对客户提供⼀个虚拟⽹关3. VRID：虚拟路由器标识4. 虚拟IP地址：客户⽹关ip，主⽤设备提供该IP地址的ARP响应5. 虚拟Mac地址6. IP地址拥有者，虚拟ip为某个设备端⼝ip7. 优先级：选举主⽤设备8. 抢占模式：9. ⾮抢占模式4. VRRP和HSRP对⽐1. VRRP公有协议，HSRP是cisco私有2. VRRP虚拟ip可以是接⼝ip，HSRP不可以3. VRRP的虚拟MAC地址前缀为：00-00-5e-00-01-VRIP HSRP的虚拟Mac地址前缀为：00-00-0c-07-ac-组号 4.VRRP有三个状态，HSRP有五个状态 5.VRRP只有⼀种报⽂，HSRP有三种报⽂ 6.VRRP不⽀持端⼝追踪，HSRP⽀持 b) VRRP⾓⾊1. Master 路由器：主2. Backup路由器：备 c) VRRP状态机1. Initialize状态：初始状态2. Master状态：主⽤路由器3. Backup状态：备⽤路由器 先经历backup状态，再到master状态 d) VRRP的⼯作原理1. 选举：优先级（⾼）——接⼝IP（数值⼤）2. 默认优先级为100，IP地址拥有者2553. 主周期性（每1秒）向备发送VRRP通告4. 抢占：优先级⼤的随时成为主 ⾮抢占：下次公平选举 3、 VGMP a) 让防⽕墙上⾏和下⾏都具备⽹关冗余特性 b) VGMP：VRRP组管理协议，实现对VRRP备份组的统⼀管理 c) ⼯作原理：1. VGMP组的状态决定了VRRP备份组的状态2. VGMP组的状态通过对⽐优先级决定 优先级⾼：VGMP组状态为active 优先级低：VGMP组状态为standby 3. 默认，VGMP组优先级为45000 4. VGMP组根据组内VRRP备份组状态决定， ⼀旦检测到备份组状态变为initialize，VGRP组优先级⾃动减2 5. VGMP通过⼼跳线协商VGMP d) VGMP的报⽂封装1. ⼼跳线直连或通过⼆层交换机互联：发送组播报⽂，报⽂不携带UDP头部信息2. ⼼跳线通过三层路由器互联：发送单播报⽂，携带UDP头部信息3. [USG6000V1] hrp int g1/0/0 //发送组播报⽂4. [USG6000V1] hrp int g1/0/0 remote 1.1.1.1 //发送单播报⽂ Remote：表⽰封装UDP报⽂， 1.1.1.1：⼼跳线对端设备的ip地址 e) 双机热备的备份⽅式：1. ⾃动备份：默认开启，⾃动备份命令和状态2. ⼿⼯批量备份：⼿动备份命令和状态3. 快速备份：不同步配置命令，只同步状态信息4. [USG6000V1] hrp enable //开启双机热备5. HRP_S[USG6000V1] hrp auto-sync //配置⾃动备份模式6. HRP_S<USG6000V1> hrp auto-sync [ config | connection-status ] //配置⼿⼯配置模式，⽤户模式下执⾏1. Config：⼿⼯同步命令配置2. Connection-status：⼿⼯同步状态信息7. HRP_S[USG6000V1] hrp mirror session enable //配置快速备份模式。

核心交换机双机热备解决方案一、项目背景稳定持续的系网络系统运行变得越来越重要,而原来有单机核心三层交换数据潜伏巨大的崩溃风险。

VＲRP(虚拟路由冗余协议)技术来解决该问题,以实现主、备核心三层交换设备之间动态、无停顿的热切换。

二、方案设计:2.１、简要介绍ＶRRP的基本概念。

通常情况下，内部网络中的所有主机都设置一条相同的缺省路由,指向出口网关（即图１中的交换机S９30０A)，实现主机与外部网络的通信。

当出口网关发生故障时，主机与外部网络的通信就会中断。

图１局域网缺省网关ﻫ配置多个出口网关是提高系统可靠性的常见方法,但需要解决如何在多个出口网关之间进行选路的问题。

ＶRRP(Viｒtuａl Ｒoｕter Redunｄancy Ｐrｏtocol)是RFC3768定义的一种容错协议,通过物理设备和逻辑设备的分离，实现在多个出口网关之间选路，很好地解决了上述问题。

在具有多播或广播能力的局域网（如以太网)中,VＲRP提供逻辑网关确保高利用度的传输链路,不仅能够解决因某网关设备故障带来的业务中断，而且无需修改路由协议的配置。

2．2、VRRP工作原理：ｖｒrp只定义了一种报文——vｒrp报文，这是一种组播报文,由主三层交换机定时发出来通告他的存在。

使用这些报文可以检测虚拟三层交换机各种参数，还可以用于主三层交换机的选举。

VＲRP中定义了三种状态模型，初始状态Inｉtiaｌiｚe,活动状态Ma ｓter和备份状态Backuｐ,其中只有活动状态的交换机可以为到虚拟IＰ地址的的转发请求提供服务。

VRR报文是封装在ＩP报文上的,支持各种上层协议，同时VRＲP还支持将真实接口IP地址设置为虚拟IＰ地址。

那么如何从备份组的多台交换机中选举Ｍaster？这项工作由我们在备份组内每台交换机上配置的相同IＰ地址的虚拟交换机完成。

虚拟交换机根据配置的优先级的大小选择主交换机,优先级最大的作为主交换机，状态为Master,若优先级相同(如果交换机没有配置优先级,就采用默认值１0０），则比较接口的主IP地址,主IＰ地址大的就成为主交换机，由它提供实际的路由服务。

《装备维修技术》2021年第10期—257—浅谈高速铁路客票网双机热备份技术的应用张洪涛（中铁六局集团电务工程有限公司，北京 100161）1、前言随着中国高速铁路的快速发展，中国高铁速度越来越快、线路越来越长，越来越多的人将高铁作为出行的首选。

为更好地服务人民的出行，铁路客票系统网络的可靠性、安全性和稳定性显得尤为重要。

高速铁路客站的客票系统对网络的要求是必须要需具备极高的可靠性和稳定性，作为核心网络设备的路由器、防火墙、核心交换机都不能因为其发生故障而影响车站的正常运行。

由此单台设备或单个链路是无法满足车站运营网络的高可靠性和稳定性的，所以双机热备技术成为解决这一为题的首选。

一般大型站选用负载分担双机热备，小型站选用主备热备，中型站根据客流量大小可以选择不同的热备方式。

本文将介绍高铁站客票网核心网络设备根据不同需作业场景选择应用不同的双机热备方式。

2、双机热备份工作原理 以车站最常用的华为设备来阐述一下实现双机热备份的三个基础协议。

1） VRRP（Virtual Router Redundancy Protocol）协议：是最常用的一种容错协议，可以通过实现物理设备和逻辑设备的分离，可以让通话实现在多个出口网关之间进行优先级选路。

在通常情况下，在局域网中的所有的终端都会有一条缺省路由，产生会话的下一跳都是出口路由器的IP 地址，所有会话报文都会通过目标IP 的路由器，如果这台路由器出现了故障，那么局域网中所有以IP 为路由的终端都将失去和外部通信的能力。

VRRP 协议针对这一情况而产生，VRRP 相当于搭建了一台虚拟路由器，将两台或者多台物理路由器进行统筹规划，形成一个备份组，利用一个虚拟的IP 地址，让所有局域网终端设备在实现外部通信时将访问这个虚拟路由器的IP 地址，以这个虚拟路由器的IP地址为下一跳路由。

图2-1 采用VRRP 协议的虚拟路由器备份组组网结构图如图2-1所示，在这个VRRP 备份组中，只有一台物理路由器是活跃的，我们把它叫做主用设备（master），其他物理路由器均为备份状态，根据优先级处于待命状态，称之为备用设备（backup）。

信息安全基础知识笔记06防⽕墙双机热备技术（下）信息安全基础知识笔记06防⽕墙双机热备技术(下) 本笔记主要介绍防⽕墙双机热备，分为上下两个部分。

下部分主要介绍防⽕墙双机热备的基本组⽹⽅式和配置⽅法（其中包括配置VRRP，VGMP和配置HRP），以及分别通过命令⾏和Web图形界⾯⽅式进⾏配置实现。

双机热备基本组⽹VRRP备份组监测三层业务接⼝。

双机热备组⽹最常见的是防⽕墙采⽤路由模式，下⾏交换机双线上联到防⽕墙，若以防⽕墙A作为主，当防⽕墙A上⾏或下⾏链路down 掉后，防⽕墙B⾃动切换为主设备，交换机流量⾛向防⽕墙B。

将上⾯的⽹络组⽹图转换成实际拓扑图如下。

假设有⼀企业的两台防⽕墙的业务接⼝都⼯作在三层，上下⾏分别连接⼆层交换机。

上⾏交换机连接运营商的接⼊点1.1.1.10/24，运营商为企业分配的外⽹IP地址为1.1.1.1/24。

现在希望两台防⽕墙以主备备份⽅式⼯作。

主防⽕墙A与备防⽕墙B通过GE1/0/6连接HRP⼼跳链路，⽤于同步配置命令，⽹段配置为10.10.0.0/24。

正常情况下，流量通过防⽕墙A转发。

当防⽕墙A出现故障时，流量通过防⽕墙B转发，保证业务不中断。

（1）命令⾏配置⽅式 Step 1：基础配置 ①为各防⽕墙的接⼝配置IP地址。

（详细命令省略） 防⽕墙A配置如下： 防⽕墙B配置如下： ②将防⽕墙各接⼝加⼊到对应的安全区域中（详细命令省略） 防⽕墙A和防⽕墙B的安全区域配置相同。

此处创建了⼀个优先级为95的安全区域hrp，专⽤于加⼊HRP⼼跳接⼝。

③在两个防⽕墙上均配置⼀条缺省路由，下⼀跳为运营商接⼊点1.1.1.10，使内⽹⽤户的流量可以正常转发⾄运营商的路由器上。

防⽕墙A和防⽕墙B的静态路由配置相同。

Step 2：配置VRRP备份组 配置命令： vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby } Tips：斜体为需更改的参数，[]中的命令为⼆选⼀，{}中的命令为可选项。

两台USG5120防火墙多ISP接入，运行双机热备主备模式。

内网两台S7706交换机运行VRRP，各自连接到USG5120防火墙上。

应用服务器做双网卡绑定(主备模式)，分别连接两台S7706交换机上。

两台USG防火墙上、下行运行VRRP。

通过配置VRRP备份组，分别加入到VGMP管理组中。

通过Master和Slave状态统一监控。

心跳接口不参加业务流量。

启用HRP备份功能，对两台USG的配置与状态进行实时备份，避免网络异常业务中断长久。

配置NAT策略，供内网用户上Internet。

配置端口映射将内部应用发布到外网。

防火墙默认域间策略全部放行，方便测试。

网络拓扑：set priority 15add interface GigabitEthernet 0/0/0#interface GigabitEthernet 0/0/1ip add 10.10.12.1 24#firewall zone name wan2set priority 10add interface GigabitEthernet 0/0/1#interface GigabitEthernet 0/0/2ip add 10.10.10.1 24#firewall zone trustadd interface GigabitEthernet 0/0/2#interface GigabitEthernet 0/0/3ip address 10.10.254.1 24#firewall zone dmzadd interface GigabitEthernet 0/0/8#firewall packet-filter default permit all#ip route-static 10.88.85.0 255.255.255.0 10.10.10.20 ip route-static 0.0.0.0 0.0.0.0 202.100.1.100#FW2：#Sysname FW2#interface GigabitEthernet 0/0/0ip address 10.10.11.2 24#firewall zone trustundo add interface GigabitEthernet 0/0/0#firewall zone name wan1set priority 15add interface GigabitEthernet 0/0/0#interface GigabitEthernet 0/0/1ip add 10.10.12.2 24#firewall zone name wan2set priority 10add interface GigabitEthernet 0/0/1#interface GigabitEthernet 0/0/2ip add 10.10.10.2 24#firewall zone trustadd interface GigabitEthernet 0/0/2#interface GigabitEthernet 0/0/3ip address 10.10.254.2 24#firewall zone dmzadd interface GigabitEthernet 0/0/8#firewall packet-filter default permit all#ip route-static 10.88.85.0 255.255.255.0 10.10.10.20ip route-static 0.0.0.0 0.0.0.0 202.100.2.100#配置内网核心交换机，并配置VRRP、S7706-1为Master VRRP S7706-1:#sysname S7706-1#vlan batch 10 885#interface Vlanif10ip address 10.10.10.21 255.255.255.0vrrp vrid 10 virtual-ip 10.10.10.20vrrp vrid 10 priority 105#interface Vlanif885ip address 10.88.85.241 255.255.255.0 vrrp vrid 85 virtual-ip 10.88.85.240vrrp vrid 85 priority 105#interface Eth-Trunk1description HAport link-type trunkport trunk allow-pass vlan 10 885mode lacp#interface GigabitEthernet6/0/1port link-type accessport default vlan 10#interface GigabitEthernet6/0/2port link-type accessport default vlan 885#interface GigabitEthernet6/0/42eth-trunk 1#interface GigabitEthernet6/0/43eth-trunk 1#ip route-static 0.0.0.0 0.0.0.0 10.10.10.10 #S7706-2:#sysname S7706-2#vlan batch 10 885#interface Vlanif10ip address 10.10.10.22 255.255.255.0 vrrp vrid 10 virtual-ip 10.10.10.20#interface Vlanif885ip address 10.88.85.241 255.255.255.0 vrrp vrid 85 virtual-ip 10.88.85.240#interface Eth-Trunk1description HAport link-type trunkport trunk allow-pass vlan 10 885mode lacp#interface GigabitEthernet6/0/1port link-type accessport default vlan 10#interface GigabitEthernet6/0/2port link-type accessport default vlan 885#interface GigabitEthernet6/0/42eth-trunk 1#interface GigabitEthernet6/0/43eth-trunk 1#ip route-static 0.0.0.0 0.0.0.0 10.10.10.10#2.配置USG防火墙VRRP备份组，并加入VGMP管理组。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

MSTP&VRRP双机热备配置范例1system参数配置system是属于EX交换机基本配置部分，在进行其它配置之前需要先完成该部分内容配置，主要配置工作如下：(1)设置root密码(2)设置主机名(3)设置日期时间(4)添加用户(5)开启ssh/telnet/http服务(6)设置DNS（可选配置）(7)分配新的用户权限(可选配置)(8)设置NTP服务器(可选配置)1.1设置Root密码交换机初始化用户名是root是没有密码的，在进行commit之前必须修改root密码。

1.2设置主机名1.3设置DNS服务器1.4设置日期时间设置命令：1.5设置NTP服务器1.6开启远程Telnet登录服务说明：在默认缺省配置下，EX交换机只是开放了http远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet服务。

设置命令：删除命令：1.7开启远程Ftp服务说明：在默认缺省配置下，EX交换机只是开放了http远程登陆方式，因此如果想通过ftp上传文件，例如OS或者配置到交换机上，必须在系统中打开ftp服务。

设置命令：1.8开启远程SSH登陆说明：如果想通过更加安全的ssh登陆到交换机，需要在交换机上打开ssh服务。

设置命令：1.9开启远程HTTP登陆说明：在默认缺省配置下，EX交换机已经开放了http远程登陆方式。

设置命令：删除命令：1.10添加用户2实验环境描述2.1实验拓扑图2.2实验IP规划2.2.1Wan节点2.2.2CoreSW1(EX4200-1)2.2.3CoreSW2(EX4200-2)2.2.4虚拟交换机2.3连接整体描述Wan路由器Ge-0/0/1.0和Ge-0/0/2.0分别下接CoreSW1和CoreSW2的Ge-0/0/23.0 CoreSW1和CoreSW2交换机的Ge-0/0/1.0——Ge-0/0/4.0分别下接L2SW1——L2SW4的Fa0/24和Fa0/23，两交换机的Ge-0/0/8.0和Ge-0/0/9.0互联。