防火墙双机热备配置及组网指导

防火墙双机热备配置及组网指导
防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

1 1:防火墙双机热备命令行说明
防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。

1.1 1.1 HRP命令行配置说明
HRP是华为的冗余备份协议， Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。

不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文.
在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等.
两台防火墙正确配置VRRP，VGMP，以及HRP之后,将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。

在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。

HRP的配置命令的功能和使用介绍如下：
★ hrp enable :HRP使能命令，使能HRP之后防火墙将形成主备状态。

★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。

执行此命令之后，主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

★ hrp configuration check hrp ：检查主备防火墙两端的HRP的配置是否一致。

执行此命令之后，主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

★ hrp interface Ethernet/ GigabitEthernet ：添加防火墙配置会话备份通道。

通常就是指防火墙心跳口,此接口用来备份防火墙的会话的。

★ hrp interface Ethernet 1/0/0 high-availability ：配置防火墙的高可用性接口。

主要是用来实现防火墙的会话快速备份，如果不配置high-availability,会话快速备份的命令将不能使能,配置此命令之后，此接口会被有限选择作为防火墙会话备份的接口。

在防火墙上配置了hrp interface之后，防火墙选择备份通道的接口为:先选择配置的时候带了high—availability的接口，如果配置了多个带high-availability的接口,先选择槽位号和端口号比较小的接口，然后在选择槽位号和端口号比较小的不带high-availability的接口。

接口发生故障导致接口上的VRRP处于初始化状态或者是接口上的VRRP 所属的VGMP没有使能的时候，防火墙会重新选择备份通道.
★ hrp mirror session enable ：会话快速备份使能命令，此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上，在配置high-availability之后才能配置此命令。

★ hrp mirror packet enable :报文搬迁使能命令，此命令使能之后，如果ICMP的应答报文或者是TCP的ACK报文在其中一台防火墙上找不到会话，会把报文搬迁到另外一台防火墙上，如果在另外一台防火墙上找到会话,报文根据会话转发，如果找不到会话，直接丢弃.此功能现在保留,但是基本上不再使用，因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上,并且报文搬迁占用比较多的带宽,所以这个命令推荐不使用。

★ hrp ospf-cost adjust—enable :这个命令是在防火墙和路由器组网的时候使用的，在防火墙上配置这个命令后，防火墙发布OSPF的路由的时候,会判断是主防火墙或者是备防火墙，如果是主防火墙，防火墙把学习到的路由直接发布出去，如果是备防火墙,防火墙把学习到的路由加上一个COST值再发布出去，这个COST值默认是65535,可以根据需要进行调整，这样和防火墙相连的路由器在计算路由的时候,路由就都能指到主防火墙上,路由器把报文转发到主防火墙上。

在使用防火墙和路由器进行组网起OSPF协议的时候，尽量保证OSPF的域小一些,这样在防火墙发生主备倒换的时候，OSPF的路由能尽快收敛，保证业务很快恢复.
★ hrp auto—sync connection-status ：防火墙连接状态备份命令。

防火墙会话备份不分防火墙是主防火墙或者是备防火墙，使能了次命令后，防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。

此命令行在防火墙hrp enable执行之后就默认使能了.
★ hrp auto-sync config：防火墙配置备份命令。

防火墙上使能此命令后，在主防火墙上配置的命令行如ACL，域等都可以自动备份到备防火墙上，保证命令行能实时同步。

此命令行在hrp enable之后就默认使能了，此时在备防火墙上是默认不能配置ACL等配置的，但是如果需要单独配置，执行undo hrp auto—sync config就可以在备防火墙上配置此命令行了，主防火墙上执行ACL等配置发送到备防火墙上不会备执行，如果在主防火墙上执行此命令，主防火墙上将不把配置发送到备防火墙上执行。

★ hrp auto—sync config batch—backup ：防火墙配置批量备份使能命令。

使能此命令，在防火墙发生主备倒换之后，新的主防火墙备自动把配置备份到新的备防火墙上。

此命令默认是不使能的,现在也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务。

★ hrp sync config：防火墙配置批量备份命令。

执行此命令后主防火墙能把自己的配置发送到备防火墙上执行，此命令行在用户视图下使用，在使能了hrp之后才能使用.此命令默认是也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务。

★ hrp sync connection-status：手工同步连接状态信息命令，会进行会话，黑名单，地址转换表，以及ARP表等的备份等，同时对于Eudemon 1000来说还会刷新备份的通道。

★ display hrp：显示当前HRP的状态信息，主要包括HRP的备份通道，HRP的状态，hrp是否使能快速备份，为MASTER状态的VGMP信息。

★ display hrp verbose：显示当前HRP的详细状态信息。

1.2 1.2 VGMP配置说明
VGMP（vrrp group management protocol)是VRRP的组管理协议，同样VGMP协议也是华为私有的协议.VGMP 通过把VRRP加入到一个组中进行管理，通过VGMP报文和对端进行协商,确定自己和对端的VGMP的状态，根据VGMP的状态的主备，把VGMP组下面的VRRP的状态改成和VGMP的状态一致。

VGMP状态也分Master和Slave，同样VGMP报文是在VRRP报文的基础上进行封装的，它通过VRRP报文通知对端自己的状态以及和对端进行协商.
防火墙的VGMP功能现在支持两台防火墙之间的VGMP协商，通过协商,在两台防火墙上形成一主一备的状态，当其中主防火墙发生故障或者其他原因导致VGMP的优先级降低的时候,备防火墙的VGMP会抢占为主，原来的主防火墙的VGMP会变成备，同时VGMP组里面的VRRP也跟随这VGMP的状态的变化发生变化。

通过VGMP 来管理VRRP，使VGMP为主的防火墙对外发布VGMP组下面的所有的VRRP的虚地址，而VGMP为备的防火墙不对外发布VRRP虚地址，形成VRRP的冗余备份。

VGMP的配置命令的功能和使用介绍如下：
★ vrrp group 〈1—16>：创建VGMP管理组。

执行此命令行之后,创建一个VGMP管理组，并进入此管理组视图,所有的VGMP的配置都在VGMP视图下进行配置。

★ add interface Ethernet 1/0/7 vrrp vrid 1 ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理.
★ add interface Ethernet 1/0/7 vrrp vrid 1 data :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。

配置了发送VGMP的数据通道之后，VGMP才能使能.防火墙的配置同步是通过VGMP的数据通道进行发送的。

★ add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。

通常在防火墙上下行都是交换机组网的情况，心跳口上的VRRP可以以此种方式加入到VGMP组中.
★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，同时在VGMP上绑定ip—link功能。

ip-link的使用介绍请参考其他文档。

★ vrrp—group enable:VGMP组使能命令。

在配置了VGMP的数据通道之后，此命令才可以执行，执行此命令后，防火墙会从数据通道发送VGMP的报文和对端防火墙进行交互，确定VGMP的主备状态。

★ vrrp—group preempt：配置VGMP组的抢占模式。

此命令配置之后本端VGMP和对端VGMP进行协商，并进行抢占，如果优先级高就抢占为主，如果优先级低就被抢占为备。

配置此命令后默认抢占延时为0，即立即抢占.
★ vrrp-group preempt delay <0-1800000>：配置VGMP组抢占延时，单位为毫秒（ms），如果本地的VGMP 组的优先级比对端的VGMP的优先级高，在延时配置的时间后VGMP就抢占为Master状态。

对于防火墙组网,我们建议的抢占方式是备防火墙抢占延时为0，主防火墙配置抢占延时为20000ms或者是不抢占。

具体的配置在相关组网中详细说明如何配置防火墙的抢占方式。

★ vrrp—group priority <1—254〉:配置VGMP组的优先级。

配置VGMP组的优先级后， VGMP和对端的防火墙的VGMP进行协商,并确定VGMP的主备状态。

默认使用这种方式作为VGMP组的优先级,默认优先级是100。

VGMP组的优先级调整算法为:当前优先级－（当前优先级/16）.如果VGMP组下的一个VRRP变成初始化状态,则VGMP组的优先级调整一次，同样如果配置的一个ip—link检测远端IP为不可达，VGMP组的优先级也会调整一次，每次都使用上面的算法进行调整.对于采用此种方式，建议主防火墙配置为105，备防火墙使用默认配置100。

★ vrrp-group priority using—vrrppriority：使用VRRP的优先级作为VGMP组的优先级。

配置VGMP组的优先级后，VGMP和对端的防火墙的VGMP进行协商，并确定VGMP的主备状态。

如果采用此种方式决定VGMP组的优先级，首先把VGMP组下所有的VRRP的优先级加起来，再除以VGMP组下的VRRP的个数。

如果还在VGMP下面配置了ip-link，并且ip—link检测到远端的IP地址不可达,计算出ip—link调整的优先级,计算方法为ip—link绑定的VRRP的优先级除以16，然后用根据VGMP组下的所有的VRRP计算出来的优先级减去ip—link调整的优先级，得到最终的VGMP组的优先级。

采用此种方式,建议VRRP的优先级主防火墙配置为105，备防火墙配置为默认的100。

★ vrrp-group priority plus 〈0-254>：此命令也是用来调整VGMP的优先级的，但是现在不再使用，也不推荐配置此命令。

★ vrrp-group manual-preempt:VGMP组手动抢占命令.在VGMP配置了抢占延时的时候，如果延时时间没有到,即使本地防火墙的VGMP组的优先级比对端高，也不进行抢占。

如果在VGMP组下面配置了不抢占，即使本地优先级比对端高，也不进行抢占.但是通过vrrp—group manual-preempt可以进行手动抢占,如果本地VGMP组优先级高，配置的抢占延时没有到或者配置不抢占，通过此命令本地VGMP能马上抢占为Master状态.
★ vrrp-group timer hello <200-60000〉：VGMP组发送VGMP的hello报文的时间间隔，单位为毫秒(ms)，默认值为1000ms。

通过配置VGMP组下的VGMP的hello报文的发送时间间隔,VGMP组能更快的进行抢占切换。

建议采用默认值，如果参数设置的太小，导致防火墙发送和接受的VGMP的报文的数量会很多，会占用较多的CPU资源，并且配置1s的hello报文的时间间隔也能满足现网故障反应时间间隔。

★ vrrp-group group-send：VGMP组下的所有数据通道都发送VGMP报文。

配置此命令后，VGMP发送数据报文和hello报文的时候，加入此VGMP组的每个数据通道都发送一次。

此命令默认不使能，VGMP会自动选择一个数据通道作为发送VGMP报文的通道,并且在检测到数据通道发生故障的时候重新进行选择。

1.3 1.3 VRRP配置说明
防火墙的VRRP和标准的VRRP协议一样,下面大概说说VRRP的配置，详细信息可以找相关的RFC查看。

在防火墙上，如果VRRP加入到VGMP中,VRRP的状态由VGMP决定，不再自己协商。

VRRP的配置命令的功能和使用介绍如下：
★ vrrp vrid 1 virtual-ip 1。

1。

1。

100:在接口视图下配置VRRP。

此命令是在接口上配置VRRP的ID以及VRRP的虚地址.
★ vrrp vrid 1 track Ethernet1/0/6：配置VRRP监视的端口。

配置监视的端口之后,如果此端口的协议状态down,VRRP的优先级会自动调整。

默认是调整10,可以在此命令后面继续配置下降多少。

★ vrrp vrid 1 priority <1-254>：配置VRRP的优先级。

默认值是100，如果是主防火墙，建议配置为105，备防火墙建议配置为默认值100.
★ vrrp vrid 1 timer advertise 〈1-255〉：VRRP的hello报文发送的时间间隔。

默认VRRP的hello报文
的发送时间间隔为1s，建议使用默认配置。

★ vrrp vrid 1 preempt—mode：VRRP的抢占参数。

如果VRRP加入VGMP组中,VRRP的抢占参数不再生效。

1.4 1.4 IP-Link配置说明
1.4.1 1.4。

1:ip-link功能说明：
防火墙ip—link功能是一种检测三层链路是否可达的功能，基本原理就是在防火墙上配置ip-link使能并配置ip-link的目的地址之后,防火墙会向该目的地址发送icmp的报文判断该目的地址是否可达,判断从防火墙到该目的地址三层链路是否可通，应用在双机热备组网中,VGMP能根据ip-link特测的结果调整VGMP的优先级，从而使防火墙在和路由器组网中能在发生故障的时候进行主备倒换。

防火墙在使能ip—link功能时，需要判断ip—link的目的地址的设备能和防火墙进行正常的icmp交互，这样防火墙才能正确的检测该目的地址，从而在该设备发生故障的时候正确引导主备防火墙进行主备切换,所以ip—link使用的前提条件是ip-link配置的目的地址的设备能正常的和防火墙进行icmp会话。

1.4.21。

4。

2：ip—link在组网中的应用：
防火墙的ip—link功能一般使用的双机热备组网环境中常见组网如下图所示：
如上图所示，如果在防火墙上不使能ip-link功能，正常情况下报文会通过防火墙A进行转发，这时必须保证防火墙A的上下行设备都是正常工作。

但是一旦和防火墙A相连的路由器A的0/1口发生故障，报文不能从该口进行转发，此时防火墙A的VRRP是检测不到路由器A的0/1口发生故障的，报文会继续从防火墙A 转发到路由器A，导致业务中断.
如果在防火墙A上使能ip—link的功能，使得ip-link的目的地址是路由器A的0/1口，当路由器A的0/1口发生故障的时候,防火墙A能探测到路由器A的0/1接口的IP地址是不可达的，此时防火墙A认为从本地0/0口出去的链路不通，这个时候防火墙A会自动调整优先级，使防火墙A和防火墙B发生主备倒换，防火墙A上面的业务全部转移到防火墙B上，保证了业务的正常转发.
1.4.3 1.4.3:防火墙ip—link的配置:
在防火墙上配置ip—link功能时首先要确认ip—link配置中的目的地址的设备在正常的情况下能正确的和防火墙进行icmp会话。

相关配置介绍如下:
1:使能防火墙ip—link功能
在系统视图下执行命令ip-link check enable 如:
［Eudemon]ip-link check enable
2:配置ip—link其他参数
ip-link INTEGER<1-32> [ vpn-instance vpn-name] destination X.X。

X.X [ interface ｜ timer ］上述命令参数含义可参考命令行给出的提示信息。

3:vrrp绑定ip-link
进入VGMP的视图
Vrrp group 1
配置ip-link
［E1000_A-vrrpgroup—1］add int Ethernet 4/0/0 vrrp vrid 1 ip—link 1
1.4.41。

4。

4：防火墙ip-link的配置：
配置防火墙ip-link使能之后，防火墙将向ip-link目的地址的设备发送icmp报文检测目的设备是否正常.我们通过查看vrrp 组的状态可以看到ip-link已经开始影响vrrp组的优先级了，防火墙ip—link检查调整优先级的大小和加入vrrp管理组的接口down掉调整vrrp管理组的优先级相同。

HRP_M［E1000_A]dis v v
Vrrp Group 16
state : Master
Priority ： 98 ――――〉此处优先级会根据ip—link检查的结果进行调整
Preempt ： YES Delay Time : 0
Timer : 1000
Group-Send ： YES
Peer Status : OnLine
Vrrp number : 3
： Same
interface : Ethernet4/0/7， vrrp id : 254 Up
interface : Ethernet4/0/0， vrrp id ： 2 Up
interface : Ethernet4/0/1, vrrp id ： 1 Down,ip—link： 32 Down
22：防火墙双机热备典型组网
防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网，不管是在路由模式下还是在透明模式下,我们都建议采用主备的组网方式而不采用负载分担的组网方式。

在防火墙双机热备组网的时候，我们需要根据需求决定组网情况以及在此组网下出现网络故障的时候防火墙如何正确的倒换保证业务正常，这些都是在配置的时候需要考虑的。

下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

2.12。

1 路由模式防火墙和路由器双机热备组网
路由模式下的组网分防火墙和路由器组网，防火墙和交换及组网，以及防火墙上下行分别是交换机和路由器的组网,下面就防火墙和这些设备的组网做一个说明.
2.1.1 2.1。

1组网一：推荐组网
如上图所示，此种组网是防火墙上下行都是路由器的时候在外面应用的最多的一种组网，对于此种组网，防火墙需要和路由器之间起OSPF协议。

如果要形成主备组网，可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发，或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令，使备防火墙发布路由的时候增大COST，保证业务只在主防火墙上转发。

如果要形成负载分担的组网，即主备防火墙上都有转发业务，需要保证防火墙上下行的路由器上都能有业务到达防火墙，这个可以通过配置等价路由的方式实现,同时在防火墙上去掉根据HRP状态调整OSPF路由的COST的命令。

在防火墙上配置会话快速备份功能，保证在存在来回路径不一致的时候不影响业务.
组网优点：
1：网络拓扑简单,发生故障的时候OSPF的路由能快速收敛，减小业务中断的时间，同时出现问题时定位比较容易.
2：防火墙上下行业务口采用1GE的板卡，成本较低，转发性能高，能达到防火墙最大转发性能。

3：可以根据需要，只需要在命令行上配置，就能在主备组网和负载分担组网上进行切换。

4：对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。

组网缺点：
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用，不能使用虚地址,因为一旦其中一台防火墙down掉，虚地址将不能生效。

所以需要采用虚地址的应用将在这种组网中不能使用。

2：发生故障的时候,OSPF的收敛时间较长，如果业务中断的时候需要更快的响应时间，防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。

可靠性分析:
这里只分析主备组网的可靠性。

如图所示，防火墙和路由器组网，链路正常的时候，业务走向为图中蓝色的路径.此时防火墙FW—2为主防火墙，FW-1为备防火墙，备防火墙向外发布路由的时候会自动加上一个COST值（默认是65500）.
1:FW—2和R4之间的链路故障
当FW—2和R4之间的链路故障，防火墙上配置的vrrp track了此接口，所以vrrp的优先级降低，并且是使用的vrrp的优先级作为VGMP的优先级，所以vgmp的优先级降低,此时FW—2的优先级比FW-1的优先级低，防火墙发生主备倒换,FW-1变成主防火墙，FW—2变成备防火墙。

在防火墙发生主备倒换之后，FW-1和FW—2都会更新自身的路由并对外发布路由，此时FW—1为主，对外直接发布自身的路由，而FW-2变成了备防火墙,对外发布路由的时候会另外加上一个cost值（默认是65500）,路由重新计算并收敛，业务都从FW-1上走。

此组网图中任何一个和防火墙相连的路由器的链路down 或者是路由器故障，都会引发上述过程.
2：防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙因为心跳口down，导致vrrp的状态变成初始化状态，VGMP的状态也变成初始化状态，HRP的状态变成初始化状态,此时防火墙更新自身路由,同时整个链路的路由收敛,业务从没有故障的防火墙上走，从而保证业务的正常。

如果发生故障的防火墙FW-2恢复，防火墙FW—1上的VRRP会up起来，VGMP会变成主状态，HRP也会变成主状态，而FW—2上的VRRP，VGMP以及HRP都是备状态，FW—2和FW-1都对外发布路由信息,HRP状态为备FW-2对外发布路由的时候会自动加上一个cost值，使业务仍然从为主的FW-1上走。

如果VGMP配置了抢占，抢占延时设置为20s左右，保证FW—1上的会话充分备份到FW—2上，此时FW—2变成主防火墙的时候重新发布路由，业务从主防火墙FW-2上走，因为会话已经从FW-1上备份过来了，所以也不会对业务产生影响。

如果是防火墙之间的心跳线中的一根down掉,因为两台防火墙上的两个心跳线上都配置了VRRP并加入了VGMP组中，所以不会对状态产生影响，但是要注意即使是防火墙的一根心跳线down，也要保证在其他设备出现故障的时候防火墙能正常倒换，所以需要每个接口上的VRRP都track上下行业务口.
组网配置要点：
主备模式配置要点：
1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP，加入同一个VGMP组中，使心跳线形成备份，保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。

2:防火墙的VGMP的优先级使用VRRP的优先级，每个VRRP都监视防火墙的上下两个业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100.
3:防火墙上下行接口都加入到同一个link-group组中，保证一个接口down的时候另外一个接口也跟着down，OSPF收敛的速度快.
4：在防火墙上配置ip-link，分别检测防火墙上下行路由器的接口，保证在接口没有down但是不转发数据的时候防火墙也能检测到并且能进行主备倒换，注意使用ip-link的时候需要添加包过滤规则使防火墙和路由器能进行icmp交互.
5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛
速度快,防火墙倒换过后OSPF 能快速收敛。

同时不要引入心跳口的IP 地址的路由,保证心跳口不转发数据。

同时如果防火墙上做nat 转换，有私网路由的时候，需要保证私网路由不发布出去，需要在ospf 中通过acl 限制私网路由的发布。

6：配置根据HRP 的状态调整OSPF 的cost 值的命令，形成主备模式的组网。

7：防火墙上的nat 地址池或者是nat server 配置时不能加上VRRP 的ID ，在路由器请求nat 地址池或者时
nat server 的arp 的时候，因为收到ARP 请求的接口和配置VRRP 的接口不一致，防火墙不会回应ARP 请求,会导致上行路由器上没有ARP 导致业务不通，不配置VRRP 的ID ，防火墙直接根据用接口地址回应ARP 请求。

8：心跳口不能配置成transfer —only ，否则VGMP 状态会是初始化状态，导致VGMP 无法协商形成主备，配
置的transfer —only 上绑定的ip-link 也将不再起作用。

9：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。

10：配置VGMP 为主的防火墙VGMP 不抢占,这样在主防火墙发生故障恢复后路由只变化一次，避免故障恢复
的防火墙在发生抢占之后路由再次需要收敛。

负载分担配置要点:
1:防火墙之间采用2GE 板卡，GE 卡的两个口之间相连，并配置VRRP,加入同一个VGMP 组中，使心跳线形成
备份，保证其中一根心跳线down 掉的时候另外一根心跳线也能做备份通道。

2：在防火墙的两个心跳线上配置两个VRRP ，把两个VRRP 加入不同的VGMP 组中，防火墙的VGMP 的优先级使
用VRRP 的优先级,为主状态的VRRP 优先级设置为105,为备状态的优先级设置为默认值100，并使得两边的VGMP 各有一个是主状态。

3：防火墙上下行接口都加入到同一个link —group 组中，保证一个接口down 的时候另外一个接口也跟着
down ，OSPF 收敛的速度快。

4:负载分担的组网链路的可靠性靠OSPF 路由的计算，防火墙主备倒换不会引起路由的变化，所以不用配置
ip-link 进行探测，所以负载分担的组网防火墙收敛速度慢一些.
5：防火墙和上下行路由器起OSPF ，形成动态路由，OSPF 区域尽量只包含在防火墙和路由器，这样路由收敛
速度快,防火墙倒换过后OSPF 能快速收敛。

同时不要引入心跳口的IP 地址的路由，保证心跳口不转发数据。

同时如果防火墙上做nat 转换，有私网路由的时候，需要保证私网路由不发布出去,需要在ospf 中通过acl 限制私网路由的发布。

6：防火墙上的nat 地址池或者是nat server 配置时不能加上VRRP 的ID ，在路由器请求nat 地址池或者时
nat server 的arp 的时候，因为收到ARP 请求的接口和配置VRRP 的接口不一致,防火墙不会回应ARP 请求，会导致上行路由器上没有ARP 导致业务不通，不配置VRRP 的ID ，防火墙直接根据用接口地址回应ARP 请求。

7:心跳口不能配置成transfer —only ，否则VGMP 状态会是初始化状态，导致VGMP 无法协商形成主备，同时
配置的transfer —only 上绑定的ip-link 也将不再起作用.
8：心跳口不能配置成transfer-only ，否则VGMP 状态会是初始化状态，导致VGMP 无法协商形成主备，同时
如果配置的transfer —only 上绑定的ip —link 也将不再起作用.
组网验证图及配置：
验证组网配置可以参考下面嵌入的PPT 中的配置。

验证组网一： 主备模式组网：
组网验证图及配置_主备模式.ppt 防火墙重点配置说明: 防火墙重点配置说明.doc
验证组网二：。