防火墙双机热备配置及组网指导

华为防火墙的双机热备方案在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受因单点故障而导致的网络中断的风险。

防火墙一般用作内网到外网的出口，是业务关键路径上的设备，为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网。

双机热备组网的建立和运行需要解决以下五个关键问题：1.设备的主备状态是如何决定的2.如何监控并发现接口或者设备故障3.发现故障后，如何保证设备的主备状态切换4.正常情况和故障后，流量是如何引导的5.如何进行信息同步，保证主备切换后业务不中断以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP 共同配合解决的。

首先，VRRP自然不需要多说，我相信大家都非常清楚，这是一个公有的网关冗余技术，可以在两台设备之间形成虚拟IP地址，建立主备的冗余关系，但是传统的VRRP在安全领域有一个不可忽略的问题，就是当防火墙上下行业务端口上都配置了VRRP备份组的时候，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况。

我们来看下面这个图这是最基本的一个防火墙双机热备的连接拓扑，防火墙的业务接口工作在三层，上下行连接交换机，防火墙的上行接口和下行接口分别运行了两个独立的VRRP组，FW1为主设备，FW2为备设备，正常情况下，流量会在FW1上进行往返（也就是沿着蓝色箭头的方向走），现在假设FW1的下行接口故障，因此运行在下行接口的VRRP组会检测到这个问题，从而引发主备切换， FW2的下行接口会成为主接口，上行流量会从FW2转发出去，访问外部网络，但是因为上下行的VRRP组是独立运行的，所以对于上行接口而言，主设备依然还在FW1上，因此外部网络返回的流量依然会转发到FW1上，这样就造成了网络不通，这个问题，传统的VRRP是无法解决的，因此，华为在VRRP的基础之上，开发了VGMP协议。

VGMP的基本功能是集中管理和监控VRRP备份组，控制VRRP 备份组的统一切换，将一组VRRP备份组组成一个VGMP管理组，由VGMP管理组控制所有VRRP备份组同步倒换，保证所有VRRP备份组状态一致，VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。

双机热备主备方式OSPF组网配置指导手册关键字：双机热备、主备、非抢占、物理接口、静态路由、OSPF目录1双机热备防火墙组网说明：22主防火墙配置步骤：22.1 配置接口地址52.2 配置安全区域62.3 配置双机热备82.4 配置接口联动112.5 配置NAT112.6 配置OSPF动态路由协议152.7 配置NQA182.8 配置静态缺省路由与TRACK 1绑定192.9 配置OSPF发布缺省路由203备防火墙配置步骤：202.1 配置接口地址222.2 配置安全区域242.3 配置双机热备252.4 配置接口联动282.5 配置NAT282.6 配置OSPF动态路由协议332.7 配置NQA352.8 配置静态缺省路由与TRACK 1绑定362.9 配置OSPF发布缺省路由371 双机热备防火墙组网说明：组网说明：防火墙双机热备组网，主备非抢占模式，防火墙上行链路通过静态路由指向连接INTERNET网络，防火墙下行链路通过OSPF动态路由指向内部网络路由器。

业务要求：当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时，流量可以及时从主防火墙切换至备防火墙，保证网络应用业务不中断、平稳运行。

2 主防火墙配置步骤：1 配置PC IP地址192.168.0.3/24，连接管理防火墙：2 通过IE浏览器打开防火墙WEB管理界面，防火墙默认的管理IP地址192.168.0.1，默认的用户名：h3c，默认密码：h3c。

3 进入防火墙WEB管理界面，可以查看防火墙系统信息，包括版本信息等；4 单击“设备管理》基本配置》设备基本信息”修改防火墙名称为“FW1”，默认的防火墙名称是“H3C”；5单击“设备管理》服务管理”启用防火墙TELNET服务，用于远程命令行配置管理；6单击“用户管理》本地用户”新建、修改管理防火墙用户和用户密码；2.1 配置接口地址1 单击“设备管理》接口管理”，单击“修改”按钮，配置防火墙接口地址；2 配置接口G2/0，接口ip地址为10.1.1.253/24，配置完成后单击“确定”按钮；3 配置接口G2/2，接口ip地址为192.168.2.2/24，配置完成后单击“确定”按钮；4 配置接口G2/3，接口ip地址为192.168.3.2/24，配置完成后单击“确定”按钮；2.2 配置安全区域1 单击“设备管理》安全域”，单击“修改”按钮，配置防火墙接口加入安全区域；2 配置G2/2和G2/3接口加入Trust区域，配置完成后单击“确定”按钮；3 配置G2/0接口加入Untrust区域，配置完成后单击“确定”按钮；2.3 配置双机热备配置VRRP1 单击“高可靠性》VRRP”，单击接口G2/0“修改”按钮配置接口VRRP；2 单击“新建”按钮，配置“vrid”为101，配置“虚拟ip”为10.1.1.5；3 单击“修改”按钮配置VRID 101监视接口；4 单击“显示监视配置”，配置接口G2/0监视接口G2/2和接口G2/3；配置双机热备1 单击“高可靠性》双机热备”配置“使能双机热备功能”，备份类型为“不支持非对称路径”，备份接口为默认接口inner-ethernet0/1，配置完成后单击“确定”按钮；同时使用一根以太网线连接两台防火墙的“HA接口”（“HA接口”在防火墙的主控面板上）；2.4 配置接口联动1 单击“高可靠性》接口联动组”单击联动组1“修改”按钮配置接口联动：2 配置“联动组1”成员G2/0、G2/2、G2/3，配置完成后单击“确定”按钮；当联动组中其中之一的接口状态为DOWN，其它接口也被置为DOWN状态，保证联动组中所有接口状态一致。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (28)4.3.7 动态路由模式组网 (33)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

配置路由模式下主备备份方式的双机热备份举例组网需求Eudemon 1000E作为安全设备被部署在业务节点上。

其中上下行设备均是交换机，Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备，且均工作在路由模式下。

网络规划如下：∙需要保护的网段地址为10.100.10.0/24，与Eudemon 1000E的GigabitEthernet 0/0/1接口相连，部署在Trust区域。

∙外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连，部署在Untrust区域。

∙两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。

其中，各安全区域对应的VRRP组虚拟IP地址如下：∙Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。

∙Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。

∙DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。

组网图如图1所示。

图1 路由模式下主备备份方式的双机热备份配置举例组网图数据规划操作步骤1.在Eudemon 1000E A上完成以下基本配置。

# 配置GigabitEthernet 0/0/1的IP地址。

<Eudemon A> system-view[Eudemon A] interface GigabitEthernet 0/0/1[Eudemon A-GigabitEthernet0/0/1] ip address 10.100.10.2 24[Eudemon A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/2的IP地址。

[Eudemon A] interface GigabitEthernet 0/0/2[Eudemon A-GigabitEthernet0/0/2] ip address 10.100.20.2 24[Eudemon A-GigabitEthernet0/0/2] quit# 配置GigabitEthernet 0/0/3的IP地址。

天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

天融信防火墙双机热备配置说明天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

SONICWALL 5600双机热备（主备
模式）配置
2020-5-5
SONICWALL 5600双机热备（主备模式）配置
一、开启主防火墙，备防火墙暂时不通电。

二、在主防火墙开启主备模式。

三、填写备用防火墙SN码。

四、选择主备防火墙心跳级联端口。

五、设置主备防火墙管理IP
六、在官网关联备机SN。

七、连接主备防火墙级联线缆，并备用防火墙通电。

八、开完机后，检查主备模式HA是否成功
九、测试主备防火墙是否工作正常。

1、主防火墙拔线，备机能否正常工作。

2、主防火墙增加配置，备机是否配置同步。

3、主防火墙关电，备机能否正常工作。

4、检查所有业务是否工作正常。

5、内网测试是否正常，1、服务器能否上网2、访问防火墙是否正常。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

防火墙双机热备配置及组网指导防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

11：防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP 的配置，VGMP 的配置，以及VRRP 的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。

1.1 1.1HRP命令行配置说明HRP是华为的冗余备份协议，Eudemon防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP 的，VGMP也是华为的私有协议，是在VRRP 的基础上进行扩展得到的。

不管是VGMP 的报文，还是HRP 的报文，都是VRRP 的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP 的报文，HRP 的报文，或者是普通的VRRP 的报文。

在Eudemon防火墙上，hrp 的作用主要是备份防火墙的会话表，备份防火墙的servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。

两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M 的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S 的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。

Eudemon防火墙双机热备业务特性与配置Eudemon防火墙是华为公司推出的一款高性能、高可靠性的网络安全设备。

在网络架构中，防火墙是非常重要的部分，其主要作用是监控和控制数据流量，保护网络安全。

而双机热备技术则是防火墙设备中的一项重要功能，能够在主设备故障的情况下，自动进行切换，保障网络的连续性和可靠性。

Eudemon防火墙的双机热备技术具有以下几个特性：1、高可用性：双机热备技术使得主备设备之间的状态保持实时同步，当主设备发生故障时，备设备可以立即接管主设备的工作，保证网络的持续运行。

2、高性能：双机热备技术采用硬件加速和负载均衡技术，可以将数据流量均匀地分发到主备设备上进行处理，提高防火墙的处理能力和响应速度。

3、灵活的部署方式：双机热备技术支持主备设备的本地部署和远程部署，可以根据实际情况进行选择，灵活满足不同网络环境的需求。

4、恢复能力强：双机热备技术具备自动切换和自动恢复功能，当主设备恢复正常运行时，能够自动将工作从备设备切换回主设备，实现系统的自动恢复和平滑过渡。

5、稳定可靠：双机热备技术采用了多种冗余设计，包括硬件冗余、软件冗余和数据冗余等，可以有效地提高防火墙的稳定性和可靠性，有效避免单点故障的发生。

对于Eudemon防火墙双机热备的配置，可以按照以下步骤进行：1、设备连接和初始化：将主备设备之间进行物理连接，确保两者之间的网络畅通，然后进行设备的初始化配置，包括设置IP地址、子网掩码、网关等，以及进行设备的授权和许可证的导入。

2、主备设备的信息同步：在主备设备之间进行信息同步，包括配置文件、路由表、状态信息等。

这是保证主备设备之间能够实时同步状态的基础。

3、配置双机热备功能：在主设备上开启双机热备功能，并设置备设备的优先级，配置主备设备的心跳检测参数，以便能够实时监测主备设备的状态。

4、测试和验证：在配置完成后，进行测试和验证，包括主备设备之间的切换测试、数据流量的负载均衡测试等，确保双机热备功能的正常运行和可靠性。

将此防火墙设置为从防火墙模式，且把防火墙的ID号设置为1。

e. 第三步是通过防火墙管理软件连接上防火墙，可按实际网络环境需要配置相应的访问策略（如有疑问请参看“防火墙4000访问策略和通信策略”相关文档或DEMO演示）；
f. 接下来在防火墙管理器中点击“工具”→“配置管理” 中的“同步”按钮，使得主从防火墙的状态保持一致；
g. 以上步骤完成以后，防火墙即进入双机热备状态：一旦主防火墙系统出现故障或主传输线路中断时，从防火墙便会立即接替工作。

h. 本操作暂无DEMO演示（以后版本中会加以补充）。

注意：
在双机热备的系统中，两台防火墙的软件版本必须相同，网络端口的数目和类型也要相同；必须将每个防火墙的最后一个接口作为热备口；心跳线必须选用交叉线连接；如果防火墙有多余的端口，必须将其DOWN掉，具体操作如下（进入串口模式）：
另外，两台防火墙的配置必须保持一致；管理员通过管理器只能对一台防火墙进行管理，配置完毕后，必须通过“同步”菜单将修改信息发送到另一台防火墙。

关键词：
状态传输开关：用于保护防火墙已经建立的连接在主从防火墙切换时不会导致丢失。

例如某个连接经过主防火墙，此时主墙发生故障，由从墙接替工作。

如果状态传输（STP）开关没有打开，则这个连接必须重新建立才能通信；如果开关打开，则连接不需要重新建立，两端的通信机器可以完全没有意识到故障的存在。

知识点：
双机热备：将两台网络设备并联在网络中，在任何时刻只有一台设备工作（称为主设备），另一台设备（称为从设备）监视主设备的工作状态；当主设备发生故障时，由从设备来接替工作。

【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D 处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态？两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道？正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导？总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。

Eudemon防火墙双机热备业务上机指导书一、准备工作1. 确认硬件设备：需要一台Eudemon防火墙主设备和一台Eudemon防火墙备设备，两台设备应具有相同的硬件配置。

2. 确认网络环境：主备设备之间需要建立一个可靠的通信链路，保证数据的传输和同步。

3. 确认操作系统版本：主备设备应使用相同的Eudemon防火墙操作系统版本，以保证配置的一致性。

二、配置步骤1. 登录主设备：使用浏览器登录主设备的Web界面，进入系统配置界面。

2. 创建集群：在系统配置界面中，选择“集群管理”功能，点击“新建”按钮创建一个集群，填写集群的名称和描述。

3. 配置集群参数：在创建集群后，点击“更多设置”按钮，配置集群的参数，如通信链路的类型、通信链路的IP地址等。

4. 添加备设备：在集群配置界面中，点击“添加设备”按钮，输入备设备的IP地址，点击“确定”按钮。

5. 配置备设备参数：添加备设备后，点击“更多设置”按钮，配置备设备的参数，如备设备的优先级、数据同步方式等。

6. 启动集群：在集群配置界面中，点击“启动”按钮，确认启动集群操作。

7. 同步配置：在主设备上完成集群的配置后，需要将配置同步到备设备上，点击“同步配置”按钮进行同步。

8. 启动备设备：完成配置同步后，在备设备上点击“启动”按钮，确认启动备设备操作。

9. 检查集群状态：在集群配置界面中，点击“集群状态”按钮，确认集群状态显示为“正常”或“异常”。

10. 测试故障切换：可以通过人为断开主设备的网络连接或者重新启动主设备的方式来测试故障切换功能。

当主设备发生故障时，备设备能够自动接管工作。

三、注意事项1. 主备设备之间的通信链路必须稳定可靠，确保数据的传输和同步正常。

2. 主备设备的硬件配置必须一致，操作系统版本也必须一致。

3. 在配置集群参数时，需要根据实际网络环境进行具体配置，确保配置的准确性。

4. 在进行故障切换测试时，需要提前做好备份工作，以防止数据丢失或其他意外情况发生。

SecPath防火墙双机热备+NAT Server的典型配置一、组网需求：SecPath防火墙在主备切换的情况下不影响pc从FTPServer上下载数据。

二、组网图SecPath1000F：版本为Version 3.40, ESS 1622；FTP Server：Windows XP操作系统；PC：Windows XP操作系统.三、配置步骤1.SecPath1000F（主）的主要配置：#sysname fw1#firewall packet-filter enablefirewall packet-filter default permit#interface Ethernet1/0#interface GigabitEthernet0/0ip address 202.103.1.1 255.255.255.0nat server protocol tcp global 202.103.1.88 any inside 192.168.1.254 any //FTP服务器的地址映射#interface GigabitEthernet0/1ip address 192.168.1.1 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/1set priority 85#firewall zone untrustadd interface GigabitEthernet0/0set priority 5#firewall zone DMZ //心跳线接口也同样需要加入某一域add interface Ethernet1/0set priority 50#rdo 1priority 105ha-interface interface Ethernet1/0peer-mac ffff-ffff-ffff //斜体部分为系统自动生成，不用配置，下同vif 1 interface GigabitEthernet0/1 virtual-ip 192.168.1.100virtual-mac 005e-0000-1101 reduce 10vif 2 interface GigabitEthernet0/0 virtual-ip 202.103.1.100virtual-mac 005e-0000-1102 reduce 10#2.SecPath1000F（备）的主要配置：#sysname fw2#firewall packet-filter enablefirewall packet-filter default permit#interface Ethernet1/0#interface GigabitEthernet0/0ip address 202.103.1.2 255.255.255.0nat server protocol tcp global 202.103.1.88 any inside 192.168.1.254 any #interface GigabitEthernet0/1ip address 192.168.1.2 255.255.255.0#firewall zone localset priority 100#firewall zone trustadd interface GigabitEthernet0/1set priority 85#firewall zone untrustadd interface GigabitEthernet0/0set priority 5#firewall zone DMZadd interface Ethernet1/0set priority 50#rdo 1ha-interface interface Ethernet1/0 peer-mac ffff-ffff-ffffvif 1 interface GigabitEthernet0/1 virtual-ip 192.168.1.100virtual-mac 005e-0000-1101 reduce 10vif 2 interface GigabitEthernet0/0 virtual-ip 202.103.1.100virtual-mac 005e-0000-1102 reduce 10#3．验证结果：当PC从FTP服务器上下载数据的同时，切断主防火墙上的某一接口，使备防火墙变成主，此时观察到下载不会受到影响。