防火墙双机热备特性FAQ

双机热备条件在计算机系统中，双机热备条件是一种常见的高可用性架构，用于确保系统的持续可用性和数据冗余。

双机热备条件通过使用两个或多个相同配置的服务器来保证系统的连续运行，即当一个服务器发生故障时，另一个服务器可以自动接管其工作，从而实现无缝切换并确保系统的稳定性。

为了实现双机热备条件，以下是一些关键的条件和要求：1. 硬件配置一致性：双机热备条件要求两个或多个服务器的硬件配置完全相同，包括处理器、内存、磁盘和网络适配器等。

只有硬件配置一致，系统才能在备用服务器上正确地执行相同的操作，确保系统状态的一致性。

2. 快速故障检测：双机热备条件要求系统能够快速检测到主服务器的故障，并迅速采取措施切换到备用服务器。

通常，这需要使用专用的监控软件或硬件来实时监测主服务器的状态，如网络连接、CPU负载和磁盘空间等。

3. 高可靠性存储：为了确保数据不会丢失或损坏，双机热备条件需要使用高可靠性的存储解决方案，如磁盘阵列或网络存储。

这些存储设备通常具有冗余的磁盘、热插拔功能和硬件加速等特性，以提供极高的数据可靠性和快速的故障恢复。

4. 快速数据同步：为了保持主服务器和备用服务器之间数据的一致性，双机热备条件要求快速的数据同步机制。

通常采用的方法是使用专门的数据复制软件或硬件来实时同步主服务器的数据到备用服务器，以确保备用服务器上的数据与主服务器完全一致。

5. 自动切换和恢复：双机热备条件需要具备自动切换和恢复功能，即当主服务器发生故障时，备用服务器能够自动接管主服务器的工作，并继续提供服务。

这通常需要一个负载均衡器或集群管理软件来监控服务器的状态并进行自动切换，以确保服务的连续性和用户的无感知。

6. 故障恢复测试：为了确保双机热备条件的有效性，定期进行故障恢复测试是必要的。

通过模拟主服务器故障，测试备用服务器的切换和恢复功能，以验证系统的可靠性和稳定性。

总结起来，双机热备条件要求硬件配置一致、快速故障检测、高可靠性存储、快速数据同步、自动切换和恢复以及定期故障恢复测试。

双机热备解决方案简介双机热备是一种常见的高可用性解决方案，通过在两台服务器之间进行数据同步和状态同步，实现在主服务器故障时快速切换到备服务器，从而确保系统的持续可用性。

在本文档中，将介绍双机热备的原理、实施步骤和常见问题解决方案。

原理双机热备的原理是将主服务器和备服务器通过网络连接起来，通过定期同步数据和状态，以便备服务器能够准确地为主服务器提供备份服务。

当主服务器出现故障时，备服务器将立即接管主服务器的工作，并提供相同的服务，以保证系统的可用性。

具体的原理如下： 1. 主服务器和备服务器通过一个交换机或路由器进行网络连接。

2. 定期将主服务器的数据和状态同步到备服务器上，可以使用文件同步工具、数据库复制等技术实现。

3. 备服务器处于待命状态，随时可以接管主服务器的服务。

4. 当主服务器出现故障时，备服务器立即接管主服务器的服务，并通知管理员进行处理。

实施步骤要实施双机热备解决方案，需要进行以下步骤：步骤一：选取适合的硬件设备为了实现双机热备，首先需要选取适合的硬件设备，例如服务器、网络交换机等。

这些硬件设备应具备高可靠性和性能。

步骤二：配置网络环境在选取合适的硬件设备后，需要配置网络环境。

主服务器和备服务器应通过可靠的网络连接起来，并保证网络延迟较低和带宽较大，以确保数据和状态的快速同步。

步骤三：选择并配置数据同步及状态同步方式选择和配置合适的数据同步和状态同步方式是双机热备的关键。

可以根据具体需求选择文件同步工具、数据库复制等技术来实现数据和状态的同步。

步骤四：验证双机热备方案在配置完数据同步和状态同步后，需要进行验证双机热备方案是否生效。

可以通过模拟主服务器故障的方式来验证备服务器是否能够成功接管主服务器的服务。

步骤五：监控和管理备服务器在双机热备方案生效后，需要对备服务器进行监控和管理。

通过实时监控备服务器的状态和性能，及时发现和解决问题，确保备服务器的可靠性和可用性。

常见问题解决方案在实施双机热备方案过程中，可能会遇到一些常见的问题。

双机热备⽬录1、双机热备基础概念双机热备是⼀种概念，各种设备均可以采⽤此概念进⾏部署，⽐如三层交换机、路由器、防⽕墙、服务器等。

如果仅部署⼀台设备，难免会有单点故障的风险，所以部署两台，⼀主⼀备较为保险，⼀台坏了，另⼀台⾃动“顶上”，保证业务不中断，这就是双机热备。

最常见的双机热备就是同时带着同⼀品牌的两台⼿机，A坏了，B登录A的账号，通讯录与邮箱会同步过来，与保证业务不中断。

NOTE：1. 等保三级以上要求必须要有冗余设备，关键设备必须是⼀主⼀备的，这样才能保证业务的稳定性。

双机热备是⽹络⼯程师必须熟练掌握的技术之⼀。

2. 防⽕墙的双机热备其它设备不同，防⽕墙的双机热备需要⼀条专门的备份通道，⽤于两台防⽕墙之间的协商主备状态，以及会话等状态信息。

双机热备主要包括主备备份和负载分担两个场景。

主备备份指正常情况下仅由主⽤设备处理业务，备⽤设备空闲；当主⽤设备接⼝、链路或整机故障时，备⽤设备切换为主⽤设备，接替主⽤设备处理业务。

负载分担也可以称为“互为主备”，即两台设备同时处理业务。

当其中⼀台设备发⽣故障时，另外⼀台会⽴即承担其业务，保证业务不中断。

2、链路聚合讲双机热备之前，必须先讲链路聚合和VRRP，因为双机热备是在这两个技术的基础上进⾏实现的。

2.1 链路聚合的基本概念因为以太⽹的信息传输率主要有：10Mbit/s、100Mbit/s、1000Mbit/s（1Gibt/s）、10Gibt/s、100Gibt/s，它们之间的关系呈10倍递增。

发送/接收速率为10Mbit/s的以太⽹端⼝称为标准以太⽹端⼝。

发送/接收速率为100Mbit/s的以太⽹端⼝称为快速以太⽹端⼝，简称FE（fast ethernet）。

发送/接收速率为1000Mbit/s的以太⽹端⼝称为千兆以太⽹端⼝，1000兆达到了吉，所以也称GE（gigabit ethernet）。

发送/接收速率为10Gbit/s的以太⽹端⼝称为万兆以太⽹端⼝，⼀吉等于1000兆，⼗吉就等于⼗个1000兆，⼗个1000就是⼀万，所以这种接⼝就被称为万兆以太⽹端⼝。

备份/冗余：提高网络的可靠性，防止单点故障二层冗余机制：STP，链路聚合，浮动静态路由，VRRP虚拟路由器冗余协议，HA高可用性，热备，冷备热备：通过冗余技术/协议实现动态的主备切换/负载分担可靠性高冷备：备份设备下电状态，当主设备失效后，进行物理替换节省费用（电费）双机热备技术产生的原因：1.防火墙通过VRRP协议实现备份---主备设备会话表无法同步2.通过防火墙的流量路径来回不一致造成数据丢失（不同VRRP组主备切换不一致）防火墙双机热备：组成：VRRP虚拟路由器冗余协议：管理一个VRRP组的主备切换，实现备份VGMP VRRP组统一管理协议（华为私有）：统一管理VRRP组，实现多个VRRP组主备切换一致HRR 华为私有冗余协议：实现防火墙会话表同步VGMP基本原理：当防火墙上的VGMP为Active/Standby状态时，组内所有VRRP备份组的状态统一为Active/Standby状态状态为Active的VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）状态：Active：主用防火墙，所有报文都将从该防火墙上通过，该状态下VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）Standby：备用防火墙，接收到对端发送HELLO报文，会回应一个ACK消息，该消息中也会携带本身的优先级、VRRP成员状态等成员的状态动态调整，以此完成两台防火墙的主备倒换VGMP HELLO报文发送周期缺省为1秒。

当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态防火墙的VGMP优先级有一个初始优先级，当防火墙的接口或者单板等出现故障时，会在初始优先级基础上减去一定的降低值USG6000和NGFW Module的初始优先级为45000USG9500的VGMP组的初始优先级与LPU板（接口板）上的插卡个数和SPU板（业务板）上的CPU个数有关VGMP组管理：状态一致性管理：VGMP管理组控制所有的VRRP备份组统一切换（VRRP备份组加入到管理组后，状态不能自行单独切换）抢占管理：当原来出现故障的主设备故障恢复时，其优先级恢复，此时可以重新将自己的状态抢占为主HRP：HRP（Huawei Redundancy Protocol）协议：用来实现防火墙双机之间动态状态数据和关键配置命令的备份在双机热备组网中，当主防火墙出现故障时，所有流量都将切换到备防火墙。

双机热备份典型故障现象及定位当前现网组网基本上都是双机热备份组网，而现在由于双机热备份配置或者是组网带来的问题导致现网业务中断也是多有案例出现，下面就几个典型案例来介绍防火墙双机热备份组网中的常见故障及故障定位解决办法。

1案例一：双机热备份组网部分业务中断的问题业务与软件部门在河北某局点于2007年11月用两台Eudemon 1000替换NetScreen的防火墙NS500，业务割接之后发现部分业务不通，最终定位为双机热备份配置的问题。

1.1组网图：组网图如下所示，其中图中注明的新增的两台Eudemon 1000是替换掉NS500割入的设备，防火墙使用路由模式组网，使用的版本是EU300&500&1000&SP1800-VRP3.30-0359(08)。

1.2防火墙配置：防火墙配置如下附件所示：由于此次割接是Eudemon 防火墙替换NS500的防火墙，所以防火墙的配置基本上是把NS500的配置翻译成防火墙的配置之后割接上去。

1.3故障现象：防火墙割接上去之后，发现用一个测试软件从trust到dmz域做NAT outbound出去访问一个指定的server不通，但是可以从防火墙上ping通此server服务器，查看防火墙会话，有从测试PC到server的会话。

刚开始业务与软件部门的兄弟开始检查配置，找自己的部门人员分析，反复查看配置及组网，对比防火墙和NS500的配置之后，仍然没有发现任何疑点，因为NAT地址的地址以前在NS500上使用是可以的对外发起访问的，但是在Eudemon 1000上却对外发起访问不成功，由于此次割接只是用防火墙Eudemon 1000替换NS500，其他设备没有什么改动，初步定位问题出现在防火墙上。

但是防火墙上已经建立了从内网访问server的会话，如果按照防火墙的转发原理，只要回来的报文能到达防火墙，都能命中会话转发到测试PC上。

1.4定位过程：最后现场技术支持和用服找到防火墙研发，防火墙研发登陆到防火墙上，开始进行定位。

天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

VRRP的演示试验fw1fw2pc1pc2 172.16.30.2172.16.30.3172.16.30.4fe2fe2fe3fe3fe4fe4192.168.1.3192.168.1.4192.168.1.21.1.1.11.1.1.2172.16.30.1192.168.1.1链路1链路2拓扑说明：PC1通过HUB连接到fw1和fw2（172.16.30.1这个地址是虚拟IP，下面将会在配置防火墙的过程中讲到），PC2也是通过HUB连接到fw1和fw2。

实验要求：PC1和PC2能够互相ping通，当链路1或者链路2断开时，照样可以互相PING，并且可以在两个防火墙上抓包分析，ICMP包是通过哪个防火墙。

实验步骤：我们设fw1为主墙，下面我们首先为主墙进行配置。

1、配置IP2、配置安全规则P1这条规则允许双向同步secgate_ha_conf服务，必须加的。

其中P2这条规则是允许VRRP组播报告，可加可不加，不会影响实验过程。

P3、P4两个包过滤想必不说也应该清楚吧。

3、HA基本配置同步网口为fe4，同步IP为1.1.1.1，主墙一定要设置为控制节点。

注意实例名称和VRID和备墙一一对应起来。

把两个接口关联起来点启启动。

下面我们再来配置下备墙。

1、配置IP2、HA基本配置需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置，这样就能实现手动同步。

注：同步完后需重启备墙才能生效，备墙不能选择为控制节点。

3、添加VRRP实例4、添加VRRP关联添加完后点击启动注意：1、两台防火墙最好是同一个版本。

2、备墙没有配置安全规则是因为它可以跟主墙同步，而且一旦两个墙的关联都启动后，备墙就不能自己添加安全规则以及其它信息。

防⽕墙双机热备概念双机热备的⼯作原理 1、双机热备概述 a) 双机热备是通过部署两台或多台防⽕墙实现热备及负载均衡 b) 双机热备功能是通过提供⼀条⼼跳线，协商防⽕墙之间的主备状态及备份会话表和server-map表 c) 备⽤设备实时从主⽤设备下载当前的会话表及server-map表 d) 要求：1. ⼼跳线的接⼝加⼊相同的安全区域2. ⼼跳线接⼝的设备编号必须⼀致 e) 两种模式：1. 热备模式：⼀台转发数据，其他不转发，但会同步会话表及server-map表2. 负载均衡模式：多台防⽕墙同时转发数据，相互为备⽤设备 2、 VRRP a) 概述1. VRRP：虚拟路由冗余协议2. VRRP技术可以解决⽹关⾃动切换的问题3. 概念：1. VRRP路由器：运⾏VRRP协议的路由器2. 虚拟路由器：⼀个主路由器和若⼲备⽤路由器组成备份组，对客户提供⼀个虚拟⽹关3. VRID：虚拟路由器标识4. 虚拟IP地址：客户⽹关ip，主⽤设备提供该IP地址的ARP响应5. 虚拟Mac地址6. IP地址拥有者，虚拟ip为某个设备端⼝ip7. 优先级：选举主⽤设备8. 抢占模式：9. ⾮抢占模式4. VRRP和HSRP对⽐1. VRRP公有协议，HSRP是cisco私有2. VRRP虚拟ip可以是接⼝ip，HSRP不可以3. VRRP的虚拟MAC地址前缀为：00-00-5e-00-01-VRIP HSRP的虚拟Mac地址前缀为：00-00-0c-07-ac-组号 4.VRRP有三个状态，HSRP有五个状态 5.VRRP只有⼀种报⽂，HSRP有三种报⽂ 6.VRRP不⽀持端⼝追踪，HSRP⽀持 b) VRRP⾓⾊1. Master 路由器：主2. Backup路由器：备 c) VRRP状态机1. Initialize状态：初始状态2. Master状态：主⽤路由器3. Backup状态：备⽤路由器 先经历backup状态，再到master状态 d) VRRP的⼯作原理1. 选举：优先级（⾼）——接⼝IP（数值⼤）2. 默认优先级为100，IP地址拥有者2553. 主周期性（每1秒）向备发送VRRP通告4. 抢占：优先级⼤的随时成为主 ⾮抢占：下次公平选举 3、 VGMP a) 让防⽕墙上⾏和下⾏都具备⽹关冗余特性 b) VGMP：VRRP组管理协议，实现对VRRP备份组的统⼀管理 c) ⼯作原理：1. VGMP组的状态决定了VRRP备份组的状态2. VGMP组的状态通过对⽐优先级决定 优先级⾼：VGMP组状态为active 优先级低：VGMP组状态为standby 3. 默认，VGMP组优先级为45000 4. VGMP组根据组内VRRP备份组状态决定， ⼀旦检测到备份组状态变为initialize，VGRP组优先级⾃动减2 5. VGMP通过⼼跳线协商VGMP d) VGMP的报⽂封装1. ⼼跳线直连或通过⼆层交换机互联：发送组播报⽂，报⽂不携带UDP头部信息2. ⼼跳线通过三层路由器互联：发送单播报⽂，携带UDP头部信息3. [USG6000V1] hrp int g1/0/0 //发送组播报⽂4. [USG6000V1] hrp int g1/0/0 remote 1.1.1.1 //发送单播报⽂ Remote：表⽰封装UDP报⽂， 1.1.1.1：⼼跳线对端设备的ip地址 e) 双机热备的备份⽅式：1. ⾃动备份：默认开启，⾃动备份命令和状态2. ⼿⼯批量备份：⼿动备份命令和状态3. 快速备份：不同步配置命令，只同步状态信息4. [USG6000V1] hrp enable //开启双机热备5. HRP_S[USG6000V1] hrp auto-sync //配置⾃动备份模式6. HRP_S<USG6000V1> hrp auto-sync [ config | connection-status ] //配置⼿⼯配置模式，⽤户模式下执⾏1. Config：⼿⼯同步命令配置2. Connection-status：⼿⼯同步状态信息7. HRP_S[USG6000V1] hrp mirror session enable //配置快速备份模式。

防火墙双机热备特性FAQ1：问：R6新增了支持防火墙和路由器双机热备份组网，的这种组网是如何实现的防火墙主备组网的，需要在防火墙上配置哪些命令，需要注意哪些东西？答：R6上新增支持防火墙和路由器双机热备份组网，这种组网防火墙和路由器之间器OSPF 协议，同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值，使得路由器学到的路由都指向主防火墙，保证业务都从主防火墙上过，形成双机热备份的。

为了实现防火墙和双机热备份组网，需要在主备防火墙上配置命令：hrp ospf-cost adjust-enable，这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值，主防火墙直接发布路由。

这个COST值默认是65500。

防火墙和路由器组网的时候，心跳线不能配置成transfer-only，同时需要使用VRRP的优先级作为防火墙的VGMP的优先级，VRRP需要track上和路由器相连的接口。

2：问：R6双机热备份是如何支持来回路径不一致的，会话快速备份和传统的会话实时备份有什么区别，会话快速备份涉及到哪些命令行。

答：R6是通过支持会话快速备份来支持来回路径不一致的，会话快速备份就是在会话建立的时候就立即备份到对端防火墙上，保证即使是来回路径不一致，到备防火墙上的报文也能命中会话进行转发。

会话快速备份和传统的会话实时备份的区别是：1：会话快速备份在会话一建立就备份到备防火墙上，而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的，所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上，所以仅仅有会话实时备份不能支持来回路径不一致。

2：会话快速备份能备份tcp半连接会话和ICMP会话，而会话实时备份不备份半连接会话和ICMP的会话。

会话快速备份首先需要配置心跳口，并配置high-availability参数，保证此接口是高可用性接口，同时配置hrp mirror session enable。

服务器双机热备解决方案
1.双机热备简介
双机热备是指将主机和备用机设置在同一网络内，当主机出现故障时，备用机可以立即启动，完全替代主机的故障，从而达到高可用、高可靠的
效果。

它是一种持续运行、高可用性的服务器热备技术，是灾难恢复方案
的延伸，可为客户提供可靠的业务保障。

2.双机热备优势
(1)可靠性：由主机和备份机实现热备，系统可用性可以做到
99.999%，达到零停机的目标，从而解决业务中断的问题。

(2)环境成本：双机热备可以减少传统备份环境的成本，不需要额外
的投入。

(3)安全性：这种热备解决方案内置了安全管理功能，用户按需开启
安全管理功能，当主机故障时，可以立即切换到备份机以确保数据安全。

(4)节约成本：双机热备解决方案可以节省传统备份系统的物理成本，减少宕机时间，从而节省服务器不可用时带来的巨大损失。

3.双机热备原理
双机热备解决方案主要利用主机和备份机实现热备。

主机和备份机上
的数据进行实时同步，主机出现故障时，备份机将自动转换为活动状态，
立即替代主机，保证业务的正常运行，从而达到实现服务器可用性的要求。

双机热备解决方案的主要原理就是数据实时同步。

天融信防火墙双机热备配置说明天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

Eudemon防火墙双机热备业务特性与配置Eudemon防火墙是华为公司推出的一款高性能、高可靠性的网络安全设备。

在网络架构中，防火墙是非常重要的部分，其主要作用是监控和控制数据流量，保护网络安全。

而双机热备技术则是防火墙设备中的一项重要功能，能够在主设备故障的情况下，自动进行切换，保障网络的连续性和可靠性。

Eudemon防火墙的双机热备技术具有以下几个特性：1、高可用性：双机热备技术使得主备设备之间的状态保持实时同步，当主设备发生故障时，备设备可以立即接管主设备的工作，保证网络的持续运行。

2、高性能：双机热备技术采用硬件加速和负载均衡技术，可以将数据流量均匀地分发到主备设备上进行处理，提高防火墙的处理能力和响应速度。

3、灵活的部署方式：双机热备技术支持主备设备的本地部署和远程部署，可以根据实际情况进行选择，灵活满足不同网络环境的需求。

4、恢复能力强：双机热备技术具备自动切换和自动恢复功能，当主设备恢复正常运行时，能够自动将工作从备设备切换回主设备，实现系统的自动恢复和平滑过渡。

5、稳定可靠：双机热备技术采用了多种冗余设计，包括硬件冗余、软件冗余和数据冗余等，可以有效地提高防火墙的稳定性和可靠性，有效避免单点故障的发生。

对于Eudemon防火墙双机热备的配置，可以按照以下步骤进行：1、设备连接和初始化：将主备设备之间进行物理连接，确保两者之间的网络畅通，然后进行设备的初始化配置，包括设置IP地址、子网掩码、网关等，以及进行设备的授权和许可证的导入。

2、主备设备的信息同步：在主备设备之间进行信息同步，包括配置文件、路由表、状态信息等。

这是保证主备设备之间能够实时同步状态的基础。

3、配置双机热备功能：在主设备上开启双机热备功能，并设置备设备的优先级，配置主备设备的心跳检测参数，以便能够实时监测主备设备的状态。

4、测试和验证：在配置完成后，进行测试和验证，包括主备设备之间的切换测试、数据流量的负载均衡测试等，确保双机热备功能的正常运行和可靠性。

将此防火墙设置为从防火墙模式，且把防火墙的ID号设置为1。

e. 第三步是通过防火墙管理软件连接上防火墙，可按实际网络环境需要配置相应的访问策略（如有疑问请参看“防火墙4000访问策略和通信策略”相关文档或DEMO演示）；
f. 接下来在防火墙管理器中点击“工具”→“配置管理” 中的“同步”按钮，使得主从防火墙的状态保持一致；
g. 以上步骤完成以后，防火墙即进入双机热备状态：一旦主防火墙系统出现故障或主传输线路中断时，从防火墙便会立即接替工作。

h. 本操作暂无DEMO演示（以后版本中会加以补充）。

注意：
在双机热备的系统中，两台防火墙的软件版本必须相同，网络端口的数目和类型也要相同；必须将每个防火墙的最后一个接口作为热备口；心跳线必须选用交叉线连接；如果防火墙有多余的端口，必须将其DOWN掉，具体操作如下（进入串口模式）：
另外，两台防火墙的配置必须保持一致；管理员通过管理器只能对一台防火墙进行管理，配置完毕后，必须通过“同步”菜单将修改信息发送到另一台防火墙。

关键词：
状态传输开关：用于保护防火墙已经建立的连接在主从防火墙切换时不会导致丢失。

例如某个连接经过主防火墙，此时主墙发生故障，由从墙接替工作。

如果状态传输（STP）开关没有打开，则这个连接必须重新建立才能通信；如果开关打开，则连接不需要重新建立，两端的通信机器可以完全没有意识到故障的存在。

知识点：
双机热备：将两台网络设备并联在网络中，在任何时刻只有一台设备工作（称为主设备），另一台设备（称为从设备）监视主设备的工作状态；当主设备发生故障时，由从设备来接替工作。

双机热备简介一、双机热备双机热备特指基于active/standby方式的服务器热备。

服务器数据包括数据库数据同时往两台或多台服务器写，或者使用一个共享的存储设备。

在同一时间内只有一台服务器运行。

当其中运行着的一台服务器出现故障无法启动时，另一台备份服务器会通过软件诊测（一般是通过心跳诊断）将standby机器激活，保证应用在短时间内完全恢复正常使用。

其实现过程如下图所示：图（1）为什么要做双机热备？双机热备针对的是服务器的故障。

服务器的故障可能由各种原因引起，如设备故障、操作系统故障、软件系统故障等等。

一般地讲，在技术人员在现场的情况下，恢复服务器正常可能需要１０分钟、几小时甚至几天。

双机高可用系统解决方案，为用户提供了具有单点故障容错能力的系统平台。

它采用主服务发生故障时备服务器接管的机制，实现在线故障自动切换，实现系统7×24小时不间断运行，避免停机造成的损失。

（一）纯软件双机热备纯软件双机热备是在实时数据镜像基础上，实现了不需要共享存储的纯软高可用性系统，一般支持数据库和应用软件实现双机热备。

方案一：Windows(或者Linux)+ Rose Mirror HA+ORACLE（或者SQL Server）的双机热备网络拓扑：图（2）投资采购软硬件设备：（1）数据库服务器：两台数据库服务器，每台服务器至少两个网络口；（2）操作系统：windows或者linux操作系统；（3）数据库软件：Oracle或者SQL Server企业版；（4）集群软件：Rose mirror HA（Rose公司）；（5）交换机：核心交换机一台。

简介：整个集群组网方式所需的IP地址（需要规划6个IP）如图（2）所示，两台数据库服务器虚拟出一个集群IP地址（192.168.1.3）用于集群的管理和虚拟出一个数据库访问IP地址（192.168.1.4）供外部访问。

当主数据库服务器（192.168.1.1）状态处于active时，备用数据库服务器（192.168.1.2）是不对外提供服务，状态处于standby。