华为防火墙VRRP双机热备配置及组网

双机热备网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。

在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。

当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。

在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。

每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。

在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。

当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。

双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。

配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。

接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。

➢主墙a）配置HA心跳口地址。

①点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。

点击“确定”按钮保存配置。

双机热备配置举例目录1双机热备配置举例1.1 配置主备备份方式下的双机热备1.2 配置负载分担方式上下行设备是路由器的双机热备1.3配置负载分担方式下业务接口工作在交换模式的双机热备1.4 配置主备备份方式下VRRP 和OSPF 结合的双机热备1.5 配置主备备份方式下OSPF 与NAT 结合的双机热备1双机热备配置举例通过配置双机热备功能，可以确保主用设备出现故障时能由备份设备平滑地接替工作。

配置主备备份方式下的双机热备Eudemon 作为安全设备部署在业务节点上，上下行设备均是交换机，实现主备备份的双机热备份组网。

配置负载分担方式上下行设备是路由器的双机热备Eudemon 作为安全设备部署在业务节点上，上下行设备均是路由器，实现负载分担的双机热备份组网。

配置负载分担方式下业务接口工作在交换模式的双机热备Eudemon 上下行设备均是路由器，主备设备的业务接口工作在交换模式下，在上下行路由器之间透传OSPF 协议，同时对业务流量提供安全过滤功能。

配置主备备份方式下VRRP和OSPF结合的双机热备主备设备与路由器运行OSPF协议，与交换机运行VRRP , 实现主备备份的双机热备份组网。

配置主备备份方式下OSPF与NAT结合的双机热备主备设备与路由器及下行设备GGSN设备运行OSPF协议，在设备上配置NAT功能，实现主备备份的双机热备份组网。

父主题：典型配置案例1.1配置主备备份方式下的双机热备Eudemon作为安全设备部署在业务节点上，上下行设备均是交换机，实现主备备份的双机热备份组网。

组网需求Eudemon作为安全设备被部署在业务节点上。

其中上下行设备均是交换机，Eudemon_A、Eudemon_B分别充当主用设备和备用设备。

网络规划如下：•内部网络通过路巾器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/2接口相连，部署在Trust区域。

•外部网络通过路由器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/1接口相连，部署在Untrust区域。

双机热备与 NAT 功能结合一组网需求USG作为安全设备被部署在业务节点上。

USG的业务接口工作在三层，上下行连接交换机。

USG_A、 USG_B以主备备份方式工作。

内网用户可以通过公网地址访问Internet。

正常情况下， USG_A作为主用设备，处理业务流量； USG_B作为备用设备，不处理业务流量。

当USG_A的接口或整机发生故障时， USG_B切换为主用设备接替USG_A处理业务流量，从而保证业务不中断。

图 1-44 业务接口工作在三层，上下行连接交换机的组网图配置思路1. 由于USG的业务接口工作在三层，能够配置IP地址。

而且USG上下行连接交换机，交换机能够透传VRRP报文。

因此本举例选择在业务接口上配置IP地址和VRRP备份组，由VRRP备份组监控接口状态。

2. 为了实现主备备份方式，需要将USG_A的VRRP备份组加入Active管理组， USG_B的VRRP备份组加入Standby管理组，由管理组统一监控接口状态。

3. 为了使内网用户能够使用公网IP地址访问Internet，需要配置Trust与Untrust域间的源NAT。

由于NAT地址池中的地址与VRRP备份组的虚拟IP地址在同一网段，为了避免业务冲突，需要配置NAT地址池与管理组绑定。

4. 为了使USG_B能够备份USG_A的关键配置命令和会话表状态信息，需要在两台USG上指定HRP备份通道，然后启用HRP功能。

5. 为了保证正常情况下路由可达，且主备设备状态切换后流量能够被正确地引导到备用设备上，需要在内网的PC或设备上配置静态路由，下一跳为VRRP备份组的虚拟IP地址。

操作步骤步骤1 在USG_A上配置各个接口的IP地址，并将接口加入安全区域。

1. 选择“网络 > 接口 > 接口”。

2. 在“接口列表”中，单击GE0/0/1对应的，显示“修改GigabitEthernet”界面。

GE0/0/1的相关参数如下，其他参数使用默认值：l 安全区域： untrustl 模式：路由l 连接类型：静态IPl IP地址： 10.2.0.1l 子网掩码： 255.255.255.03. 单击“应用”。

防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。

HRP命令行配置说明HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP 是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。

不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。

在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。

两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。

4双机热备份配置关于本章4.1 双机热备份简介4.2 双机热备原理描述4.3 双机热备份应用场景4.4 配置注意事项4.5 双机热备份缺省配置4.6 配置双机热备份功能4.7 双机热备份配置举例4.8 双机热备份常见配置错误4.1 双机热备份简介定义双机热备份（Hot-Standby Backup）是指，当两台设备在确定主用（Master）设备和备用（Backup）设备后，由主用设备进行业务的转发，而备用设备处于监控状态，同时主用设备实时向备用设备发送状态信息和需要备份的信息，当主用设备出现故障后，备用设备及时接替主用设备的业务运行。

目的随着用户对网络可靠性的要求越来越高，如何保证网络的不间断传输，已成为一个必须解决的问题。

特别是在一些重要业务的入口或接入点上，需要保证网络的不间断运行，如企业的Internet接入点、银行的数据库服务器等。

在这些业务点上如果只使用一台设备，无论其可靠性多高，网络都必然要承受因单点故障而导致业务中断的风险。

为了解决上述问题，引入了双机热备份。

双机热备份实现了双机业务的备份功能，业务信息通过备份链路实现批量备份和实时备份，保证在主设备故障时业务能够不中断地顺利切换到备份设备，从而降低了单点故障的风险，提高了网络的可靠性。

4.2 双机热备原理描述4.2.1 备份方式设备支持主备方式的双机热备份解决方案。

主备方式（与VRRP热备份配合使用）如图4-1所示，RouterA与RouterB组成一个VRRP备份组。

正常情况下主设备RouterA处理所有业务，并将产生的会话信息通过主备通道传送到备份设备RouterB进行备份；RouterB不处理业务，只用做备份。

图4-1双机热备份主备方式组网图（正常工作）RouterA主备通道当主设备RouterA发生故障，备份设备RouterB接替主设备RouterA处理业务，如图4-2所示。

由于已经在备用设备上备份了会话信息，从而可以保证新发起的会话能正常建立，当前正在进行的会话也不会中断，提高了网络的可靠性。

防火墙双机热备特性FAQ1：问：R6新增了支持防火墙和路由器双机热备份组网，的这种组网是如何实现的防火墙主备组网的，需要在防火墙上配置哪些命令，需要注意哪些东西？答：R6上新增支持防火墙和路由器双机热备份组网，这种组网防火墙和路由器之间器OSPF 协议，同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值，使得路由器学到的路由都指向主防火墙，保证业务都从主防火墙上过，形成双机热备份的。

为了实现防火墙和双机热备份组网，需要在主备防火墙上配置命令：hrp ospf-cost adjust-enable，这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值，主防火墙直接发布路由。

这个COST值默认是65500。

防火墙和路由器组网的时候，心跳线不能配置成transfer-only，同时需要使用VRRP的优先级作为防火墙的VGMP的优先级，VRRP需要track上和路由器相连的接口。

2：问：R6双机热备份是如何支持来回路径不一致的，会话快速备份和传统的会话实时备份有什么区别，会话快速备份涉及到哪些命令行。

答：R6是通过支持会话快速备份来支持来回路径不一致的，会话快速备份就是在会话建立的时候就立即备份到对端防火墙上，保证即使是来回路径不一致，到备防火墙上的报文也能命中会话进行转发。

会话快速备份和传统的会话实时备份的区别是：1：会话快速备份在会话一建立就备份到备防火墙上，而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的，所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上，所以仅仅有会话实时备份不能支持来回路径不一致。

2：会话快速备份能备份tcp半连接会话和ICMP会话，而会话实时备份不备份半连接会话和ICMP的会话。

会话快速备份首先需要配置心跳口，并配置high-availability参数，保证此接口是高可用性接口，同时配置hrp mirror session enable。

信息安全基础知识笔记06防⽕墙双机热备技术（下）信息安全基础知识笔记06防⽕墙双机热备技术(下) 本笔记主要介绍防⽕墙双机热备，分为上下两个部分。

下部分主要介绍防⽕墙双机热备的基本组⽹⽅式和配置⽅法（其中包括配置VRRP，VGMP和配置HRP），以及分别通过命令⾏和Web图形界⾯⽅式进⾏配置实现。

双机热备基本组⽹VRRP备份组监测三层业务接⼝。

双机热备组⽹最常见的是防⽕墙采⽤路由模式，下⾏交换机双线上联到防⽕墙，若以防⽕墙A作为主，当防⽕墙A上⾏或下⾏链路down 掉后，防⽕墙B⾃动切换为主设备，交换机流量⾛向防⽕墙B。

将上⾯的⽹络组⽹图转换成实际拓扑图如下。

假设有⼀企业的两台防⽕墙的业务接⼝都⼯作在三层，上下⾏分别连接⼆层交换机。

上⾏交换机连接运营商的接⼊点1.1.1.10/24，运营商为企业分配的外⽹IP地址为1.1.1.1/24。

现在希望两台防⽕墙以主备备份⽅式⼯作。

主防⽕墙A与备防⽕墙B通过GE1/0/6连接HRP⼼跳链路，⽤于同步配置命令，⽹段配置为10.10.0.0/24。

正常情况下，流量通过防⽕墙A转发。

当防⽕墙A出现故障时，流量通过防⽕墙B转发，保证业务不中断。

（1）命令⾏配置⽅式 Step 1：基础配置 ①为各防⽕墙的接⼝配置IP地址。

（详细命令省略） 防⽕墙A配置如下： 防⽕墙B配置如下： ②将防⽕墙各接⼝加⼊到对应的安全区域中（详细命令省略） 防⽕墙A和防⽕墙B的安全区域配置相同。

此处创建了⼀个优先级为95的安全区域hrp，专⽤于加⼊HRP⼼跳接⼝。

③在两个防⽕墙上均配置⼀条缺省路由，下⼀跳为运营商接⼊点1.1.1.10，使内⽹⽤户的流量可以正常转发⾄运营商的路由器上。

防⽕墙A和防⽕墙B的静态路由配置相同。

Step 2：配置VRRP备份组 配置命令： vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby } Tips：斜体为需更改的参数，[]中的命令为⼆选⼀，{}中的命令为可选项。

两台USG5120防火墙多ISP接入，运行双机热备主备模式。

内网两台S7706交换机运行VRRP，各自连接到USG5120防火墙上。

应用服务器做双网卡绑定(主备模式)，分别连接两台S7706交换机上。

两台USG防火墙上、下行运行VRRP。

通过配置VRRP备份组，分别加入到VGMP管理组中。

通过Master和Slave状态统一监控。

心跳接口不参加业务流量。

启用HRP备份功能，对两台USG的配置与状态进行实时备份，避免网络异常业务中断长久。

配置NAT策略，供内网用户上Internet。

配置端口映射将内部应用发布到外网。

防火墙默认域间策略全部放行，方便测试。

网络拓扑：set priority 15add interface GigabitEthernet 0/0/0#interface GigabitEthernet 0/0/1ip add 10.10.12.1 24#firewall zone name wan2set priority 10add interface GigabitEthernet 0/0/1#interface GigabitEthernet 0/0/2ip add 10.10.10.1 24#firewall zone trustadd interface GigabitEthernet 0/0/2#interface GigabitEthernet 0/0/3ip address 10.10.254.1 24#firewall zone dmzadd interface GigabitEthernet 0/0/8#firewall packet-filter default permit all#ip route-static 10.88.85.0 255.255.255.0 10.10.10.20 ip route-static 0.0.0.0 0.0.0.0 202.100.1.100#FW2：#Sysname FW2#interface GigabitEthernet 0/0/0ip address 10.10.11.2 24#firewall zone trustundo add interface GigabitEthernet 0/0/0#firewall zone name wan1set priority 15add interface GigabitEthernet 0/0/0#interface GigabitEthernet 0/0/1ip add 10.10.12.2 24#firewall zone name wan2set priority 10add interface GigabitEthernet 0/0/1#interface GigabitEthernet 0/0/2ip add 10.10.10.2 24#firewall zone trustadd interface GigabitEthernet 0/0/2#interface GigabitEthernet 0/0/3ip address 10.10.254.2 24#firewall zone dmzadd interface GigabitEthernet 0/0/8#firewall packet-filter default permit all#ip route-static 10.88.85.0 255.255.255.0 10.10.10.20ip route-static 0.0.0.0 0.0.0.0 202.100.2.100#配置内网核心交换机，并配置VRRP、S7706-1为Master VRRP S7706-1:#sysname S7706-1#vlan batch 10 885#interface Vlanif10ip address 10.10.10.21 255.255.255.0vrrp vrid 10 virtual-ip 10.10.10.20vrrp vrid 10 priority 105#interface Vlanif885ip address 10.88.85.241 255.255.255.0 vrrp vrid 85 virtual-ip 10.88.85.240vrrp vrid 85 priority 105#interface Eth-Trunk1description HAport link-type trunkport trunk allow-pass vlan 10 885mode lacp#interface GigabitEthernet6/0/1port link-type accessport default vlan 10#interface GigabitEthernet6/0/2port link-type accessport default vlan 885#interface GigabitEthernet6/0/42eth-trunk 1#interface GigabitEthernet6/0/43eth-trunk 1#ip route-static 0.0.0.0 0.0.0.0 10.10.10.10 #S7706-2:#sysname S7706-2#vlan batch 10 885#interface Vlanif10ip address 10.10.10.22 255.255.255.0 vrrp vrid 10 virtual-ip 10.10.10.20#interface Vlanif885ip address 10.88.85.241 255.255.255.0 vrrp vrid 85 virtual-ip 10.88.85.240#interface Eth-Trunk1description HAport link-type trunkport trunk allow-pass vlan 10 885mode lacp#interface GigabitEthernet6/0/1port link-type accessport default vlan 10#interface GigabitEthernet6/0/2port link-type accessport default vlan 885#interface GigabitEthernet6/0/42eth-trunk 1#interface GigabitEthernet6/0/43eth-trunk 1#ip route-static 0.0.0.0 0.0.0.0 10.10.10.10#2.配置USG防火墙VRRP备份组，并加入VGMP管理组。

防火墙双机热备配置及组网指导2013-4-17 华为机密，未经许可不得扩散第4页, 共26页★ add interface Ethernet 1/0/7 vrrp vrid 1 ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理。

★ add interface Ethernet 1/0/7 vrrp vrid 1 data ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。

配置了发送VGMP的数据通道之后，VGMP才能使能。

防火墙的配置同步是通过VGMP的数据通道进行发送的。

★ add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。

通常在防火墙上下行都是交换机组网的情况，心跳口上的VRRP可以以此种方式加入到VGMP组中。

★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，同时在VGMP上绑定ip-link功能。

ip-link的使用介绍请参考其他文档。

★ vrrp-group enable：VGMP组使能命令。

在配置了VGMP的数据通道之后，此命令才可以执行，执行此命令后，防火墙会从数据通道发送VGMP的报文和对端防火墙进行交互，确定VGMP的主备状态。

★ vrrp-group preempt：配置VGMP组的抢占模式。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

高级应用-VRRP配置交换机VRRP配置1 功能需求及组网说明VRRP配置『配置环境参数』SwitchA通过E0/24与SwitchC相连，通过E0/23上行SwitchB通过E0/24与SwitchC相连，通过E0/23上行交换机SwitchA通过ethernet 0/24与SwitchB的ethernet 0/24连接到SwitchC SwitchA和SwitchB上分别创建两个虚接口，interface vlan 10和interface 20做为三层接口，其中interface vlan 10分别包含ethernet 0/24端口，interface 20包含ethernet 0/23端口，做为出口。

『组网需求』SwitchA和 SwitchB之间做VRRP，interface vlan 10做为虚拟网关接口，Switch A为主设备，允许抢占，SwitchB为从设备，PC1主机的网关设置为VRRP虚拟网关地址192.168.100.1，进行冗余备份。

访问远端主机PC2 10.1.1.1/242 数据配置步骤『两台交换机主备的配置流程』通常一个网络内的所有主机都设置一条缺省路由，主机发往外部网络的报文将通过缺省路由发往该网关设备，从而实现了主机与外部网络的通信。

当该设备发生故障时，本网段内所有以此设备为缺省路由下一跳的主机将断掉与外部的通信。

VRRP就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如以太网）设计。

VRRP可以将局域网的一组交换机（包括一个Master即活动交换机和若干个Backup即备份交换机）组织成一个虚拟路由器，这组交换机被称为一个备份组。

虚拟的交换机拥有自己的真实IP地址（这个IP地址可以和备份组内的某个交换机的接口地址相同），备份组内的交换机也有自己的IP地址。

局域网内的主机仅仅知道这个虚拟路由器的IP地址（通常被称为备份组的虚拟IP地址），而不知道具体的Master交换机的IP地址以及Backup交换机的IP地址。