安全运维之华为防火墙主备切换

对于局域网内的主机来说，如果它要跟外部网络的主机通信，就需要通过路由器/三层交换机等对相关数据包进行转发。如果路由器或交换机出现故障，那么跨网段的通信将会受到影响。为了解决单点故障问题，存在一种虚拟路由器冗余协议（VRRP：Virtual Router Redundancy Protocol），即将两台或多台路由器/交换机视为一个虚拟路由器，拥有一个虚拟IP地址，那么主机将该虚拟IP地址作为跨网段访问的下一跳地址。其中，虚拟路由器指定其中的一台设备作为主（Matser）设备进行路由选择和数据转发，其余的为备（Backup/Slave）设备，主备设备均有自己的IP。当主设备故障时，VRRP通过自己的选择策略将主设备的工作交由备设备接管，从而避免了对网络通信的影响。当然，除了单纯的主备模式，VRRP还支持负载模式，即主备设备同时工作，以分担相应工作压力。

上文所述“选择策略”的一种实现方式是优先级的定义，对虚拟路由器包含的各个物理设备赋予不同的优先级，优先级最高的置为主设备，较低的置为备设备。当主设备故障时退服，备设备升级为主设备。通常情况下，主设备上配置了“抢占模式”（preempt），当其重新入网工作时，由于其优先级较高将重新成为主设备。可以通过如下命令来查看设备的主备状态及VRRP信息：

display vrrp

display vrrp brief

防火墙（特别是三层防火墙）也支持VRRP协议，其功能与上述描述类似。所谓主备切换，就是对主防火墙和备防火墙进行切换，是一种应急演练措施，可以用来评测主墙和备墙是否正常工作。具体的操作过程如下：

1、当前配置保存

对于防火墙来说，既有存在于硬盘的策略配置文件，也有存在于内存的当前运行策略。如果内存中的策略没有保存则在设备重启后相关策略会丢失，只会执行硬盘中策略配置文件中的策略。因此，在执行主备切换前，需要保存当前策略，这一点很重要。

save

2、策略比对同步

因为切换后，备墙将成为新的主墙，如果主备墙策略不一致，将会对网络运行造成影响。因此，在切换前，必须比对主墙和备墙的策略，以保障策略一致。

3、关闭抢占模式

如上文所述，如主墙配置了抢占模式，当其重新入网时将重新成为主墙，流量也将重新回归主墙，备墙无法顺利执行工作。因此，需要关闭主墙的抢占模式：

undo hrp preempt

4、识别上下行接口

一般情况下，可以通过shutdown防火墙的上下行接口实现主备切换的触发，而上下行接口往往会被分别划入trust和untrust安全域，可以通过如下命令查看每个安全域下面的接口信息。

display zone

由上图可见，GigabitEthernet0/0/5、GigabitEthernet0/0/6分别为上下行接口。进一步的，可以通过如下命令查看这接口的IP地址、link-group、ospf cost值等配置信息。我们需要关注的是接口的link-group值，可以看出GigabitEthernet0/0/5、GigabitEthernet0/0/6的link-group值相同，表示其中一个接口down的话另外一个接口也会down。

display current-configuration interface

进一步的，通过如下命令可以查看接口的up/down状态。其中，接口up/down状态包括physical和protocol两个方面，即一个是物理开关状态，一个是逻辑开关状态。可以看出，正常情况下，GigabitEthernet0/0/5、GigabitEthernet0/0/6的physical和protocol状态都是up。

display ip interface brief

5、查看主备墙通讯接口并开启telnet功能

主备墙之间通过心跳口hrp相连，因为主墙上下行接口down掉之后，会导致主墙无法通过正常方式登录而造成托管，因此在down接口之前需要开启主墙的telnet功能，并利用备墙利用心跳口登录主墙进行操作，防止主墙托管。

5.1 查看心跳域hrp对应的接口Eth-Trunk0

display zone

5.2 查看接口Eth-Trunk0对应的IP地址192.168.222.4

display currrent-configuration interface

或

display ip interface brief

5.3 开启主墙telnet功能

system-view

telnet server enable

quit

6、通过备墙TELNET登录主墙并shutdown相关端口

#telnet登录

telnet 192.168.222.4

username:XX

password:XX

#进入接口0/0/6并shutdown

system-view

interface GigabitEthernet0/0/6

shutdown

quit

quit

通过如上操作即实现了接口GigabitEthernet0/0/6的down操作，GigabitEthernet0/0/6的状态由up变为down。因为GigabitEthernet0/0/5与GigabitEthernet0/0/5在一个link-group，则GigabitEthernet0/0/5的状态也由up变为down，可以通过display ip interface brief进行查看确认。

7、恢复原主墙状态并关闭其telnet功能

执行步骤6的操作后，原则上原备墙会即可变为主墙，如果配置了短信告警的话经过几秒钟应该会收到告警。因为原主墙关闭了抢占模式，那么即使主墙重新入网也不会执行抢占操作，即主备墙的当前状态不会改变。

为了使得原主墙仍然在管控范围内，需要通过如下命令恢复原主墙上下行接口的状态，以实现设备的正常登录。

system-view

interface GigabitEthernet0/0/6

undo shutdown

quit

quit

执行上述操作几秒后，可以发现原主墙可以通过原有的方式进行登录和管理。从安全角度考虑，防火墙应关闭telnet功能以防止恶意人员的探测和攻击，因此主墙切换的最后一步就是通过如下命令关闭原主墙的telnet功能。

system-view

undo telnet server enable

quit

8、总结

总得来看，华为防火墙主备切换主要分为保存策略、检查接口、切换操作、恢复状态这么几步，按流程操作一般都能够完成。这里，小饼特别套强调策略保存的状态恢复这两步，如果这两步出现问题要么会因策略不一致对业务造成直接影响，更有可能会导致设备托管，到时只能去机房处理了。

感谢您花费时间阅读此文，水平有限，但请见谅，欢迎关注评论，期待与您一起学习、成长。有兴趣深入了解的同仁可以参见《强叔侃墙》，绝对物超所值，下文将介绍华为防火墙的NAT配置方法。