华为eNSP下防火墙双机热备的实现以及在HRP配置错误时的现象

华为防火墙双机热备基础教程

【华为官方视频】
https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about
【CSDN博客】
https://blog.csdn.net/qq_38265137/article/details/80349439

官方教材《HCIA-Security实验手册V3.0》双机热备无法在eNSP中实现的解决

这个实验是本人在根据华为官方教材《HCIA-Security实验手册V3.0》进行防火墙双机热备实验时，发现该书第71页（PDF的74页）有印刷错误，防火墙上HRP配置也不能在eNSP上实现，最后查阅资料和实验得出的一个正确配置。
实验拓扑如下（与实验手册基本一样，只是端口号和vrid不同）：

该教材中的双机热备实验，防火墙是使用的USG6330，但是如果在eNSP模拟器下做实验的话，模拟器中是没有USG6330的，所以只能用USG6000来替代，个人也不太清楚那个不能USG6000中实现的HRP配置命令在USG6330上能不能用。
教材中问题如下图：

上图中第一个红圈应该是G1/0/3口，印刷错误可以忽略。关键之处在于第二个红圈，如果在USG6000中输入这个命令并敲回车，会有报错提示，因此在eNSP下，USG6000防火墙心跳口中的HRP正确的配置命令如下：
【主防火墙】

#
 hrp enable
 hrp interface GigabitEthernet1/0/1 remote 30.1.1.2
#

【备防火墙】

#
 hrp enable
 hrp standby-device
 hrp interface GigabitEthernet1/0/1 remote 30.1.1.1
#

详细配置

#交换机LSW1
#不进行额外配置

#交换机LSW2
#不进行额外配置

#防火墙FW1
#
sysname FW1
#
 hrp enable
 hrp interface GigabitEthernet1/0/1 remote 30.1.1.2
#
interface GigabitEthernet1/0/0            
 undo shutdown                            
 ip address 40.1.1.1 255.255.255.0        
 vrrp vrid 2 virtual-ip 2.2.2.1 255.255.255.0 active
#                                         
interface GigabitEthernet1/0/1            
 undo shutdown                            
 ip address 30.1.1.1 255.255.255.0        
#                                         
interface GigabitEthernet1/0/2            
 undo shutdown                            
 ip address 10.1.2.1 255.255.255.0        
 vrrp vrid 1 virtual-ip 10.1.2.3 active   
#
firewall zone trust                       
 set priority 85                                 
 add interface GigabitEthernet1/0/2       
#                                         
firewall zone untrust                     
 set priority 5                           
 add interface GigabitEthernet1/0/0       
#                                         
firewall zone dmz                         
 set priority 50                          
 add interface GigabitEthernet1/0/1       
#
security-policy                           
 rule name trust_to_untrust               
  source-zone trust                       
  destination-zone untrust                
  action permit                           
#

#防火墙FW2（配置大体与FW1相同，但需要配置hrp standby-device指定自己是备份防火墙）
#
sysname FW2
#
 hrp enable
 hrp standby-device
 hrp interface GigabitEthernet1/0/1 remote 30.1.1.1
#
interface GigabitEthernet1/0/0            
 undo shutdown                            
 ip address 40.1.1.2 255.255.255.0        
 vrrp vrid 2 virtual-ip 2.2.2.1 255.255.255.0 standby
#                                         
interface GigabitEthernet1/0/1            
 undo shutdown                            
 ip address 30.1.1.2 255.255.255.0        
#                                         
interface GigabitEthernet1/0/2            
 undo shutdown                            
 ip address 10.1.2.2 255.255.255.0        
 vrrp vrid 1 virtual-ip 10.1.2.3 standby  
#
firewall zone trust                       
 set priority 85                          
 add interface GigabitEthernet1/0/2       
#                                         
firewall zone untrust                     
 set priority 5                           
 add interface GigabitEthernet1/0/0       
#                                         
firewall zone dmz                         
 set priority 50                          
 add interface GigabitEthernet1/0/1       
#
security-policy                           
 rule name trust_to_untrust               
  source-zone trust                       
  destination-zone untrust                
  action permit                           
#

HRP作用及配置错误可能出现的网络故障

【作用】
HRP，即“华为冗余协议”，它是华为私有协议，建立在VRRP基础上。尽管VRRP的作用是在某台路由器故障情况下使用另一台路由器以保持网络通信不中断（有主备和负载均衡两种方式），但在华为防火墙双机热备中，基本的VRRP是有缺陷的，一个是各备份组不能统一，另一个是两台防火墙的会话表项不能同步，前一个问题通过VGMP解决，HRP用于解决后一个问题，关于防火墙的表项，我们需要知道数据包在防火墙中的转发过程。
来自于防火墙内部的数据包到达防火墙后，如果数据包允许通过，防火墙会在内部建立一条五元组的会话连接（一个session表项），该包后续报文（包括返回报文）只有在匹配这个会话表项时，才能够通过防火墙。
因此我们经常看到这样的现象，防火墙内部的主机可以ping通外网的主机，但是外网主机ping不通内网。
如果在某时刻主用防火墙因故障突然下线，VRRP启用备份防火墙，VGMP完成备份组的统一，然而此时因为备用防火墙没有主用防火墙的会话表项，所以来自于墙外的回包到达后会被备用防火墙丢弃造成网络中断。HRP就用于同步主备防火墙上的会话表项，保证网络不被中断，HRP配置在主备防火墙之间的心跳线端口上，两个防火墙通过心跳线互发UDP报文，从而实现会话表项的同步。
下图是心跳线中的抓包情况：

【故障现象】
根据个人实验，在HRP协商失败或者没有开启的情况下，网络可能会不稳定，两个防火墙主备身份可能会交替得非常频繁，由此内部主机ping外网主机时，因为会话表项同步不及时会造成大量丢包甚至网络中断。