华为防火墙VRRP双机热备的配置

---

概念

双机热备特指基于高可用系统中的两台服务器的热备（或高可用），因两机高可用在国内使用较多，故得名双机热备，双机高可用按工作中的切换方式分为：主-备方式（Active-Standby方式）和双主机方式（Active-Active方式），主-备方式即指的是一台服务器处于某种业务的激活状态（即Active状态），另一台服务器处于该业务的备用状态（即Standby状态)。而双主机方式即指两种不同业务分别在两台服务器上互为主备状态（即Active-Standby和Standby-Active状态）。

---

提示：以下是本篇文章正文内容，下面案例可供参考

一、华为双机热备的两种模式

热备模式：即主-备模式，同一时间，只使用主设备进行转发数据，备设备进入待命状态，期间会同步
         会话表和server-map表；当主设备shutdown或接口故障，备设备能够快速切换为主设备；
		 
负载均衡模式：即双主机方式，同一时间，多台防火墙同时工作，同时防火墙又作为其他防火墙的备设备，
             期间会同步会话表和server-map表。

二、相关术语

• VRRP：虚拟路由冗余协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。^[1]
• VRID：Virtual Router ID，虚拟路由器标识，用来唯一的标识一个备份组。
• VIP：虚拟IP地址，提供给客户端的网关IP地址，也是分配给虚拟路由器的IP地址，在所有的VRRP中配置，只有主用设备提供该IP地址的ARP响应。
• VMAC： 虚拟MAC地址，基于VRID生成的用于VRRP的MAC地址，在客户端通过ARP协议解析网关的MAC地址时，主用路由器将提供该MAC地址。
• VGMP：VGMP通过心跳线协商VGMP的状态信息，通过发送VGMP报文实现。^[2]
• HRP 是华为的冗余备份协议， 防火墙使用此协议进行备份组网， 达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。^[3]

三、配置

1.为物理接口配置ip地址、划分区域

防火墙配置

FW1配置
[FW1]interface GigabitEthernet 1/0/1  //进入接口视图
[FW1-GigabitEthernet1/0/1]ip address 10.1.1.1 255.255.255.0
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 20.1.1.1 255.255.255.0
[FW1]interface GigabitEthernet 1/0/6
[FW1-GigabitEthernet1/0/6]ip address 3.3.3.1 255.255.255.252

[FW1]firewall zone trust  //进入安全区域视图
[FW1-zone-trust]add interface GigabitEthernet1/0/1
[FW1]firewall zone untrust
[FW1-zone-trust]add interface GigabitEthernet1/0/0
[FW1]firewall zone dmz
[FW1-zone-trust]add interface GigabitEthernet1/0/6

FW2配置
[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]ip address 10.1.1.2 255.255.255.0
[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]ip address 20.1.1.2 255.255.255.0
[FW2]interface GigabitEthernet 1/0/6
[FW2-GigabitEthernet1/0/6]ip address 3.3.3.2 255.255.255.252

[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet1/0/1
[FW2]firewall zone untrust
[FW2-zone-trust]add interface GigabitEthernet1/0/0
[FW2]firewall zone dmz
[FW2-zone-trust]add interface GigabitEthernet1/0/6

2.VRRP配置

[FW1]interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 active  //配置vrid、vip，并设置为主设备
[FW1]interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 20.1.1.254 active

[FW2]interface GigabitEthernet1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 10.1.1.254 standby
[FW2]interface GigabitEthernet1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 20.1.1.254 standby

3.指定心跳线

[FW1]hrp interface GigabitEthernet1/0/6 remote 3.3.3.2
[FW2]hrp interface GigabitEthernet1/0/6 remote 3.3.3.1

4.在主设备设置抢占延时

[FW1]hrp preempt delay 20

5.启用

[FW1]hrp enable
[FW2]hrp enable

6.安全策略

HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]default action permit  //放行所有流量

HRP_M[FW1]interface GigabitEthernet1/0/0
HRP_M[FW1-GigabitEthernet1/0/0]shutdown    //模拟接口故障后

配置完成

ping测试后
HRP_M[FW1]display firewall session table  //查看会话表

---

[1]科普中国，科学百科 虚拟路由器冗余协议词条
[2]华为防火墙VRRP双机热备的原理及实例配置
[3]精！华为防火墙双机热备技术：HRP、VGMP、VRRP