ensp 双机热备 配置_华为防火墙双机热备配置及组网

防火墙双机热备配置及组网指导

防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现

中断。

防火墙双机热备组网根据防火墙的模式，

分路由模式下的双机热备组网和透明模式下

的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

1

1

：防火墙双机热备命令行说明

防火墙的双机热备的配置主要涉及到

HRP

的配置，

VGMP

的配置，以及

VRRP

的配置，

防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，

下面就防火墙的

双机热备配置涉及到的命令行做一个解释说明。

1.1

1.1

HRP

命令行配置说明

HRP

是华为的冗余备份协议，

Eudemon

防火墙使用此协议进行备份组网，

达到链路状

态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP

协议是华为自己开发的协议，主要是在

VGMP

协议的基础上进行扩展得到的；

VGMP

是华为的私有协议，主要是用来管理

VRRP

的，

VGMP

也是华为的私有协议，是在

VRRP

的基础上进行扩展得到的。不管是

VGMP

的报文，还是

HRP

的报文，都是

VRRP

的

报文，

只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是

VGMP

的报文，

HRP

的报文，或者是普通的

VRRP

的报文。

在

Eudemon

防火墙上，

hrp

的作用主要是备份防火墙的会话表，

备份防火墙的

servermap

表，备份防火墙的黑名单，备份防火墙的配置，以及备份

ASPF

模块中的公私网地址映射表

和上层会话表等。

两台防火墙正确配置

VRRP

，

VGMP

，以及

HRP

之后，将会形成主备关系，这个时候

防火墙的命令行上会自动显示防火墙状态是主还是备，

如果命令行上有

HRP_M

的标识，

表

示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有

HRP_S

的标

识，

表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能

在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状

态，不可能出现两台都为主状态或者都是备状态的。

在防火墙的

HRP

形成主备之后，

我们称

HRP

的主备状态为

HRP

主或者是

HRP

备状态，

在形成

HRP

的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火

墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括

ACL

，接口加入域

等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。

HRP

的配置命令的功能和使用介绍如下：

★

hrp enable

：

HRP

使能命令，使能

HRP

之后防火墙将形成主备状态。

★

hrp configuration check acl

：检查主备防火墙两端的

ACL

的配置是否一致。执行此

命

令

之

后

，

主

备

防

火

墙

会

进

行

交

互

，

执

行

完

之

后

可

以

通

过

命

令

行

display

hrp

configuration check acl

来查看两边的配置是否一致。