2022年防火墙双机热备配置及组网指导 .pdf

《2022年防火墙双机热备配置及组网指导 .pdf》由会员分享，可在线阅读，更多相关《2022年防火墙双机热备配置及组网指导 .pdf（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 1 页, 共 26 页防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。1 1：防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP 的配置， VGMP 的配置，以及VRRP 的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解

2、释说明。1.1 1.1 HRP 命令行配置说明HRP 是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。HRP 协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP 是华为的私有协议，主要是用来管理VRRP 的， VGMP 也是华为的私有协议，是在VRRP 的基础上进行扩展得到的。不管是VGMP 的报文，还是HRP 的报文，都是VRRP 的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP 的报文，HRP 的报文，或者是普通的VRRP 的报文。在 Eudemon 防

3、火墙上，hrp 的作用主要是备份防火墙的会话表，备份防火墙的servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF 模块中的公私网地址映射表和上层会话表等。两台防火墙正确配置VRRP，VGMP ，以及 HRP 之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M 的标识， 表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S 的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可

4、能出现两台都为主状态或者都是备状态的。在防火墙的HRP 形成主备之后， 我们称 HRP 的主备状态为HRP 主或者是HRP 备状态，在形成 HRP 的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL ，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。HRP 的配置命令的功能和使用介绍如下： hrp enable ：HRP 使能命令，使能HRP之后防火墙将形成主备状态。 hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命 令 之 后 ，

5、 主 备 防 火 墙 会 进 行 交 互 ， 执 行 完 之 后 可 以 通 过 命 令 行display hrp configuration check acl来查看两边的配置是否一致。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 2 页, 共 26 页 hrp configuration check hrp ：检查主备防火墙两端的HRP的

6、配置是否一致。执行此命 令 之 后 ， 主 备 防 火 墙 会 进 行 交 互 ， 执 行 完 之 后 可 以 通 过 命 令 行display hrp configuration check acl来查看两边的配置是否一致。 hrp interface Ethernet/ GigabitEthernet ：添加防火墙配置会话备份通道。通常就是指防火墙心跳口，此接口用来备份防火墙的会话的。 hrp interface Ethernet 1/0/0 high-availability ：配置防火墙的高可用性接口。主要是用来实现防火墙的会话快速备份，如果不配置high-availability，会

7、话快速备份的命令将不能使能，配置此命令之后， 此接口会被有限选择作为防火墙会话备份的接口。在防火墙上配置了hrp interface之后，防火墙选择备份通道的接口为：先选择配置的时候带了high-availability的接口，如果配置了多个带high-availability的接口，先选择槽位号和端口号比较小的接口，然后在选择槽位号和端口号比较小的不带high-availability的接口。 接口发生故障导致接口上的VRRP 处于初始化状态或者是接口上的 VRRP 所属的 VGMP 没有使能的时候，防火墙会重新选择备份通道。 hrp mirror session enable ：会话快速备

8、份使能命令，此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上，在配置high-availability之后才能配置此命令。 hrp mirror packet enable ：报文搬迁使能命令，此命令使能之后，如果ICMP的应答报文或者是TCP的 ACK报文在其中一台防火墙上找不到会话，会把报文搬迁到另外一台防火墙上，如果在另外一台防火墙上找到会话，报文根据会话转发，如果找不到会话，直接丢弃。此功能现在保留，但是基本上不再使用，因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上，并且报文搬迁占用比较多的带宽，所以这个命令推荐不使用。 hr

9、p ospf-cost adjust-enable ：这个命令是在防火墙和路由器组网的时候使用的，在防火墙上配置这个命令后，防火墙发布OSPF 的路由的时候， 会判断是主防火墙或者是备防火墙，如果是主防火墙，防火墙把学习到的路由直接发布出去，如果是备防火墙，防火墙把学习到的路由加上一个COST值再发布出去，这个COST 值默认是65535，可以根据需要进行调整，这样和防火墙相连的路由器在计算路由的时候，路由就都能指到主防火墙上， 路由器把报文转发到主防火墙上。在使用防火墙和路由器进行组网起OSPF协议的时候，尽量保证OSPF的域小一些，这样在防火墙发生主备倒换的时候，OSPF的路由能尽快收敛，

10、保证业务很快恢复。 hrp auto-sync connection-status ：防火墙连接状态备份命令。防火墙会话备份不分防火墙是主防火墙或者是备防火墙，使能了次命令后，防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。此命令行在防火墙hrp enable 执行之后就默认使能了。 hrp auto-sync config：防火墙配置备份命令。防火墙上使能此命令后，在主防火墙上配置的命令行如ACL ，域等都可以自动备份到备防火墙上，保证命令行能实时同步。此名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整

11、理 - - - - - - - 第 2 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 3 页, 共 26 页命令行在hrp enable 之后就默认使能了，此时在备防火墙上是默认不能配置ACL等配置的，但是如果需要单独配置，执行undo hrp auto-sync config就可以在备防火墙上配置此命令行了，主防火墙上执行ACL等配置发送到备防火墙上不会备执行，如果在主防火墙上执行此命令，主防火墙上将不把配置发送到备防火墙上执行。 hrp auto-sync config batch-backup ：

12、防火墙配置批量备份使能命令。使能此命令，在防火墙发生主备倒换之后，新的主防火墙备自动把配置备份到新的备防火墙上。此命令默认是不使能的，现在也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务。 hrp sync config ：防火墙配置批量备份命令。执行此命令后主防火墙能把自己的配置发送到备防火墙上执行，此命令行在用户视图下使用，在使能了hrp 之后才能使用。此命令默认是也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务。 hrp sync connection-status：手工同步连接状态信息命令，会进行会话，黑名单，

13、地址转换表，以及ARP 表等的备份等，同时对于Eudemon 1000来说还会刷新备份的通道。 display hrp：显示当前HRP的状态信息，主要包括HRP的备份通道，HRP的状态， hrp是否使能快速备份，为MASTER 状态的 VGMP 信息。 display hrp verbose：显示当前HRP的详细状态信息。1.2 1.2 VGMP 配置说明VGMP （vrrp group management protocol ）是 VRRP 的组管理协议，同样VGMP 协议也是华为私有的协议。VGMP 通过把 VRRP 加入到一个组中进行管理，通过VGMP 报文和对端进行协商，确定自己和对端

14、的VGMP 的状态，根据VGMP 的状态的主备，把VGMP 组下面的 VRRP 的状态改成和VGMP 的状态一致。VGMP 状态也分 Master 和 Slave， 同样 VGMP报文是在VRRP 报文的基础上进行封装的，它通过VRRP 报文通知对端自己的状态以及和对端进行协商。防火墙的VGMP 功能现在支持两台防火墙之间的VGMP 协商，通过协商， 在两台防火墙上形成一主一备的状态，当其中主防火墙发生故障或者其他原因导致VGMP 的优先级降低的时候，备防火墙的VGMP 会抢占为主， 原来的主防火墙的VGMP 会变成备，同时 VGMP组里面的VRRP 也跟随这VGMP 的状态的变化发生变化。通

15、过VGMP 来管理 VRRP，使VGMP 为主的防火墙对外发布VGMP 组下面的所有的VRRP 的虚地址，而 VGMP 为备的防火墙不对外发布VRRP 虚地址，形成VRRP 的冗余备份。VGMP 的配置命令的功能和使用介绍如下： vrrp group ：创建 VGMP 管理组。执行此命令行之后，创建一个VGMP 管理组，并进入此管理组视图，所有的VGMP 的配置都在VGMP 视图下进行配置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 26 页 - - - - - -

16、- - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 4 页, 共 26 页 add interface Ethernet 1/0/7 vrrp vrid 1 ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理。 add interface Ethernet 1/0/7 vrrp vrid 1 data ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP 数据报文的通道。配置了发送VGMP 的数据通道之后，VGMP 才能使能。防火墙的配置同步是通过

17、VGMP 的数据通道进行发送的。add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only ： 把 接 口Ethernet1/0/7下配置的 VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP 数据报文的通道，并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。通常在防火墙上下行都是交换机组网的情况，心跳口上的VRRP 可以以此种方式加入到VGMP 组中。 add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1：把接口

18、Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，同时在VGMP 上绑定 ip-link功能。 ip-link的使用介绍请参考其他文档。 vrrp-group enable ：VGMP 组使能命令。在配置了VGMP 的数据通道之后，此命令才可以执行，执行此命令后， 防火墙会从数据通道发送VGMP 的报文和对端防火墙进行交互，确定 VGMP 的主备状态。 vrrp-group preempt ：配置 VGMP 组的抢占模式。此命令配置之后本端VGMP 和对端 VGMP进行协商，并进行抢占，如果优先级高就抢占为

19、主，如果优先级低就被抢占为备。配置此命令后默认抢占延时为0，即立即抢占。 vrrp-group preempt delay ：配置 VGMP 组抢占延时，单位为毫秒（ms） ，如果本地的VGMP 组的优先级比对端的VGMP 的优先级高， 在延时配置的时间后VGMP 就抢占为 Master 状态。对于防火墙组网，我们建议的抢占方式是备防火墙抢占延时为0，主防火墙配置抢占延时为20000ms或者是不抢占。具体的配置在相关组网中详细说明如何配置防火墙的抢占方式。 vrrp-group priority ：配置 VGMP 组的优先级。 配置 VGMP 组的优先级后， VGMP和对端的防火墙的VGMP

20、进行协商，并确定 VGMP 的主备状态。 默认使用这种方式作为VGMP组的优先级，默认优先级是100。VGMP 组的优先级调整算法为：当前优先级（当前优先级 /16 ） 。如果 VGMP 组下的一个VRRP 变成初始化状态，则VGMP 组的优先级调整一次，同样如果配置的一个ip-link检测远端IP 为不可达， VGMP 组的优先级也会调整一次，每次都使用上面的算法进行调整。对于采用此种方式，建议主防火墙配置为105，备防火墙使用默认配置100。 vrrp-group priority using-vrrppriority：使用 VRRP 的优先级作为VGMP 组的优先级。配置 VGMP 组的

21、优先级后，VGMP 和对端的防火墙的VGMP 进行协商，并确定VGMP 的主备名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 5 页, 共 26 页状态。如果采用此种方式决定VGMP 组的优先级， 首先把 VGMP 组下所有的VRRP的优先级加起来，再除以VGMP 组下的 VRRP的个数。如果还在VGMP 下面配置了ip-link，并且ip-l

22、ink检测到远端的IP 地址不可达，计算出ip-link调整的优先级，计算方法为ip-link绑定的 VRRP的优先级除以16， 然后用根据VGMP 组下的所有的VRRP 计算出来的优先级减去ip-link调整的优先级， 得到最终的VGMP 组的优先级。 采用此种方式， 建议VRRP 的优先级主防火墙配置为105，备防火墙配置为默认的100。 vrrp-group priority plus ：此命令也是用来调整VGMP 的优先级的，但是现在不再使用，也不推荐配置此命令。 vrrp-group manual-preempt：VGMP 组手动抢占命令。在VGMP 配置了抢占延时的时候，如果延时时

23、间没有到，即使本地防火墙的VGMP 组的优先级比对端高，也不进行抢占。 如果在VGMP组下面配置了不抢占，即使本地优先级比对端高，也不进行抢占。但是通过vrrp-group manual-preempt可以进行手动抢占，如果本地VGMP 组优先级高，配置的抢占延时没有到或者配置不抢占，通过此命令本地VGMP 能马上抢占为Master 状态。 vrrp-group timer hello ：VGMP 组发送 VGMP 的 hello报文的时间间隔，单位为毫秒（ ms ） ，默认值为1000ms 。通过配置VGMP 组下的 VGMP 的 hello报文的发送时间间隔， VGMP 组能更快的进行抢占

24、切换。建议采用默认值，如果参数设置的太小，导致防火墙发送和接受的VGMP 的报文的数量会很多，会占用较多的CPU资源，并且配置1s 的 hello报文的时间间隔也能满足现网故障反应时间间隔。 vrrp-group group-send：VGMP 组下的所有数据通道都发送VGMP 报文。配置此命令后，VGMP 发送数据报文和hello报文的时候，加入此VGMP 组的每个数据通道都发送一次。此命令默认不使能，VGMP 会自动选择一个数据通道作为发送VGMP 报文的通道，并且在检测到数据通道发生故障的时候重新进行选择。1.3 1.3 VRRP 配置说明防火墙的VRRP 和标准的 VRRP 协议一样，

25、下面大概说说VRRP 的配置，详细信息可以找相关的RFC 查看。在防火墙上，如果 VRRP 加入到 VGMP 中，VRRP 的状态由VGMP决定，不再自己协商。VRRP 的配置命令的功能和使用介绍如下： vrrp vrid 1 virtual-ip 1.1.1.100：在接口视图下配置VRRP 。此命令是在接口上配置VRRP 的 ID 以及 VRRP的虚地址。 vrrp vrid 1 track Ethernet1/0/6：配置 VRRP 监视的端口。配置监视的端口之后，如果此端口的协议状态down，VRRP的优先级会自动调整。默认是调整10，可以在此命令后面继续配置下降多少。 vrrp vr

26、id 1 priority ：配置 VRRP 的优先级。默认值是100，如果是主防火墙，建议配置为105，备防火墙建议配置为默认值100。 vrrp vrid 1 timer advertise ：VRRP 的 hello报文发送的时间间隔。默认VRRP名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 6 页, 共 26 页的 hello报文的发

27、送时间间隔为1s，建议使用默认配置。 vrrp vrid 1 preempt-mode ：VRRP 的抢占参数。如果VRRP 加入 VGMP 组中， VRRP 的抢占参数不再生效。1.4 1.4 IP-Link 配置说明1.4.11.4.1：ip-link 功能说明：防火墙 ip-link功能是一种检测三层链路是否可达的功能，基本原理就是在防火墙上配置 ip-link使能并配置ip-link的目的地址之后，防火墙会向该目的地址发送icmp 的报文判断该目的地址是否可达，判断从防火墙到该目的地址三层链路是否可通，应用在双机热备组网中， VGMP 能根据 ip-link特测的结果调整VGMP 的优

28、先级，从而使防火墙在和路由器组网中能在发生故障的时候进行主备倒换。防火墙在使能ip-link功能时，需要判断 ip-link的目的地址的设备能和防火墙进行正常的 icmp 交互，这样防火墙才能正确的检测该目的地址，从而在该设备发生故障的时候正确引导主备防火墙进行主备切换，所以 ip-link使用的前提条件是ip-link配置的目的地址的设备能正常的和防火墙进行icmp 会话。1.4.21.4.2：ip-link 在组网中的应用：防火墙的 ip-link功能一般使用的双机热备组网环境中常见组网如下图所示：如上图所示 , 如果在防火墙上不使能ip-link功能，正常情况下报文会通过防火墙A进行转发

29、，这时必须保证防火墙A的上下行设备都是正常工作。但是一旦和防火墙A相连的路由器 A的 0/1 口发生故障，报文不能从该口进行转发，此时防火墙A的 VRRP是检测不到路由器 A的 0/1 口发生故障的，报文会继续从防火墙A转发到路由器A，导致业务中断。如果在防火墙A上使能 ip-link的功能，使得ip-link的目的地址是路由器A的 0/1 口，当路由器A的 0/1 口发生故障的时候，防火墙A能探测到路由器A的 0/1 接口的 IP 地址是不可达的， 此时防火墙A认为从本地0/0 口出去的链路不通，这个时候防火墙A会自动调整优先级，使防火墙A 和防火墙B 发生主备倒换，防火墙A 上面的业务全部

30、转移到防火墙B上，保证了业务的正常转发。1.4.31.4.3：防火墙 ip-link 的配置：在防火墙上配置ip-link 功能时首先要确认ip-link 配置中的目的地址的设备在正常的情况下能正确的和防火墙进行icmp 会话。相关配置介绍如下：1：使能防火墙ip-link 功能在系统视图下执行命令ip-link check enable 如：0/0 0/1 0/1 0/0 0/0 0/0 防火墙A(主) 路由器 A 路由器 C 防火墙B(备) 路由器 B 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - -

31、 - - - - 第 6 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 7 页, 共 26 页Eudemonip-link check enable 2：配置 ip-link 其他参数ip-link INTEGER vpn-instance vpn-name destination X.X.X.X interface | timer 上述命令参数含义可参考命令行给出的提示信息。3：vrrp 绑定 ip-link 进入 VGMP 的视图Vrrp group 1 配置 ip-link E1000_A-vrr

32、pgroup-1add int Ethernet 4/0/0 vrrp vrid 1 ip-link 1 1.4.41.4.4：防火墙 ip-link 的配置：配置防火墙ip-link 使能之后， 防火墙将向ip-link 目的地址的设备发送icmp 报文检测目的设备是否正常。 我们通过查看vrrp 组的状态可以看到ip-link 已经开始影响vrrp 组的优先级了，防火墙ip-link 检查调整优先级的大小和加入vrrp 管理组的接口down 掉调整 vrrp 管理组的优先级相同。 HRP_ME1000_Adis v v Vrrp Group 16 state : Master Priori

33、ty : 98 此处优先级会根据ip-link检查的结果进行调整 Preempt : YES Delay Time : 0 Timer : 1000 Group-Send : YES Peer Status : OnLine Vrrp number : 3 : Same interface : Ethernet4/0/7, vrrp id : 254 Up interface : Ethernet4/0/0, vrrp id : 2 Up interface : Ethernet4/0/1, vrrp id : 1 Down,ip-link: 32 Down名师资料总结 - - -精品资料欢迎

34、下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 8 页, 共 26 页22：防火墙双机热备典型组网防火墙双机热备， 主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网， 不管是在路由模式下还是在透明模式下，我们都建议采用主备的组网方式而不采用负载分担的组网方式。在防火墙双机热备组

35、网的时候，我们需要根据需求决定组网情况以及在此组网下出现网络故障的时候防火墙如何正确的倒换保证业务正常，这些都是在配置的时候需要考虑的。下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。2.12.1 路由模式防火墙和路由器双机热备组网路由模式下的组网分防火墙和路由器组网，防火墙和交换及组网，以及防火墙上下行分别是交换机和路由器的组网，下面就防火墙和这些设备的组网做一个说明。2.1.12.1.1组网一：推荐组网如上图所示，此种组网是防火墙上下行都是路由器的时候在外面应用的最多的一种组网，对于此种组网，防火墙需要和路由器之间起OSPF 协议。如果要形成主备组网，可以在防火墙的上下行路由器

36、上对特定的链路调整COST 值，保证业务都从同一边的路由器上转发，或者是在防火墙上配置根据HRP 状态调整OSPF 路由的 COST 值的命令， 使备防火墙发布路由的时候增大COST，保证业务只在主防火墙上转发。如果要形成负载分担的组网，即主备防火墙上都有转发业务，需要保证防火墙上下行的路由器上都能有业务到达防火墙，这个可以通过配置等价路由的方式实现，同时在防火墙发生故障防火墙倒换调整路由后业务走向主防火墙备防火墙双机热备心跳线链路正常时的业务走向OSPF 区域OSPF 区域故障时此处链路down ，防火墙主备倒换， 调整对外发布的路由R1 R2 R3 R4 FW-1 FW-2 名师资料总结

37、- - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 9 页, 共 26 页上去掉根据HRP 状态调整 OSPF 路由的 COST 的命令。在防火墙上配置会话快速备份功能，保证在存在来回路径不一致的时候不影响业务。组网优点：1：网络拓扑简单，发生故障的时候OSPF 的路由能快速收敛，减小业务中断的时间，同时出现问题时定位比较容易。2：防火墙上下行业务口采用1GE

38、的板卡，成本较低，转发性能高，能达到防火墙最大转发性能。3：可以根据需要，只需要在命令行上配置，就能在主备组网和负载分担组网上进行切换。4：对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。组网缺点：1：此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp 和 IPSEC 等这些应用，不能使用虚地址，因为一旦其中一台防火墙down 掉，虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。2：发生故障的时候，OSPF 的收敛时间较长，如果业务中断的时候需要更快的响应时间，防火墙上下行最好采用VRRP，这样故障的时候相应切换速度最快。可靠性分析：这里只分析主备组

39、网的可靠性。如图所示， 防火墙和路由器组网，链路正常的时候，业务走向为图中蓝色的路径。此时防火墙 FW-2 为主防火墙， FW-1 为备防火墙，备防火墙向外发布路由的时候会自动加上一个 COST 值（默认是65500） 。1：FW-2 和 R4 之间的链路故障当 FW-2 和 R4 之间的链路故障， 防火墙上配置的vrrp track 了此接口， 所以 vrrp 的优先级降低，并且是使用的vrrp 的优先级作为VGMP 的优先级，所以vgmp 的优先级降低，此时 FW-2 的优先级比FW-1 的优先级低，防火墙发生主备倒换，FW-1 变成主防火墙，FW-2变成备防火墙。在防火墙发生主备倒换之后

40、，FW-1 和 FW-2 都会更新自身的路由并对外发布路由，此时 FW-1 为主，对外直接发布自身的路由，而FW-2 变成了备防火墙，对外发布路由的时候会另外加上一个cost 值（默认是65500） ，路由重新计算并收敛，业务都从FW-1 上走。此组网图中任何一个和防火墙相连的路由器的链路down 或者是路由器故障，都会引发上述过程。2：防火墙故障如果是其中FW-2 防火墙发生故障down 或者是重启，此时FW-1 防火墙因为心跳口down，导致 vrrp 的状态变成初始化状态，VGMP 的状态也变成初始化状态，HRP 的状态变成初始化状态， 此时防火墙更新自身路由，同时整个链路的路由收敛，业

41、务从没有故障的防火墙上走，从而保证业务的正常。 如果发生故障的防火墙FW-2 恢复，防火墙 FW-1 上的 VRRP会 up 起来， VGMP 会变成主状态，HRP 也会变成主状态，而FW-2 上的 VRRP，VGMP 以及 HRP 都是备状态， FW-2 和 FW-1 都对外发布路由信息，HRP 状态为备FW-2 对外发布路由的时候会自动加上一个cost 值，使业务仍然从为主的FW-1 上走。如果VGMP 配置了抢占，抢占延时设置为20s 左右，保证FW-1 上的会话充分备份到FW-2 上，此时FW-2 变成主防火墙的时候重新发布路由，业务从主防火墙FW-2 上走，因为会话已经从FW-1 上

42、备份名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩散第 10 页, 共 26 页过来了，所以也不会对业务产生影响。如果是防火墙之间的心跳线中的一根down 掉，因为两台防火墙上的两个心跳线上都配置了 VRRP 并加入了 VGMP 组中，所以不会对状态产生影响，但是要注意即使是防火墙的一根心跳线down，也要保证在其他设备出现故障的时候防火墙能正常倒

43、换，所以需要每个接口上的 VRRP 都 track 上下行业务口。组网配置要点：主备模式配置要点：1：防火墙之间采用2GE 板卡，GE 卡的两个口之间相连，并配置 VRRP，加入同一个VGMP组中，使心跳线形成备份，保证其中一根心跳线down 掉的时候另外一根心跳线也能做备份通道。2：防火墙的VGMP 的优先级使用VRRP 的优先级，每个VRRP 都监视防火墙的上下两个业务口，并且为主状态的VRRP 优先级设置为105， 为备状态的优先级设置为默认值100。3：防火墙上下行接口都加入到同一个link-group 组中，保证一个接口down 的时候另外一个接口也跟着down，OSPF 收敛的速度

44、快。4：在防火墙上配置ip-link ，分别检测防火墙上下行路由器的接口，保证在接口没有down但是不转发数据的时候防火墙也能检测到并且能进行主备倒换，注意使用ip-link 的时候需要添加包过滤规则使防火墙和路由器能进行icmp 交互。5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF 区域尽量只包含在防火墙和路由器，这样路由收敛速度快，防火墙倒换过后OSPF 能快速收敛。同时不要引入心跳口的IP 地址的路由，保证心跳口不转发数据。同时如果防火墙上做nat 转换，有私网路由的时候，需要保证私网路由不发布出去，需要在ospf 中通过 acl 限制私网路由的发布。6：配置根据HRP 的状

45、态调整OSPF 的 cost 值的命令，形成主备模式的组网。7：防火墙上的nat 地址池或者是nat server 配置时不能加上VRRP 的 ID，在路由器请求nat地址池或者时nat server 的 arp 的时候，因为收到ARP 请求的接口和配置VRRP 的接口不一致，防火墙不会回应ARP 请求，会导致上行路由器上没有ARP 导致业务不通，不配置 VRRP 的 ID ，防火墙直接根据用接口地址回应ARP 请求。8：心跳口不能配置成transfer-only，否则 VGMP 状态会是初始化状态，导致VGMP 无法协商形成主备，配置的transfer-only 上绑定的 ip-link 也

46、将不再起作用。9：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。10：配置 VGMP 为主的防火墙VGMP 不抢占， 这样在主防火墙发生故障恢复后路由只变化一次，避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。负载分担配置要点：1：防火墙之间采用2GE 板卡，GE 卡的两个口之间相连，并配置 VRRP，加入同一个VGMP组中，使心跳线形成备份，保证其中一根心跳线down 掉的时候另外一根心跳线也能做备份通道。2：在防火墙的两个心跳线上配置两个VRRP，把两个 VRRP 加入不同的VGMP 组中，防火墙的 VGMP 的优先级使用VRRP 的优先级， 为主状态的VRRP 优先级设

47、置为105，为备状态的优先级设置为默认值100，并使得两边的VGMP 各有一个是主状态。3：防火墙上下行接口都加入到同一个link-group 组中，保证一个接口down 的时候另外一个接口也跟着down，OSPF 收敛的速度快。4：负载分担的组网链路的可靠性靠OSPF 路由的计算，防火墙主备倒换不会引起路由的变名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未

48、经许可不得扩散第 11 页, 共 26 页化，所以不用配置ip-link 进行探测，所以负载分担的组网防火墙收敛速度慢一些。5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF 区域尽量只包含在防火墙和路由器，这样路由收敛速度快，防火墙倒换过后OSPF 能快速收敛。同时不要引入心跳口的IP 地址的路由，保证心跳口不转发数据。同时如果防火墙上做nat 转换，有私网路由的时候，需要保证私网路由不发布出去，需要在ospf 中通过 acl 限制私网路由的发布。6：防火墙上的nat 地址池或者是nat server 配置时不能加上VRRP 的 ID，在路由器请求nat地址池或者时nat serve

49、r 的 arp 的时候，因为收到ARP 请求的接口和配置VRRP 的接口不一致，防火墙不会回应ARP 请求，会导致上行路由器上没有ARP 导致业务不通，不配置 VRRP 的 ID ，防火墙直接根据用接口地址回应ARP 请求。7：心跳口不能配置成transfer-only，否则 VGMP 状态会是初始化状态，导致VGMP 无法协商形成主备，同时配置的transfer-only 上绑定的 ip-link 也将不再起作用。8：心跳口不能配置成transfer-only，否则 VGMP 状态会是初始化状态，导致VGMP 无法协商形成主备，同时如果配置的transfer-only 上绑定的 ip-lin

50、k 也将不再起作用。组网验证图及配置：验证组网配置可以参考下面嵌入的PPT 中的配置。验证组网一：主备模式组网：组网验证图及配置_主备模式 .ppt防火墙重点配置说明：防火墙重点配置说明.doc验证组网二：负载分担组网：组网验证图及配置_负载分担 .ppt防火墙重点配置说明：防火墙重点配置说明.doc名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 26 页 - - - - - - - - - 防火墙双机热备配置及组网指导内部公开2013-4-5 华为机密，未经许可不得扩