Eudemon防火墙双机热备配置指导书

1、华为产品维护资料防火墙双机热备配置指导书防火墙双机热备配置指导书目 录声明i技术支持i防火墙双机热备配置指导书11 防火墙双机热备配置指导书11.1 传统维护链路稳定性的方法11.2 引入双机热备的必要性21.3 防火墙双机热备的基本工作原理41.4 防火墙双机热备的基本配置141.5 双机热备的各种组网方案以及有缺点301.6 双机热备的缺陷和技术发展371.7 双机热备的应用案例38i防火墙双机热备配置指导书1 防火墙双机热备配置指导书在当前的组网应用中，用户对网络可靠性的要求越来越高，特别是在一些重点的业务入口或接入点上需要保证网络的不间断运行。象企业的internet接入点，银行的数据

2、库服务器等，对于这样一些重要的业务点如何保证网络的不间断传输，成为必须解决的一个问题。在这种业务点上如果只使用一台设备的话，无论其可靠性多高，系统都必然要承受因单点故障而导致网络中断的风险。而防火墙正是作为内外网的一个接入点上，为了防止一台设备出现故障导致网络业务中断，故此如何维护网络稳定性是急需解决的问题。1.1 传统维护链路稳定性的方法图1 传统链路组网方式传统的组网方式下当链路中断后，就会导致业务中断，也就是我们俗称的单点故障，如上图所示，当路由器出现单点故障后，整个链路就会中断，这样对于重要的业务点如：电信，银行等部门就会带来巨大的影响和损失。为了避免由于单点故障而导致的业务中断，从而

3、形成多条链路的保护机制，如下图所示。 图2 采用多条链路的链路保护机制采用多条链路的保护机制，依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题。例如：如上图所示，如果内部网络直接连到路由器上，由于pc机上无法执行动态路由只能使用静态路由方式，从而指定pc下一跳的固定的路由器接口，当链路中断后，无法实现链路切换。因此推出了另一种保护机制vrrp（虚拟路由冗余协议）来进行。图3 采用vrrp进行链路保护机制采用vrrp的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况

4、下的链路保护。这种保护的机制是：vrrp将局域网的一组路由器组织成一个虚拟路由器，称之为一个备份组。其中仅有一台设备处于活动状态（master）并承担报文转发任务，其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备。如上图所示，内部网络设备只需将网关执行虚拟ip，而不需要指向固定的接口，依靠vrrp协议进行链路切换。1.2 引入双机热备的必要性1. 为什么要引入双机热备虽然存在这么两种链路保护的机制，为什么防火墙还要提出双机热备呢？（1）报文的转发机制不同。对于路由器来说，业务中的每个数据包都会逐包转发，即每个报文都会查路由表当匹配上后才进行转发，当链路切换后，后续报文不会受到影响

5、，继续进行转发。而由于eudemon是状态防火墙，只会对业务中首包进行检查，如果首包允许通过会建立一条五元组的会话连接，只有命中该会话表项的后续报文（包括返回报文）才能够通过eudemon防火墙，如果链路切换后，后续报文找不到正确的表项，会导致业务中断。其实对于路由器当配置nat后也会存在同样的问题，因为在进行nat后会形成一个nat转换后的表项。（2） vrrp在防火墙应用的缺陷每个备份组的vrrp是单独工作的，并且每个vrrp状态相对独立，因此无法保证同一防火墙上各接口的vrrp状态都为主用或都为备用 。2. 什么是双机热备双机热备，所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从

6、防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。状态备份最主要的优点，是可以保护当前业务不会中断，例如语音电话，如果防火墙不具备状态热备功能，倒换后，当前正在通的电话会中断，只有重新拨打，而具备状态热备功能后，就不存在这个问题。 图4 双机热备基本组网3. 如何实现双机热备 图5 双机热备实现组网图实现双机热备的基本步骤：（1）在接口上配置vrrp（虚拟路由器冗余协议）备份组，来发现防火墙的故障情况；（2）将vrrp备份组加入到vgmp（ vrrp组管理协议）中，

7、以实现对vrrp管理组的统一管理；（3）使能hrp（华为冗余协议），实现双机情况下的信息备份。两台防火墙形成双机热备，两台防火墙之间通过vrrp的hello报文协商主备关系，根据vgmp的优先级和接口的ip从而确定防火墙的master和slave关系，并且master防火墙会通过hrp协议定时向slave传送备份信息（命令行备份信息和动态备份信息），当master防火墙出现故障时，主备关系发生转换，业务会平滑切换，不会影响这个业务的进行。4. 双机热备的注意点（1）对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。但对于只使用vrrp的组网可以支持多台设备进行冗余备份；（2）由于

8、双机热备中具有备份机制可以备份动态信息和命令，因此要求进行双机热备的两台设备板卡的位置，以及接口卡的类型都要求相同，否则会出现主防火墙备份过去的信息，与从防火墙根本就无法进行搭配使用，如出现主备状态切换就会导致业务出问题。（3）进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同，以免由于先前的配置而导致业务问题。1.3 防火墙双机热备的基本工作原理防火墙双机热备包含以下三种协议：采用vrrp（virtual router redundancy protocol 虚拟路由器冗余协议）来发现防火墙的故障情况；采用vgmp（ vrrp group management prot

9、ocol vrrp组管理协议）对vrrp备份组进行管理；采用hrp（huawei redundancy protocol 华为公司冗余协议）来进行防火墙的动态状态数据的实时备份。首先我们对这三个协议在双机热备中起的作用，以及如何工作，进行简要描述。1. vrrp（virtual router redundancy protocol） 虚拟路由器冗余协议（1）什么是vrrpvrrp（virtual router redundancy protocol）作为一种容错协议，适用于支持组播或广播的局域网（如以太网等），通过一组路由设备共用一个虚拟的ip来达到提供一个虚拟网关的目的 。 （2）vrrp如

10、何起作用在vrrp中有这个几个概念需要注意： vrrp组: 是指配置了相同vrrp id具备相同虚拟地址工作在同一个以太网广播域（注：由于vlan技术能够隔离以太网的广播域，因此属于同一个vrrp组的设备应该属于同一个vlan，而不仅仅是物理上连接到同一个以太网）的一组路由器，由两个或两个以上的路由设备组成，vrrp组中有且仅有一台设备处于活动状态（master）并承担报文转发任务，其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备。 vrrp id，是用来标识路由器属于哪个vrrp组的id，在同一个以太网广播域具备相同的vrrp id的设备属于同一个vrrp组，用户应该保证属于同

11、一vrrp的设备其虚拟ip地址的设置（注：同一vrrp的虚拟ip地址可以是一个或多个，但是必须保证vrrp组内成员虚拟ip的设置一致）相同。 虚拟ip地址：配置vrrp备份组的时候需要指定其虚拟地址，是vrrp组成员共用的ip地址用于给网络中的主机/路由器指定下一跳。该虚拟ip地址可以是接口地址，也可以是同一个vrrp组中接口的同网段的ip地址。 虚拟mac地址：是vrrp根据vrrp id生成的mac地址，同一个vrrp组其生成的虚拟mac地址必定相同。虚拟mac地址为：0000-5e00-01xx，xx为16进制的vrrp的id号。 vrrp组成员优先级，每个vrrp组成员都具备一个成员优

12、先级，从1到255。vrrp组根据成员优先级的高低来确定备份组成员的主从状态。由备份组中优先级最高的成员将成为master。 在vrrp中的成员应注意的几种状态：vrrp成员状态一般有三种：initialize(初始化状态)，表示配置了vrrp的相应接口没有up；master(主状态)，表示该成员工作在转发报文的状态，处于该状态下的vrrp成员具有虚拟ip地址以及相应虚拟mac地址，并转发以虚拟ip地址为下一跳的ip报文，并定时发送通告报文，通知slave状态的设备保持侦听；slave(从状态)表示该成员工作在侦听状态，处于该状态下的成员侦听主设备的通告报文，如果在连续几个通告报文的时间内都没

13、有收到通告报文则把自己变成主设备并转发报文 。vrrp的工作原理：vrrp的工作机制是把几个路由器组成一个虚拟路由器（vrrp组），提供统一的虚拟ip地址以及虚拟mac地址在组成的虚拟路由器的设备中，通过由优先级等方式选举出主防火墙，只有主防火墙才会接收并转发以虚拟ip地址为下一跳的报文，备用设备则处于监控状态，用于保证有且只有一个设备处于主用并转发用户报文用户配置以虚拟地址为下一跳，这样在vrrp组中只要有一个设备的vrrp状态为主用，就可以保持链接不中断。vrrp的状态切换原理：vrrp中成员有两个状态master和slave，处于master状态的设备会定时发送组播通告报文，状态为sla

14、ve的设备处于监测状态，其收到master的通告报文后会更新其监测定时器；如果状态为slave的设备在三个通告周期内都没有收到master的通告报文则把自己变成master并发送通告报文，并发送一个免费arp报文用于更新三层交换机的arp表；如果状态为master的设备收到了另一个master的通告报文，表明发生了抢占此时取报文的优先级和自己的优先级比较，决定是否变成slave设备，如果vrrp配置为抢占方式，它收到报文时会比较报文的优先级和自己的优先级，一旦发现自己的优先级比当前的报文中vrrp的优先级高，则不会更新监测定时器，这样超时后便会发送通告报文抢占成为master； （3）vrrp

15、应用举例图6 vrrp协议的应用routea/routeb/routec属于同一个vrrp组，它们具备相同的虚拟ip地址10.110.10.1，局域网内部的用户设置该虚拟ip地址为默认的网关。开始的时候routea是该vrrp组的主设备，该设备拥有虚拟ip地址转发ip报文并定时（通常是一秒）发送vrrp通告报文，routeb和routec是从设备并侦听routea的通告报文。如果routea因为某种原因导致设备故障，或者是routea到内部网络的链路故障，导致routeb和routec收不到vrrp通告报文，如果从设备在连续三个通告报文的时间间隔中都没有收到vrrp组设备的vrrp通告报文，则

16、routeb和routec会竞争成为主，竞争的标准根据优先级或者接口ip的范围，最终有一台设备成为新的vrrp主设备并转发报文，从而保障业务正常运行。（4）vrrp应用的局限性 每个备份组的vrrp是单独工作的，并且每个vrrp状态相对独立，因此无法保证同一防火墙上各接口的vrrp状态都为主用或都为备用，也就是说在一台设备上的两个接口下的vrrp可能出现不同步的情况，即主备状态交互，从而导致业务中断。 由于eudemon是状态防火墙，当首包通过检测后，会在安全区域之间形成动态的会话表项，后续报文只有命中该会话表项的后续报文（包括返回报文）才能够通过eudemon防火墙，这就要求某会话的进路径、

17、出路径必须一致，但是对于vrrp如果发生切换后，主防火墙上的生成的表项不会备份到备防火墙上，因此如果发生状态切换会导致业务中断。 （5）vrrp的配置命令 配置备份组的虚拟ip地址 vrrp vrid virtual-ip x.x.x.x 说明：x.x.x.x需与接口ip同网段或者为接口地址 配置备份组的优先级 vrrp vrid priority 说明：如果虚拟ip地址为接口的ip地址时，默认优先级为255 配置备份组的抢占方式和延迟时间 vrrp vrid preempt-mode timer delay 说明：该命令是vrrp的抢占命令，当配置延迟时间时，是为了避免出现误操作，而导致的频

18、繁状态切换，即当在延迟时间内纠正误操作如误拔掉接口网线等，不会出现状态的切换。 配置备份组的认证方式和认证字 vrrp authentication-mode simple/md5 string说明：该命令主要是对备份组中的组播报文进行认证的处理，以保证各个虚拟路由之间传送的组播报文不会因为非法报文，而出现状态混乱的问题。 配置备份组的定时器 vrrp vrid timer advertise 说明：设置备份组中组播报文的发送间隔，默认值为1秒。 配置监视指定接口 vrrp vrid track ethernet reduced 说明：接口监视命令，其目的是同一台设备上的各个vrrp组能够统一

19、变化状态。当监控的接口down掉后，该监控方会根据设置的reduced参数值来降低自身的vrrp优先级，已达到vrrp的同时变化。2. vgmp（ vrrp group management protocol vrrp组管理协议） （1）采用vgmp的作用由于vrrp存在，工作和状态都独立的情况，为了更好的避免不能使同一防火墙上各接口的vrrp状态都为主用或都为备用的情况，开发了对vrrp备份组进行统一管理的协议vgmp协议。vgmp的作用：确保各vrrp备份组之间通路状态一致性，并且由管理组统一管理各独立运行的vrrp备份组，从而实现各备份组之间的互通。以防止可能导致的vrrp状态不一致现象

20、的发生。从而实现对多个vrrp备份组（虚拟路由器）的状态一致性管理、抢占管理和通道管理等功能。注意：vgmp不支持vrrp备份组虚拟ip为接口ip的管理。（2）vgmp功能介绍 状态一致性管理各vrrp备份组的主/备状态变化都需要通知其所属的vrrp管理组，由vrrp管理组决定是否允许vrrp备份组进行主/备状态切换。 抢占管理 无论各vrrp备份组内eudemon防火墙设备是否使能了抢占功能，抢占行为发生与否必须由vrrp管理组统一决定。 通道管理 所谓通道管理，是为了提供传输vgmp报文、vgmp相关承载报文、vrrp状态报文的可靠通路而提出的，这是相对正常业务流的业务通道而言的。 （3）

21、vgmp的成员属性vrrp管理组成员属性分为data和transfer-only两种，data表示数据通道，transfer-only表示该通道不参与状态切换，即在配有transfer-only属性的接口上，如果接口down了，不会影响vrrp管理组的优先级变化。在vrrp管理组的模式下，vrrp管理组成员的状态保持一致，其状态迁移需要通知其所属的vrrp管理组，并受vrrp管理组状态控制。（4）vgmp状态切换原理vrrp管理组在收到vrrp成员的状态改变消息的时候需要通知vrrp管理组进行预处理，vrrp管理组收到消息后会根据，vgmp的状态，vgmp管理组中vrrp的状态以及状态改变消息

22、决定是否需要改变状态。vgmp由master状态slave状态的过程：管理组状态为master，当进行状态切换时遍历组内所有的vrrp如果有状态为master的则将其状态转换为slave。并通过可用的数据通道通知对方管理组状态改变masterslave，用于触发快速切换。 （5）vgmp应用举例图7 vgmp协议的应用在该组网中，eudemona中有三个接口，并且每个接口上配置一条vrrp备份组，并将这三条vrrp备份组加入一个vrrp管理组1中，当eudemona发生故障或接口出现故障时，vrrp会向vgmp发送状态切换消息，当vrrp管理组1 确认后，遍历组内所有vrrp成员将状态由mas

23、ter转变为slave，同时通知eudemonb进行状态切换。（6）vgmp的注意事项（参考上图） 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（ip地址除外）。 两个防火墙上的备份组编号、构成必须完全一样。这就是说eudemona上的a1接口隶属备份组1，a2接口隶属备份组2，a3接口隶属备份组3；则eudemonb上的b1、b2和b3接口也必须分别隶属备份组1、2和3。 两个防火墙上的管理组编号、构成必须完全一样。这就是说eudemona上的管理组包括备份组1、2和3，则eudemonb上的同样编号的管理组也必须包含备份组1、2和3。 同一防火墙

24、（例如eudemona）上，一个物理接口可以隶属多个vrrp备份组。一个备份组中能包含多个物理接口，对应多个虚拟ip地址。同一vrrp管理组可以包含多个备份组，但是相同备份组不能隶属多个vrrp管理组。 vgmp优先级的递减算法：vgmp的优先级vgmp的优先级/16；当配置有vrrp成员的接口，出现故障时，vgmp的优先级按照上述算法进行递减，故此vgmp的优先级不可设置过高，以免在正常情况下，主防火墙的vgmp的优先级递减后仍然比从防火墙的优先级高，而不会发生抢占，从而导致业务中断。（7）vgmp的配置 配置vrrp管理组 vrrp group 说明：在防火墙中最多可以配置16个管理组。

25、使能vrrp管理组功能 vrrp enable 说明：只有使能了vrrp管理组后，vrrp管理组才能起作用。 配置向vrrp管理组添加备份组 add interface ethernet 接口 vrrp vrid data transfer-only 说明：通过配置data参数来标识指定路径为数据通道，并且该通道状态将影响 vrrp管理组的状态变化。当配置transfer-only参数则表明该数据通道的状态将不会影响vrrp管理组的状态 配置vrrp管理组优先级 vrrp priorty plus using-vrrppriority 说明：plus参数的功能是为了增加vrrp的优先级，usi

26、ng-vrrppriority参数的作用是vrrp管理组的优先级使用vrrp的优先级，如果有多个vrrp备份组时，采用除含有transfer-only属性的接口下的vrrp的优先级外的所有vrrp优先级的和除以所有vrrp的个数，即是vgmp的优先级。 配置vrrp管理组抢占功能 vrrp preempt delay /自动抢占命令 说明：该命令会定时比对两台防火墙之间发送的报文中的优先级，当发现对端发过来的报文优先级低时，会自动启动抢占功能。delay参数主要是说明延迟抢占的秒数。 vrrp manual-preempt /手工抢占命令 说明：当执行该命令后，系统会发送一个消息报文到对端进行

27、优先级的比较，如果优先级高于对端，发送消息给vrrp和hrp进行状态切换；否则不进行抢占功能。 配置vrrp管理组hello报文发送间隔 vrrp timer hello 说明：发送vrrp管理组的hello间隔的时间，单位为毫秒。 配置vrrp管理组的报文群发标志 vrrp group-send 说明：该命令主要在master端起作用，通过vgmp中配置的所有数据通道进行hello报文的发送。 触发接口进行updown操作triggerdown interface ethernet 说明：该命令的作用主要是避免上下行的设备arp表项出错，而设置的命令。以促使接口updown操作，来刷新上下行

28、设备的arp表项。3. hrp（huawei redundancy protocol 华为公司冗余协议）（1）什么是hrp hrp协议是承载在vgmp报文上进行传输的，在master和backup防火墙设备之间备份关键配置命令和会话表状态信息。 （2）hrp起什么作用 图8 hrp协议应用该图为双机热备的基本组网图，前面也说到了eudemon防火墙是状态防火墙，对于每一个动态生成的会话连接，eudemon防火墙上都有一个会话表项与之对应。如果eudemona防火墙（master）出现故障或相关链路出现问题，eudemonb防火墙（backup）将会切换状态而变成新的master，并开始承担传输

29、任务。如果状态切换前，会话表项和配置命令没有备份到eudemonb，则先前经过eudemona的所有会话都会因为无法命中eudemonb的会话表而断链，导致业务中断，从而影响业务正常进行。这种eudemon设备的状态切换是失败的。为了实现master防火墙出现故障时能由backup防火墙平滑地接替工作，需要在master和backup防火墙设备之间备份关键配置命令和会话表状态信息 ，这就是产生hrp协议的重要性 （3）hrp的备份分类自动实时备份：当配置主设备输入双机备份的配置命令和形成的动态备份信息时，系统自动将该命令和动态备份信息消息备份到配置从设备。自动批量备份：当接入配置从设备或配置从

30、设备重新启动时，由配置主设备将所有配置命令和动态备份信息批量备份到配置从设备，配置从设备将执行需要双机备份的配置命令，以实现主从设备的配置同步，批量备份时不允许实时备份。手动批量同步：配置主设备上可以输入配置同步命令，将配置主设备上的需要双机备份的配置命令和动态备份信息发送到配置从设备。（4）配置主从设备的引入及其条件hrp也有自己的主备状态，我们对配置了hrp的设备称之为配置主设备和配置从设备。hrp为什么会分为配置主从设备呢？原因在于我们说的双机热备实现的是主设备向从设备进行备份的处理过程，不是双向进行互备的过程，因此需要确定设备配置的主从关系，实现主设备向从设备进行动态信息和命令行的备份

31、。hrp的主从配置的引入是由于负载分担方式。在负载分担模式下每一台设备上会配置两个vrrp管理组1、2，并且这两个管理组1为主，2为备，而对应的另一台设备的两个vrrp管理组1、2，则互为备主关系，1为备，2为主，网络中存在两台master防火墙。为了避免备份时混乱，eudemon防火墙中引入了配置主设备、配置从设备概念。(5) hrp能够备份的信息防火墙应用状态的可靠性备份： 防火墙生成的会话表表项 动态黑名单表项 servermap表项 no-pat表项防火墙配置命令的备份： acl包过滤命令的配置 攻击防范命令的配置 地址绑定命令的配置 黑名单命令的启用以及手工添加黑名单用户和对黑名单命

32、令的删除操作 日志命令 nat命令的配置 统计命令的配置 域的命令的配置，包括新域的设定，域内添加的接口和优先级的设置 aspf（应用层包过滤防火墙）的命令配置 清除会话表项命令（reset firewall session table)和清除配置的命令（undo xxx）注意：（1）在批处理手工备份时，对于undo和reset命令是无法进行备份的。 （2）除以上可以备份的命令外，其他命令都不能备份，如路由命令（静态和动态）（6）hrp配置命令 使能双机热备份功能 hrp enable 说明：目前eudemon防火墙上仅支持双机热备份，不支持多机热备份功能。即启动hrp双机热备份功能后，同一v

33、rrp备份组中仅允许加入两台eudemon防火墙设备。 使能自动实时备份 hrp auto-sync config | connect-status 说明：只能在配置主设备上使用hrp auto-sync命令，不能在配置从设备上使用 配置手工批量备份 hrp sync config | connect-status 说明：手工批量同步过程与自动实时备份开关无关，自动实时备份开关的状态不会影响手工批量同步过程。采用手动批量备份方式，undo和reset命令将无法得到备份。 允许备防火墙承担业务hrp permit-backforeward说明：该命令主要应用与防火墙的上下行配置有路由器时，当发生

34、路由混乱时，能够允许正常的表项通过备防火墙进行转发。4. vrrp，vgmp和hrp的相互关系 图9 双机热备各协议之间的关系图 当vrrp管理组状态变化时，系统将通知hrp状态和配置主/从设备的状态发生相应的变化，从而确保两台防火墙之间配置命令和会话状态信息得到及时备份。同时，vrrp管理组状态也要受hrp状态影响，即vrrp会根据hrp状态切换的结果来调整优先级，并进行vrrp状态切换。 vrrp管理组报文和hrp模块的报文，都是通过主vrrp的接口进行传输，当vrrp接口接到的报文为vrrp管理组报文时，就交与vgmp模块进行处理；当接到的报文vgmp的数据报文时，则通过vgmp模块与h

35、rp模块的接口转到hrp模块进行处理。 当vrrp备份组状态变化时，由vrrp管理组来决定是否发生vrrp管理组的状态变化，并继而决定是否引起hrp和配置主/从设备的状态变化 1.4 防火墙双机热备的基本配置以上是对防火墙双机热备概念的基本介绍，现通过例子对双机热备的应用进行说明。双机热备主要应用的形式有三种：路由模式下的双机热备，混合模式下的双机热备，路由模式下双机热备的负载分担。 5. 路由模式下双机热备的基本组网 图10 路由模式下双机热备基本组网该组网图是路由模式下一个简单的双机热备组网图，防火墙的上下行设备采用二层交换机进行连接，以下是防火墙的配置：防火墙fwa的配置：fwaint

36、eth 0/0/0 fwa-ethernet0/0/0ip address 192.168.10.1 255.255.255.0 # 在接口eth0/0/0下配置vrrp备份组1，注意虚拟ip可以和接口地址同网段也可以和接口地址不同网段都可以。 fwa-ethernet0/0/0vrrp vrid 1 virtual-ip 192.168.10.4 fwa-ethernet0/0/0interface ethernet 0/0/1 fwa-ethernet0/0/1ip address 192.168.3.1 255.255.255.0# 在接口eth0/0/1下配置vrrp备份组2 fwa-

37、ethernet0/0/1vrrp vrid 2 virtual-ip 192.168.3.4 fwa-ethernet0/0/1quit fwaint eth 2/0/0 fwa-ethernet0/0/0ip address 162.105.10.1 255.255.0.0# 在接口eth2/0/0下配置vrrp备份组3 ，该条虚拟路由的目的主要是用来传输双机热备的控制信息和hrp的备份信息，不用来进行传输业务，以保障双机热备状态正常。 fwa-ethernet0/0/0vrrp vrid 3 virtual-ip 162.105.10.3# 创建vrrp管理组1，并添加虚拟路由 fwav

38、rrp-group 1 # 在vgmp组中将虚拟路由加入，并且vgmp会按照配置的范围进行自动排序，如下面的配置当执行display current可以看到 add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only 为第一条，vrrp1和vrrp2分别为1、2条。 fwa-vrrpgroup-1add interface ethernet 0/0/0 vrrp vrid 1 data fwa-vrrpgroup-1add interface ethernet 0/0/1 vrrp vrid 2 data fwa-vrrpgroup-

39、1add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only /*使能vrrp管理组 */ fwa-vrrpgroup-1vrrp enable # 启用vrrp管理组的自动抢占功能，抢占延时采用默认时间为0秒 */ fwa-vrrpgroup-1vrrp preedom #当防火墙不配置vgmp的优先级时，默认优先级为100。当配置优先级应注意vgmp优先级的递减算法：递减后的优先级优先级优先级/16，当主防火墙出故障时，递减后的优先级应比slave防火墙的优先级低，才可进行主备状态切换，否则出故障的防火墙仍然为主状态，从而导致业务

40、会中断。例如以下配置递减后的优先级为105105/1698，因此slave防火墙应比该优先级大。如果递减后的优先级与从防火墙的优先级相同，通过主通道的ip地址的大小来判断谁为主防火墙，但需要说明的是当主防火墙优先级降低后，最好比从防火墙的优先级低。 fwa -vrrpgroup-1vrrp priority 105 fwa-vrrpgroup-1quit # 使能hrp功能 fwahrp enable防火墙fwb的配置： rtbint eth 0/0/0 rtb-ethernet0/0/0ip address 192.168.10.2 255.255.255.0 rtb-ethernet0/0

41、/0vrrp vrid 1 virtual-ip 192.168.10.4 rtb-ethernet0/0/0int eth 0/0/1 rtb-ethernet0/0/1ip address 192.168.3.2 255.255.255.0 rtb-ethernet0/0/1vrrp vrid 2 virtual-ip 192.168.3.4 rtbint eth 2/0/0 rtb-ethernet0/0/0ip address 162.105.10.2 255.255.0.0 rtb-ethernet0/0/0vrrp vrid 3 vir 162.105.10.3 rtbvrrp-g

42、roup 1 rtb-vrrpgroup-1add int ethernet 0/0/0 vrrp vrid 1 data rtb-vrrpgroup-1add int ethernet 0/0/1 vrrp vrid 2 data rtb-vrrpgroup-1add int ethernet 2/0/0 vrrp vrid 3 data transfer-only rtb-vrrpgroup-1vrrp enable rtb-vrrpgroup-1vrrp preedom rtb-vrrpgroup-1quit rtbhrp enablepc1的网关是192.168.10.4，服务器的网关

43、是192.168.3.4当防火墙配置好后需要注意的地方：在防火墙上执行display vrrpgroup verbose，查看vgmp的状态是否正确，接口下的vrrp是否已经up，如果是down状态说明接口协议层有问题，检查接口；如果两台防火墙接口都是peerdown状态，说明vrrp的协商报文没有联通，查看两台防火墙的vrrp虚拟ip是否相同等。6. 混合模式下双机热备的基本组网 图11 混合模式下双机热备基本组网该组网是混合模式下一个简单的双机组网图，防火墙的上下行采用二层交换机，并且与交换机连接的接口上采用透明模式。以下是防火墙的配置：防火墙fwa的配置： # 设置防火墙工作模式为混合模

44、式fwa firewall mode compositefwa interface e2/0/0fwa -ethernet2/0/0 ip address 162.105.10.1 255.255.0.0# 在接口eth2/0/0下配置vrrp备份组1的虚拟ip fwa -ethernet2/0/0 vrrp vrid 1 virtual-ip 162.105.10.3#在接口eth2/0/0下的vrrp备份组中配置接口监视命令，从而起到对未配置vrrp的接口的状态进行监控。fwa -ethernet2/0/0 vrrp vrid 1 track interface ethernet 0/0/

45、0fwa -ethernet2/0/0 vrrp vrid 1 track interface ethernet 0/0/1将接口加入域中fwa firewall zone trustfwa -zone-trust add interface e0/0/0fwa firewall zone untrustfwa -zone-trust add interface e0/0/1创建自定义域hrp，并将接口1/0/0添加到该域中fwa firewall zone name hrpfwa -zone-hrp add interface e1/0/0使能hrp功能fwa hrp enable创建vrr

46、p管理组，最多可以创建16个vgmp组fwa vrrp group 1添加vrrp备份组，data参数表示该通道作为数据通道，传送vrrp，vgmp的信息，如果即选择data参数又选择transfer-only参数，表示该通道作为数据通道，但该接口的状态变化不影响vgmp的优先级变化fwa -vrrp-group1 add interface ethernet2/0/0 vrrp vrid 1 data使能vgmp抢占功能fwa -vrrp-group1 vrrp preedem使能vgmp功能，只有执行该命令后，vgmp功能才能起作用fwa -vrrp-group1 vrrp enablev

47、gmp的优先级使用vrrp的优先级，将添加的到vrrp管理组中的vrrp备份组的优先级相加后除去添加的vrrp备份组的个数。但需要注意累积的vrrp优先级不应包含含有transfer-only参数的vrrp的优先级。当使用vrrp的优先级作为vgmp的优先级后，接口下vrrp的命令就可以使用了。如track命令等，否则无法使用。fwa -vrrp-group1 vrrp priority using-vrrppriorty防火墙fwb的配置：fwb firewall mode compositefwb interface e2/0/0fwb -ethernet2/0/0 ip address

48、162.105.10.2 255.255.0.0fwb -ethernet2/0/0 vrrp vrid 1 virtual-ip 162.105.10.3fwb firewall zone trustfwb -zone-trust add interface e0/0/0fwb firewall zone untrustfwb -zone-trust add interface e0/0/1fwb firewall zone name hrpfwb -zone-hrp add interface e1/0/0fwb hrp enablefwb vrrp group 1fwb -vrrp-gr

49、oup1 add interface ethernet2/0/0 vrrp vrid 1 datafwb -vrrp-group1 vrrp preedemfwb -vrrp-group1 vrrp enablefwb -vrrp-group1 vrrp priority using-vrrppriorty7. 路由模式下双机热备的负载分担基本组网图13 路由模式下双机热备的负载分担基本组网防火墙双机热负载分担在双机热备中是一种比较繁琐的配置，其原理是在防火墙上配置两个vgmp组，并且这两个管理组的状态相互交错，如上图在eudemona中管理组1的状态为master，管理组2的状态为slave

50、；eudemonb中管理组1的状态为slave，管理组2的状态为master。当从trust域来的业务当网关指向备份组1的虚拟ip时，则通过eudemona来转发，当网关执行备份组3的虚拟ip时，则由eudemonb来转发，从而实行业务的分流。eudemona的配置： eudemonint eth 0/0/0 eudemon-ethernet0/0/0ip address 192.168.10.1 255.255.255.0 # 在接口eth0/0/0下配置vrrp备份组1，3，注意虚拟ip需要和接口地址同一网段，在同一接口下可以配置16个备份组 eudemon-ethernet0/0/0vr

51、rp vrid 1 virtual-ip 192.168.10.4 eudemon-ethernet0/0/0vrrp vrid 3 virtual-ip 192.168.10.5 eudemon-ethernet0/0/0interface ethernet 0/0/1 eudemon-ethernet0/0/1ip address 192.168.3.1 255.255.255.0 # 在接口eth0/0/1下配置vrrp备份组2，4 eudemon-ethernet0/0/1vrrp vrid 2 virtual-ip 192.168.3.4 eudemon-ethernet0/0/1v

52、rrp vrid 4 virtual-ip 192.168.3.5 eudemon-ethernet0/0/1quit eudemonint eth 2/0/0 eudemon-ethernet2/0/0ip address 162.105.10.1 255.255.0.0 # 创建vrrp管理组1，将所有的vrrp备份组添加到管理组中进行统一管理 eudemonvrrp-group 1 # 在vgmp组中将虚拟路由加入，并且vgmp会按照配置的范围进行自动排序，如下面的配置当执行display current可以看到 add interface ethernet 2/0/0 vrrp vri

53、d 3 data transfer-only 为第一条，vrrp1和vrrp2分别为1、2条。 eudemon-vrrpgroup-1add interface ethernet 0/0/0 vrrp vrid 1 data eudemon-vrrpgroup-1add interface ethernet 0/0/1 vrrp vrid 2 data 使能vrrp管理组，只有使能了vgmp，才能对vrrp进行统一管理 eudemon-vrrpgroup-1vrrp enable # 启用vrrp管理组的自动抢占功能，抢占延时采用默认时间为0秒 eudemon-vrrpgroup-1vrrp preedom 当防火墙不配置vgmp的优先级时，默认优先级为100。当配置优先级应注意vgmp优先级的递减算法：递减后的优先级优先级优先级/16，当主防火墙出故障时，递减后的优先级应比slave防火墙的优先级低，才可进行主备状态切换，否则出故障的防火墙仍然为主状态，从而导致业务会中断。例如以下配置递减后的优先级为105105/1698，