防火墙双机热备配置及组网指导

实用文案防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式， 分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。1：防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到 HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整， 下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。1.1 1.1 HRP命令行配置说明HRP是华为的冗余备份协议， Eudemon 防火墙使用此协议进行备份组网， 达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。HRP协议是华为自己开发的协议，主要是在 VGMP 协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理 VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。 不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是 VGMP的报文，HRP的报文，或者是普通的 VRRP的报文。在Eudemon 防火墙上， hrp 的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份 ASPF模块中的公私网地址映射表和上层会话表等。标准实用文案两台防火墙正确配置 VRRP，VGMP，以及 HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备， 如果命令行上有 HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有 HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。 防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。在防火墙的 HRP形成主备之后，我们称 HRP的主备状态为 HRP主或者是 HRP备状态，在形成 HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括 ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。HRP的配置命令的功能和使用介绍如下：★hrpenable ：HRP使能命令，使能 HRP之后防火墙将形成主备状态。★hrpconfigurationcheckacl ：检查主备防火墙两端的 ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行 display hrpconfigurationcheckacl 来查看两边的配置是否一致。★hrpconfigurationcheckhrp ：检查主备防火墙两端的 HRP的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行 display hrpconfigurationcheckacl 来查看两边的配置是否一致。标准实用文案★hrpinterfaceEthernet/GigabitEthernet ：添加防火墙配置会话备份通道。通常就是指防火墙心跳口，此接口用来备份防火墙的会话的。★hrpinterfaceEthernet1/0/0high-availability ：配置防火墙的高可用性接口。主要是用来实现防火墙的会话快速备份，如果不配置 high-availability ，会话快速备份的命令将不能使能，配置此命令之后，此接口会被有限选择作为防火墙会话备份的接口。在防火墙上配置了 hrpinterface 之后，防火墙选择备份通道的接口为： 先选择配置的时候带了high-availability 的接口，如果配置了多个带 high-availability 的接口，先选择槽位号和端口号比较小的接口，然后在选择槽位号和端口号比较小的不带high-availability 的接口。接口发生故障导致接口上的 VRRP处于初始化状态或者是接口上的VRRP所属的VGMP没有使能的时候，防火墙会重新选择备份通道。★hrpmirrorsessionenable ：会话快速备份使能命令， 此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上，在配置 high-availability 之后才能配置此命令。★hrpmirrorpacketenable ：报文搬迁使能命令，此命令使能之后，如果 ICMP的应答报文或者是 TCP的ACK报文在其中一台防火墙上找不到会话，会把报文搬迁到另外一台防火墙上，如果在另外一台防火墙上找到会话， 报文根据会话转发， 如果找不到会话，直接丢弃。此功能现在保留，但是基本上不再使用，因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上，并且报文搬迁占用比较多的带宽，所以这个命令推荐不使用。标准实用文案★hrpospf-costadjust-enable ：这个命令是在防火墙和路由器组网的时候使用的， 在防火墙上配置这个命令后，防火墙发布 OSPF的路由的时候，会判断是主防火墙或者是备防火墙，如果是主防火墙，防火墙把学习到的路由直接发布出去，如果是备防火墙，防火墙把学习到的路由加上一个 COST值再发布出去，这个COST值默认是 65535，可以根据需要进行调整，这样和防火墙相连的路由器在计算路由的时候，路由就都能指到主防火墙上，路由器把报文转发到主防火墙上。在使用防火墙和路由器进行组网起 OSPF协议的时候，尽量保证 OSPF的域小一些，这样在防火墙发生主备倒换的时候， OSPF的路由能尽快收敛，保证业务很快恢复。★hrpauto-syncconnection-status ：防火墙连接状态备份命令。防火墙会话备份不分防火墙是主防火墙或者是备防火墙，使能了次命令后，防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。此命令行在防火墙 hrp enable 执行之后就默认使能了。hrpauto-syncconfig：防火墙配置备份命令。防火墙上使能此命令后，在主防火墙上配置的命令行如ACL，域等都可以自动备份到备防火墙上，保证命令行能实时同步。此命令行在 hrpenable 之后就默认使能了，此时在备防火墙上是默认不能配置 ACL等配置的，但是如果需要单独配置，执行 undohrpauto-syncconfig 就可以在备防火墙上配置此命令行了， 主防火墙上执行 ACL等配置发送到备防火墙上不会备执行，如果在主防火墙上执行此命令，主防火墙上将不把配置发送到备防火墙上执行。标准实用文案★hrpauto-syncconfigbatch-backup ：防火墙配置批量备份使能命令。使能此命令，在防火墙发生主备倒换之后，新的主防火墙备自动把配置备份到新的备防火墙上。此命令默认是不使能的， 现在也不推荐使用， 因为批量备份将消耗大量的 CPU资源，可能在执行批量备份的时候影响某些业务。★hrpsyncconfig ：防火墙配置批量备份命令。执行此命令后主防火墙能把自己的配置发送到备防火墙上执行，此命令行在用户视图下使用，在使能了 hrp之后才能使用。此命令默认是也不推荐使用， 因为批量备份将消耗大量的 CPU资源，可能在执行批量备份的时候影响某些业务。★hrpsyncconnection-status ：手工同步连接状态信息命令，会进行会话，黑名单，地址转换表，以及 ARP表等的备份等，同时对于 Eudemon1000 来说还会刷新备份的通道。★display hrp：显示当前 HRP的状态信息，主要包括 HRP的备份通道， HRP的状态，hrp是否使能快速备份，为 MASTER状态的VGMP信息。displayhrpverbose：显示当前HRP的详细状态信息。1.2 1.2 VGMP配置说明VGMP（vrrpgroupmanagementprotocol ）是VRRP的组管理协议，同样 VGMP协议也是华为私有的协议。 VGMP通过把VRRP加入到一个组中进行管理， 通过VGMP报标准实用文案文和对端进行协商，确定自己和对端的 VGMP的状态，根据VGMP的状态的主备，把VGMP组下面的 VRRP的状态改成和 VGMP的状态一致。 VGMP状态也分 Master 和Slave，同样VGMP报文是在VRRP报文的基础上进行封装的，它通过VRRP报文通知对端自己的状态以及和对端进行协商。防火墙的 VGMP功能现在支持两台防火墙之间的 VGMP协商，通过协商，在两台防火墙上形成一主一备的状态，当其中主防火墙发生故障或者其他原因导致 VGMP的优先级降低的时候，备防火墙的 VGMP会抢占为主，原来的主防火墙的 VGMP会变成备，同时VGMP组里面的 VRRP也跟随这 VGMP的状态的变化发生变化。通过 VGMP 来管理VRRP，使VGMP为主的防火墙对外发布 VGMP 组下面的所有的 VRRP的虚地址，而 VGMP为备的防火墙不对外发布 VRRP虚地址，形成 VRRP的冗余备份。VGMP的配置命令的功能和使用介绍如下：★vrrpgroup<1-16> ：创建VGMP管理组。执行此命令行之后，创建一个 VGMP管理组，并进入此管理组视图，所有的 VGMP的配置都在 VGMP视图下进行配置。★addinterfaceEthernet1/0/7vrrpvrid1 ：把接口 Ethernet1/0/7 下配置的 VRRP1加入到此管理组进行管理。★add interface Ethernet 1/0/7 vrrp vrid 1data ：把接口 Ethernet1/0/7 下配置的VRRP1加入到此管理组进行管理， 并且把接口 Ethernet1/0/7 作为发送VGMP数据报文的通道。配置了发送 VGMP 的数据通道之后， VGMP 才能使能。防火墙的配置同步是通过VGMP的数据通道进行发送的。标准实用文案★addinterfaceEthernet1/0/7vrrpvrid1datatransfer-only ：把接口Ethernet1/0/7下配置的 VRRP1加入到此管理组进行管理，并且把接口 Ethernet1/0/7 作为发送VGMP数据报文的通道， 并且此接口下的 VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。通常在防火墙上下行都是交换机组网的情况，心跳口上的 VRRP可以以此种方式加入到 VGMP组中。★addinterfaceEthernet1/0/7vrrpvrid1dataip-link1 ：把接口 Ethernet1/0/7 下配置的VRRP1加入到此管理组进行管理，并且把接口 Ethernet1/0/7 作为发送 VGMP数据报文的通道，同时在 VGMP上绑定ip-link 功能。ip-link 的使用介绍请参考其他文档。★vrrp-groupenable ：VGMP组使能命令。在配置了 VGMP的数据通道之后，此命令才可以执行，执行此命令后，防火墙会从数据通道发送 VGMP 的报文和对端防火墙进行交互，确定 VGMP的主备状态。★vrrp-grouppreempt ：配置VGMP组的抢占模式。此命令配置之后本端 VGMP 和对端VGMP进行协商，并进行抢占，如果优先级高就抢占为主， 如果优先级低就被抢占为备。配置此命令后默认抢占延时为 0，即立即抢占。★vrrp-group preempt delay <0-1800000> ：配置 VGMP 组抢占延时，单位为毫秒（ms），如果本地的 VGMP 组的优先级比对端的 VGMP 的优先级高，在延时配置的时标准实用文案间后VGMP就抢占为 Master 状态。对于防火墙组网，我们建议的抢占方式是备防火墙抢占延时为 0，主防火墙配置抢占延时为 20000ms 或者是不抢占。具体的配置在相关组网中详细说明如何配置防火墙的抢占方式。★vrrp-grouppriority<1-254> ：配置VGMP组的优先级。配置 VGMP组的优先级后，VGMP和对端的防火墙的 VGMP进行协商，并确定 VGMP的主备状态。默认使用这种方式作为 VGMP 组的优先级，默认优先级是 100。VGMP 组的优先级调整算法为：当前优先级－（当前优先级/16）。如果VGMP组下的一个 VRRP变成初始化状态，则VGMP组的优先级调整一次，同样如果配置的一个 ip-link 检测远端 IP为不可达，VGMP组的优先级也会调整一次，每次都使用上面的算法进行调整。对于采用此种方式，建议主防火墙配置为 105，备防火墙使用默认配置 100。★vrrp-grouppriorityusing-vrrppriority：使用VRRP的优先级作为VGMP组的优先级。配置VGMP组的优先级后，VGMP和对端的防火墙的VGMP进行协商，并确定VGMP的主备状态。如果采用此种方式决定VGMP组的优先级，首先把VGMP组下所有的VRRP的优先级加起来，再除以VGMP组下的VRRP的个数。如果还在VGMP下面配置了ip-link，并且ip-link检测到远端的IP地址不可达，计算出ip-link调整的优先级，计算方法为ip-link绑定的VRRP的优先级除以16，然后用根据VGMP组下的所有的VRRP计算出来的优先级减去ip-link调整的优先级，得到最终的VGMP组的优先级。采用此种方式，建议VRRP的优先级主防火墙配置为105，备防火墙配置为默认的100。★vrrp-grouppriorityplus<0-254> ：此命令也是用来调整 VGMP的优先级的，但是现标准实用文案在不再使用，也不推荐配置此命令。★vrrp-groupmanual-preempt ：VGMP 组手动抢占命令。在 VGMP配置了抢占延时的时候，如果延时时间没有到， 即使本地防火墙的 VGMP组的优先级比对端高，也不进行抢占。如果在 VGMP组下面配置了不抢占，即使本地优先级比对端高，也不进行抢占。但是通过 vrrp-groupmanual-preempt 可以进行手动抢占，如果本地VGMP组优先级高，配置的抢占延时没有到或者配置不抢占，通过此命令本地 VGMP 能马上抢占为Master 状态。vrrp-grouptimerhello<200-60000>：VGMP组发送VGMP的hello报文的时间间隔，单位为毫秒（ ms），默认值为 1000ms。通过配置 VGMP 组下的 VGMP的hello报文的发送时间间隔， VGMP组能更快的进行抢占切换。建议采用默认值，如果参数设置的太小，导致防火墙发送和接受的 VGMP 的报文的数量会很多，会占用较多的 CPU资源，并且配置 1s的hello 报文的时间间隔也能满足现网故障反应时间间隔。★vrrp-group group-send ：VGMP 组下的所有数据通道都发送 VGMP 报文。配置此命令后，VGMP发送数据报文和 hello 报文的时候，加入此VGMP组的每个数据通道都发送一次。此命令默认不使能， VGMP 会自动选择一个数据通道作为发送 VGMP 报文的通道，并且在检测到数据通道发生故障的时候重新进行选择。标准实用文案1.3 1.3 VRRP配置说明防火墙的 VRRP和标准的 VRRP协议一样，下面大概说说 VRRP的配置，详细信息可以找相关的 RFC查看。在防火墙上，如果VRRP加入到VGMP中，VRRP的状态由 VGMP决定，不再自己协商。VRRP的配置命令的功能和使用介绍如下：：在接口视图下配置VRRP。此命令是在接口上配置VRRP的ID以及VRRP的虚地址。vrrpvrid1trackEthernet1/0/6：配置VRRP监视的端口。配置监视的端口之后，如果此端口的协议状态 down，VRRP的优先级会自动调整。默认是调整 10，可以在此命令后面继续配置下降多少。vrrpvrid1priority<1-254>：配置VRRP的优先级。默认值是100，如果是主防火墙，建议配置为 105，备防火墙建议配置为默认值 100。vrrpvrid1timeradvertise<1-255>：VRRP的hello报文发送的时间间隔。默认VRRP的hello 报文的发送时间间隔为 1s，建议使用默认配置。★vrrpvrid1preempt-mode ：VRRP的抢占参数。如果 VRRP加入VGMP组中，VRRP的抢占参数不再生效。1.4 1.4 IP-Link配置说明 ：ip-link 功能说明：防火墙ip-link 功能是一种检测三层链路是否可达的功能，基本原理就是在防火墙上配置ip-link 使能并配置 ip-link 的目的地址之后，防火墙会向该目的地址发送 icmp 的报文判标准实用文案断该目的地址是否可达， 判断从防火墙到该目的地址三层链路是否可通， 应用在双机热备组网中，VGMP 能根据ip-link 特测的结果调整 VGMP的优先级，从而使防火墙在和路由器组网中能在发生故障的时候进行主备倒换。防火墙在使能 ip-link 功能时，需要判断 ip-link 的目的地址的设备能和防火墙进行正常的icmp 交互，这样防火墙才能正确的检测该目的地址， 从而在该设备发生故障的时候正确引导主备防火墙进行主备切换，所以 ip-link 使用的前提条件是 ip-link 配置的目的地址的设备能正常的和防火墙进行 icmp会话。 ：ip-link 在组网中的应用：防火墙的ip-link 功能一般使用的双机热备组网环境中常见组网如下图所示：防火墙 0/0 0/0 路由器A 0/1A(主)路由器C防火墙0/00/0路由器B0/1B(备)如上图所示,如果在防火墙上不使能ip-link功能，正常情况下报文会通过防火墙A进行转发，这时必须保证防火墙A的上下行设备都是正常工作。但是一旦和防火墙A相连的路由器A的0/1口发生故障，报文不能从该口进行转发，此时防火墙A的VRRP是检测不到路由器A的0/1口发生故障的，报文会继续从防火墙A转发到路由器A，导致业务中断。如果在防火墙A上使能ip-link的功能，使得ip-link的目的地址是路由器A的0/1口，当路由器A的0/1口发生故障的时候，防火墙A能探测到路由器A的0/1接口的IP地址是不可达的，此时防火墙A认为从本地0/0口出去的链路不通，这个时候防火墙A会自动调整优先级，使防火墙A和防火墙B发生主备倒换，防火墙A上面的业务全部转移到防火标准实用文案墙B上，保证了业务的正常转发。 ：防火墙ip-link 的配置：在防火墙上配置 ip-link 功能时首先要确认 ip-link 配置中的目的地址的设备在正常的情况下能正确的和防火墙进行 icmp 会话。相关配置介绍如下：1：使能防火墙 ip-link 功能在系统视图下执行命令 ip-linkcheckenable 如：[Eudemon]ip-linkcheckenable2：配置ip-link 其他参数timer]上述命令参数含义可参考命令行给出的提示信息。3：vrrp绑定ip-link进入VGMP的视图Vrrpgroup1配置ip-link[E1000_A-vrrpgroup-1]addintEthernet4/0/0vrrpvrid1ip-link1 ：防火墙ip-link 的配置：配置防火墙 ip-link 使能之后，防火墙将向 ip-link 目的地址的设备发送 icmp 报文检测目的设备是否正常。我们通过查看 vrrp 组的状态可以看到 ip-link 已经开始影响 vrrp组的优先级了，防火墙ip-link 检查调整优先级的大小和加入 vrrp管理组的接口 down 掉调整vrrp标准实用文案管理组的优先级相同。HRP_M[E1000_A]disvvVrrpGroup16state:MasterPriority:98 ――――>此处优先级会根据 ip-link 检查的结果进行调整Preempt:YES DelayTime:0Timer:1000Group-Send :YESPeerStatus:OnLineVrrpnumber:3:Sameinterface:Ethernet4/0/7,vrrpid:254Upinterface:Ethernet4/0/0,vrrpid:2Upinterface:Ethernet4/0/1,vrrpid:1Down, ip-link:32Down标准实用文案2：防火墙双机热备典型组网防火墙双机热备， 主要是提供冗余备份的功能， 在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式， 分路由模式下的双机热备组网和透明模式下的双机热备组网，不管是在路由模式下还是在透明模式下， 我们都建议采用主备的组网方式而不采用负载分担的组网方式。在防火墙双机热备组网的时候， 我们需要根据需求决定组网情况以及在此组网下出现网络故障的时候防火墙如何正确的倒换保证业务正常， 这些都是在配置的时候需要考虑的。 下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。2.1 2.1 路由模式防火墙和路由器双机热备组网路由模式下的组网分防火墙和路由器组网， 防火墙和交换及组网， 以及防火墙上下行分别是交换机和路由器的组网，下面就防火墙和这些设备的组网做一个说明。 组网一：推荐组网R1 R2链路正常时的业务走向OSPF区域FW-1FW-2备防火墙主防火墙发生故障防火墙故障时此处链路down，防火墙主倒换调整路由后双机热备业务走向备倒换，调整对外心跳线发布的路由OSPF区域R3 R4标准实用文案如上图所示，此种组网是防火墙上下行都是路由器的时候在外面应用的最多的一种组网，对于此种组网，防火墙需要和路由器之间起 OSPF协议。如果要形成主备组网，可以在防火墙的上下行路由器上对特定的链路调整 COST值，保证业务都从同一边的路由器上转发，或者是在防火墙上配置根据 HRP状态调整 OSPF路由的COST值的命令，使备防火墙发布路由的时候增大 COST，保证业务只在主防火墙上转发。如果要形成负载分担的组网，即主备防火墙上都有转发业务，需要保证防火墙上下行的路由器上都能有业务到达防火墙， 这个可以通过配置等价路由的方式实现， 同时在防火墙上去掉根据 HRP状态调整OSPF路由的COST的命令。在防火墙上配置会话快速备份功能，保证在存在来回路径不一致的时候不影响业务。组网优点：1：网络拓扑简单，发生故障的时候 OSPF的路由能快速收敛，减小业务中断的时间，同时出现问题时定位比较容易。2：防火墙上下行业务口采用 1GE的板卡，成本较低，转发性能高，能达到防火墙最大转发性能。：可以根据需要，只需要在命令行上配置，就能在主备组网和负载分担组网上进行切换。：对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。组网缺点：1：此种组网使某些在防火墙上开始或者是终止的应用类型如 L2tp 和IPSEC等这些应用，标准实用文案不能使用虚地址，因为一旦其中一台防火墙 down 掉，虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。2：发生故障的时候， OSPF的收敛时间较长，如果业务中断的时候需要更快的响应时间，防火墙上下行最好采用 VRRP，这样故障的时候相应切换速度最快。可靠性分析：这里只分析主备组网的可靠性。如图所示，防火墙和路由器组网，链路正常的时候，业务走向为图中蓝色的路径。 此时防火墙FW-2为主防火墙，FW-1为备防火墙，备防火墙向外发布路由的时候会自动加上一个COST值（默认是 65500）。1：FW-2 和R4之间的链路故障当FW-2和R4之间的链路故障，防火墙上配置的 vrrp track 了此接口，所以 vrrp的优先级降低，并且是使用的 vrrp 的优先级作为 VGMP 的优先级，所以 vgmp 的优先级降低，此时FW-2的优先级比 FW-1的优先级低，防火墙发生主备倒换， FW-1变成主防火墙，FW-2变成备防火墙。在防火墙发生主备倒换之后， FW-1 和FW-2 都会更新自身的路由并对外发布路由， 此时FW-1 为主，对外直接发布自身的路由，而 FW-2 变成了备防火墙，对外发布路由的时候会另外加上一个 cost值（默认是 65500），路由重新计算并收敛，业务都从 FW-1上走。此组网图中任何一个和防火墙相连的路由器的链路 down 或者是路由器故障，都会引发上述过程。2：防火墙故障如果是其中 FW-2防火墙发生故障 down 或者是重启，此时 FW-1 防火墙因为心跳口标准实用文案down，导致vrrp的状态变成初始化状态，VGMP的状态也变成初始化状态，HRP的状态变成初始化状态，此时防火墙更新自身路由，同时整个链路的路由收敛，业务从没有故障的防火墙上走，从而保证业务的正常。如果发生故障的防火墙FW-2恢复，防火墙FW-1上的VRRP会up起来，VGMP会变成主状态，HRP也会变成主状态，而FW-2上的VRRP，VGMP以及HRP都是备状态，FW-2和FW-1都对外发布路由信息，HRP状态为备FW-2对外发布路由的时候会自动加上一个cost值，使业务仍然从为主的FW-1上走。如果VGMP配置了抢占，抢占延时设置为20s左右，保证FW-1上的会话充分备份到FW-2上，此时FW-2变成主防火墙的时候重新发布路由，业务从主防火墙FW-2上走，因为会话已经从FW-1上备份过来了，所以也不会对业务产生影响。如果是防火墙之间的心跳线中的一根 down 掉，因为两台防火墙上的两个心跳线上都配置了VRRP并加入了VGMP组中，所以不会对状态产生影响，但是要注意即使是防火墙的一根心跳线 down，也要保证在其他设备出现故障的时候防火墙能正常倒换， 所以需要每个接口上的 VRRP都track 上下行业务口。组网配置要点：主备模式配置要点：1：防火墙之间采用 2GE板卡，GE卡的两个口之间相连， 并配置VRRP，加入同一个 VGMP组中，使心跳线形成备份，保证其中一根心跳线 down 掉的时候另外一根心跳线也能做备份通道。2：防火墙的 VGMP 的优先级使用 VRRP的优先级，每个 VRRP都监视防火墙的上下两个业务口，并且为主状态的 VRRP优先级设置为 105，为备状态的优先级设置为默认值。标准实用文案3：防火墙上下行接口都加入到同一个link-group组中，保证一个接口down的时候另外一个接口也跟着down，OSPF收敛的速度快。4：在防火墙上配置ip-link，分别检测防火墙上下行路由器的接口，保证在接口没有down但是不转发数据的时候防火墙也能检测到并且能进行主备倒换，注意使用ip-link的时候需要添加包过滤规则使防火墙和路由器能进行icmp交互。5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛速度快，防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。同时如果防火墙上做nat转换，有私网路由的时候，需要保证私网路由不发布出去，需要在ospf中通过acl限制私网路由的发布。6：配置根据HRP的状态调整OSPF的cost值的命令，形成主备模式的组网。7：防火墙上的nat地址池或者是natserver配置时不能加上VRRP的ID，在路由器请求nat地址池或者时natserver的arp的时候，因为收到ARP请求的接口和配置VRRP的接口不一致，防火墙不会回应ARP请求，会导致上行路由器上没有ARP导致业务不通，不配置VRRP的ID，防火墙直接根据用接口地址回应ARP请求。8：心跳口不能配置成transfer-only，否则VGMP状态会是初始化状态，导致VGMP无法协商形成主备，配置的transfer-only上绑定的ip-link也将不再起作用。：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。：配置VGMP为主的防火墙VGMP不抢占，这样在主防火墙发生故障恢复后路由只变化一次，避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。负载分担配置要点：1：防火墙之间采用 2GE板卡，GE卡的两个口之间相连， 并配置VRRP，加入同一个 VGMP标准实用文案组中，使心跳线形成备份，保证其中一根心跳线 down 掉的时候另外一根心跳线也能做备份通道。2：在防火墙的两个心跳线上配置两个 VRRP，把两个VRRP加入不同的 VGMP组中，防火墙的VGMP的优先级使用 VRRP的优先级，为主状态的 VRRP优先级设置为 105，为备状态的优先级设置为默认值 100，并使得两边的 VGMP各有一个是主状态。3：防火墙上下行接口都加入到同一个link-group组中，保证一个接口down的时候另外一个接口也跟着down，OSPF收敛的速度快。4：负载分担的组网链路的可靠性靠OSPF路由的计算，防火墙主备倒换不会引起路由的变化，所以不用配置ip-link进行探测，所以负载分担的组网防火墙收敛速度慢一些。5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛速度快，防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。同时如果防火墙上做nat转换，有私网路由的时候，需要保证私网路由不发布出去，需要在ospf中通过acl限制私网路由的发布。6：防火墙上的nat地址池或者是natserver配置时不能加上VRRP的ID，在路由器请求nat地址池或者时natserver的arp的时候，因为收到ARP请求的接口和配置VRRP的接口不一致，防火墙不会回应ARP请求，会导致上行路由器上没有ARP导致业务不通，不配置VRRP的ID，防火墙直接根据用接口地址回应ARP请求。7：心跳口不能配置成transfer-only，否则VGMP状态会是初始化状态，导致VGMP无法协商形成主备，同时配置的transfer-only上绑定的ip-link也将不再起作用。8：心跳口不能配置成transfer-only，否则VGMP状态会是初始化状态，导致VGMP无法协商形成主备，同时如果配置的transfer-only上绑定的ip-link也将不再起作用。标准实用文案组网验证图及配置：验证组网配置可以参考下面嵌入的 PPT中的配置。验证组网一：组网验证图及配置_ 防火墙重点配置说主备模式.ppt 明.doc主备模式组网： 防火墙重点配置说明：验证组网二：组网验证图及配置_ 防火墙重点配置说负载分担.ppt 明.doc负载分担组网： 防火墙重点配置说明： 组网二：多冗余组网发生故障防火墙R1R2倒换调整路由后链路正常时的业务走向业务走向OSPF区域FW-1FW-2备防火墙主防火墙故障时此处链路双机热备down，防火墙主备倒换，调整对外心跳线发布的路由OSPF区域R3 R4如上图所示组网，此种组网是对组网一的一种扩展，可以进一步提高网络的可靠性，对于此种组网，防火墙需要和路由器之间运行 OSPF协议，由于网络拓扑结构比组网一复杂，出现故障的时候 OSPF的收敛速度比组网一慢，故障恢复时间比组网一要长。标准实用文案如果要形成主备组网，可以在防火墙的上下行路由器上对特定的链路调整 COST值，保证业务都从同一边的路由器上转发，或者是在防火墙上配置根据 HRP状态调整 OSPF路由的COST值的命令，使备防火墙发布路由的时候增大 COST，保证业务在同一边的路由器上转发。如果要形成负载分担的组网，即主备防火墙上都有转发业务，需要保证防火墙上下行的路由器上都能有业务到达防火墙， 这个可以通过配置等价路由的方式实现， 同时在防火墙上去掉根据 HRP状态调整 OSPF路由的COST的命令。如果存在来回路径不一致的情况，需要在防火墙上配置会话快速备份功能。组网优点：：此种组网能提供更好的冗余性能，保证此组网中的任意上下行路由器或者是防火墙的其中两台发生故障网络都能正常工作。：可以根据需要，只需要在命令行上配置，就能在主备组网和负载分担组网上进行切换。：对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。组网缺点：1：此种组网使某些在防火墙上开始或者是终止的应用类型如 L2tp 和IPSEC等这些应用，不能使用虚地址，因为一旦其中一台防火墙 down 掉，虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。2：发生故障的时候， OSPF的收敛时间比组网一更长，如果业务中断的时候需要更快的响应时间，防火墙上下行最好采用 VRRP，这样故障的时候相应切换速度最快。3：防火墙上下行业务口都需要采用 2GE的板卡，2GE的板卡小包不能线速转发，并且增标准实用文案加了接口并不能增加防火墙的转发能力。4：采用2GE卡成本较高，网络拓扑比较复杂， 对于出现故障的时候的 OSPF收敛速度比组网一要慢，并且出现故障时定位也比组网以复杂。：此组网防火墙端口已经全部都占用，网络不具有可扩展性。组网配置要点：主备模式配置要点：1：防火墙之间采用2GE板卡，心跳线形成备份。2：防火墙上行两个口采用一个2GE卡的两个接口，防火墙下行两个口也采用一个2GE卡的两个接口。3：在防火墙的每个心跳线上配置一个VRRP，两个心跳线上的VRRP加入同一个VGMP组中。4：防火墙的VGMP的优先级使用VRRP的优先级，所有的VRRP都监视防火墙的上下业务口，并且为主状态的VRRP优先级设置为105，为备状态的优先级设置为默认值100。5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛非常快速，防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。6：两台防火墙形成主备组网，需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令，根据HRP状态调整OSPF的cost值采用默认值65500就可以，如果由于组网特殊需要可以调整这个值。7：防火墙上的nat地址池或者是natserver配置时不能加上VRRP的ID，在路由器请求nat地址池或者时natserver的arp的时候，因为收到ARP请求的接口和配置VRRP标准实用文案的接口不一致，防火墙不会回应 ARP请求，会导致上行路由器上没有 ARP导致业务不通，不配置 VRRP的ID，防火墙直接根据用接口地址回应 ARP请求。8：心跳口不能配置成 transfer-only ，否则VGMP状态会是初始化状态，导致 VGMP无法协商形成主备，同时如果配置的 transfer-only 上绑定的 ip-link 也将不再起作用。：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。：配置VGMP为主的防火墙VGMP不抢占，这样在主防火墙发生故障恢复后路由只变化一次，避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。负载分担配置要点：1：防火墙之间采用2GE板卡，心跳线形成备份。2：防火墙上行两个口采用一个2GE卡的两个接口，防火墙下行两个口也采用一个2GE卡的两个接口。3：在防火墙的每个心跳线上配置两个VRRP，形成负载分担的组网，把两个VRRP加入不同的VGMP组中，并使得两边的VGMP各有一个是主状态。如果是形成主备组网，两个心跳线上的VRRP加入同一个VGMP组中。4：防火墙的VGMP的优先级使用VRRP的优先级，所有的VRRP都监视防火墙的上下业务口，并且为主状态的VRRP优先级设置为105，为备状态的优先级设置为默认值100。5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛非常快速，防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。6：防火墙上的nat地址池或者是natserver配置时不能加上VRRP的ID，在路由器请求nat地址池或者时natserver的arp的时候，因为收到ARP请求的接口和配置VRRP标准实用文案的接口不一致，防火墙不会回应 ARP请求，会导致上行路由器上没有 ARP导致业务不通，不配置 VRRP的ID，防火墙直接根据用接口地址回应 ARP请求。7：心跳口不能配置成 transfer-only ，否则VGMP状态会是初始化状态，导致 VGMP无法协商形成主备，同时如果配置的 transfer-only 上绑定的 ip-link 也将不再起作用。：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务，保证在来回路径不一致的时候不会对业务产生影响。组网验证图及配置：验证组网配置可以参考下面嵌入的 PPT中的配置。验证组网一：组网验证图及配置.ppt防火墙重点配置说明：参考组网一配置主备模式组网：验证组网二：负载分担组网：略防火墙重点配置说明：略标准实用文案2.2 2.2 路由模式防火墙和路由器以及交换机双机热备组网路由模式下防火墙和路由器的组网，防火墙可以对外发布 VRRP虚地址，使 VRRP虚地址作为路由的下一跳地址， 同时防火墙和路由器之间起 OSPF，使得路由器形成备份关系。 组网三：推荐组网R1 R2链路正常时的业务走向OSPF区域FW-1 FW-2备防火墙 主防火墙发生故障防火墙倒换调整路由后业务走向

故障时此处链路down，防火墙主双机热备备倒换，调整对外心跳线发布的路由VRRPSW-1 SW-2如上图所示，此种组网是防火墙上行是路由器下行为交换机的时候在外面应用的最多的一种组网，对于此种组网，防火墙需要和路由器之间运行 OSPF协议，防火墙对交换机一侧起VRRP协议，使 VRRP虚地址作为交换机下面设备的下一跳地址来保证报文转发到主防火墙上。如果要形成主备组网，可以在防火墙的上下行路由器上对特定的链路调整 COST值，保证业务都从同一边的路由器上转发，或者是在防火墙上配置根据 HRP状态调整 OSPF路由的COST值的命令，使备防火墙发布路由的时候增大 COST，保证业务在同一边的路由器上转发，同时防火墙上配置一个 VGMP，把所有的接口上的 VRRP加入到同一个 VGMP组标准实用文案中。如果要形成负载分担的组网， 即主备防火墙上都有转发业务， 需要保证防火墙上下行的路由器上都能有业务到达防火墙， 这个可以通过配置路由的方式实现， 对交换机一侧需要起两个VRRP，分别加入不同 VGMP组中，两个 VGMP组在两台防火墙上分别为主状态，同时最好保证来回路径一致， 可以通过在路由器上配置策略路由来实现。 如果存在来回路径不一致的情况，需要在防火墙上配置会话快速备份功能。组网优点：1：防火墙上行是路由器下行是交换机，能适应绝大部分的组网需要，在绝大部分的组网需求中通过在汇聚层交换机和核心层路由器之加防火墙来保护网络免受攻击。2：防火墙下行为交换机，通过 VRRP报文来感知网络故障，故障相应速度快，防火墙上行路由器和防火墙之间起路由协议，能快速收敛。3：此种组网能适合路由模式下的防火墙的所有的应用类型， 对外提供虚 IP，能以虚IP地址作为 L2tp 或者是 IPSec的协商地址，使此种应用也能在一台防火墙发生故障的时候能进行备份。4：防火墙上下行业务口采用 1GE的板卡，成本较低，转发性能高，能达到防火墙最大转发性能。组网缺点：此组网是我们主推的一种组网，对于上行是路由器下行是交换机的组网是一种最优的组网方案。标准实用文案可靠性分析：这里只分析主备组网的可靠性。防火墙上行路由器转发数据到哪台防火墙的路由是靠 OSPF来保证的，下行交换机转发数据到哪台防火墙是靠 VRRP来实现的，防火墙的主备状态时对外发布的路由以及对外发布的 VRRP虚地址能保证防火墙上下行设备的报文都转发到主防火墙上，保证形成主备组网，这里只分析主备组网的可靠性。如图所示，防火墙和路由器组网，链路正常的时候，业务走向为图中蓝色的路径。 此时防火墙FW-2为主防火墙，FW-1为备防火墙，备防火墙向外发布路由的时候会自动加上一个COST值（默认是 65500），加入到 VGMP组中的VRRP会和VGMP的状态保证一致。1：FW-2 和R2/SW-2 之间的链路故障当FW-2和R2之间的链路故障，防火墙上配置的 vrrp track 了此接口，所以 vrrp的优先级降低，并且是使用的 vrrp 的优先级作为 VGMP 的优先级，所以 vgmp 的优先级降低，此时FW-2的优先级比 FW-1的优先级低，防火墙发生主备倒换， FW-1变成主防火墙，FW-2变成备防火墙。当FW-2和SW-2之间的链路 down 的时候，防火墙 FW-2和SW-2 相连的接口上的VRRP变成初始化状态，防火墙FW-2的VGMP的优先级降低，防火墙发生主备倒换，FW-1变成主防火墙， FW-2变成备防火墙。在防火墙发生主备倒换之后， FW-1 和FW-2 都会更新自身的路由并对外发布路由， 此时FW-1 为主，对外直接发布自身的路由，而 FW-2 变成了备防火墙，对外发布路由的时候会另外加上一个 cost值（默认是 65500），路由重新计算并收敛； 防火墙FW-1的VGMP的状态变成主状态， VGMP中的加入的 VRRP也变成主状态，此时 FW-1和SW-1相连的接口上的VRRP成为主，对外发送 VRRP的hello 报文，更新二层交换机的 MAC转发表，标准实用文案同时发布VRRP虚地址的免费 ARP，更新下行设备的 ARP表，保证业务都转发到 FW-1上，同时上行路由器根据路由的变化也把报文转发到 FW-1上。2：防火墙故障如果是其中 FW-2防火墙发生故障 down 或者是重启，此时 FW-1 防火墙立即抢占为主状态，调整对外发布的路由，更改 VGMP的状态以及 VRRP的状态，对外发布 VRRP的免费ARP，使上下行设备的报文转发到 FW-1上。组网配置要点：主备模式配置要点：1：防火墙业务口和心跳口都采用1GE板卡，心跳线和交换机相连的接口上都上起VRRP监视到NE40的上行口，配置ip-link监视路由器的接口，两个接口上的VGMP都加入同一个VGMP组中。2：防火墙的VGMP的优先级使用VRRP的优先级，VRRP分别监视防火墙的上下业务口，并且为主状态的VRRP优先级设置为105，为备状态的优先级设置为默认值100，VGMP组中添加VRRP的时候，先添加心跳口做为data通道，使VGMP优先选择心跳口作为VGMP报文的通道。3：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛非常快速，防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。4：两台防火墙形成主备组网，需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令，根据HRP状态调整OSPF的cost值采用默认值65500就可以，如果由于组网特殊需要可以调整这个值。标准实用文案5：在配置抢占延时的时候主 VGMP 抢占设置为不抢占或者是抢占延时 20000ms ，备VGMP抢占方式为立即抢占。6：防火墙在对路由器上的出口上起NAT功能，防火墙上的nat地址池或者是natserver配置时不能加上VRRP的ID，在路由器请求nat地址池或者时natserver的arp的时候，因为收到ARP请求的接口和配置VRRP的接口不一致，防火墙不会回应ARP请求，会导致上行路由器上没有ARP导致业务不通，不配置VRRP的ID，防火墙直接根据用接口地址回应ARP请求。7：心跳口不要配置成transfer-only，否则如果形成备份的交换机其中一台down掉，将会导致其中一台防火墙HRP的状态是初始化状态，无法调整上行路由器的路由的COST，导致报文转到这台防火墙上业务中断，配置的transfer-only上绑定的ip-link也将不起作用。：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。：配置VGMP为主的防火墙VGMP不抢占，这样在主防火墙发生故障恢复后路由只变化一次，避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。负载分担配置要点：1：防火墙业务口和心跳口都采用1GE板卡，心跳线和交换机相连的接口上都上起VRRP监视到NE40的上行口，配置ip-link监视路由器的接口。心跳线和交换机相连的接口上都配置两个VRRP，分别加入不同的VGMP组中，并使得两边的VGMP组都有一个是主状态。2：防火墙的VGMP的优先级使用VRRP的优先级，VRRP分别监视防火墙的上下业务口，并且为主状态的VRRP优先级设置为105，为备状态的优先级设置为默认值100，VGMP标准实用文案组中添加 VRRP的时候，先添加心跳口做为 data通道，使VGMP优先选择心跳口作为VGMP报文的通道。3：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛非常快速，防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。防火墙形成负载分担的组网，不需要配置根据HRP状态调整防火墙发布的路由的命令。5：在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms，备VGMP抢占方式为立即抢占。6：防火墙在对路由器上的出口上起NAT功能，防火墙上的nat地址池或者是natserver配置时不能加上VRRP的ID，在路由器请求nat地址池或者时natserver的arp的时候，因为收到ARP请求的接口和配置VRRP的接口不一致，防火墙不会回应ARP请求，会导致上行路由器上没有ARP导致业务不通，不配置VRRP的ID，防火墙直接根据用接口地址回应ARP请求。7：心跳口不要配置成 transfer-only ，否则如果形成备份的交换机其中一台 down 掉，将会导致其中一台防火墙 HRP的状态是初始化状态，无法调整上行路由器的路由的 COST，导致报文转到这台防火墙上业务中断，配置的 transfer-only 上绑定的 ip-link 也将不起作用。：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。：最好保证来回路径一致，可以通过在上行的路由器上配置策略路由的方式实现。组网验证图及配置：验证组网配置可以参考下面嵌入的 PPT中的配置。标准实用文案验证组网一：组网验证图及配置_ 防火墙重点配置说主备模式.ppt 明.doc主备模式组网： 防火墙重点配置说明：验证组网一：组网验证图及配置_ 防火墙重点配置说负载分担.ppt 明.doc负载分担组网： 防火墙重点配置说明：标准实用文案2.3 2.3 路由模式防火墙和交换机双机热备组网防火墙和交换机的组网是指防火墙上下行都是交换机，防火墙对上行和对下行都起VRRP，通过交换机透传 VRRP报文，防火墙通过 VRRP报文来感知上下行链路的故障，从而发生主备倒换， 此组网也是我们主推组网方式。 防火墙和交换机的组网比较简单， 就只有一种组网方式。 组网四：推荐组网SW1 SW4链路正常时的VRRP业务走向备防火墙主防火墙发生故障防火墙FW1FW2故障时此处链路倒换后业务从新down，防火墙主双机热备的主防火墙走备倒换，接口下的心跳线VRRP切换为备SW2VRRPSW3如上图所示，防火墙上下行都是交换机，交换机透传防火墙的 VRRP报文，交换机既可以作为二层设备也可以做三层设备，此组网防火墙通过 VRRP报文来感知链路故障，防火墙能快速切换，保证发生故障的时候业务迅速恢复。此组网一般采用主备模式，防火墙上行交换机可以起 VRRP协议，下行交换机也可以起VRRP协议，防火墙采用静态路由的方式，分别指向上下行的交换机的 VRRP的虚地址。由于采用主备模式， 交换机之间可能会转发数据报文， 所以交换机之间的接口需要保证链路标准实用文案的畅通和带宽满足需求。组网优点：1：防火墙推荐的典型组网，是已经应用的很成熟的组网方式。2：上下行都是交换机，并且配置的是静态路由，发生故障的时候能能快速切换。3：在防火墙上如果配置多个 VGMP组，就能形成负载分担的组网。4：防火墙上的所有的应用类型都能在此种组网上实现。组网缺点：对防火墙上下行设备都需要是交换机。可靠性分析：这里只分析主备组网的可靠性。防火墙对上下行设备都发布 VRRP的虚地址，上下行设备通过配置静态路由的方式指向防火墙的虚地址，使得数据都转发到 VRRP为主的防火墙上。如图所示，防火墙和路由器组网，链路正常的时候，业务走向为图中蓝色的路径。 此时防火墙FW-2为主防火墙，FW-1为备防火墙，加入到VGMP组中的VRRP会和VGMP的状态保证一致。1：FW-2 和SW-3 之间的链路故障当FW-2和SW-3 之间的链路故障，此接口上的 VRRP变成初始化状态， FW-2防火墙上的VGMP的优先级降低，FW-2 上的对应的 VGMP变成备状态，防火墙发生主备倒换，FW-1变成主防火墙， FW-2变成备防火墙。标准实用文案在防火墙发生主备倒换之后， FW-1 变成主防火墙，对外发布 VRRP的免费 ARP，同时VRRP发送hello报文，更新上下行交换机的 MAC表，这样以虚地址为下一跳报文都能转发到主防火墙 FW-1上。2：防火墙故障如果是其中 FW-2防火墙发生故障 down 或者是重启，此时 FW-1 防火墙立即抢占为主状态，对外发布 VRRP的免费ARP，同时VRRP发送hello 报文，使上下行设备的报文转发到FW-1上。组网配置要点：主备组网配置要点：1：防火墙所有的接口都采用 1GE的板卡，保证达到最大的转发性能， 心跳口做会话备份接口，防火墙上下行和心跳口都起 VRRP，并加入同一个 VGMP组中。2：防火墙的 VGMP的优先级使用配置的优先级，为主状态的 VGMP优先级设置为 105，为备状态的优先级设置为默认值 100，，所有的接口都作为 VGMP的数据通道，同时心跳口以transfer-only 的方式加入 VGMP组中。3：在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms，备VGMP抢占方式为立即抢占。4：防火墙在对路由器上的出口上起NAT功能，防火墙上的nat地址池或者是natserver配置时加上VRRP的ID，此VRRP所蜀的接口必须保证和收到ARP请求的接口一致，在路由器请求nat地址池或者时natserver的arp的时候，主防火墙回应ARP请求而备防火墙不会回应ARP请求，使到NAT地址池地址的报文能正确的转发到主防火墙上，如果不配置VRRP的ID，主备防火墙都直接用接口地址回应ARP请求，将会导致上行标准实用文案设备上的 ARP表出错。：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。负载分担组网配置要点：1：防火墙所有的接口都采用1GE的板卡，保证达到最大的转发性能，心跳口做会话备份接口，防火墙上下行和心跳口都起VRRP，上下行每个业务口上配置两个VRRP，加入不同的VGMP组。2：防火墙的VGMP的优先级使用配置的优先级，为主状态的VGMP优先级设置为105，为备状态的优先级设置为默认值100，，所有的接口都作为VGMP的数据通道。3：在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms，备VGMP抢占方式为立即抢占。4：防火墙在对路由器上的出口上起NAT功能，防火墙上的nat地址池或者是natserver配置时加上VRRP的ID，此VRRP所蜀的接口必须保证和收到ARP请求的接口一致，在路由器请求nat地址池或者时natserver的arp的时候，主防火墙回应ARP请求而备防火墙不会回应ARP请求，使到NAT地址池地址的报文能正确的转发到主防火墙上，如果不配置VRRP的ID，主备防火墙都直接用接口地址回应ARP请求，将会导致上行设备上的ARP表出错。：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。组网验证图及配置：验证组网配置可以参考下面嵌入的 PPT中的配置。标准实用文案验证组网一：组网验证图及配置_ 防火墙重点配置说主备组网.ppt 明.doc主备模式组网： 防火墙重点配置说明：验证组网一：组网验证图及配置_ 防火墙重点配置说负载分担.ppt 明.doc负载分担组网： 防火墙重点配置说明：标准实用文案2.4 2.4 透明模式防火墙和路由器双机热备组网防火墙透明模式下的组网主要是防火墙和路由器组网以及防火墙和交换机组网， 防火墙以透明模式加入到网络中，不参与路由协议以及 STP协议的计算。其中防火墙和路由器的组网是防火墙透传路由协议的报文，防火墙和交换机组网是防火墙透传 STP的报文，防火墙透明接入不影响网络的拓扑结构。 组网五：推荐组网R1 R2链路正常时的业务走向FW-1OSPF区域FW-2备防火墙主防火墙发生故障防火墙故障时此处链路down，防火墙主倒换路由器调整双机热备备倒换，路由器重路由后业务走向心跳线新计算路由OSPF区域R3 R4如上图所示，防火墙透明模式下，路由器之间插入两台防火墙，对业务进行保护， 路由器之间运行 OSPF协议。可以在路由器上调整链路的 COST值，形成主备组网，并使得流量经过防火墙的时候来回路径一致。组网优点：标准实用文案：防火墙透明接入，不改变网络的拓扑接口，在防火墙接入的时候如果没有额外的地址