防火墙双机热备特性FAQ

1、2015-2-7华为机密，未经许可不得扩散第1页，共6页HUAWEI防火墙双机热备特性FAQ内部公开防火墙双机热备特性FAQ1问：R6新增了支持防火墙和路由器双机热备份组网，的这种组网是如何实现的防火墙主备组网的，需要在防火墙上配置哪些命令，需要注意哪些东西？答：R6上新增支持防火墙和路由器双机热备份组网，这种组网防火墙和路由器之间器OSPF协议，同时在防火墙上配置根据HRP状态调整备防火墙上 OSPF勺COS值，使得路由器学到的路由都指向主防火墙，保证业务都从主防火墙上过，形成双机热备份的。为了实现防火墙和双机热备份组网，需要在主备防火墙上配置命令：hrp ospf-costadjust-e

2、 nable ，这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COS值，主防火墙直接发布路由。这个COS值默认是65500。防火墙和路由器组网的时候，心跳线不能配置成transfer-only，同时需要使用VRRP勺优先级作为防火墙的 VGM的优先级，VRR需要track上和路由器相连的接口。2:冋：R6双机热备份是如何支持来回路径不一致的，会话快速备份和传统的会话实时备份有什么区别，会话快速备份涉及到哪些命令行。答：R6是通过支持会话快速备份来支持来回路径不一致的，会话快速备份就是在会话建立的时候就立即备份到对端防火墙上， 保证即使是来回路径不一致，到备防火墙上的报文也能命

3、 中会话进行转发。会话快速备份和传统的会话实时备份的区别是：1:会话快速备份在会话一建立就备份到备防火墙上，而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的，所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上，所以仅仅有会话实时备份不能支持来回路径不一致。2：会话快速备份能备份tcp半连接会话和ICMP会话，而会话实时备份不备份半连接会话和ICMP的会话。会话快速备份首先需要配置心跳口，并配置high-availability参数，保证此接口是高可用性接口，同时配置 hrp mirror session en able。需要注意什么?3:问：R6版

4、本的IP-link 应用场景如何？，配置ip-link防火墙的ip-link 功能一般使用的双机热备组网环境中常见组网如下图所示:HUAWI防火墙双机热备特性FAQ内部公开如上图所示，如果在防火墙上不使能ip-link 功能，正常情况下报文会通过防火墙 A进行转 发，这时必须保证防火墙 A的上下行设备都是正常工作。但是一旦和防火墙A相连的路由器A的0/1 口发生故障，报文不能从该口进行转发， 此时防火墙A的VRR是检测不到路由器 A的0/1 口发生故障的，报文会继续从防火墙 A转发到路由器A,导致业务中断。如果在防火墙A上使能ip-link 的功能，使得ip-link 的目的地址是路由器 A的

5、0/1 口，当路 由器A的0/1 口发生故障的时候，防火墙A能探测到路由器A的0/1接口的IP地址是不可达的，此时防火墙A认为从本地0/0 口出去的链路不通，这个时候防火墙A会自动调整优先级，使防火墙A和防火墙B发生主备倒换，防火墙A上面的业务全部转移到防火墙B上，保证了业务的正常转发。防火墙在使能ip-link 功能时，需要判断ip-link 的目的地址的设备能和防火墙进行正常 的icmp交互，这样防火墙才能正确的检测该目的地址，从而在该设备发生故障的时候正确引导主备防火墙进行主备切换，所以ip-link 使用的前提条件是ip-link 配置的目的地址的设备能正常的和防火墙进行icmp会话。

6、4：问：防火墙Eudemon 1000是怎样备份会话的，备份会话需要有哪些配置。答：防火墙Eudemo n1000通过配置Hrp in terface 来备份会话，在hrp使能的时候默认就使能 了会话实时备份，但是如果没有会话备份的通道会话将不能备份。配置了 hrp in terface 的配置后，并不能保证会话就能备份到对端防火墙上，需要在配置的hrp in terface接口上配置VRRP并把此VRR加入VGM组中，才能备份会话，同时只要配置的hrp in terface上的vrrp组所属的VGM组为Master状态，就能向对端备份会话，所以负载分担的组网需要在防火墙上配置多个VGM组，并

7、形成两台防火墙上都有一个VGM组为主。通常我们配置多个 hrp in terface，在有多个hrp in terface的时候，会先选择high-availability的接口作为备份会话的通道，如果此接口dow n,再按照槽位号和端口号HUAWEI防火墙双机热备特性FAQ内部公开的大小从小到大选择一个接口备份会话。5:问：配置VGM的时候需要注意哪些？答：配置VGM的时候需要注意主备防火墙两边的配置，除了抢占延时和优先级大小不一样之外，其他的都要一样，才能形成一对VGM组进行协商，否则无法协商主备状态。并且如果两边都要选择使用相同的优先级方式，要么就是直接配置VGM的优先级，要么就是使用V

8、RRP的优先级作为防火墙的优先级。对于配置VGM的优先级，建议主防火墙为 105，备防火墙为默认的100。对于VGM的抢占延时，建议主防火墙抢占延时为20000ms以及更长或者是配置不抢占，备防火墙配置立即抢占。VGM使能必须要配置数据通道，VGM添加心跳口的时候需要根据组网来判断是否需要加上transfer-only参数，通常防火墙上下行都起 VRR就把心跳口配置成transfer-only ，否则心跳口不配置 transfer-only。6:问：双机热备份组网中，为什么一定要nat或者nat server上配置出接口的 VRRP ID?答：双机热备份组网中，如果配置了nat address

9、-group 或者nat server，则必须在它们的后面配置出接口 VRR备份组的ID号。出接口就是当我们做NA或NATServer时，报文经过NAT或NATServer转换后从哪个以太 网口出去的接口，就为业务的出接口。如果没有配置地址池和 nat server的vrrp参数，arp请求或应答中携带的 MA（地址是该网 口的MAC如果配置了 vrrp参数，发送的arp就是VRR虚拟MA（地址。如果不配置 VRRP勺话， 还会带来一个问题就是防火墙在收到对nat地址的ARP请求的时候无法判断是否需要回应ARP响应（特别是在互为备份的组网中），如果主备都回应arp响应的话首先不能保证 arp响

10、应的ma（地址的正确性，其次不能保证与防火墙相连的三层交换机上的arp地址转发表的正确性，所以在双机热备的组网中 nat的配置一定要在后面加上 vrrp id，对于nat server的配置也是 如此。如果出接口不配置 VRRP则配置nat或者是nat server的时候，就不能代 VRR的ID，否 则在请求nat地址池或者是nat server的ARP表的时候，防火墙是不会回应的。所以必在双机热备份组网中需要正确的配置nat或者是nat server ，如果需要代VRRPHUAWEI防火墙双机热备特性FAQ内部公开的ID而没有带，就会出现有时业务通有时业务不通的情况。7:问：为什么双机热备份

11、组网中不支持easy-ip的组网方式？答：在作EASY-IP的配置中，无法设置 VRRP勺选项。所以在主备倒换后，两台防火墙均采用自身的出接口作为内部地址的公网地址进行转换。当主防火墙DOW掉后，SESSIO备份过去,但是备防火墙的出接口 IP地址与SESSIONS能匹配。所以包无法收回。造成连接中断。&问：防火墙透明模式组网，为什么要在vlan下面绑定VGMP答：防火墙透明模式组网， 是指防火墙工作在混合模式下，上下行业务口通过配portswitch ,使上下行业务口工作在透明模式下，同时使心跳口工作在路由模式下，在心跳口上配置 VRRP形成双机热备份。上下行业务口都加入到一个 vlan，并

12、在vlan下面绑定VGMP命令行使set vgmp , vlan下面的接口在up/down的时候就会影响vlan下面绑定的VGM的优先级，保 证一个vlan下面的接口发生故障的时候能发生主备倒换。同时在防火墙透明模式组网的时候，需要在防火墙上配置允许备转发的命令，命令行是：firewall composite-hrp permit-backupforward，如果不配置允许备机转发，vlan 的转发状态会根据下面绑定的 VGM状态决定此vlan是否需要转发，如果VGM是备，vlan接口收到的 所以的报文都将备丢弃，如果是主，vlan下的接口将正常转发报文。对于防火墙透明模式和路由器组网，配置允

13、许备机转发，保证防火墙上下行的路由器能正确的学习路由，发生故障的时候流量立即切换到备用路由上，业务中断延时比较小。同时需要在链路正常的时候需要在上下行路由器上调整路由的COS值保证报文从主防火墙转发。对于防火墙透明模式和交换机组网，配置允许备机转发，保证防火墙上下行交换机能正确的形成STP树，在发生故障的时候STP能立即重新计算。同时需要保证在链路正常的时候业 务是从主防火墙上经过的。另外，在vlan下面绑定了 VGMPVGM发生主备倒换的时候，主备防火墙的vlan下面的接口都会up/down 次，保证上下行设备重新学习ma（表。9:问：防火墙双机热备组网，在配置比较多的情况下，如何保证主备防

14、火墙的配置的正确性？答：通常现网双机热备组网，配置非常的多，如果逐条核对，将是非常苦难的一件事情，并HUAWEI防火墙双机热备特性FAQ内部公开且现网如果出现故障，首先需要查看双机热备的配置是否正确，这个可以通过beyo ndcompare这个软件来比较一下，对于主备组网，除了接口地址，VGM的优先级，抢占延时不一样之外，其他的配置基本上都要一样， 所以用这个软件能很容易的发现配置不一样的地方， 并且这个软件曾经帮我们维护组快速的定位了多个网上问题。10:问：双机热备组网通常什么故障是由双机热备份模块引起的？答：双机热备份组网，防火墙通过双机热备份模块来影响上下行设备的MAC发表和ARP表,M

15、A（表等，如果在现网上出现通过防火墙的所有的业务中断，或者是不定期的所有业务中断，就有可能是双机热备份引起的，这个时候我们可以查看上下行设备的ARP表项，MA表项，以及防火墙自身的ARP表项和MA表项，如果发现这些出错， 就会导致所有业务，如果防火墙是 透明模式，就有可能是防火墙上的MAC发表备份错误，这个可以通过配置不允许备机转发并删掉MA表来解决故障，并后续升级最新的版本，消除故障。如果是路由模式，需要看日 志中是否由在发生故障的时候出现了主防火墙或者是备防火墙的VGM发生了倒换，并且通常是备防火墙VGM发生了主备倒换，如果发现备防火墙发生了 VGM主备倒换，就会引起上下行 设备的ARP表

16、错误，这个时候可以通过在上下行设备配置静态ARP来解决问题，并把此问题反馈到研发定位分析。11:问：防火墙什么情况下会发生主备倒换？答：防火墙VGM主备倒换会有三种情况， 第一种是因为优先级调整， VGM配置了抢占，发生 主备倒换，第二种是接口 DOW而进行的主备倒换， 第三种是设备故障发生的主备倒换， 下面 分别就这三种情况加以说明。第一：优先级调整并且配置了抢占的主备倒换。对于主备防火墙来说，他们两端的优先级是不一样的，假设A防火墙的VGM的优先级是105, B防火墙的VGM的优先级是100,此时A防火墙为主，B防火墙为备，手动调整A防火墙的 优先级为95,如果B防火墙配置了立即抢占，贝U

17、 B防火墙会在三个VGMHHello报文（默认情况 下每个Hello的时间为1秒）之后抢占为主，此时 B防火墙为主，A防火墙为备，如果B防火墙 配置延时抢占，则在延时时间到的时候会进行抢占，如果B防火墙配置不抢占，则即使是 B防火墙的优先级比 A防火墙高，也不会抢占为主。第二：接口 DOW导致的主备倒换。HUAWEI防火墙双机热备特性FAQ内部公开在防火墙接口发生故障的时候，防火墙会主动想对端发送报文请求抢占。例如，A防火墙的优先级为105，B防火墙的优先级为100，如果防火墙A的一个接口发生故障，此接口故障后会导致A防火墙优先级调整，此时 A防火墙会主动向B防火墙发送一个VGM报文请求进行主备 倒换，此时B收到这个报文后会判断报文中携带的优先级是否比自己的优先级低，如果低， 就回应一个报文允许 A放后墙切换为备状态，此时 B抢占为主；如果高，此时 B回应一个报文 不允许A自动切换为备状态，A仍然是主状态，B为备状态。能导致这种情况发生的主要有三种情况：1, down接口上绑定了 VRR并加入到VGM组中,并且此VRR成员不为transfer-only 成员，2： down的接口被VRRPtrack了，此VRR加入到了 VGM组中，并且是使用 VRRP勺优先