未完成hc双机热备技术

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031041USG6000V1R1V1.0开发/优化者时间审核人开发类型（新开发/优化）徐慧洋2014-08-15王锐开发本页不打印HC13031041双机热备技术目标学完本课程后，您将能够:VRRP/VGMP/HRP基本知识；双机热备组网方案；双机热备定位手段；目录双机热备概述双机热备基本原理双机热备组网举例双机热备故障解决双机热备概述在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受因单点故障而导致的网络中断的风险。防火墙一般用作内网到外网的出口，是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断，

2、要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网。双机热备概述在双机热备组网中，当一台防火墙出现故障时，业务流量能平滑地切换到备份防火墙上，保证流量不中断，使内外网用户交互时完全感知不到曾经出现过网络故障。双机热备概述双机热备组网的建立和运行需要解决以下五个关键问题：设备的主备状态是如何决定的？ 如何监控并发现接口或设备故障？ 发现故障后，如何保证设备的主备状态切换？ 正常情况和故障后，流量是如何引导的？ 如何进行信息同步，保证主备切换后业务不中断？以上问题都是由双机热备特性涉及的三大协议VRPP、VGMP、HRP共同配合解决的。目录双机热备概述双机热备基本原理双机热备协议架构V

3、RRPVGMPHRP主备备份和负载分担双机热备组网举例双机热备故障解决双机热备协议架构EthernetVRRP/VRRP6VGMPHRPAPP ModuleEthernetVRRP/VRRP6VGMPEthernetVRRP/VRRP6EthernetVRRP/VRRP6HRPModule 1Module 2Module 基本传输链路负责监控单个链路的状态用于主备设备状态管理，接口链路状态监控（包括VRRP备份组进行管理）用于双机之间关键配置命令和连接状态信息的备份各应用基于HRP协议完成数据备份，实现主备设备平滑切换三大协议协同工作实现防火墙双机热备功能VRRP负责单个接口的故障检测和流量引

4、导。每个VRRP备份组拥有一个虚拟IP地址，作为网络的网关地址；在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量。VGMP将系统中所有的VRRP备份组集中管理，控制状态统一切换，保证出现故障时上下行流量能同步切换到备用防火墙。HRP负责双机之间的数据同步。双机热备协议架构目录双机热备概述双机热备基本原理双机热备协议架构VRRPVGMPHRP双机热备 组网举例双机热备故障解决在防火墙双机热备组网中必须首先解决两个问题：防火墙必须能够检测到链路或设备故障防火墙检测到故障后能够实现流量平滑倒换为此我们引入了VRRP（Virtual Router Redundancy Pr

5、otocol ）。VRRP是一种基本的容错协议，它将同一个广播域的一组路由器组织成一个虚拟路由器，称之为一个备份组（VRRP group）。例如将两台防火墙上相互备份的接口组成一个VRRP备份组。备份组中的接口，共享一个虚拟IP地址。一个VRRP备份组的两个接口之间通过比较VRRP报文的优先级来确定主备状态，只有处于主用状态的接口才真正拥有虚拟IP地址，能够接收下一跳是虚IP的业务报文并进行转发。VRRP产生背景VRRP报文VRRP报文用来将主用设备的优先级和状态通告给备用设备。VRRP报文承载在IP报文之上，为组播报文（组播地址为224.0.0.18），协议号为112。VRRPv2：VRRP

6、v3：Version：VRRP协议版本号。目前VRRP协议包括VRRPv2和VRRPv3两个版本。VRRPv2仅适用于IPv4网络，VRRPv3适用于IPv4和IPv6两种网络。Type：VRRP报文的类型，RFC3768中只定义了一种类型为ADVERTISEMENT，字段值为1。Priority： 主用设备在备份组中的优先级。Priority是决定双机中哪台设备为主用设备的关键。VRRP状态机加入VRRP备份组的接口有三种状态，只有处于主用状态的设备才可响应ARP请求，转发业务报文。并且发送VRRP报文，主动联系备用设备。配置完VRRP后，如果接口处于Up状态，则从Initialize状态进

7、入Standby状态。 处于Standby状态的接口，如果超时未收到对端的VRRP通告报文，或者对端的优先级低于本端，则进入Active状态。 处于Active状态的接口，如果收到对端的VRRP通告报文，且其优先级高于本端，则进入Standby状态。 处于Standby状态的接口，如果链路故障、接口故障或者接口被shutdown，则进入Initialize状态。 处于Active状态的接口，如果链路故障、接口故障或者接口被shutdown，则进入Initialize状态。链路正常时：虚拟IP地址在状态为Active的设备接口上生效。PC请求网关地址的ARP时，只有状态为Active的设备会应答

8、ARP。业务流量被引导到状态为Active的设备接口上进行转发。VRRP状态切换ARP应答VRRP状态切换当Active设备出现接口、链路或整机故障时：Active设备接口上的VRRP备份组状态进入Initialize。Standby设备接口上的VRRP备份组状态将切换到Active ，发送免费ARP。交换机上的MAC表刷新，出接口指向备用设备。PC发出的业务流量被引导到备用设备接口上进行转发。免费ARPVRRP的不足当防火墙上下行业务端口上都配置了VRRP备份组时，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况。例如，主用网关防火墙上内网侧的接口故障，VR

9、RP倒换到备用网关防火墙，因此出去的流量从备用网关防火墙上转发。但是对于外网侧的VRRP，主用网关防火墙上VRRP仍然是主，因此回程的流量仍然会送到主用网关防火墙上，但业务流量无法送回内网，导致业务中断。目录双机热备概述双机热备基本原理双机热备协议架构VRRPVGMPHRP主备备份和负载分担双机热备 组网举例双机热备故障解决目录VGMP基本原理状态切换状态监控流量引导 配置IPv4的VRRP备份组vrrp vrid virtual-router-id virtual-ip virtual-address ip-mask | ip-mask-length active | standby 配置I

10、Pv6的VRRP备份组vrrp6 vrid virtual-router-id virtual-ip FE80:X:X link-local active | standby vrrp6 vrid virtual-router-id virtual-ip virtual-ipv6-addressVGMP产生为了解决前面提到的单独配置VRRP可能遇到的状态不一致问题，华为公司在VRRP的基础上开发了VRRP组管理协议（VRRP Group Management Protocol），即VGMP。VGMP的基本功能是集中管理和监控VRRP备份组，控制VRRP备份组的统一切换。将一组VRRP备份组组成

11、一个VGMP管理组。 由VGMP管理组控制所有VRRP备份组同步倒换，保证所有VRRP备份组状态一致。VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。VGMP报文USG6600 VGMP报文支持2种封装格式。 VRRP封装：此时VGMP报文也是组播报文。这是最初的VGMP报文封装格式。华为对VRRP报文进行了扩展和修改，以便承载VGMP报文。VRRP报文头中的Type=2时，表示VRRP报文承载了VGMP报文；Priority字段被修改为Type2用于区分VGMP报文类型。vType：VGMP报文的类型。华为定义了四种VGMP报文（常用）。 Hello报文，

12、用于心跳检测。心跳链路探测报文：用于发送端检测是否收到了对端的报文，以确定是否有心跳口可用，并决定哪个心跳接口可以收发报文。VGMP报文：用来进行VGMP管理组消息交互。这也是双机热备状态协商、状态维护，事件触发等的关键消息。HRP报文：用于主用设备数据备份，包括命令行下发备份，主用设备各种状态信息的备份。当vType为HRP报文时，还需要在VGMP报文之上承载HRP报文头。Type2VGMP报文由于VRRP封装的VGMP报文是组播报文，不能跨越三层传输设备，因此在双机热备组网时，要求两台设备的心跳线要么是直连的，要么是通过二层交换机来进行互连，不能通过三层设备互联。当防火墙上下行设备是路由器

13、时，要求两台防火墙之间必须有直连的接口作备份通道。为此，USG6600开发了另一种VGMP报文封装格式。UDP封装：此时VGMP报文是单播报文。在原有的IP报文头之上增加了UDP头和VGMP扩展头，VGMP报文内部的格式没有变化。IP HeaderUDP HeaderVGMP(HRP) extended HeaderIP HeaderVRRP HeaderVGMP HeaderdataVertionTypeData LengthMagic CodeChecksumType指示VGMP报文类型Magic Code用于校验目录VGMP基本原理状态切换故障检测流量引导 VGMP状态机1. 使能HRP

14、功能。2. 关闭HRP功能。3. 对端心跳报文超时；接收到的报文中对端优先级比本端低（对端故障）。4. 本端故障导致优先级比对端低；接收到的报文中对端优先级比本端高，并且对端处于Active状态（被抢占）。5. 抢占定时器超时；接收到的报文中对端优先级相等，并且对端不是Active状态（之前两端同时为Standby状态）。6. 本端故障导致优先级比对端低；接收到的报文中对端优先级比本端高，并且对端处于Active状态（被抢占）。VGMP管理组的主备状态决定了双机热备组网中防火墙设备的主备状态，因此VGMP管理组的状态也可以看做是防火墙设备的状态。7. 对端心跳报文超时；接收到的报文中，对端优先

15、级比本端低（对端故障）。8. 接收到的报文中，对端优先级和本端相等，并且对端不是处于Standby状态（被抢占，或者之前两端同时为Active状态）。两台防火墙之间的VGMP状态主备倒换的具体交互过程及动作分以下三种情况：因接口或链路故障引起的切换这一类故障发生时，主设备通过VGMP报文将状态信息和本端优先级立即发送到备设备，备设备比较报文中的优先级和本机优先级，如果满足切换条件将立即切换，瞬间完成业务流量的倒换。因整机或心跳链路故障引起的切换这种故障发生时，由于主设备无法发送状态通知消息到备机，因此只能依靠备机检测到心跳报文（VGMP Hello报文）超时才能发现故障，因此切换时间为三个心跳

16、报文周期。抢占流程故障恢复后的切换流程，由于备设备处于正常转发状态，等主机故障恢复后再切换回去，因此基本上不会影响业务。VGMP状态切换状态切换VGMP状态切换三大原则每个接口Down时，VGMP管理组优先级降低2，计算公式为：VGMP管理组优先级=VGMP管理组初始优先级-N*2每台设备的VGMP管理组初始状态由用户指定（ Active或Standby）， Active的优先级为65001， Standby的优先级为65000。VGMP管理组的状态决定了该设备的主备状态，也决定了VGMP管理组成员（VRRP备份组或接口）的状态。状态切换接口或链路故障引起的状态切换：主设备侧：(1)VGMP管

17、理组监测到链路或单板故障（VRRP备份组进入Initialize状态） (2) 调整优先级 (3)向对端发送状态从主切换到备的请求报文（报文中携带调整后的优先级数值）备设备侧：(4) VGMP管理组收到请求切换的报文，比较本身的优先级和报文中携带的优先级数值 (5) 本端优先级高，将自己切换到主状态 (6) 控制VGMP管理组中所有成员都切换到主用状态，引导业务来回流量从本机转发 (7) 回一个确认报文主设备侧：(8) VGMP管理组收到确认报文，切换到备状态 (9)将VGMP管理组中所有成员都切换到备份状态，不引导和转发流量。状态切换整机或心跳链路故障引起的状态切换整机故障（主设备侧）： 心

18、跳链路故障：(1)整机故障 (2)心跳报文中断 (1)心跳链路故障 (2)心跳报文中断备设备侧：(3) 连续三次收不到主设备发送的心跳报文 (4) 切换到主状态 (5) 控制VGMP管理组中所有成员都切换到主用状态，引导业务来回流量从本机转发。状态切换故障恢复回切（抢占）缺省情况下，VGMP管理组的抢占功能为开启状态，抢占延迟时间为60s。hrp preempt主设备侧：(1)故障恢复，调整优先级 (2) 比较收到的心跳报文中的优先级和本端的优先级 (3)本端优先级高，进入到抢占状态并启动抢占延时 (4)延时结束，向对端发送状态从备切换到主的请求报文备设备侧：(5) 收到请求报文，比较本身的优

19、先级和报文中携带的优先级数值 (6)报文中的优先级比本端优先级高，切换到备状态 (7) 将VGMP管理组中所有成员都切换到备份状态，不引导和转发流量 (8)发送确认报文主设备侧：(9) 收到应答报文，切换到主状态 (10) 控制VGMP管理组中所有成员都切换到主用状态，引导业务来回流量从本机转发。疑问澄清加入到VGMP管理组中的VRRP备份组中接口的优先级还起作用么？原始的VRRP协议中VRRP备份组的接口优先级是手工指定的，在防火墙双机热备中该功能已经失效（保持缺省值100不变），改由VGMP管理组的优先级取代了VRRP备份组中接口优先级。加入到VGMP管理组中的VRRP备份组的接口主备状态

20、是由什么决定的？原始的VRRP协议中VRRP备份组的接口的主备状态是由接口优先级决定的，但VGMP管理组下VRRP备份组的接口主备状态实际上是由VGMP管理组状态决定的，所以VRRP备份组的状态机中主备状态已经没有实际意义了。VGMP管理组只能通过VRRP备份组监控接口状态么？No， VGMP提供了多种故障监测手段来应对复杂的组网情况，不只是通过VRRP备份组监控接口状态。目录VGMP基本原理状态切换故障检测流量引导 故障检测故障检测是双机热备的基础。为了实现完美的双机热备效果，必须能尽可能快地检测到各种故障，才能触发后续的业务倒换。前面提到的检测VRRP备份组所在接口故障，只是VGMP众多故

21、障检测手段中的一种。目前双机热备中检测故障的方式有以下几种：检测VRRP备份组状态：用于防火墙业务接口为三层接口，业务接口连接二层交换机场景。直接检测单个物理接口状态：由于三层设备无法处理VRRP组播报文，所以当防火墙业务接口为三层接口，业务接口连接三层设备（路由器）时使用此方式。检测透明模式下VLAN接口状态：由于防火墙业务接口为二层接口，无法配置VRRP，所以采用此方式。检测IP-LINK逻辑链路的状态：用于检测非直连链路的可达性。检测BFD逻辑链路的状态：用于检测非直连链路的可达性。检测VRRP备份组状态当防火墙用三层接口连接二层设备时，可以在接口下配置VRRP，将VRRP备份组加入到V

22、GMP管理组中。物理端口故障时，接口下的VRRP备份组状态：Active或Standby Initialize物理端口故障恢复时，接口下的VRRP备份组状态：Initialize Active或StandbyVRRP备份组状态切换时，将触发VGMP管理组重新计算优先级，触发双机VGMP管理组之间的主备切换，进而影响管理组中所有成员同步切换，业务流量也随之进行倒换。接口视图下：配置IPv4的VRRP备份组。vrrp vrid virtual-router-id virtual-ip virtual-address ip-mask | ip-mask-length active | standby

23、 配置IPv6的VRRP备份组。配置Link-Local地址。vrrp6 vrid virtual-router-id virtual-ip FE80:X:X link-local active | standby 配置虚拟IPv6地址。vrrp6 vrid virtual-router-id virtual-ip virtual-ipv6-address故障检测直接检测接口状态当防火墙接口连接三层设备时，可以配置由VGMP管理组直接监控链路状态。当接口状态变化时，将直接触发相关的VGMP管理组调整优先级并进行主备倒换。接口视图下： hrp track active | standby 检测透

24、明模式下VLAN接口状态当防火墙接口为二层接口时（透明模式），可以由VGMP管理组直接监控整个VLAN。当VLAN中有任何一个接口状态变化时，都会触发相关的VGMP管理组调整优先级，并进行主备倒换。VLAN视图下： hrp track active | standby 故障检测检测IP-LINK逻辑链路状态VGMP可以利用IP-LINK用来探测和防火墙直连或者非直连链路的三层可达性。IP-LINK可以用来检测以下几种故障接口板挂死，接口UP，但接口板无法收发报文；接口不支持自协商的光纤链路，单根光纤故障；非直连链路（中间接有交换机或传输设备），远端设备故障。在这几种情况下，有可能本端接口状态为

25、UP，但链路无法转发报文。可以通过VGMP管理组来监控IP-LINK链路检测结果来检测这种故障。系统视图下：hrp track ip-link link-id active | standby 故障检测检测BFD链路的状态VGMP可以利用BFD用来探测和防火墙直连或者非直连链路的三层可达性。 BFD可以用来检测以下几种故障接口板挂死，接口UP，但接口板无法收发报文；接口不支持自协商的光纤链路，单根光纤故障；非直连链路（中间接有交换机或传输设备），远端设备故障。在这几种情况下，有可能本端接口状态为UP，但链路无法转发报文。可以通过VGMP管理组检测BFD链路来发现这种故障。系统视图下：hrp t

26、rack bfd-session local-discr-value active | standby 故障检测目录VGMP基本原理状态切换故障检测流量引导 流量引导当VGMP管理组检测到成员状态变化，从而进行主备倒换之后，需要能及时有效地对业务流量进行引导。VGMP管理组的流量引导功能负责在倒换时进行业务流量的引导。目前VGMP管理组支持的业务流量引导手段有如下几种：虚拟IP地址方式：用于防火墙三层业务接口连接二层交换机组网。路由COST调整方式：用于防火墙三层业务接口连接路由器，主备备份组网。动态路由收敛方式：用于防火墙三层业务接口连接路由器，路由器组网，负载分担组网。VLAN启用和禁用方

27、式：用于防火墙业务接口工作在透明模式的组网中。流量引导虚拟IP地址方式与防火墙对接的设备上配置到目的网段的报文，下一跳为VRRP备份组的虚IP。VRRP状态变化时，新的主设备将发送免费ARP，刷行上下行设备的MAC转发表，将下一跳为虚IP的业务报文引导到新的主设备业务接口上。当对接设备请求虚IP的ARP时，只有主设备才会进行ARP应答。免费ARP，ARP应答主备切换免费ARP，ARP应答路由COST调整方式主备防火墙与对接的设备上运行OSPF动态路由协议；主设备业务链路上配置的路由COST较小，业务流量送到主设备进行转发；主设备业务板故障或者其它不运行OSPF的业务端口故障，OSPF无法感知，

28、不能自动收敛；VGMP管理组能感知到这种故障，进行主备倒换；状态为Standby的VGMP管理组，控制运行OSPF的业务链路自动升高路由COST，触发对接设备路由收敛到备用设备。！COST 65500COST 65500流量引导在系统视图下启用根据VGMP管理组状态调整OSPF的COST值功能。 IPv4网络:hrp ospf-cost adjust-enable standby-cost IPv6网络: hrp ospfv3-cost adjust-enable standby-cost 动态路由收敛方式主备防火墙与对接的设备上运行动态路由协议；一般情况下，主设备相关业务链路上配置的路由CO

29、ST较小，业务流量送到主设备进行转发；主设备业务端口故障时，动态路由自动收敛，业务流量送到备用设备继续进行转发；使用动态路由的引流方式，故障发生时，不需要VGMP管理组控制流量倒换。流量引导VLAN启用和禁用方式当防火墙工作在二层转发时，无法通过路由的变化来引导上下行设备的流量。通过采用接口down/up的方式来刷新上下行设备的MAC转发表或促使路由收敛，然后通过使能/禁用VLAN转发功能的方式来保证流量不会发送到出故障的防火墙。二层转发模式下，VLAN和VGMP管理组绑定；管理组状态为Active：VLAN能转发报文；管理组状态为Standby：VLAN被禁用，不能转发报文。管理组切换到St

30、andby时，VLAN内所有接口都会downup一次，触发上下行设备刷新MAC转发表或者路由收敛；接口重新up后，由于VLAN被禁用，接口仍然无法转发相关VLAN的报文；VLAN内任何一个接口故障 触发VGMP管理组调整优先级 主备倒换 主设备VLAN被禁用 备设备VLAN被使能，转发业务。流量引导目录双机热备概述双机热备基本原理双机热备协议架构VRRPVGMPHRP主备备份和负载分担双机热备 组网举例双机热备故障解决状态检测防火墙对于每一个会话连接都有一个会话表项与之对应，主用设备处理业务过程中创建了很多动态会话表项；而备用设备没有流量经过，因此没有创建会话表。如果备用设备切换为主用设备前，

31、会话表项没有备份到备用设备，则会导致先前经过主用设备的业务流量因为无法匹配会话表而中断。为了实现主用备用设备平滑切换，必须在主用和备用设备之间备份关键配置命令和会话表状态信息，为此防火墙引入了HRP（ Huawei Redundancy Protocol）协议，实现防火墙双机之间动态状态数据和关键配置命令的实时备份。在双机热备组网中，指定心跳线作为专门的备份通道，用于备份配置命令和状态信息。 HRP的产生HRP报文HRP报文实际上是一种VGMP报文，承载在VGMP报文的DATA区域。当然也存在两种封装方式。管理面HRP报文两种封装：VRRP封装UDP封装管理面HRP报文中会携带以下信息：指定自

32、动备份还是批量备份、指定是发送还是应答、备份的数据类型。转发面HRP同步报文（实时备份报文）也有两种封装：VRRP封装UDP封装通过HRP备份的数据包括主用设备的关键配置命令和状态信息。HRP数据备份范围能够备份配置命令：只能在主用设备上配置，备用设备不能配置。特性大类特性策略安全策略 、NAT策略 、带宽管理 、认证策略 、攻击防范 、黑名单 、ASPF对象地址 、服务 、应用 、用户 、认证服务器 、时间段 、URL分类 、关键字组 、邮件地址组 、签名 、安全配置文件（反病毒 、入侵防御 、URL过滤 、文件过滤 、内容过滤 、应用行为控制 、邮件过滤）网络新建逻辑接口 、安全区域 、D

33、NS 、IPSec 、SSL VPN 、TSM联动系统管理员 、日志配置不能备份的配置名命令：主用设备和备用设备都可以配置。大类命令维护命令一般情况下，display、reset、debugging命令都不支持备份。系统data-flow loghost host-id ip-address ip-address port port-number vpn-instance vpn-instance-name data-flow loghost source ip-address ip-address source-port port-number 可以备份的主用设备状态：NGFW生成的会话表S

34、everMap表IP监控表分片缓存表HRP数据备份范围HRP配置：1. 在系统视图下指定心跳接口。 hrp interface interface-type interface-number remote ip-address 配置心跳接口时如果不配置remote参数，心跳报文被封装成VRRP报文，此时不配置安全策略设备也能正常处理。 配置心跳接口时如果配置remote参数，心跳报文被封装成UDP报文，此时需要正确配置心跳接口所在安全区域和Local之间的域间安全策略，设备才能正常接收和发送心跳报文。2. 启用双机热备功能。 hrp enableGTP表黑名单PAT方式端口映射表NO-PAT方

35、式地址映射表HRP数据备份方式备份方式备份命令备份状态信息配置命令自动备份（缺省开启）在主用设备上每执行一条可以备份的命令时，此配置命令就会被同步执行到备用设备。当主用设备上产生了需要备份的状态信息时，主用设备自动将状态信息同步到备用设备进行备份，备用设备更新状态。hrp auto-sync config | connection-status 批量备份（手工触发）主用设备将备份范围内的配置命令批量发送到备用设备，备用设备同步执行这些配置命令。主用设备将备份范围内的状态信息批量发送到备用设备，备用设备更新状态。hrp sync config | connection-status 快速备份（配

36、置后状态变化自动触发）不备份将主用设备相应的状态信息表项快速备份到备用设备，使返回报文在备用设备上能够查找到相应的状态信息表项，从而保证内外部用户的业务不中断。用于负载分担导致的回路径不一致的场景。hrp mirror session enable备份通道状态当设备两边均对应配置心跳口后，防火墙会判断心跳接口的物理与协议状态。心跳链路一共存在五种状态：running：正常运行。 ready：正常运行。此接口为备用备份通道，当前未使用。 peerdown：本端正常，但是收不到对端的心跳报文。 invalid：未指定心跳口的IP地址，心跳口工作在二层。 down：心跳接口的物理状态与协议状态均为D

37、own。备份通道选择防火墙通过VGMP链路探测报文检测备份通道的质量，只要本端发送的探测报文对应可以收到并回应，那么就认为本端该心跳接口可通，与对端配置顺序无关。当本端心跳接口发生故障时，那么本端将立刻切换到第一个处于ready状态的心跳接口。此动作与对端无关。目录双机热备概述双机热备基本原理双机热备协议架构VRRPVGMPHRP主备备份和负载分担双机热备 组网举例双机热备故障解决主备备份和负载分担主备备份指正常情况下仅由主用设备处理业务，备用设备空闲；当主用设备接口、链路或整机故障时，备用设备切换为主用设备，接替主用设备处理业务。所谓负载分担，也可以称为“互为主备”，即两台设备同时处理业务。

38、当其中一台设备发生故障时，另外一台设备会立即承担其业务，保证原来需要通过这台设备转发的业务不中断。防火墙缺省提供了两个VGMP管理组：Active组和Standby组。主备备份时只有一个VGMP管理组在工作，负载分担时两个VGMP管理组同时工作，工作原理完全相同。主备备份和负载分担场景主备备份负载分担业务接口工作在三层，上下行连接交换机业务接口工作在三层，上下行连接路由器 业务接口工作在三层，上行连接路由器，下行连接交换机业务接口工作在二层，上下行连接交换机业务接口工作在二层，上下行连接路由器与NAT结合使用（上下行业务接口必须为三层接口）与IPSec结合使用（建立隧道的业务接口必须为三层接口

39、）主备备份和负载分担场景配置主备备份在系统视图下配置： hrp standby-device缺省情况下，NGFW的运行角色为主用。配置此命令可以将NGFW的运行角色切换为备用。双机热备的主备备份场景下，需要在备用NGFW上配置此命令。负载分担系统视图下 配置：hrp loadbalance-device缺省情况下，NGFW的双机热备运行模式为主备备份模式，配置此命令可以将双机热备运行模式切换为负载分担模式。双机热备的负载分担场景下，需要分别在两台NGFW上配置此命令。目录双机热备概述双机热备基本原理双机热备配置3.1 配置流程3.2 配置注意事项3.3 配置举例双机热备故障解决配置流程三大配置

40、原则：在双机热备组网中，在配置其它业务之前必须在主备设备上先完成双机热备的所有配置，并保证双机状态正常。在主备备份组网中，关键业务在主设备上完成配置即可，备用设备可以同步主设备的配置命令，建议割接前对比主备设备配置文件，保证双机配置一致。在负载分担组网中，两个设备处于互为主备的状态，所以业务特性要在两个设备上分别配置。配置注意事项硬件限制目前只支持两台设备进行双机热备。 主备设备的产品型号和版本必须相同。 主备设备接口卡的位置、类型和数目都必须相同，否则会出现主用设备备份过去的信息，与备用设备的物理配置无法兼容，导致主备切换后出现问题。软件限制主备设备的软件版本必须一致。主备设备的Bootro

41、m版本必须一致。 建议主备设备的配置文件均为初始文件。否则两台设备的配置可能冲突。 主备设备的对应接口必须加入到相同的安全区域。主备设备的心跳口（HRP备份通道）配置必须一致。心跳口的MTU值必须是1500。主备设备业务接口的IP地址必须固定，因此双机热备不能与PPPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。 双机热备成功建立后，如果希望使用Web界面更改“运行模式”（从“主备备份”切换成“负载分担”，或者从“负载分担”切换成“主备备份”），则必须先清空所有双机热备的配置。 目录3.3 配置举例3.3.1业务接口工作在三层，上下行连接交换机的主备备份组网3.3.2 业务

42、接口工作在三层，上下行连接路由器的主备备份组网3.3.3 业务接口工作在三层，上行连接路由器，下行连接交换机的负载分担组网3.3.4 业务接口工作在二层，上下行连接路由器的负载分担组网3.3.5 双机热备与NAT结合使用3.3.6 双机热备与IPSec结合使用业务接口工作在三层，上下行连接交换机的主备备份组网配置思路：故障检测通过VRRP检测上下行接口流量引导通过VRRP虚地址实现流量引导数据同步通过直连心跳接口实现主备数据同步Web配置1. 配置主备备份：主用设备运行角色为“主用”，备用设备运行角色为“备用” 。2. 在内网的设备上配置缺省路由：下一跳为VRRP备份组2的虚拟IP地址10.3

43、.0.3。 此场景下防火墙要配置VRRP虚拟IP地址CLI配置NGFW_A配置脚本：# hrp enable hrp interface GigabitEthernet 1/0/7#interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active#interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 2 virtual-ip 10

44、.3.0.3 active#interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0#firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3#firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/7# ip

45、route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.2# nat address-group 1 section 0 1.1.1.1 1.1.1.1# security-policy rule name policy_sec source-zone trust destination-zone untrust action permit # nat-policy rule name policy_nat source-zone trust destination-zone untrust action nat address-grou

46、p 1CLI配置NGFW_B配置脚本：# hrp enable hrp standby-device hrp interface GigabitEthernet 1/0/7#interface GigabitEthernet 1/0/1 ip address 10.2.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby#interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 2 virtual-ip 10.3.

47、0.3 standby#interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0# firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3# firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1# firewall zone dmz set priority 50 add interface GigabitEthernet1/0/7# ip

48、route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.2# nat address-group 1 section 0 1.1.1.1 1.1.1.1# security-policy rule name policy_sec source-zone trust destination-zone untrust action permit # nat-policy rule name policy_nat source-zone trust destination-zone untrust action nat address-grou

49、p 1业务接口工作在三层，上下行连接路由器的主备备份组网配置思路：故障检测通过HRP Track实现接口监控流量引导主备设备通过动态调整OSPF对外发布的cost值实现流量引导。主用设备NGFW_A正常对外发布路由，备用设备NGFW_B发布的路由Cost值增加65500（缺省值，可调整）。数据同步通过直连心跳接口实现主备数据同步Web配置此场景下防火墙要配置监控接口（HRP Track）2. 启用OSPF，保证路由可达。1. 配置主备备份：主用设备运行角色为“主用”，备用设备运行角色为“备用” 。FW A的配置：# hrp enable hrp ospf-cost adjust-enable

50、hrp interface GigabitEthernet 1/0/7#interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 hrp track active#interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 hrp track active#interface GigabitEthernet 1/0/7 ip address 10.10.0.1 255.255.255.0#firewall zone trust set priorit

51、y 85 add interface GigabitEthernet1/0/3#firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/7#ospf 10 area 0.0.0.0 network 10.2.0.0 0.0.0.255 network 10.3.0.0 0.0.0.255#security-policy rule name policy_sec sourc

52、e-zone local source-zone trust source-zone untrust destination-zone local destination-zone trust destination-zone untrust action permitCLI配置FW B的配置：# hrp enable hrp standby-device hrp ospf-cost adjust-enable hrp interface GigabitEthernet 1/0/7#interface GigabitEthernet 1/0/1 ip address 10.2.1.1 255.

53、255.255.0 hrp track standby#interface GigabitEthernet 1/0/3 ip address 10.3.1.1 255.255.255.0 hrp track standby#interface GigabitEthernet 1/0/7 ip address 10.10.0.2 255.255.255.0#firewall zone trust set priority 85 add interface GigabitEthernet1/0/3#firewall zone untrust set priority 5 add interface

54、 GigabitEthernet 1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/7#ospf 10 area 0.0.0.0 network 10.2.1.0 0.0.0.255 network 10.3.1.0 0.0.0.255#security-policy rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zone local destination-zone

55、 trust destination-zone untrustCLI配置业务接口工作在三层，上行连接路由器，下行连接交换机的负载分担组网配置思路：故障监测上行连接路由器，通过HRP Track实现接口监控。下行连接二层交换机，通过VRRP实现接口监控。流量引导上行方向，需要在两个路由器连接防火墙的链路上配置相同的Cost值，保证流量通过NGFW_A与NGFW_B共同转发。下行方向，NGFW_A的接口GE1/0/3转发下一跳为VRRP备份组1的虚拟IP地址的报文，NGFW_B的接口GE1/0/3转发下一跳为VRRP备份组2的虚拟IP地址的报文。一部分PC的流量通过NGFW_A转发，另一部分PC的

56、流量通过NGFW_B转发，形成负载分担。数据同步通过直连心跳接口实现双机数据同步Web配置此场景下防火墙要配置监控接口（HRP Track）此场景下防火墙要配置VRRP虚拟IP地址1.使能OSPF：上行和下行接口所在网段都要使能。2.配置双机热备：运行模式为负载分担。选择“网络 路由 OSPF”。选择“基本配置 网络配置”。CLI配置FW A的配置：# hrp mirror session enable hrp enable hrp loadbalance-device hrp ospf-cost adjust-enable hrp interface GigabitEthernet 1/0/

57、7#interface GigabitEthernet 1/0/1 ip address 10.2.0.1 255.255.255.0 hrp track active hrp track standby#interface GigabitEthernet 1/0/3 ip address 10.3.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 10.3.0.3 active vrrp vrid 2 virtual-ip 10.3.0.4 standby#interface GigabitEthernet 1/0/7 ip address 10.10.0.1

58、 255.255.255.0#firewall zone trust set priority 85 add interface GigabitEthernet 1/0/3#firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/1#firewall zone dmz set priority 50 add interface GigabitEthernet 1/0/7#ospf 10 area 0.0.0.0 network 10.2.0.0 0.0.0.255 network 10.3.0.0 0.0.0

59、.255# security-policy rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zone local destination-zone trust destination-zone untrust action permit# hrp mirror session enable hrp enable hrp loadbalance-device hrp ospf-cost adjust-enable hrp interface GigabitEthern

60、et 1/0/7#interface GigabitEthernet 1/0/1 ip address 10.2.1.1 255.255.255.0 hrp track active hrp track standby#interface GigabitEthernet 1/0/3 ip address 10.3.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.3.0.3 standby vrrp vrid 2 virtual-ip 10.3.0.4 active#interface GigabitEthernet 1/0/7 ip address 10