配置 负载分担双机热备

双机热备简介

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

双机热备的系统要求

介绍双机热备功能对设备硬件、软件以及License的要求。

硬件要求

组成双机热备的两台FW的型号必须相同，安装的单板类型、数量以及单板安装的位置必须相同。

两台FW的硬盘配置可以不同。例如，一台FW安装硬盘，另一台FW不安装硬盘，不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW，而且部分日志和报表功能不可用。

软件要求

组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。

实际上，在系统软件版本升级或回退的过程中，两台FW可以暂时运行不同版本的系统软件。例如，一台设备的软件版本为V500R001C50，另一台设备的软件版本为V500R001C30SPC300。

License要求

双机热备功能自身不需要License。但对于其他需要License的功能，如IPS、反病毒等功能，组成双机热备的两台FW需要分别申请和加载License，两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

心跳线

双机热备组网中，心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。

心跳线主要传递如下消息：

• 心跳报文（Hello报文）：两台FW通过定期（默认周期为1秒）互相发送心跳报文检测对端设备是否存活。
• VGMP报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状态是否稳定，是否要进行故障切换。
• 配置和表项备份报文：用于两台FW同步配置命令和状态信息。
• 心跳链路探测报文：用于检测对端设备的心跳口能否正常接收本端设备的报文，确定是否有心跳接口可以使用。
• 配置一致性检查报文：用于检测两台FW的关键配置是否一致，如安全策略、NAT等。

拓扑图

FW1 基本配置
<FW1> system-view

FW1]interface GigabitEthernet 1/0/1	
[FW1-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[FW1-GigabitEthernet1/0/1]q

[FW1]int GigabitEthernet 1/0/6
[FW1-GigabitEthernet1/0/6]ip address 10.10.0.1 24
[FW1-GigabitEthernet1/0/6]q

[FW1]int g 1/0/3
[FW1-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW1-GigabitEthernet1/0/3]q

接口加入不同的区域
[FW1]firewall zone untrust 
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]q
	
[FW1]firewall zone dmz 	
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]q

[FW1]firewall zone trust 
[FW1-zone-trust]add interface GigabitEthernet 1/0/3
[FW1-zone-trust]q

# 在FW上配置一条缺省路由，下一跳为1.1.1.10。
[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10


# 在FW_A上行业务接口GE1/0/1上配置VRRP备份组1，并将其状态设置为Active；配置VRRP备份组2，并将其状态设置为Standby。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1，并将其状态设置为Standby；配置VRRP备份组2，并将其状态设置为Active。
[FW1]interface GigabitEthernet 1/0/1	
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.3 24 active 
[FW1-GigabitEthernet1/0/1]vrrp vrid  2 virtual-ip 1.1.1.4 24 standby 
[FW1-GigabitEthernet1/0/1]q

# 在FW_A下行业务接口GE1/0/3上配置VRRP备份组3，并将其状态设置为Active；配置VRRP备份组4，并将其状态设置为Standby。在FW_B下行业务接口GE1/0/3上配置VRRP备份组3，并将其状态设置为Standby；配置VRRP备份组4，并将其状态设置为Active。
[FW1]interface GigabitEthernet 1/0/3
[FW1-GigabitEthernet1/0/3]vrrp vrid 3 virtual-ip 10.3.0.3 active 	
[FW1-GigabitEthernet1/0/3]vrrp vrid 4 virtual-ip 10.3.0.4 standby 
[FW1-GigabitEthernet1/0/3]q


# 负载分担组网下，两台FW都转发流量，为了防止来回路径不一致，需要在两台FW上都配置会话快速备份功能。
[FW1]hrp mirror session enable 

# 在FW上指定心跳口并启用双机热备功能。
[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
[FW1]hrp enable


在FW_A上配置安全策略。双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上。 
# 配置安全策略，允许内网用户访问Internet。
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name trust-to-untrust (+B)
HRP_M[FW1-policy-security-rule-trust-to-untrust]destination-zone trust  (+B)
HRP_M[FW1-policy-security-rule-trust-to-untrust]destination-zone untrust  (+B)
HRP_M[FW1-policy-security-rule-trust-to-untrust]action permit  (+B)
HRP_M[FW1-policy-security-rule-trust-to-untrust]source-address 10.3.0.0 24 (+B)
HRP_M[FW1-policy-security-rule-trust-to-untrust]q
HRP_M[FW1-policy-security]q


在FW_A上配置NAT策略。双机热备状态成功建立后，FW_A的NAT策略配置会自动备份到FW_B上。 
# 配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.2.5-1.1.2.8）。
地址池
HRP_M[FW1]nat address-group bdqn
HRP_M[FW1-address-group-bdqn]section 0 1.1.2.5 1.1.2.8
HRP_M[FW1-address-group-bdqn]q

NAT策略
HRP_M[FW1]nat-p (+B)
HRP_M[FW1-policy-nat]rule name nat1 (+B)	
HRP_M[FW1-policy-nat-rule-nat1]source-zone trust  (+B)
HRP_M[FW1-policy-nat-rule-nat1]destination-zone untrust  (+B)	
HRP_M[FW1-policy-nat-rule-nat1]source-address 10.3.0.0 16 (+B)	
HRP_M[FW1-policy-nat-rule-nat1]action source-nat address-group bdqn (+B)
HRP_M[FW1-policy-nat-rule-nat1]q
HRP_M[FW1-policy-nat]q

# 对于双机热备的负载分担组网，为了防止两台设备进行NAT转换时端口冲突，需要在FW_A和FW_B上分别配置可用的端口范围。在FW_A上进行如下配置：
HRP_M[FW1]hrp nat resource primary-group  (+B)

FW2基本配置
<USG6000V1>system-view 
[USG6000V1]sysname FW2

[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]ip address 1.1.1.2 24
[FW2-GigabitEthernet1/0/1]q

[FW2]interface GigabitEthernet 1/0/6
[FW2-GigabitEthernet1/0/6]ip address 10.10.0.2 24
[FW2-GigabitEthernet1/0/6]q

[FW2]interface GigabitEthernet 1/0/3	
[FW2-GigabitEthernet1/0/3]ip address 10.3.0.2 24
[FW2-GigabitEthernet1/0/3]q


接口加入不同的区域
[FW2]firewall zone untrust 
[FW2-zone-untrust]add interface GigabitEthernet 1/0/1
[FW2-zone-untrust]q

[FW2]firewall zone dmz 
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6
[FW2-zone-dmz]q

[FW2]firewall zone trust 
[FW2-zone-trust]add interface GigabitEthernet 1/0/3
[FW2-zone-trust]q

# 在FW上配置一条缺省路由，下一跳为1.1.1.10。
[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10


# 在FW_A上行业务接口GE1/0/1上配置VRRP备份组1，并将其状态设置为Active；配置VRRP备份组2，并将其状态设置为Standby。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1，并将其状态设置为Standby；配置VRRP备份组2，并将其状态设置为Active。
[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.3 standby 
[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 1.1.1.4 active 
[FW2-GigabitEthernet1/0/1]q


# 在FW_A下行业务接口GE1/0/3上配置VRRP备份组3，并将其状态设置为Active；配置VRRP备份组4，并将其状态设置为Standby。在FW_B下行业务接口GE1/0/3上配置VRRP备份组3，并将其状态设置为Standby；配置VRRP备份组4，并将其状态设置为Active。
[FW2]interface GigabitEthernet 1/0/3	
[FW2-GigabitEthernet1/0/3]vrrp vrid 3 virtual-ip 10.3.0.3 standby 	
[FW2-GigabitEthernet1/0/3]vrrp vrid 4 virtual-ip 10.3.0.4 active 
[FW2-GigabitEthernet1/0/3]q

# 负载分担组网下，两台FW都转发流量，为了防止来回路径不一致，需要在两台FW上都配置会话快速备份功能。
[FW2]hrp mirror session enable 


# 在FW上指定心跳口并启用双机热备功能。
[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1
[FW2]hrp enable

R1基本配置
<Huawei>system-view 
[r1]sysname R1

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 1.1.1.10 24
[R1-GigabitEthernet0/0/0]q

[R1]interface LoopBack 0	
[R1-LoopBack0]ip address 11.11.11.11 32
[R1-LoopBack0]q


[R1]ip route-static 1.1.2.0 24 1.1.1.3
[R1]ip route-static 1.1.2.0 24 1.1.1.4

PC1 ping 同结果

FW1 抓包结果

PC2ping 通结果

FW2 抓包结果