双机热备简介

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

双机热备的系统要求

介绍双机热备功能对设备硬件、软件以及License的要求。

硬件要求

组成双机热备的两台FW的型号必须相同，安装的单板类型、数量以及单板安装的位置必须相同。

两台FW的硬盘配置可以不同。例如，一台FW安装硬盘，另一台FW不安装硬盘，不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW，而且部分日志和报表功能不可用。

软件要求

组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。

实际上，在系统软件版本升级或回退的过程中，两台FW可以暂时运行不同版本的系统软件。例如，一台设备的软件版本为V500R001C50，另一台设备的软件版本为V500R001C30SPC300。

License要求

双机热备功能自身不需要License。但对于其他需要License的功能，如IPS、反病毒等功能，组成双机热备的两台FW需要分别申请和加载License，两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

心跳线

双机热备组网中，心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。

心跳线主要传递如下消息：

• 心跳报文（Hello报文）：两台FW通过定期（默认周期为1秒）互相发送心跳报文检测对端设备是否存活。
• VGMP报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状态是否稳定，是否要进行故障切换。
• 配置和表项备份报文：用于两台FW同步配置命令和状态信息。
• 心跳链路探测报文：用于检测对端设备的心跳口能否正常接收本端设备的报文，确定是否有心跳接口可以使用。
• 配置一致性检查报文：用于检测两台FW的关键配置是否一致，如安全策略、NAT等。

上述报文均不受FW的安全策略控制。因此，不需要针对这些报文配置安全策略。

心跳线和心跳接口的配置建议

• 心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接。建议将组成双机热备的两台FW安装在同一个机架或者相邻的机架上，心跳接口使用网线或者光纤直连。

• 建议规划专门的接口作为心跳接口，该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文，不要将业务报文引导到该接口上转发。同时，建议将多个以太网接口绑定成Eth-Trunk接口，使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性，又可以增加备份通道的带宽。

• 对于USG9000V系列设备，vLPU上的接口均可作为心跳接口。请安装多个vLPU，并将不同接口板上的以太网接口绑定成Eth-Trunk接口，使用该Eth-Trunk接口作为心跳接口。
• 心跳接口需要发送业务相关的表项备份报文，心跳接口的流量大小与业务流量大小有关。心跳接口的带宽建议不低于峰值业务流量的30%。
• 建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳接口作为备份。

心跳线和心跳接口的配置注意事项

• MGMT接口（GigabitEthernet0/0/0）不能作为心跳接口。
• 配置了vrrp virtual-mac enable命令的接口不能用作心跳接口。
• 两台FW心跳接口的类型、接口编号、链路协议类型必须相同。如果使用Eth-Trunk接口作为心跳接口，Eth-Trunk接口的成员接口也要相同。如果使用VLAN接口（VLANIF）作为心跳接口，实际收发报文的二层物理接口也必须相同。
• 两台FW心跳接口必须加入相同的安全区域。
• 接口MTU值小于1500的接口不能作为心跳接口。

双机热备工作模式

介绍FW支持的双机热备运行模式以及选择使用哪种工作模式。

FW支持主备备份和负载分担模式两种运行模式。

• 主备备份模式：两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时，备用设备接替主用设备处理业务流量，保证业务不中断。

  镜像模式是实现主备备份双机热备的一种特殊技术手段，主要用于DCN场景中。

• 负载分担模式：两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时，另外一台设备会承担其业务，保证原本通过该设备转发的业务不中断。

实验拓扑图

负载平衡

防火墙配置命令：

1.-配置FW1各接口的IP地址
<FW_1>system-view 
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[FW_1-GigabitEthernet1/0/1]quit 
[FW_1]interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW_1-GigabitEthernet1/0/3]quit 
[FW_1]interface GigabitEthernet 1/0/6
[FW_1-GigabitEthernet1/0/6]ip address 10.10.0.1 24
[FW_1-GigabitEthernet1/0/6]quit
 


2.-将FW1各接口加入相应的安全区域。
[FW_1]firewall zone trust
[FW_1-zone-trust]add interface GigabitEthernet 1/0/3
[FW_1-zone-trust]quit 
[FW_1]firewall zone dmz
[FW_1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW_1-zone-dmz]quit 
[FW_1]firewall zone untrust
[FW_1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW_1-zone-untrust]quit


以上FW2的IP简单配置不再赘述



3.-在FW1上配置一条缺省路由，下一跳为1.1.1.10
 [FW_1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FW2也同上配置 。


4.-配置VRRP备份组
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.3 24 active    
[FW_1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 1.1.1.4 24 standby
[FW_1-GigabitEthernet1/0/1]quit
[FW_1] interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]vrrp vrid 3 virtual-ip 10.3.0.3 active
[FW_1-GigabitEthernet1/0/3]vrrp vrid 4 virtual-ip 10.3.0.4 standby
[FW_1-GigabitEthernet1/0/3]quit

FW2配置相反对应的vrrp。



5.-负载分担组网下，两台FW都转发流量，为了防止来回路径不一致，需要在两台FW上都配置会话快速备份功能。
[FW_1] hrp mirror session enable

-在FW上指定心跳口并启用双机热备功能。
[FW_1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2 
[FW_1]hrp enable


6.在FW_1上配置安全策略。双机热备状态成功建立后，FW_1的安全策略配置会自动备份到FW_2上。
-配置安全策略，允许内网用户访问Internet。
HRP_M[FW_1]security-policy
HRP_M[FW_1-policy-security]rule name trust_to_untrust  
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-zone trust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]destination-zone untrust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]action permit
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-address 10.3.0.0 24
HRP_M[FW_1-policy-security-rule-trust_to_untrust]quit
HRP_M[FW_1-policy-security]quit 



7.在FW_1上配置NAT策略。双机热备状态成功建立后，FW_1的NAT策略配置会自动备份到FW_2上
-配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.2.5-1.1.2.8）
HRP_M[FW_1]nat address-group group1
HRP_M[FW_1-address-group-group1]section 0 1.1.2.5 1.1.2.8
HRP_M[FW_1-address-group-group1]quit
HRP_M[FW_1]nat-policy
HRP_M[FW_1-policy-nat]rule name policy_nat1  
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-zone trust
HRP_M[FW_1-policy-nat-rule-policy_nat1]destination-zone untrust
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-address 10.3.0.0 16 
HRP_M[FW_1-policy-nat-rule-policy_nat1]action source-nat address-group group1
HRP_M[FW_1-policy-nat-rule-policy_nat1]quit
HRP_M[FW_1-policy-nat]quit



8.-对于双机热备的负载分担组网，为了防止两台设备进行NAT转换时端口冲突，需要在FW_1和FW_2上分别配置可用的端口范围。在FW_1上进行如下配置：
HRP_M[FW_1]hrp nat resource primary-group

FW_1配置此命令后，FW_2上会自动备份此命令，并转换成hrp nat resource secondary-group命令

 

实验拓扑图

直连

防火墙配置

1.-配置FW1各接口的IP地址
<FW_1>system-view 
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]ip address 10.2.0.1 24
[FW_1-GigabitEthernet1/0/1]quit 
[FW_1]interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW_1-GigabitEthernet1/0/3]quit 
[FW_1]interface GigabitEthernet 1/0/6
[FW_1-GigabitEthernet1/0/6]ip address 10.10.0.1 24
[FW_1-GigabitEthernet1/0/6]quit
 


2.-将FW1各接口加入相应的安全区域。
[FW_1]firewall zone trust
[FW_1-zone-trust]add interface GigabitEthernet 1/0/3
[FW_1-zone-trust]quit 
[FW_1]firewall zone dmz
[FW_1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW_1-zone-dmz]quit 
[FW_1]firewall zone untrust
[FW_1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW_1-zone-untrust]quit


在FW1和FW2上配置缺省路由，下一跳为1.1.1.10，使内网用户的流量可以正常转发至Router
 
[FW_1] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
 


以上FW2的IP简单配置不再赘述


3配置VRRP备份组


-在FW_A上行业务接口GE1/0/1上配置VRRP备份组1，并设置其状态为Active。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1，并设置其状态为Standby。需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段，则配置VRRP备份组地址时需要指定掩码。
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[FW_1-GigabitEthernet1/0/1]quit

[FW_2] interface GigabitEthernet 1/0/1
[FW_2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 standby
[FW_2-GigabitEthernet1/0/1]quit
 

-在FW_A下行业务接口GE1/0/3上配置VRRP备份组2，并设置其状态为Active。在FW_B下行业务接口GE1/0/3上配置VRRP备份组2，并设置其状态为Standby。
 
[FW_1]interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 active
[FW_1-GigabitEthernet1/0/3]quit 

[FW_2]interface GigabitEthernet 1/0/3
[FW_2-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 standby
[FW_2-GigabitEthernet1/0/3]quit 
 


4.指定心跳口并启用双机热备功能
[FW_1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2 
[FW_1]hrp enable 
[FW_2]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1 
[FW_2]hrp enable 




5.在FW_1上配置安全策略。双机热备状态成功建立后，FW_1的安全策略配置会自动备份到FW_2上 

-配置安全策略，允许内网用户访问Internet。
HRP_M[FW_1]security-policy
HRP_M[FW_1-policy-security]rule name trust_to_untrust  
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-zone trust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]destination-zone untrust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-address 10.3.0.0 24
HRP_M[FW_1-policy-security-rule-trust_to_untrust]action permit
HRP_M[FW_1-policy-security-rule-trust_to_untrust]quit
HRP_M[FW_1-policy-security]quit


6.在FW_1上配置NAT策略。双机热备状态成功建立后，FW_1的NAT策略配置会自动备份到FW_2上。 

-配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.1.2-1.1.1.5）
HRP_M[FW_1]nat address-group group1
HRP_M[FW_1-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_M[FW_1-address-group-group1] quit

HRP_M[FW_1]nat-policy
HRP_M[FW_1-policy-nat] rule name policy_nat1  
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-zone trust
HRP_M[FW_1-policy-nat-rule-policy_nat1]destination-zone untrust
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-address 10.3.0.0 16 
HRP_M[FW_1-policy-nat-rule-policy_nat1]action source-nat address-group group1






 

路由器简单配置IP即可

实验结果：

PC端经过NAT转换后地址通信