防火墙双机热备之配置过程指导

一、组网类型及模式的确定

1、组网类型

结合自身网络的特点，常见一下四种组网：

防火墙业务接口工作在第三层，连接二层交换机、防火墙业务接口工作在第三层，连接路由器、防火墙业务接口工作在第二层，连接二层交换机、防火墙业务接口工作在第二层，连接路由器。

若出现上行连接交换机、下行连接路由器，按照上述四种组网对应的配置即可，即上下就按照连接交换机的组网配置、下行按照路由器的组网配置。

2、模式确定

如何确定采取主备备份还是负载分担，一般情况下，可以遵循以下原则：

①客户没有特殊需求的情况下，主备备份、负载分担均能满足要求，推荐采取主备备份；

②客户组网其他部分都部署了负载分担，一般会要求防火墙也部署为负载分担；

③一台防火墙承担业务转发时，会话表使用率、吞吐量和CPU使用率其中一个或者多个长期超过最大值的80%，必须采用负载分担；

④防火墙启用IPS等安全功能后，性能会有所下降，如果一台防火墙的转发性能下降低于现网总容量时，必须调整成负载分担。

二、配置过程

1、网络基本配置

①接口：防火墙业务接口工作在三层，配置固定IP地址，不能与PPPOE拨号、DHCP结合使用；防火墙业务接口工作在二层，加入同一个VLAN；两台防火墙业务接口以及心跳接口编号等一致。

②安全区域：无论二层还是三层，业务还是心跳接口，都需要加入安全区域，主设备、备设备对应接口安全区域一致。

③路由：业务接口工作在三层连接交换机，一般配置静态路由；连接路由器，一般配置OSPF/BGP；工作在二层则不需要配置路由。

④安全策略：心跳接口交互相关报文（心跳报文、VGMP报文、备份报文、心跳链路探测报文、配置一致性检查报文）；两台防火墙业务接口交互VRRP报文；业务接口工作在第三层连接交换机，防火墙会向交换机发送免费的ARP报文；业务接口工作第三层连接路由器，防火墙需要和路由器交互OSPF/BGP报文，业务接口工作在二层，上下行设备之间的OSPF报文需通过防火墙。。

相关的命令：firewall packet-filter basic-protocol enable可以控制OSPF/BGP报文，默认情况下开启，即需要配置上下行安全区域之间的安全策略，允许OSPF/BGP报文通过、VRRP报文是组播报文、免费ARP报文是广播报文，均不受安全策略控制。

2、VGMP组监控接口

①业务接口工作在三层连接交换机，需要在接口配置VRRP备份组；

主备备份方式：主用设备的业务接口上配置一个VRRP备份组，且设置为active状态；备用设备的业务接口上配置同一个VRRP备份组，状态设置为standby；

负载分担方式：两台防火墙的每个业务接口上配置两个VRRP备份组，且分别设置为active、standby状态，两台防火墙上同一个VRRP备份组的状态必须不同，一个为active，另一个为standby。

②业务接口工作在第三层连接路由器，需要在防火墙配置VGMP直接监控接口hrp track interface；

主备备份方式：需要使用命令hrp standby-device指定一台备用设备，还需要使用命令hrp adjust ospf-cost/bgp-adjust enable调整对应开销值；

负载分担方式：需要使用命令hrp adjust ospf-cost/bgp-adjust enable调整对应开销值，还需要在防火墙上下行路由器上合理配置OSPF开销值，将流量均与引导到两台防火墙上处理。

③业务接口工作在二层，需要在防火墙上配置VGMP组监控Vlan：hrp track vlan；

主备备份方式：将主用设备的业务接口加入同个Vlan，使用命令hrp standby-device指定一台备用设备；

负载分担方式：每台设备的业务接口加入同一个Vlan，不需要指定一台备用设备。

3、VGMP组监控路由邻居

支持与OSPF、BGP路由协议联动。

4、心跳接口配置

防火墙双机热备之HRP详解https://blog.csdn.net/Mario_Ti/article/details/135527645?spm=1001.2014.3001.5502

5、启动双机热备

hrp enable启动双机热备，配置正确即可成功建立双机热备状态，出现HRP_M和HRP_S。

6、备份方式

①自动备份功能默认开启，建议不关闭；

②若主备设备之间不同步，需要清除备用设备相关配置，再用主用设备执行手工批量备份hrp sync config；

③负载分担组网一般需要开启快速会话备份功能hrp mirror session enable。

7、安全业务

在主用防火墙可配置安全业务，如安全策略、NAT、攻击防范、带宽管理、VPN等。

三、配置检查和结果验证

①是否有出现HRP_M和HRP_S标识；

②根据下表检查

适用场景	是否必选	检查项	方法
通用	必选	型号、软件版本是否一致	display version
	必选	部件类型、安装位置一致	display device
	必选	使用相同的业务接口	display hrp state interface
	必选	使用相同的心跳接口	display hrp interface
	必选	Eth-Trunk接口成员是否相同	display eth-trunk trunk-id
	必选	接口是否加入相同的安全区域	display zone
	必选	配置一致：双机热备、审计策略、认证策略、安全策略、NAT策略、贷款策略	display hrp configuration check all
业务接口工作在三层	必选	接口配置IP地址	display ip interface brief
	必选	连接交换机，两台防火墙的业务接口是否加入相同的VRRP备份组	display vrrp interface interface-type interface-number
	必选	连接交换机，防火墙上下行设备将VRRP备份组的虚拟IP地址设置为下一跳地址	检查防火墙的上下行设备的静态路由配置
	必选	连接路由器，主备备份时，备用设备需要配置hrp standby-device，负载分担时，两台防火墙均不需要此配置	display hrp state verbose
	必选	连接路由器，防火墙正确运行OSPF协议，且OSPF区域不包括心跳接口	display ospf [process-id] brief
	必选	连接路由器，需要根据运行的路由协议配置根据主备状态调整OSPF Cost值/BGP MED值功能	display hrp state verbose
业务接口工作在第二层	必选	防火墙上下行业务接口加入到同一个VLAN	display port vlan [interface-type interface-number]
	必选	主备备份，备用防火墙配置hrp standby-device 命令	display hrp state verbose
	必选	连接交换机，推荐使用主备备份方式	display hrp state verbose
	必选	连接路由器，推荐使用负载分担方式	display hrp state verbose
负载分担	必选	启用会话快速备份功能	display hrp state verbose
	必选	正确指定NAT地址池的端口范围	display hrp state verbose
镜像模式	必选	启用镜像模式	display hrp state verbose
	必选	两台防火墙上编号相同的业务接口使用相同的IP地址	display ip interface brief
	必选	正确配置镜像模式管理接口	display current-configuration include hrp mgt-intetface

③在主用设备接口视图执行shutdown命令，验证主用设备是否进行切换，查看两台防火墙的标识有无变化（HRP_M和HRP_S标识），业务是否正常转发，再执行undo shutdown命令，等待抢占定时器超时后，再次查看标识变化，业务是否正常转发；

④再使用rebot重复③操作。

---

参考资料：防火墙和VPN技术与实践——李学昭