華為防火墻VRRP雙機(jī)熱備的原理及實(shí)例配置

博文目錄：
一、雙機(jī)熱備是什么？
二、什么是VRRP？
三、VRRP的兩種角色
四、VRRP的三個(gè)狀態(tài)機(jī)
五、VRRP選舉Master路由器和Backup路由器的流程
六、通過(guò)VGMP實(shí)現(xiàn)VRRP備份組的統(tǒng)一管理
七、雙機(jī)熱備的配置
八、總結(jié)

一、雙機(jī)熱備是什么？

1、雙機(jī)熱備的作用

多臺(tái)設(shè)備運(yùn)行雙機(jī)熱備；
一臺(tái)設(shè)備故障其他設(shè)備接替工作；
增強(qiáng)網(wǎng)絡(luò)穩(wěn)定性；
保證業(yè)務(wù)的連續(xù)性；

華為的雙機(jī)熱備是通過(guò)部署兩臺(tái)或多臺(tái)防火墻實(shí)現(xiàn)熱備及負(fù)載均衡，兩臺(tái)防火墻相互協(xié)同工作，猶如一個(gè)更大的防火墻。

2、華為防火墻雙機(jī)熱備的兩種模式：

• 熱備模式：同一時(shí)間只有一臺(tái)防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包，其他防火墻不轉(zhuǎn)發(fā)數(shù)據(jù)包，但是會(huì)同步會(huì)話表及Server-map表。
• 負(fù)載均衡模式：同一時(shí)間，多臺(tái)防火墻同時(shí)轉(zhuǎn)發(fā)數(shù)據(jù)，但每個(gè)防火墻又作為其他防火墻的備用設(shè)備，即每個(gè)防火墻即是主用設(shè)備也是備用設(shè)備，防火墻之間同步會(huì)話表及Server-map表。

負(fù)載均衡模式下，針對(duì)圖中●流量，F(xiàn)W1是主設(shè)備，F(xiàn)W2是備用設(shè)備，所以該流量默認(rèn)通過(guò)FW1轉(zhuǎn)發(fā)，而針對(duì)圖中○流量，F(xiàn)W2是主用設(shè)備，F(xiàn)W1是備用設(shè)備部，所以該流量默認(rèn)通過(guò)FW2轉(zhuǎn)發(fā)。而同時(shí)，F(xiàn)W1又作為○流量的備用設(shè)備，當(dāng)FW2損壞時(shí)，F(xiàn)W1依然可以轉(zhuǎn)發(fā)○流量。同理，F(xiàn)W2也可以在FW1損壞時(shí)轉(zhuǎn)發(fā)●流量。如下圖：

二、什么是VRRP？

VRRP（virtual router redundancy protocol，虛擬路由冗余協(xié)議），由IETF進(jìn)行維護(hù)，用來(lái)解決網(wǎng)關(guān)單點(diǎn)故障的路由協(xié)議。VRRP可以應(yīng)用在路由器中提供網(wǎng)關(guān)冗余，也可以用在防火墻中做雙機(jī)熱備。

1、VRRP的術(shù)語(yǔ)

• VRRP路由器：運(yùn)行VRRP協(xié)議的路由器。
• 虛擬路由器：由一個(gè)主用路由器和若干個(gè)備用路由器組成的一個(gè)備份組，一個(gè)備份組對(duì)客戶端提供一個(gè)虛擬網(wǎng)關(guān)。
• VRID：Virtual Router ID，虛擬路由器標(biāo)識(shí)，用來(lái)唯一的標(biāo)識(shí)一個(gè)備份組。
• 虛擬IP地址：提供給客戶端的網(wǎng)關(guān)IP地址，也是分配給虛擬路由器的IP地址，在所有的VRRP中配置，只有主用設(shè)備提供該IP地址的ARP響應(yīng)。
• 虛擬MAC地址：基于VRID生成的用于VRRP的MAC地址，在客戶端通過(guò)ARP協(xié)議解析網(wǎng)關(guān)的MAC地址時(shí)，主用路由器將提供該MAC地址。
• IP地址擁有者：若將虛擬路由器的IP地址配置為某個(gè)成員物理接口的真實(shí)IP地址，那么該成員被稱為IP地址擁有者。
• 優(yōu)先級(jí)：用于標(biāo)識(shí)VRRP路由器的優(yōu)先級(jí)，并通過(guò)每個(gè)VRRP路由器的優(yōu)先級(jí)選舉主用設(shè)備及備用設(shè)備。
• 搶占模式：在搶占模式下，如果備用路由器的優(yōu)先級(jí)高于備份組中的其他路由器（包括當(dāng)前的主用路由器），將立即成為新的主用路由器。
• 非搶占模式：在非搶占模式下，如果備用路由器的優(yōu)先級(jí)高于備份組中的其他路由器（包括當(dāng)前的主用路由器），則不會(huì)立即成為主用路由器，直到下一次公平選舉（如斷電、設(shè)備重啟等）。

2、華為VRRP和Cisco的HSRP細(xì)節(jié)上的區(qū)別

VRRP是公有協(xié)議，而HSRP是Sisco私有協(xié)議。
VRRP中的虛擬路由器的IP地址可以是成員路由器的IP地址，而HSRP不可以。
VRRP的虛擬MAC地址前綴是00-00-5e-00-01-VRID，而HSRP的虛擬MAC地址前綴是00-00-0C-07-AC-組號(hào)。
VRRP的狀態(tài)機(jī)有三個(gè)，而HSRRP的狀態(tài)機(jī)包含五個(gè)（初始、學(xué)習(xí)、監(jiān)聽(tīng)、發(fā)言、備份、活動(dòng)）。
VRRP只有一種報(bào)文，VRRP通告報(bào)文由主用路由器發(fā)出，用于檢測(cè)虛擬路由器的參數(shù)，同時(shí)用于主用路由器的選舉。而HSRP有三種報(bào)文（Hello、政變、辭職）。
VRRP不支持接口跟蹤，而HSRP支持。

三、VRRP的兩種角色

• Master路由器：正常情況下由master路由器負(fù)責(zé)ARP響應(yīng)及提供數(shù)據(jù)包的轉(zhuǎn)發(fā)，并且默認(rèn)每隔1s向其他路由器通告master路由器當(dāng)前的狀態(tài)信息。
• Backup路由器：是master路由器的備用路由器，正常情況下不提供數(shù)據(jù)包的轉(zhuǎn)發(fā)，當(dāng)master路由器發(fā)生故障時(shí)，在所有的backup路由器中優(yōu)先級(jí)高的路由器將成為新的master路由器，接替轉(zhuǎn)發(fā)數(shù)據(jù)包的工作，從而保證業(yè)務(wù)不中斷。

四、VRRP的三個(gè)狀態(tài)機(jī)

• Initialize狀態(tài)：剛配置了VRRP時(shí)的初始狀態(tài)。該狀態(tài)下，不對(duì)VRRP報(bào)文做任何處理，當(dāng)接口shutdown或接口故障時(shí)也將進(jìn)入該狀態(tài)。
• Master狀態(tài)：當(dāng)前設(shè)備選舉成為主用路由器時(shí)一種狀態(tài)。該狀態(tài)下會(huì)轉(zhuǎn)發(fā)業(yè)務(wù)報(bào)文，并周期性地發(fā)送VRRP通告報(bào)文，處于該狀態(tài)的路由器還將響應(yīng)客戶機(jī)發(fā)起的ARP請(qǐng)求，并將模擬MAC地址回送客戶機(jī)，當(dāng)接口關(guān)閉時(shí)，將立即切換至Initialize狀態(tài)。
• Backup狀態(tài)：當(dāng)前設(shè)備選舉成為備用路由器時(shí)的一種狀態(tài)。該狀態(tài)下不轉(zhuǎn)發(fā)任何業(yè)務(wù)報(bào)文，工作在該狀態(tài)下的路由器會(huì)接收主用路由器發(fā)送的VRRP通告報(bào)文，并判斷主用路由器是否正常工作。在雙機(jī)熱備模式中還將同步主用設(shè)備上的狀態(tài)信息。

以上三個(gè)狀態(tài)之間的切換關(guān)系如下圖：

Initialize狀態(tài)是VRRP的初始狀態(tài)，當(dāng)接口shutdown時(shí)，無(wú)論路由器處于master狀態(tài)還是backup狀態(tài)，都將立即切換至initialize狀態(tài)。當(dāng)路由器配置為IP地址擁有者時(shí)，其優(yōu)先級(jí)默認(rèn)為255，此時(shí)路由器直接由initialize狀態(tài)切換至master狀態(tài)。當(dāng)路由器不是IP地址擁有者，其優(yōu)先級(jí)< 255，此時(shí)路由器直接由initialize狀態(tài)切換至backup狀態(tài)。處于master狀態(tài)的路由器如果收到優(yōu)先級(jí)更大或者和本地優(yōu)先級(jí)相等的報(bào)文（通常有master路由器發(fā)出），將重置master_Down_Interval計(jì)數(shù)器，如果一直沒(méi)有接收到Master路由器發(fā)送的VRRP通告報(bào)文，待master_Down_Interval計(jì)時(shí)器超時(shí)后，將由backup狀態(tài)切換至master狀態(tài)。

五、VRRP選舉Master路由器和Backup路由器的流程

VRRP選舉master路由器和backup路由器的流程如下：
首先選舉優(yōu)先級(jí)高的設(shè)備成為master路由器，如果優(yōu)先級(jí)相同，再比較接口的IP地址大小，IP地址大（數(shù)值大）的設(shè)備將成為master路由器，而備份組中其他的路由器將成為backup路由器。

VRRP中的默認(rèn)接口優(yōu)先級(jí)為100，取值范圍為0~255，其中優(yōu)先級(jí)0是系統(tǒng)保留，優(yōu)先級(jí)255保留給IP地址擁有者，IP地址擁有者不需要配置優(yōu)先級(jí)，默認(rèn)優(yōu)先級(jí)就是255。

除非手工將路由器配置為IP地址擁有者（優(yōu)先級(jí)=255），否則VRRP的狀態(tài)切換總是先經(jīng)歷Backup狀態(tài)，即使路由器的優(yōu)先級(jí)最高，也需要從backup狀態(tài)過(guò)渡到master狀態(tài)。此時(shí)，backup狀態(tài)只是一個(gè)瞬間的過(guò)渡狀態(tài)。

六、通過(guò)VGMP實(shí)現(xiàn)VRRP備份組的統(tǒng)一管理

通過(guò)前面的介紹可知，雙機(jī)熱備解決了網(wǎng)關(guān)設(shè)備切換且業(yè)務(wù)不中斷的問(wèn)題，VRRP解決了客戶機(jī)網(wǎng)關(guān)自動(dòng)切換問(wèn)題。似乎雙機(jī)熱備 +VRRP已經(jīng)可以正常工作，但實(shí)際情況下并非如此。

上個(gè)圖大家看的更有助于理解，直觀一些

從上圖中可以看出，正常情況下PC去往外部網(wǎng)絡(luò)的數(shù)據(jù)包通過(guò)備份組1的master設(shè)備（FW1）轉(zhuǎn)發(fā)，外部網(wǎng)絡(luò)返回的數(shù)據(jù)包由備份組2的master設(shè)備（FW1）轉(zhuǎn)發(fā)，但是當(dāng)FW1的G1/0/0接口出現(xiàn)故障時(shí)，備份組1可以檢測(cè)到這一故障，并將FW2作為備份組1的master設(shè)備。PC發(fā)起的數(shù)據(jù)包由備份組1的master設(shè)備（FW2）進(jìn)行轉(zhuǎn)發(fā)，而備份組2的狀態(tài)沒(méi)有發(fā)生任何改變（FW1的G1/0/1接口正常工作），所以由外部網(wǎng)絡(luò)返回的流量仍然由備份組2的master設(shè)備（FW1轉(zhuǎn)發(fā)），顯然，因?yàn)镕W1的接口G1/0/0故障，數(shù)據(jù)包無(wú)法繼續(xù)轉(zhuǎn)發(fā)。

造成這種現(xiàn)象的原因就是兩個(gè)VRRP備份組獨(dú)立工作，所以需要使用VGMP（VRRP組管理協(xié)議）來(lái)實(shí)現(xiàn)對(duì)VRRP備份組的統(tǒng)一管理，以保證設(shè)備在各個(gè)備份組中的狀態(tài)一致。

VGMP（VRRP Group Management Protocol,VRRP組管理協(xié)議）用來(lái)實(shí)現(xiàn)對(duì)VRRP備份組的統(tǒng)一管理，以保證設(shè)備在各個(gè)備份組中的狀態(tài)一致性。VGMP通過(guò)在設(shè)備（FW1和FW2）上將所有的備份組（備份組1和備份組2）加入一個(gè)VGMP組中進(jìn)行統(tǒng)一管理，一旦檢測(cè)到某個(gè)備份組（備份組1）中的狀態(tài)變化（如接口進(jìn)入Initialize狀態(tài)），VGMP組將自身優(yōu)先級(jí)減2，并重新協(xié)商VGMP的active組和standby組。選舉出的active組將所有的其他備份組（備份組1和備份組2）統(tǒng)一進(jìn)行狀態(tài)切換（備份組1和備份組2中的FW2將成為Master設(shè)備）。

1、VGMP的工作原理

• VGMP組的狀態(tài)決定了VRRP備份組的狀態(tài)，即設(shè)備的角色（如Master和Backup）不再通過(guò)VRRP報(bào)文選舉，而是直接通過(guò)VGMP統(tǒng)一管理。
• VGMP組的狀態(tài)通過(guò)比較優(yōu)先級(jí)決定，優(yōu)先級(jí)高的VGMP組將成為Active，優(yōu)先級(jí)低的VGMP組將成為Standby。
• 默認(rèn)情況下，VGMP組的優(yōu)先級(jí)為4500。
• VGMP根據(jù)組內(nèi)VRRP備份組的狀態(tài)自動(dòng)調(diào)整優(yōu)先級(jí)，一旦檢測(cè)到備份組的狀態(tài)變成Initialize狀態(tài)，VGMP組的優(yōu)先級(jí)會(huì)自動(dòng)減2。
• VGMP通過(guò)心跳線協(xié)商VGMP狀態(tài)信息。
• 在加入VGMP組之后，VRRP中的狀態(tài)標(biāo)識(shí)從master和backup變成了active和standby。

2、VGMP的報(bào)文封裝

VGMP通過(guò)心跳線協(xié)商VGMP的狀態(tài)信息，通過(guò)發(fā)送VGMP報(bào)文實(shí)現(xiàn)。VGMP報(bào)文有以下兩種形式，如下圖：

如下圖中左邊的網(wǎng)絡(luò)圖中，當(dāng)心跳線直接相連，或者通過(guò)二層交換機(jī)相連時(shí)，發(fā)送的報(bào)文屬于組播報(bào)文，報(bào)文封裝中不攜帶UDP頭部信息。而當(dāng)心跳線通過(guò)三層設(shè)備（路由器）連接時(shí)，因?yàn)榻M播報(bào)文無(wú)法通過(guò)三層設(shè)備，所以在報(bào)文封裝中會(huì)額外增加一個(gè)UDP頭部信息，此時(shí)發(fā)送的報(bào)文屬于單播。

在實(shí)際應(yīng)用中，應(yīng)根據(jù)實(shí)際的環(huán)境靈活選擇報(bào)文封裝，在華為防火墻中，通過(guò)以下命令指定通過(guò)接口發(fā)送的報(bào)文屬于哪幾種類型的封裝。

[FW1]hrp interface GigabitEthernet 1/0/0       <!--eNSP模擬器中不支持該配置-->
[FW1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1
<!--hrp命令用來(lái)指定用于心跳鏈路的接口編號(hào)，
1.1.1.1是心跳線對(duì)端接口的IP地址，該地址要求路由可達(dá)，
帶remote參數(shù)的命令將封裝UDP，并發(fā)送單播報(bào)文不帶remote參數(shù)將發(fā)送組播報(bào)文-->

配置VGMP的其他注意事項(xiàng)：

• 加入了VGMP后，心跳線的作用包含狀態(tài)信息備份（會(huì)話表和server-map表）及VGMP狀態(tài)協(xié)商。
• 華為防火墻在默認(rèn)情況下放行組播流量（如不帶remote參數(shù)的VGMP報(bào)文）禁止單播流量（如帶remote參數(shù)的VGMP報(bào)文），所以如果配置了remote參數(shù)，還需要配置local區(qū)域和心跳線接口所在的區(qū)域之間配置安全策略。
• 配置了VRRP virtual-mac enable的接口不能作為心跳口。
• 如果使用二層接口作為心跳接口，不能直接在二層接口上配置，而是將二層接口加入vlan，在vlan中配置心跳接口。
• eNSPoint模擬器中，即使心跳接口之間相連，也必須配置remote參數(shù)，否則無(wú)法配置。

3、雙機(jī)熱備的備份方式

雙機(jī)熱備的備份方式包括以下三種：

• 自動(dòng)備份：該模式下，和雙機(jī)熱備有關(guān)的配置只能在主用設(shè)備上配置，并自動(dòng)同步到備用設(shè)備中，主用設(shè)備自動(dòng)將狀態(tài)信息同步到備用設(shè)備中。
• 手工批量備份：該模式下，主用設(shè)備上所有的配置命令和狀態(tài)信息，只有在手工執(zhí)行批量備份命令時(shí)才會(huì)自動(dòng)同步到備用設(shè)備。該模式主要應(yīng)用于主設(shè)備和備用設(shè)備配置不同步，需要立即進(jìn)行同步的場(chǎng)景。
• 快速備份：該模式下，不同步配置命令，只同步狀態(tài)信息，在負(fù)載均衡方式的雙機(jī)熱備環(huán)境中，該默認(rèn)必須啟用，以快速更新?tīng)顟B(tài)信息。

各模式的配置命令如下：

1）開(kāi)啟雙機(jī)熱備功能：

[FW1]hrp enable    
HRP_S[FW1]         <!--開(kāi)啟雙機(jī)熱備功能后，命令提示符發(fā)生變化-->

2）配置自動(dòng)備份模式：

HRP_M[FW1]hrp auto-sync 
HRP_M[FW1]security-policy  (+B)
   <!--開(kāi)啟雙機(jī)熱備后，執(zhí)行可以同步的命令會(huì)有（+B）的提示-->

3）配置手工批量備份模式：

HRP_M<FW1>hrp sync [ config | connection-status ]   
       <!--
 在用戶模式下執(zhí)行該命令，其中config參數(shù)表示手工同步命令配置，
 connection-status參數(shù)表示手工同步狀態(tài)信息。
              -->

4）配置快速備份模式：

HRP_S[FW1]hrp mirror session enable 
HRP_M[FW1]      <!--配置快速備份模式后，開(kāi)頭會(huì)變成HRP_M.....-->

4、連接路由器時(shí)的雙機(jī)熱備

當(dāng)配置雙機(jī)熱備的設(shè)備上游或者下游是交換設(shè)備時(shí)，可以通過(guò)VRRP檢測(cè)接口或者設(shè)備的狀態(tài)，但是當(dāng)上游或者下游設(shè)備是路由器時(shí)，VRRP無(wú)法正常運(yùn)行（VRRP依靠組播實(shí)現(xiàn)故障切換）。華為防火墻的做法時(shí)監(jiān)控其他接口狀態(tài)，并配合OSPF實(shí)現(xiàn)流量切換，如下圖：

通過(guò)將接口直接加入VGMP組中，當(dāng)接口故障時(shí)（即使對(duì)端設(shè)備故障，本端接口的物理特性也將關(guān)閉），VGMP會(huì)感知接口狀態(tài)變化，從而降低VGMP組的優(yōu)先級(jí)，從active狀態(tài)切換至standby狀態(tài)。而之前的standby組將提升為active狀態(tài)。而處于standby的VGMP組在發(fā)布OSPF路由時(shí)，會(huì)自動(dòng)將cost值增加65500，通過(guò)OSPF的自動(dòng)收斂，最終將流量引導(dǎo)至Active組設(shè)備中。

七、雙機(jī)熱備的配置

環(huán)境如下：

需求如下：
LSW1和LSW2是二層交換機(jī)，F(xiàn)W1、FW2、LSW1、LSW2組成雙機(jī)熱備網(wǎng)絡(luò)，正常情況下，PC1發(fā)起的訪問(wèn)R1的流量通過(guò)FW1轉(zhuǎn)發(fā)，當(dāng)FW1出現(xiàn)故障時(shí)，在PC1不做任何調(diào)整的前提下，可以自動(dòng)通過(guò)FW2轉(zhuǎn)發(fā)。

推薦步驟：
按照拓?fù)鋱D配置基本網(wǎng)絡(luò)參數(shù)
防火墻接口加入不同區(qū)域
配置安全策略
配置NAT地址轉(zhuǎn)換使用PAPT
配置相互傳輸心跳
配置VRRP
防火墻配置默認(rèn)路由
驗(yàn)證

開(kāi)始配置：

FW1配置如下：

[FW1]int g1/0/0      <!--進(jìn)入該接口-->
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24   <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/0]quit 
[FW1]int g1/0/1           <!--進(jìn)入該接口-->
[FW1-GigabitEthernet1/0/1]ip add 10.2.1.1 24    <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/1]quit
[FW1]int g1/0/2      <!--進(jìn)入該接口-->
[FW1-GigabitEthernet1/0/2]ip add 10.3.1.1 24  <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/2]quit 
[FW1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 1.1.1.2
              <!--配置去往untrust區(qū)域的默認(rèn)路由-->
[FW1]firewall zone untrust        <!--進(jìn)入untrust區(qū)域-->
[FW1-zone-untrust]add int GigabitEthernet 1/0/0   <!--該接口加入untrust區(qū)域-->
[FW1-zone-untrust]quit
[FW1]firewall zone dmz         <!--進(jìn)入dmz區(qū)域-->
[FW1-zone-dmz]add int GigabitEthernet 1/0/1      <!--該接口加入dmz區(qū)域-->
[FW1-zone-dmz]quit
[FW1]firewall zone trust       <!--進(jìn)入trust區(qū)域-->
[FW1-zone-trust]add int GigabitEthernet 1/0/2      <!--該接口加入trust區(qū)域-->
[FW1-zone-trust]quit
[FW1]security-policy        <!--配置安全策略--> 
[FW1-policy-security]rule name ha        <!--安全策略名字為ha-->
[FW1-policy-security-rule-ha]source-zone local        <!--指定源區(qū)域-->
[FW1-policy-security-rule-ha]source-zone dmz      <!--指定源區(qū)域-->
[FW1-policy-security-rule-ha]destination-zone local     <!--指定目標(biāo)區(qū)域-->
[FW1-policy-security-rule-ha]destination-zone dmz       <!--指定目標(biāo)區(qū)域-->
[FW1-policy-security-rule-ha]action permit        <!--允許dmz區(qū)域和local區(qū)域相互訪問(wèn)-->
[FW1-policy-security-rule-ha]quit
[FW1-policy-security]quit
[FW1]security-policy          <!--配置安全策略 -->
[FW1-policy-security]rule name nat      <!--安全策略名字為nat-->
[FW1-policy-security-rule-nat]source-zone trust        <!--指定源區(qū)域-->
[FW1-policy-security-rule-nat]destination-zone untrust      <!--指定目標(biāo)區(qū)域-->
[FW1-policy-security-rule-nat]action permit        <!--允許流量通過(guò)-->
[FW1-policy-security-rule-nat]quit
[FW1-policy-security]qui
[FW1]nat address-group NAPAT          <!--地址池的名字為NAPAT-->
[FW1-address-group-napat]section 0 1.1.1.1 1.1.1.1   <!--地址池范圍-->
[FW1-address-group-napat]quit
[FW1]nat-policy      <!--配置NAT策略-->
[FW1-policy-nat]rule name natpolicy    <!--NAT策略名字為natpolicy-->
[FW1-policy-nat-rule-natpolicy]source-zone trust    <!--定義轉(zhuǎn)換源區(qū)域-->
[FW1-policy-nat-rule-natpolicy]destination-zone untrust   <!--定義轉(zhuǎn)換目標(biāo)區(qū)域-->
[FW1-policy-nat-rule-natpolicy]action nat address-group NAPAT   
      <!--定義轉(zhuǎn)換源和地址池建立映射關(guān)系-->
[FW1-policy-nat-rule-natpolicy]quit
[FW1-policy-nat]quit
[FW1]hrp int g 1/0/1 remote 10.2.1.2  <!--配置心跳信息傳輸?shù)紽W2-->
[FW1]hrp enable   <!--開(kāi)啟hrp功能-->
HRP_S[FW1]

FW2配置如下：（請(qǐng)參照FW1注釋，F(xiàn)W1和FW2配置基本相同）

[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 10.1.1.2 24
[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 10.2.1.2 24
[FW2-GigabitEthernet1/0/1]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 10.3.1.2 24
[FW2-GigabitEthernet1/0/2]quit
[FW2]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 1.1.1.2
[FW2]firewall zone untrust 
[FW2-zone-untrust]add int GigabitEthernet 1/0/0
[FW2-zone-untrust]quit
[FW2]firewall zone dmz
[FW2-zone-dmz]add int GigabitEthernet 1/0/1
[FW2-zone-dmz]quit
[FW2]firewall zone trust 
[FW2-zone-trust]add int GigabitEthernet 1/0/2
[FW2-zone-trust]quit
[FW2]security-policy 
[FW2-policy-security]rule name ha
[FW2-policy-security-rule-ha]source-zone local 
[FW2-policy-security-rule-ha]source-zone dmz
[FW2-policy-security-rule-ha]destination-zone local 
[FW2-policy-security-rule-ha]destination-zone dmz
[FW2-policy-security-rule-ha]action permit 
[FW2-policy-security-rule-ha]quit
[FW2-policy-security]quit
[FW2]security-policy 
[FW2-policy-security]rule name nat
[FW2-policy-security-rule-nat]source-zone trust 
[FW2-policy-security-rule-nat]destination-zone untrust 
[FW2-policy-security-rule-nat]action permit 
[FW2-policy-security-rule-nat]quit
[FW2-policy-security]quit
[FW2]nat address-group NAPAT
[FW2-address-group-napat]section 0 1.1.1.1 1.1.1.1
[FW2-address-group-napat]quit
[FW2]nat-policy 
[FW2-policy-nat]rule name natpolicy
[FW2-policy-nat-rule-natpolicy]source-zone trust 
[FW2-policy-nat-rule-natpolicy]destination-zone untrust 
[FW2-policy-nat-rule-natpolicy]action nat address-group NAPAT
[FW2-policy-nat-rule-natpolicy]quit
[FW2-policy-nat]quit
[FW2]hrp int g1/0/1 remote 10.2.1.1
[FW2]hrp enable
HRP_S[FW2]hrp standby-device

開(kāi)始配置VRRP

FW1配置VRRP如下：

HRP_M[FW1]int g1/0/0 (+B)            <!--進(jìn)入接口-->
HRP_M[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active  
          <!--VRRP1組主設(shè)備，虛擬IP網(wǎng)關(guān)1.1.1.1-->
HRP_M[FW1-GigabitEthernet1/0/0]quit
HRP_M[FW1]int g1/0/2 (+B)        <!--進(jìn)入接口-->
HRP_M[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.1.3 active  
        <!--VRRP2組主設(shè)備，虛擬IP網(wǎng)關(guān)10.3.1.3-->
HRP_M[FW1-GigabitEthernet1/0/2]quit

FW2配置VRRP如下：

HRP_S[FW2]int g1/0/0           <!--進(jìn)入接口-->
HRP_S[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby 
       <!--VRRP1備份設(shè)備，虛擬IP網(wǎng)關(guān)1.1.1.1-->
HRP_S[FW2-GigabitEthernet1/0/0]quit
HRP_S[FW2]int g1/0/2            <!--進(jìn)入接口-->
HRP_S[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.1.3 standby 
      <!--VRRP2組備份設(shè)備，虛擬IP網(wǎng)關(guān)10.3.1.3-->
HRP_S[FW2-GigabitEthernet1/0/2]quit
HRP_S[FW2]dis hrp state  <!--查看hrp狀態(tài)-->

配置R1和PC的IP地址，并pingR1的IP地址。
R1配置如下：

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[R1-GigabitEthernet0/0/0]quit
  <!--進(jìn)入接口給接口配置IP地址-->
[R1]ip route-static 10.3.1.0 24 10.1.1.1
[R1]ip route-static 10.3.1.0 24 10.1.1.2
           <!--
添加兩條去往內(nèi)網(wǎng)的路由，在實(shí)際環(huán)境中，可是不會(huì)有這條路由的哦，
實(shí)際中一般會(huì)將內(nèi)網(wǎng)的地址映射為和該路由器同一網(wǎng)段的公網(wǎng)IP。 -->

PC配置如下：

驗(yàn)證
用PC1pingR1路由器，然后去FW1和FW2防火墻上分別查看會(huì)話表，他們的內(nèi)容是不一樣的

FW1會(huì)話表：

抓包查看流量轉(zhuǎn)換

模擬FW1的F1/0/0接口故障，客戶端ping路由器R1

HRP_M[FW1]int g1/0/0 (+B)     <!--進(jìn)入接口-->
HRP_M[FW1-GigabitEthernet1/0/0]shutdown   <!--關(guān)閉接口-->

PC1客戶端ping路由器R1，防火墻FW2查看會(huì)話表

抓包查看

PC2客戶端ping路由器R1，防火墻在FW2查看會(huì)話表

配置完成。

八、總結(jié)

• 兩臺(tái)防火墻用于心跳線的接口需要加入相同的安全區(qū)域。
• 兩臺(tái)防火墻用于心跳線的接口的編號(hào)必須一致，如都是G1/0/1。
• 用于雙機(jī)熱備的兩臺(tái)防火墻采用相同的型號(hào)，相同的VRP版本。連接同一個(gè)設(shè)備（路由器或交換機(jī)）都使用同一個(gè)接口編號(hào)。
• 當(dāng)熱備組中的設(shè)備壞掉后，買來(lái)新的設(shè)備進(jìn)行加入熱備組時(shí)，在配置時(shí)，原來(lái)壞掉的那臺(tái)設(shè)備在VGMP中配置的是active，哪怕現(xiàn)在備份組中有設(shè)備處于active狀態(tài)，新買來(lái)的設(shè)備必須也配置active狀態(tài)，否則無(wú)法協(xié)商。