华为防火墙双机热备组网方式（华为防火墙基础指令）

简介：虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议。VRRP是一种容错协议，它保证当主机的下一跳路由器出现故障时，由另一台路由器来代替出现故障的路由器进行工作，从而保持网络通信的连续性和可靠性。它既不需要改变组网情况，也不需要在主机上做任何配置，只需要在相关路由器上配置极少的几条命令，就能实现下一跳网关的备份，并且不会给主机带来任何负担。和其他方法比较起来，VRRP更加能够满足用户的需求。

VRRP将局域网内的一组路由器划分在一起，形成一个VRRP备份组，它在功能上相当于一台虚拟路由器，使用虚拟路由器号进行标识。虚拟路由器有自己的虚拟IP地址和虚拟MAC地址，它的外在表现形式和实际的物理路由器完全一样。局域网内的主机将虚拟路由器的IP地址设置为默认网关，通过虚拟路由器与外部网络进行通信。虚拟路由器是工作在实际的物理路由器之上的。它由多个实际的路由器组成，包括一个Master路由器和多个Backup路由器。Master路由器正常工作时，局域网内的主机通过Master与外界通信。当Master路由器出现故障时，Backup路由器中的一台设备将成为新的Master路由器，接替转发报文的工作。

本文主要介绍华为防火墙使用VRRP协议部署双机热备的配置过程。详细内容参考下文。

一、登陆防火墙

二、登陆配置视图

三、配置双机热备

配置如下：

需求说明：集团两台防火墙FW的业务接口都工作在三层，上下行分别连接交换机。上行交换机连接运营商的接入点，运营商为企业分配的IP地址为1.1.1.1。现在希望两台FW以双机热备的方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

1、配置FW各接口（接口1、3、7）的IP地址。配置步骤如下

#FW_A防火墙的配置

[FW_A] interface GigabitEthernet 0/0/1

[FW_A-GigabitEthernet0/0/1] ip address 10.2.0.1 24

[FW_A-GigabitEthernet0/0/1] quit

[FW_A] interface GigabitEthernet 0/0/3

[FW_A-GigabitEthernet0/0/3] ip address 10.3.0.1 24

[FW_A-GigabitEthernet0/0/3] quit

[FW_A] interface GigabitEthernet 0/0/7

[FW_A-GigabitEthernet0/0/7] ip address 10.10.0.1 24

[FW_A-GigabitEthernet0/0/7] quit

#FW_B防火墙的配置

[FW_B] interface GigabitEthernet 0/0/1

[FW_B-GigabitEthernet0/0/1] ip address 10.2.0.2 24

[FW_B-GigabitEthernet0/0/1] quit

[FW_B] interface GigabitEthernet 0/0/3

[FW_B-GigabitEthernet0/0/3] ip address 10.3.0.2 24

[FW_B-GigabitEthernet0/0/3] quit

[FW_B] interface GigabitEthernet 0/0/7

[FW_B-GigabitEthernet0/0/7] ip address 10.10.0.2 24

[FW_B-GigabitEthernet0/0/7] quit

2、将FW_A和FW_B各接口（接口1、3、7）加入相应的安全区域。配置步骤如下

#FW_A防火墙的配置

[FW_A] firewall zone trust

[FW_A-zone-trust] add interface GigabitEthernet 0/0/3

[FW_A-zone-trust] quit

[FW_A] firewall zone dmz

[FW_A-zone-dmz] add interface GigabitEthernet 0/0/7

[FW_A-zone-dmz] quit

[FW_A] firewall zone untrust

[FW_A-zone-untrust] add interface GigabitEthernet 0/0/1

[FW_A-zone-untrust] quit

#FW_B防火墙的配置

[FW_B] firewall zone trust

[FW_B-zone-trust] add interface GigabitEthernet 0/0/3

[FW_B-zone-trust] quit

[FW_B] firewall zone dmz

[FW_B-zone-dmz] add interface GigabitEthernet 0/0/7

[FW_B-zone-dmz] quit

[FW_B] firewall zone untrust

[FW_B-zone-untrust] add interface GigabitEthernet 0/0/1

[FW_B-zone-untrust] quit

3、配置虚拟路由冗余协议VRRP的备份组。配置步骤如下

需求说明一：在FW_A上行业务接口GE0/0/1上配置VRRP备份组1，并设置其状态为Active。在FW_B上行业务接口GE0/0/1上配置VRRP备份组1，并设置其状态为Standby。

#FW_A防火墙的配置

[FW_A] interface GigabitEthernet 0/0/1

[FW_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active

[FW_A-GigabitEthernet0/0/1] quit

#FW_B防火墙的配置

[FW_B] interface GigabitEthernet 0/0/1

[FW_B-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby

[FW_B-GigabitEthernet0/0/1] quit

需求说明二：在FW_A下行业务接口GE0/0/3上配置VRRP备份组2，并设置其状态为Active。在FW_B下行业务接口GE0/0/3上配置VRRP备份组2，并设置其状态为Standby。

#FW_A防火墙的配置

[FW_A] interface GigabitEthernet 0/0/3

[FW_A-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active

[FW_A-GigabitEthernet0/0/3] quit

#FW_B防火墙的配置

[FW_B] interface GigabitEthernet 0/0/3

[FW_B-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 standby

[FW_B-GigabitEthernet0/0/3] quit

4、接口7配置心跳功能并启用双机热备功能。配置步骤如下

#FW_A防火墙的配置

[FW_A] hrp interface GigabitEthernet 0/0/7 remote 10.10.0.2

[FW_A] hrp enable

#FW_B防火墙的配置

[FW_B] hrp interface GigabitEthernet 0/0/7 remote 10.10.0.1

[FW_B] hrp enable

5、在FW_A上配置安全策略。双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上。配置步骤如下

#配置安全策略，允许内网用户访问Internet。

[FW_A] security-policy

[FW_A-policy-security] rule name trust_to_untrust

[FW_A-policy-security-rule-trust_to_untrust] source-zone trust

[FW_A-policy-security-rule-trust_to_untrust] destiNATion-zone untrust

[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24

[FW_A-policy-security-rule-trust_to_untrust] action permit

[FW_A-policy-security-rule-trust_to_untrust] quit

[FW_A-policy-security] quit

6、在FW_A上配置NAT策略。双机热备状态成功建立后，FW_A的NAT策略配置会自动备份到FW_B上。配置步骤如下

#配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.1.2-1.1.1.5）。

[FW_A] nat address-group group1

[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5

[FW_A-address-group-group1] quit

[FW_A] nat-policy

[FW_A-policy-nat] rule name policy_nat1

[FW_A-policy-nat-rule-policy_nat1] source-zone trust

[FW_A-policy-nat-rule-policy_nat1] destination-zone untrust

[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16

[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1

四、查看双机热备的状态

情况说明：集团两台防火墙FW_A和FW_B上执行display hrp state verbose命令，检查当前VGMP组的状态，显示以下信息表示双机热备建立成功。

,