SecPath-防火墙双机热备典型配置

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换

摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：

目录

1 特性简介 (3)

1.1 双机热备的工作机制 (3)

2 特性使用指南 (4)

2.1 使用场合 (4)

2.2 配置指南 (4)

2.2.1 双机热备组网应用配置指南 (4)

2.2.2 双机热备应用涉及的配置 (4)

2.3 注意事项 (4)

3 支持的设备和版本 (5)

3.1 设备版本 (5)

3.2 支持的设备 (5)

3.3 配置保存 (5)

4 配置举例 (6)

4.1 典型组网 (6)

4.2 设备基本配置 (9)

4.2.1 其他共同配置： (9)

4.3 双机热备业务典型配置举例 (9)

4.3.1 透明模式＋主备模式 (9)

4.3.2 透明模式＋负载分担模式 (14)

4.3.3 路由模式＋主备模式 (17)

4.3.4 路由模式＋负载分担模式 (19)

4.3.5 路由模式＋主备模式＋支持非对称路径 (21)

4.3.6 路由模式＋负载分担模式＋支持非对称路径 (28)

4.3.7 动态路由模式组网 (33)

5 相关资料 (33)

1 特性简介

双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制

互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。另外需要使用专有的备份链路口进行会话信息的备份，该备份链路口不作数据转发，从而保障了备份的高可靠性及高性能。

A.在命令行下无法配置双机热备，只能在WEB页面上配置；

WEB配置页面：

B.必须配置心跳口，心跳口也须在WEB页面上配置，指定一个物理口后保存，重启，

心跳口开始工作，心跳口在命令行和WEB页面下的接口管理中都不可见，但是双机

热备配置页面下可见。

C.没有主备设备之分，工作中的设备称为主用设备比较合适些，两台防火墙的会话信

息相互备份，主用设备上产生的会话会自动通过心跳口备份到备用设备上，目前只

有稳态的会话才会进行备份；

D.主要有两种模式的组网：静态路由模式和动态路由模式，静态路由模式组网依赖于

VRRP，当一台设备Down机后，Vrrp的主备状态发生切换，工作的防火墙随之切换；

动态路由模式依赖于动态路由协议，由于动态路由协议进行路由学习比VRRP切换

慢，所以路由模式的双机热备主用设备切换时间较长；在这两种组网的基础上又可

以配置为双主用模式、主备用模式；

E.目前版本仅支持对称路径的双机热备份，即报文来回都要通过同一台防火墙；若出

报文从A出，回来的报文从B返回的话，称为非对称路径，在以后的版本将支持非对

称的报文转发。

2 特性使用指南

2.1 使用场合

Secpath防火墙作为外网的接入点，当设备出现故障便会导致外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话，无论其可靠性多高，系统都必然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。

2.2 配置指南

2.2.1 双机热备组网应用配置指南

双机热备典型组网应用包括以下容：

●透明模式＋主备模式

●透明模式＋负载分担模式

●路由模式＋主备模式

●路由模式＋负载分担模式

●路由模式＋主备模式＋支持非对称路径

●路由模式＋负载分担模式＋支持非对称路径

2.2.2 双机热备应用涉及的配置

用户必须在Web设置双机热备功能，命令行无法配置。

2.3 注意事项

双机热备关于Web配置根据具体实例再作说明。

3 支持的设备和版本

3.1 设备版本

[f5000a-1]_dis ver

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 3203

Comware Platform Software Version COMWAREV500R002B62D001

H3C SecPath F5000-A5 Software Version V300R002B01D012

Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

Compiled Oct 31 2008 14:56:27, RELEASE SOFTWARE

H3C SecPath F5000-A5 uptime is 0 week, 0 day, 0 hour, 51 minutes

CPU type: RMI XLR732 1000MHz CPU

2048M bytes DDR2 SDRAM Memory

4M bytes Flash Memory

MPUA PCB Version:Ver.A

SWBA PCB Version:Ver.A

MPUA Basic Logic Version:133.0

MPUA Extend Logic Version:133.0

SWBA Logic Version:132.0

MPUA LX30T FPGA Version: 3.08

Basic BootWare Version: 1.02

Extend BootWare Version: 1.02

[FIXED PORT] CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0

[FIXED PORT] AUX (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0

[FIXED PORT] M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0

[SUBCARD 1] NSQ1GT8C40 (Hardware)Ver.A, (Driver)1.0, (Cpld)134.0

[SUBSLOT 2] The SubCard is not present

[SUBSLOT 3] The SubCard is not present

[SUBSLOT 4] The SubCard is not present

3.2 支持的设备

Secpath F5000-A5

3.3 配置保存

每次配置完成后，注意进行配置的保存。

系统管理 > 配置维护 > 配置保存，点击<确定>。

4 配置举例

4.1 典型组网

G1/0Vrrp:

100.0.0.5

F5000a-1F5000a-2

Server

G1/1

Vrrp:

200.0.0.5

G1/1S56-1S56-2

S56-a S56-b

PC1PC2

图1 双机热备（路由）典型组网