1-4 USG防火墙双机热备业务特性与配置

华为防火墙的双机热备方案在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受因单点故障而导致的网络中断的风险。

防火墙一般用作内网到外网的出口，是业务关键路径上的设备，为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网。

双机热备组网的建立和运行需要解决以下五个关键问题：1.设备的主备状态是如何决定的2.如何监控并发现接口或者设备故障3.发现故障后，如何保证设备的主备状态切换4.正常情况和故障后，流量是如何引导的5.如何进行信息同步，保证主备切换后业务不中断以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP 共同配合解决的。

首先，VRRP自然不需要多说，我相信大家都非常清楚，这是一个公有的网关冗余技术，可以在两台设备之间形成虚拟IP地址，建立主备的冗余关系，但是传统的VRRP在安全领域有一个不可忽略的问题，就是当防火墙上下行业务端口上都配置了VRRP备份组的时候，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况。

我们来看下面这个图这是最基本的一个防火墙双机热备的连接拓扑，防火墙的业务接口工作在三层，上下行连接交换机，防火墙的上行接口和下行接口分别运行了两个独立的VRRP组，FW1为主设备，FW2为备设备，正常情况下，流量会在FW1上进行往返（也就是沿着蓝色箭头的方向走），现在假设FW1的下行接口故障，因此运行在下行接口的VRRP组会检测到这个问题，从而引发主备切换， FW2的下行接口会成为主接口，上行流量会从FW2转发出去，访问外部网络，但是因为上下行的VRRP组是独立运行的，所以对于上行接口而言，主设备依然还在FW1上，因此外部网络返回的流量依然会转发到FW1上，这样就造成了网络不通，这个问题，传统的VRRP是无法解决的，因此，华为在VRRP的基础之上，开发了VGMP协议。

VGMP的基本功能是集中管理和监控VRRP备份组，控制VRRP 备份组的统一切换，将一组VRRP备份组组成一个VGMP管理组，由VGMP管理组控制所有VRRP备份组同步倒换，保证所有VRRP备份组状态一致，VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。

双机热备与 NAT 功能结合一组网需求USG作为安全设备被部署在业务节点上。

USG的业务接口工作在三层，上下行连接交换机。

USG_A、 USG_B以主备备份方式工作。

内网用户可以通过公网地址访问Internet。

正常情况下， USG_A作为主用设备，处理业务流量； USG_B作为备用设备，不处理业务流量。

当USG_A的接口或整机发生故障时， USG_B切换为主用设备接替USG_A处理业务流量，从而保证业务不中断。

图 1-44 业务接口工作在三层，上下行连接交换机的组网图配置思路1. 由于USG的业务接口工作在三层，能够配置IP地址。

而且USG上下行连接交换机，交换机能够透传VRRP报文。

因此本举例选择在业务接口上配置IP地址和VRRP备份组，由VRRP备份组监控接口状态。

2. 为了实现主备备份方式，需要将USG_A的VRRP备份组加入Active管理组， USG_B的VRRP备份组加入Standby管理组，由管理组统一监控接口状态。

3. 为了使内网用户能够使用公网IP地址访问Internet，需要配置Trust与Untrust域间的源NAT。

由于NAT地址池中的地址与VRRP备份组的虚拟IP地址在同一网段，为了避免业务冲突，需要配置NAT地址池与管理组绑定。

4. 为了使USG_B能够备份USG_A的关键配置命令和会话表状态信息，需要在两台USG上指定HRP备份通道，然后启用HRP功能。

5. 为了保证正常情况下路由可达，且主备设备状态切换后流量能够被正确地引导到备用设备上，需要在内网的PC或设备上配置静态路由，下一跳为VRRP备份组的虚拟IP地址。

操作步骤步骤1 在USG_A上配置各个接口的IP地址，并将接口加入安全区域。

1. 选择“网络 > 接口 > 接口”。

2. 在“接口列表”中，单击GE0/0/1对应的，显示“修改GigabitEthernet”界面。

GE0/0/1的相关参数如下，其他参数使用默认值：l 安全区域： untrustl 模式：路由l 连接类型：静态IPl IP地址： 10.2.0.1l 子网掩码： 255.255.255.03. 单击“应用”。

Quidway Eudemon300/500/1000配置指南可靠性分册目录目录1双机热备份配置 (1)1.1简介 (2)1.1.1总体概述 (2)1.1.2VRRP概述 (4)1.1.3VGMP概述 (5)1.1.4备份方式分类 (6)1.1.5HRP应用 (10)1.1.6配置设备的主从划分 (10)1.1.7配置命令和状态信息的备份 (11)1.1.8双机热备份的组网方式 (12)1.1.9报文来回路径不一致的组网 (13)1.2配置VRRP备份组 (18)1.2.1建立配置任务 (18)1.2.2配置未加入VRRP管理组的VRRP备份组 (18)1.2.3配置加入VRRP管理组的VRRP备份组 (19)1.2.4检查配置结果 (20)1.3配置VRRP管理组 (21)1.3.1建立配置任务 (21)1.3.2配置路由模式下的VRRP管理组 (22)1.3.3配置混合模式下的VRRP管理组 (23)1.3.4检查配置结果 (24)1.4配置双机热备份 (24)1.4.1建立配置任务 (24)1.4.2配置来回路径一致时的双机热备份 (26)1.4.3检查配置结果 (26)1.5配置来回路径不一致时的链路可达性检查 (27)1.5.1建立配置任务 (27)1.5.2检查链路可达性 (27)1.6使能来回路径不一致时的会话快速备份和报文搬迁 (28)1.6.1建立配置任务 (28)目录Quidway Eudemon300/500/1000配置指南可靠性分册1.6.2使能会话快速备份 (29)1.6.3使能报文搬迁 (29)1.7配置备防火墙上的NAT (30)1.7.1建立配置任务 (30)1.7.2配置备防火墙上的NAT (30)1.7.3配置备防火墙上的内部服务器 (30)1.8维护 (31)1.8.1调试VRRP报文、状态和定时器 (31)1.8.2调试VRRP管理组 (31)1.8.3调试HRP (31)1.8.4检查两端配置的一致性 (32)1.8.5查看IP链路状态 (32)1.8.6调试IP链路 (32)1.8.7调试HRP配置检查功能 (33)1.9配置举例 (33)1.9.1配置使用VRRP管理组的主备备份示例 (33)1.9.2配置使用VRRP管理组的负载分担示例 (37)1.9.3配置混合模式下的使用VRRP管理组的主备备份示例 (42)1.9.4配置路由模式下的双机热备份示例 (45)1.9.5配置混合模式下的双机热备份示例 (46)1.9.6配置OSPF和双机热备份混合组网示例 (48)1.9.7配置IP link示例 (56)1.9.8配置两端状态一致性检查 (58)1.9.9配置会话快速备份 (60)1.9.10配置报文搬迁 (61)Quidway Eudemon300/500/1000配置指南可靠性分册插图目录插图目录图1-1来回路径一致组网图 (2)图1-2来回路径不一致组网图 (3)图1-3采用缺省路由的组网 (4)图1-4采用VRRP的虚拟路由器组网 (4)图1-5Eudemon备份的典型组网 (5)图1-6Eudemon备份的状态 (5)图1-7主备备份组网 (6)图1-8负载分担组网（1） (7)图1-9负载分担组网（2） (9)图1-10Eudemon主备备份的典型数据路径 (10)图1-11来回路径不一致组网图 (13)图1-12H型结构 (14)图1-13h型结构 (15)图1-14N型结构 (16)图1-15|-型结构 (17)图1-16使用VRRP管理组的主备备份组网 (34)图1-17使用VRRP管理组的负载分担组网 (38)图1-18混合模式下的VRRP管理组的主备备份组网图 (42)图1-19混合模式下的双机热备分组网图 (47)图1-20OSPF和双机热备份混合组网图 (49)图1-21采用路由器的双机热备分组网图 (56)图1-22配置两端状态一致性检查组网图 (59)图1-23配置会话快速备份 (60)Quidway Eudemon300/500/1000配置指南可靠性分册表格目录表格目录表1-1主备备份方式下各设备的状态 (7)表1-2负载分担方式下各设备的状态（1） (8)表1-3负载分担方式下各设备的状态（2） (8)表1-4检查VRRP备份组配置 (20)表1-5检查VRRP管理组配置 (24)表1-6检查双机热备配置 (26)表1-7调试VRRP报文、状态和定时器的相关操作 (31)表1-8调试VRRP管理组的相关操作 (31)表1-9调试HRP的相关操作 (31)表1-10查看IP链路状态 (32)表1-11调试IP链路的相关操作 (33)表1-12调试HRP配置检查功能的相关操作 (33)Quidway Eudemon300/500/1000配置指南可靠性分册1双机热备份配置1双机热备份配置关于本章本章描述内容如下表所示。

华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。

华为USG防火墙是一款功能强大的网络安全设备，可用于保护企业网络免受网络攻击和安全威胁。

2. 配置步骤2.1 硬件连接在配置USG防火墙之前，请确保正确连接好相关硬件设备，包括USG防火墙、路由器和服务器等。

2.2 登录USG防火墙使用SSH客户端等工具，输入USG防火墙的IP地址和管理员账号密码进行登录。

2.3 配置基本参数登录USG防火墙后，根据实际需求配置以下基本参数：- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换（NAT）根据实际网络环境，配置网络地址转换（NAT）功能。

NAT 功能可以将内部IP地址转换为合法的公网IP地址，实现内网和外网的通信。

2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限，确保只有授权的用户或设备可以访问特定网络资源。

2.6 配置安全服务华为USG防火墙提供多种安全服务功能，例如防病毒、入侵检测和内容过滤等。

根据实际需求，配置相应的安全服务功能。

2.7 配置远程管理和监控配置远程管理和监控功能，可以通过远程管理工具对USG防火墙进行实时监控和管理。

3. 常见问题解答3.1 如何查看防火墙日志？登录USG防火墙的Web界面，找到"日志"选项，可以查看防火墙的各种日志信息，包括安全事件、连接记录等。

3.2 如何升级USG防火墙固件版本？4. 其他注意事项- 在配置USG防火墙之前，请先备份原有的配置文件，以防配置错误或损坏设备。

- 请勿将USG防火墙暴露在不安全的网络环境中，以免受到未授权的访问和攻击。

以上是华为USG防火墙的配置手册，希望能帮助到您。

如有其他问题，请随时联系我们的技术支持。

华为USG防火墙基本配置-电脑资料学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防火墙配置的方法掌握在防火墙上配置vlan、地址接口、测试基本连通性的方法拓扑图学习任务步骤一.登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样，有一个Console接口，。

使用console线缆将console接口和计算机的com口连接在一块。

使用windows操作系统自带的超级终端软件，即可连接到防火墙。

防火墙的缺省配置中，包括了用户名和密码。

其中用户名为admin、密码Admin@123，所以登录时需要输入用户名和密码信息，输入时注意区分大小写。

修改防火墙的名称的方法与修改路由器名称的方法一致。

另外需要注意的是，由于防火墙和路由器同样使用了VRP平台操作系统，所以在命令级别、命令帮助等，与路由器上相应操作相同。

sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04步骤二.修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00步骤三。

防⽕墙双机热备概念双机热备的⼯作原理 1、双机热备概述 a) 双机热备是通过部署两台或多台防⽕墙实现热备及负载均衡 b) 双机热备功能是通过提供⼀条⼼跳线，协商防⽕墙之间的主备状态及备份会话表和server-map表 c) 备⽤设备实时从主⽤设备下载当前的会话表及server-map表 d) 要求：1. ⼼跳线的接⼝加⼊相同的安全区域2. ⼼跳线接⼝的设备编号必须⼀致 e) 两种模式：1. 热备模式：⼀台转发数据，其他不转发，但会同步会话表及server-map表2. 负载均衡模式：多台防⽕墙同时转发数据，相互为备⽤设备 2、 VRRP a) 概述1. VRRP：虚拟路由冗余协议2. VRRP技术可以解决⽹关⾃动切换的问题3. 概念：1. VRRP路由器：运⾏VRRP协议的路由器2. 虚拟路由器：⼀个主路由器和若⼲备⽤路由器组成备份组，对客户提供⼀个虚拟⽹关3. VRID：虚拟路由器标识4. 虚拟IP地址：客户⽹关ip，主⽤设备提供该IP地址的ARP响应5. 虚拟Mac地址6. IP地址拥有者，虚拟ip为某个设备端⼝ip7. 优先级：选举主⽤设备8. 抢占模式：9. ⾮抢占模式4. VRRP和HSRP对⽐1. VRRP公有协议，HSRP是cisco私有2. VRRP虚拟ip可以是接⼝ip，HSRP不可以3. VRRP的虚拟MAC地址前缀为：00-00-5e-00-01-VRIP HSRP的虚拟Mac地址前缀为：00-00-0c-07-ac-组号 4.VRRP有三个状态，HSRP有五个状态 5.VRRP只有⼀种报⽂，HSRP有三种报⽂ 6.VRRP不⽀持端⼝追踪，HSRP⽀持 b) VRRP⾓⾊1. Master 路由器：主2. Backup路由器：备 c) VRRP状态机1. Initialize状态：初始状态2. Master状态：主⽤路由器3. Backup状态：备⽤路由器 先经历backup状态，再到master状态 d) VRRP的⼯作原理1. 选举：优先级（⾼）——接⼝IP（数值⼤）2. 默认优先级为100，IP地址拥有者2553. 主周期性（每1秒）向备发送VRRP通告4. 抢占：优先级⼤的随时成为主 ⾮抢占：下次公平选举 3、 VGMP a) 让防⽕墙上⾏和下⾏都具备⽹关冗余特性 b) VGMP：VRRP组管理协议，实现对VRRP备份组的统⼀管理 c) ⼯作原理：1. VGMP组的状态决定了VRRP备份组的状态2. VGMP组的状态通过对⽐优先级决定 优先级⾼：VGMP组状态为active 优先级低：VGMP组状态为standby 3. 默认，VGMP组优先级为45000 4. VGMP组根据组内VRRP备份组状态决定， ⼀旦检测到备份组状态变为initialize，VGRP组优先级⾃动减2 5. VGMP通过⼼跳线协商VGMP d) VGMP的报⽂封装1. ⼼跳线直连或通过⼆层交换机互联：发送组播报⽂，报⽂不携带UDP头部信息2. ⼼跳线通过三层路由器互联：发送单播报⽂，携带UDP头部信息3. [USG6000V1] hrp int g1/0/0 //发送组播报⽂4. [USG6000V1] hrp int g1/0/0 remote 1.1.1.1 //发送单播报⽂ Remote：表⽰封装UDP报⽂， 1.1.1.1：⼼跳线对端设备的ip地址 e) 双机热备的备份⽅式：1. ⾃动备份：默认开启，⾃动备份命令和状态2. ⼿⼯批量备份：⼿动备份命令和状态3. 快速备份：不同步配置命令，只同步状态信息4. [USG6000V1] hrp enable //开启双机热备5. HRP_S[USG6000V1] hrp auto-sync //配置⾃动备份模式6. HRP_S<USG6000V1> hrp auto-sync [ config | connection-status ] //配置⼿⼯配置模式，⽤户模式下执⾏1. Config：⼿⼯同步命令配置2. Connection-status：⼿⼯同步状态信息7. HRP_S[USG6000V1] hrp mirror session enable //配置快速备份模式。