華為防火墻配置（雙機熱備）

前言

華為防火墻部署在網(wǎng)絡(luò)出口位置時，如果發(fā)生故障會影響到整網(wǎng)業(yè)務(wù)，為提升網(wǎng)絡(luò)的可靠性，需要部署兩臺華為防火墻并組成雙機熱備

一、雙機熱備概述

1、雙機熱備介紹

雙機熱備需要兩臺硬件和軟件配置均相同的華為防火墻，兩臺華為防火墻之間通過一條獨立的鏈路連接，這條鏈路通常被稱之為“心跳線”，兩臺華為防火墻通過心跳線了解對端的健康狀況，向?qū)Χ藗浞菖渲煤捅眄棧ㄈ鐣挶怼PSec SA等），當(dāng)一臺防火墻出現(xiàn)故障時，業(yè)務(wù)流量能平滑地切換到另一臺設(shè)備上處理，使業(yè)務(wù)不中斷

2、雙機熱備的要求

（1）硬件要求

組成雙機熱備的兩臺防火墻的型號必須相同，安裝的單板類型、數(shù)量以及單板安裝的位置必須相同，對于USG6680E和USG6712E/6716E，要求組成雙機熱備的兩臺同型號設(shè)備的BomID Version匹配，即BomID Version為000、001、002的設(shè)備不能與BomID Verison為003及其之后的同型號設(shè)備組建雙機熱備環(huán)境，其中，BomID Version可通過display version查看

兩臺防火墻的硬盤配置可以不同，例如，一臺防火墻安裝硬盤，另一臺防火墻不安裝硬盤，不會影響雙機熱備的運行，但未安裝硬盤的防火墻日志存儲量將遠(yuǎn)低于安裝了硬盤的防火墻，而且部分日志和報表功能不可用

（2）軟件要求

組成雙機熱備的兩臺防火墻的系統(tǒng)軟件版本、系統(tǒng)補丁版本、動態(tài)加載的組件包、特征庫版本、HASH選擇CPU模式以及HASH因子都必須相同，實際上，在系統(tǒng)軟件版本升級或回退的過程中，兩臺防火墻可以暫時運行不同版本的系統(tǒng)軟件

（3）License要求

雙機熱備功能自身不需要License，但對于其他需要License的功能，如IPS、反病毒等功能，組成雙機熱備的兩臺防火墻需要分別申請和加載License，兩臺防火墻之間不能共享License，兩臺防火墻的License控制項種類、資源數(shù)量、升級服務(wù)到期時間都要相同

3、心跳線

雙機熱備組網(wǎng)中，心跳線是兩臺防火墻交互消息了解對端狀態(tài)以及備份配置命令和各種表項的通道，心跳線兩端的接口通常被稱之為“心跳接口”，心跳線主要傳遞如下消息

心跳報文（Hello報文）：兩臺防火墻通過定期（默認(rèn)周期為1秒）互相發(fā)送心跳報文檢測對端設(shè)備是否存活

VGMP報文：了解對端設(shè)備的VGMP組的狀態(tài)，確定本端和對端設(shè)備當(dāng)前狀態(tài)是否穩(wěn)定，是否要進(jìn)行故障切換

配置和表項備份報文：用于兩臺防火墻同步配置命令和狀態(tài)信息

心跳鏈路探測報文：用于檢測對端設(shè)備的心跳口能否正常接收本端設(shè)備的報文，確定是否有心跳接口可以使用

配置一致性檢查報文：用于檢測兩臺防火墻的關(guān)鍵配置是否一致，如安全策略、NAT等

上述報文均不受防火墻的安全策略控制，因此，不需要針對這些報文配置安全策略

4、心跳線和心跳接口的配置

心跳接口的連線方式可以是直連，也可以通過交換機或路由器連接，建議將組成雙機熱備的兩臺防火墻安裝在同一個機架或者相鄰的機架上，心跳接口使用網(wǎng)線或者光纖直連

對于USG6680E和USG6712E/6716E，請使用專門的兩個HA接口作為心跳接口，這兩個HA接口默認(rèn)已加入Eth-Trunk 65535接口，且不允許從Eth-Trunk 65535移出作為業(yè)務(wù)接口使用，有關(guān)HA接口的詳細(xì)介紹，請參見設(shè)備支持的接口類型，如果兩個HA接口的帶寬仍不滿足使用需求，支持將其他以太網(wǎng)接口加入Eth-Trunk 65535接口，以增加備份通道的帶寬

對于其他未提供專門HA接口的機型，建議規(guī)劃專門的接口作為心跳接口，該接口只用來發(fā)送心跳報文、備份報文等雙機熱備功能相關(guān)的報文，不要將業(yè)務(wù)報文引導(dǎo)到該接口上轉(zhuǎn)發(fā)，同時，建議將多個以太網(wǎng)接口綁定成Eth-Trunk接口，使用Eth-Trunk作為心跳接口，這樣既提高了鏈路的可靠性，又可以增加備份通道的帶寬

心跳接口需要發(fā)送業(yè)務(wù)相關(guān)的表項備份報文，心跳接口的流量大小與業(yè)務(wù)流量大小有關(guān)，心跳接口的帶寬建議不低于峰值業(yè)務(wù)流量的30%

建議至少配置2個心跳接口，一個心跳接口作為主用，另一個心跳接口作為備份

5、心跳線和心跳接口的配置注意事項

MGMT接口（MEth0/0/0）不能作為心跳接口

配置了vrrp virtual-mac enable命令的接口不能用作心跳接口

兩臺防火墻心跳接口的類型、接口編號、鏈路協(xié)議類型必須相同，如果使用Eth-Trunk接口作為心跳接口，Eth-Trunk接口的成員接口也要相同，如果使用VLAN接口（VLANIF）作為心跳接口，實際收發(fā)報文的二層物理接口也必須相同

兩臺防火墻心跳接口必須加入相同的安全區(qū)域

接口MTU值小于1500的接口不能作為心跳接口，配置和表項備份報文的最大長度為1500字節(jié)，且報文不支持分片，如果心跳接口MTU值小于1500，會導(dǎo)致報文發(fā)送失敗

心跳接口通過交換機或路由器連接時，交換機或路由器上轉(zhuǎn)發(fā)心跳報文和備份報文的接口的MTU值不能小于1500

心跳接口非直連需要配置相關(guān)路由時，請正確配置路由，否則，shutdown/undo shutdown心跳接口后，心跳接口可能會進(jìn)入異常狀態(tài)，無法恢復(fù)，只能通過刪除該錯誤路由或者重新配置心跳接口才能解決，例如在主備設(shè)備任一設(shè)備上配置了一條靜態(tài)路由ip route-static dest-heartbeat-address 32 other-up-interface，其目的IP地址為對端心跳接口IP地址，下一跳出接口為任意其他狀態(tài)為up的接口，此時shutdown/undo shutdown該心跳接口，心跳接口將進(jìn)入異常運行狀態(tài)，無法恢復(fù)正常

如果防火墻上配置了虛擬系統(tǒng)，心跳接口不能是虛擬系統(tǒng)的接口，必須是根系統(tǒng)的接口，虛擬系統(tǒng)的配置命令和表項也能通過規(guī)劃在根系統(tǒng)的心跳接口備份到對端設(shè)備

6、雙機熱備工作模式

防火墻支持主備備份和負(fù)載分擔(dān)模式兩種運行模式

（1）主備備份模式

兩臺設(shè)備一主一備，正常情況下業(yè)務(wù)流量由主用設(shè)備處理，當(dāng)主用設(shè)備故障時，備用設(shè)備接替主用設(shè)備處理業(yè)務(wù)流量，保證業(yè)務(wù)不中斷，流量由單臺設(shè)備處理，相較于負(fù)載分擔(dān)模式，路由規(guī)劃和故障定位相對簡單

（2）負(fù)載分擔(dān)模式

兩臺設(shè)備互為主備，正常情況下兩臺設(shè)備共同分擔(dān)整網(wǎng)的業(yè)務(wù)流量，當(dāng)其中一臺設(shè)備故障時，另外一臺設(shè)備會承擔(dān)其業(yè)務(wù)，保證原本通過該設(shè)備轉(zhuǎn)發(fā)的業(yè)務(wù)不中斷

相較于主備備份模式，組網(wǎng)方案和配置相對復(fù)雜

負(fù)載分擔(dān)組網(wǎng)中使用入侵防御、反病毒等內(nèi)容安全檢測功能時，可能會因為流量來回路徑不一致導(dǎo)致內(nèi)容安全功能失效

負(fù)載分擔(dān)組網(wǎng)中配置NAT時，需要額外的配置來防止兩臺設(shè)備NAT資源分配沖突

負(fù)載分擔(dān)模式組網(wǎng)中流量由兩臺設(shè)備共同處理，可以比主備備份模式或鏡像模式組網(wǎng)承擔(dān)更大的峰值流量

負(fù)載分擔(dān)模式組網(wǎng)中設(shè)備發(fā)生故障時，只有一半的業(yè)務(wù)需要切換，故障切換的速度更快

7、VGMP組

VGMP（VRRP Group Management Protocol）協(xié)議是華為的私有協(xié)議，VGMP協(xié)議中定義了VGMP組，華為防火墻基于VGMP組實現(xiàn)設(shè)備主備狀態(tài)管理

每臺華為防火墻都有一個VGMP組，用戶不能刪除這個VGMP組，也不能再創(chuàng)建其他的VGMP組，VGMP組有優(yōu)先級和狀態(tài)兩個屬性，VGMP組優(yōu)先級決定了VGMP組的狀態(tài)

VGMP組優(yōu)先級是不可配置的，設(shè)備正常啟動后，會根據(jù)設(shè)備的硬件配置自動生成一個VGMP組優(yōu)先級，我們將這個優(yōu)先級稱之為初始優(yōu)先級，初始優(yōu)先級與CPU個數(shù)有關(guān)，當(dāng)設(shè)備發(fā)生故障時，VGMP組優(yōu)先級會降低

USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E的默認(rèn)優(yōu)先級是45002，其他型號默認(rèn)優(yōu)先級是45000

8、VGMP組的狀態(tài)

VGMP組有四種狀態(tài)：initialize、load-balance、active和standby，其中，initialize是初始化狀態(tài)，設(shè)備未啟用雙機熱備功能時，VGMP組處于這個狀態(tài)，其他三個狀態(tài)則是設(shè)備通過比較自身和對端設(shè)備VGMP組優(yōu)先級大小確定的，設(shè)備通過心跳線接收對端設(shè)備的VGMP報文，了解對端設(shè)備的VGMP組優(yōu)先級

設(shè)備自身的VGMP組優(yōu)先級等于對端設(shè)備的VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為load-balance

設(shè)備自身的VGMP組優(yōu)先級大于對端設(shè)備的VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為active

設(shè)備自身的VGMP組優(yōu)先級小于對端設(shè)備的VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為standby

設(shè)備沒有接收到對端設(shè)備的VGMP報文，無法了解到對端VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為active，例如，心跳線故障

雙機熱備要求兩臺設(shè)備的硬件型號、單板的類型和數(shù)量都要相同，因此，正常情況下兩臺設(shè)備的VGMP組優(yōu)先級是相等的，VGMP組狀態(tài)為load-balance，如果某一臺設(shè)備發(fā)生了故障，該設(shè)備的VGMP組優(yōu)先級會降低，故障設(shè)備的VGMP組優(yōu)先級小于無故障設(shè)備的VGMP組優(yōu)先級，故障設(shè)備的VGMP組狀態(tài)會變成standby，無故障設(shè)備的VGMP組狀態(tài)會變成active

華為防火墻能根據(jù)VGMP組的狀態(tài)調(diào)整VRRP備份組狀態(tài)、動態(tài)路由（OSPF、OSPFv3和BGP）的開銷值、VLAN的狀態(tài)以及接口的狀態(tài)（鏡像模式），從而實現(xiàn)主備備份或負(fù)載分擔(dān)模式的雙機熱備

二、雙機熱備配置

1、案例

2、配置過程

（1）USG1

（2）USG2

（3）AR1

（4）SW1

3、測試

（1）PC1

（2）PC2

結(jié)語

在具有多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）中，使用雙機熱備能在設(shè)備出現(xiàn)故障時仍然提供高可靠的網(wǎng)絡(luò)保障，可有效避免單一鏈路發(fā)生故障后的網(wǎng)絡(luò)中斷問題

TCP/IP 網(wǎng)絡(luò)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。