1. 概述
本操作手册提供了华为防火墙双机热备配置的详细步骤和指导。双机热备是一种高可用性解决方案,通过配置两台防火墙实现主备冗余,当主防火墙发生故障时,备防火墙能够自动接管业务,确保网络的连续性和可靠性。
本手册适用于华为 USG6000 系列防火墙,配置基于 VRRP(虚拟路由冗余协议)和 HRP(华为冗余协议)实现。
2. 网络拓扑
2.1 拓扑结构
本配置采用以下网络拓扑:
两台防火墙:FW1 (主) 和 FW2 (备)
内网区域:Trust (192.168.1.0/24)
外网区域:Untrust (202.10.10.0/24)
心跳线:Heartbeat (10.10.10.0/30)
2.2 IP 地址规划
| 设备 | 接口 | IP 地址 | 区域 | 用途 |
|---|---|---|---|---|
| FW1 (主) | GigabitEthernet1/0/1 | 192.168.1.253/24 | Trust | 内网接口 |
| FW1 (主) | GigabitEthernet1/0/2 | 202.10.10.253/24 | Untrust | 外网接口 |
| FW1 (主) | GigabitEthernet1/0/3 | 10.10.10.1/30 | DMZ | 心跳线接口 |
| FW2 (备) | GigabitEthernet1/0/1 | 192.168.1.254/24 | Trust | 内网接口 |
| FW2 (备) | GigabitEthernet1/0/2 | 202.10.10.254/24 | Untrust | 外网接口 |
| FW2 (备) | GigabitEthernet1/0/3 | 10.10.10.2/30 | DMZ | 心跳线接口 |
| 虚拟 IP (VIP) | 内网虚拟 IP | 192.168.1.254/24 | – | 内网客户端网关 |
| 虚拟 IP (VIP) | 外网虚拟 IP | 202.10.10.254/24 | – | 外网通信 IP |
3. 配置准备
3.1 硬件准备
两台华为 USG6000 系列防火墙(主备设备)
足够数量的网线
配置终端(PC 或笔记本)
配置线缆(Console 线)
3.2 软件准备
防火墙软件版本(建议使用稳定版本,如 V500R005C30 或更高版本)
配置终端上安装的终端仿真软件(如 SecureCRT、PuTTY 等)
3.3 配置前检查
确保两台防火墙硬件状态正常,各接口指示灯正常
确认防火墙软件版本一致
检查防火墙 License 是否包含高可用性特性
备份现有配置(如有)
4. 基础网络配置
4.1 连接防火墙
使用 Console 线连接 PC 和防火墙的 Console 口
打开终端仿真软件,设置连接参数:
波特率:9600
数据位:8 位
停止位:1 位
校验位:无
流控:无
4.2 配置 FW1 (主防火墙)
进入系统视图:
<FW1> system-view
配置内网接口:
[FW1] interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1] ip address 192.168.1.253 255.255.255.0
[FW1-GigabitEthernet1/0/1] quit
配置外网接口:
[FW1] interface GigabitEthernet1/0/2
[FW1-GigabitEthernet1/0/2] ip address 202.10.10.253 255.255.255.0
[FW1-GigabitEthernet1/0/2] quit
配置心跳线接口:
[FW1] interface GigabitEthernet1/0/3
[FW1-GigabitEthernet1/0/3] ip address 10.10.10.1 255.255.255.252
[FW1-GigabitEthernet1/0/3] quit
配置安全区域:
[FW1] firewall zone trust
[FW1-zone-trust] add interface GigabitEthernet1/0/1
[FW1-zone-trust] quit
[FW1] firewall zone untrust
[FW1-zone-untrust] add interface GigabitEthernet1/0/2
[FW1-zone-untrust] quit
[FW1] firewall zone dmz
[FW1-zone-dmz] add interface GigabitEthernet1/0/3
[FW1-zone-dmz] quit
4.3 配置 FW2 (备防火墙)
进入系统视图:
<FW2> system-view
配置内网接口:
[FW2] interface GigabitEthernet1/0/1
[FW2-GigabitEthernet1/0/1] ip address 192.168.1.254 255.255.255.0
[FW2-GigabitEthernet1/0/1] quit
配置外网接口:
[FW2] interface GigabitEthernet1/0/2
[FW2-GigabitEthernet1/0/2] ip address 202.10.10.254 255.255.255.0
[FW2-GigabitEthernet1/0/2] quit
配置心跳线接口:
[FW2] interface GigabitEthernet1/0/3
[FW2-GigabitEthernet1/0/3] ip address 10.10.10.2 255.255.255.252
[FW2-GigabitEthernet1/0/3] quit
配置安全区域:
[FW2] firewall zone trust
[FW2-zone-trust] add interface GigabitEthernet1/0/1
[FW2-zone-trust] quit
[FW2] firewall zone untrust
[FW2-zone-untrust] add interface GigabitEthernet1/0/2
[FW2-zone-untrust] quit
[FW2] firewall zone dmz
[FW2-zone-dmz] add interface GigabitEthernet1/0/3
[FW2-zone-dmz] quit
4.4 验证基础配置
在 FW1 上验证接口配置:
[FW1] display ip interface brief
在 FW2 上验证接口配置:
[FW2] display ip interface brief
测试心跳线连通性:
在 FW1 上执行:
[FW1] ping 10.10.10.2
在 FW2 上执行:
[FW2] ping 10.10.10.1
确保所有接口配置正确,心跳线能够正常通信。
5. VRRP 热备配置
5.1 配置 FW1 (主防火墙) VRRP
配置内网 VRRP 组:
[FW1] interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 192.168.1.254
[FW1-GigabitEthernet1/0/1] vrrp vrid 1 priority 120
[FW1-GigabitEthernet1/0/1] vrrp vrid 1 preempt-mode timer delay 30
[FW1-GigabitEthernet1/0/1] vrrp vrid 1 track interface GigabitEthernet1/0/2 reduce 30
[FW1-GigabitEthernet1/0/1] vrrp vrid 1 track interface GigabitEthernet1/0/3 reduce 40
[FW1-GigabitEthernet1/0/1] quit
配置外网 VRRP 组:
[FW1] interface GigabitEthernet1/0/2
[FW1-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 202.10.10.254
[FW1-GigabitEthernet1/0/2] vrrp vrid 2 priority 120
[FW1-GigabitEthernet1/0/2] vrrp vrid 2 preempt-mode timer delay 30
[FW1-GigabitEthernet1/0/2] vrrp vrid 2 track interface GigabitEthernet1/0/1 reduce 30
[FW1-GigabitEthernet1/0/2] vrrp vrid 2 track interface GigabitEthernet1/0/3 reduce 40
[FW1-GigabitEthernet1/0/2] quit
5.2 配置 FW2 (备防火墙) VRRP
配置内网 VRRP 组:
[FW2] interface GigabitEthernet1/0/1
[FW2-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 192.168.1.254
[FW2-GigabitEthernet1/0/1] vrrp vrid 1 priority 100
[FW2-GigabitEthernet1/0/1] quit
配置外网 VRRP 组:
[FW2] interface GigabitEthernet1/0/2
[FW2-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 202.10.10.254
[FW2-GigabitEthernet1/0/2] vrrp vrid 2 priority 100
[FW2-GigabitEthernet1/0/2] quit
5.3 VRRP 配置说明
VRRP 组 ID:使用 VRID 1 和 VRID 2 分别对应内网和外网接口
虚拟 IP:配置了 192.168.1.254 和 202.10.10.254 作为内网和外网的虚拟 IP
优先级设置:主防火墙优先级为 120,备防火墙为 100,确保主防火墙优先成为 Master
抢占延迟:设置为 30 秒,避免网络抖动导致频繁切换
接口跟踪:监控关键接口状态,当接口故障时降低优先级,实现自动切换
5.4 验证 VRRP 配置
在 FW1 上查看 VRRP 状态:
[FW1] display vrrp brief
输出应显示 VRID 1 和 VRID 2 的状态为 Master,优先级为 120。
在 FW2 上查看 VRRP 状态:
[FW2] display vrrp brief
输出应显示 VRID 1 和 VRID 2 的状态为 Backup,优先级为 100。
测试 VRRP 切换功能:
临时关闭 FW1 的内网接口:
[FW1] interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1] shutdown
再次查看 FW2 的 VRRP 状态,VRID 1 应变为 Master 状态
恢复 FW1 的内网接口:
[FW1-GigabitEthernet1/0/1] undo shutdown
等待 30 秒后,查看 FW1 的 VRRP 状态,VRID 1 应恢复为 Master 状态
6. HRP (华为冗余协议) 配置
6.1 配置 FW1 (主防火墙) HRP
配置 HRP 系统 ID:
[FW1] hrp system-id 1
配置心跳接口:
[FW1] hrp interface GigabitEthernet1/0/3 remote-ip 10.10.10.2
配置备份组:
[FW1] hrp mirror session enable
启用 HRP:
[FW1] hrp enable
6.2 配置 FW2 (备防火墙) HRP
配置 HRP 系统 ID:
[FW2] hrp system-id 1
配置心跳接口:
[FW2] hrp interface GigabitEthernet1/0/3 remote-ip 10.10.10.1
配置备份组:
[FW2] hrp mirror session enable
启用 HRP:
[FW2] hrp enable
6.3 HRP 配置说明
系统 ID:两台防火墙必须使用相同的系统 ID(如 1)
心跳接口:配置专用的心跳线接口,确保主备设备间通信可靠
会话同步:启用会话同步功能,确保主备切换时业务不中断
HRP 启用:最后启用 HRP 功能,开始同步配置和会话
6.4 验证 HRP 配置
在 FW1 上查看 HRP 状态:
[FW1] display hrp state
输出应显示为 Normal,表示 HRP 状态正常。
查看 HRP 接口状态:
[FW1] display hrp interface
确认心跳接口状态为 Up。
查看会话同步统计信息:
[FW1] display hrp session statistics
确认会话能够正常同步。
检查配置同步情况:
在 FW1 上执行保存配置:
[FW1] save
等待片刻后,在 FW2 上查看配置:
[FW2] display current-configuration
确认 FW2 的配置已与 FW1 同步
7. 安全策略配置
7.1 配置安全策略
在两台防火墙上配置相同的安全策略:
[FW1] security-policy
[FW1-policy-security] rule name trust-to-untrust
[FW1-policy-security-rule-trust-to-untrust] source-zone trust
[FW1-policy-security-rule-trust-to-untrust] destination-zone untrust
[FW1-policy-security-rule-trust-to-untrust] source-address any
[FW1-policy-security-rule-trust-to-untrust] destination-address any
[FW1-policy-security-rule-trust-to-untrust] service any
[FW1-policy-security-rule-trust-to-untrust] action permit
[FW1-policy-security-rule-trust-to-untrust] quit
[FW1-policy-security] rule name untrust-to-trust
[FW1-policy-security-rule-untrust-to-trust] source-zone untrust
[FW1-policy-security-rule-untrust-to-trust] destination-zone trust
[FW1-policy-security-rule-untrust-to-trust] source-address any
[FW1-policy-security-rule-untrust-to-trust] destination-address any
[FW1-policy-security-rule-untrust-to-trust] service any
[FW1-policy-security-rule-untrust-to-trust] action deny
[FW1-policy-security-rule-untrust-to-trust] quit
[FW1-policy-security] quit
7.2 验证安全策略
查看安全策略配置:
[FW1] display security-policy rule
验证安全策略是否生效:
从内网主机 ping 外网 IP
从外网主机 ping 内网 IP
预期结果:内网主机可以 ping 通外网,外网主机无法 ping 通内网。
8. 高级配置选项(可选)
8.1 配置双机热备自动恢复
默认情况下,当主防火墙恢复后会自动抢占成为 Master。如果需要配置手动恢复,可以在两台防火墙上执行:
[FW1] hrp auto-recovery disable
[FW2] hrp auto-recovery disable
8.2 配置会话快速老化
为了减少主备切换时的会话丢失,可以配置会话快速老化:
[FW1] firewall session aging-timeout icmp 30
[FW1] firewall session aging-timeout tcp 1800
[FW1] firewall session aging-timeout udp 300
8.3 配置 HRP 备份组
可以配置特定的备份组,只同步特定的配置:
[FW1] hrp group 1
[FW1-hrp-group-1] mirror configuration
[FW1-hrp-group-1] mirror session
[FW1-hrp-group-1] quit
9. 监控与维护
9.1 日常监控命令
查看 VRRP 状态:
display vrrp brief
查看 HRP 状态:
display hrp state
查看 HRP 会话同步情况:
display hrp session statistics
查看设备角色:
display hrp interface
查看接口状态:
display ip interface brief
9.2 主备切换测试
定期进行主备切换测试,确保高可用性配置正常工作:
临时关闭主防火墙的心跳接口:
[FW1] interface GigabitEthernet1/0/3
[FW1-GigabitEthernet1/0/3] shutdown
观察 VRRP 状态变化,确认备防火墙已接管业务:
[FW2] display vrrp brief
恢复主防火墙的心跳接口:
[FW1-GigabitEthernet1/0/3] undo shutdown
等待抢占延迟时间后,确认主防火墙已恢复 Master 状态:
[FW1] display vrrp brief
9.3 故障处理
主备设备无法通信:
检查心跳线连接是否正常
检查心跳接口 IP 配置是否正确
使用 ping 命令测试心跳线连通性
HRP 状态异常:
检查两台设备的 HRP 配置是否一致
检查系统 ID 是否相同
检查 HRP 是否已启用
会话同步失败:
确认 hrp mirror session enable 命令已执行
检查防火墙资源是否充足
尝试重启 HRP 服务
VRRP 切换异常:
检查 VRRP 优先级配置
确认抢占模式和延迟配置
检查接口跟踪配置是否正确
10. 注意事项
配置一致性:两台防火墙的基本配置(如接口 IP、安全区域、安全策略等)应保持一致,确保主备切换后网络正常运行。
资源需求:双机热备需要额外的 CPU、内存和网络资源,特别是在会话同步时。请确保设备资源充足。
心跳线可靠性:心跳线是主备设备通信的关键,建议使用专用物理链路,并配置冗余心跳线提高可靠性。
备份配置:每次修改配置后,应及时保存并备份配置文件,以便在需要时恢复。
定期测试:定期进行主备切换测试,确保高可用性配置正常工作。测试应在非业务高峰期进行。
软件版本:两台防火墙应使用相同的软件版本,避免因版本差异导致的兼容性问题。
License 检查:确保两台防火墙都具有高可用性特性的 License 授权。
监控告警:配置适当的监控和告警机制,及时发现和处理高可用性配置中的异常情况。
11. 附录
11.1 常见命令汇总
| 命令 | 功能描述 |
|---|---|
display vrrp brief |
查看 VRRP 状态摘要 |
display hrp state |
查看 HRP 状态 |
display hrp interface |
查看 HRP 接口状态 |
display hrp session statistics |
查看 HRP 会话同步统计信息 |
display ip interface brief |
查看接口 IP 配置摘要 |
display security-policy rule |
查看安全策略规则 |
save |
保存当前配置 |
hrp auto-recovery disable |
禁用 HRP 自动恢复 |
11.2 具体配置获取可在我附件资源获取具体配置
暂无评论内容