前言

一：华为防火墙双机热备理论

1.1：概念

• 平常多个VRRP备份组会存在状态不一致的问题，于是华为防火墙引入了VGMP来实现对VRRP备份组的统一管理，保证多个VRRP备份组状态的一致性。

• VGMP（VRRP Group Management Protocol）组管理协议：由于双机热备导致设备出问题时可能会来回路径不一致，因此，我们将防火墙上的所有VRRP备份组都加入到一个VGMP组中，由VGMP组来集中监控并管理所有的VRRP备份组状态。如果有一个VRRP备份组有状态变化，则全部VRRP备份组进行状态切换，保证各VRRP备份组状态的一致性。

  • 实现对VRRP备份组的统一管理
  • 保证设备在各个备份组中的状态一致性

• HRP（Huawei Redundancy Protocol）双机热备协议(华为冗余协议)：协议是承载在VGMP报文上进行传输的，用于主设备出现问题时，备能快速切换至主，同时保证了主备之间的配置命令和会话表状态信息同步。

• VGMP、HRP是华为私有协议

1.2：特点

• VGMP组的状态决定了VRRP备份组的状态
• VGMP组的状态通过比较优先级决定
• 默认情况下，VGMP组的优先级为45000
• 通过心跳线协商VGMP状态信息
• 一旦检测到备份组的状态变成Initialize状态，VGMP组的优先级会自动减2

1.3：华为防火墙双机热备的方式

• 1、自动备份：
  • 该模式下，和双机热备有关的配置命令只能再主用设备上配置，并自动同步到备用设备中，主用设备自动将装填信息同步到备设备中。该模式是华为防火墙默认开启模式，主要用于热备模式 hrp auto-sync
• 2、手工批量备份：
  • 该模式下，主要设备上所有的配置命令和状态信息，只有在手工执行执行批量备份命令时才会自动同步到备用设备，该模式主要用于主备设备配置不同步，需要立即进行同步的场景中
• 3、快速备份
  • 该模式下，不同步配置命令，只同步状态信息，在负载均衡方式的双机热备环境中，该模式必须启动，以快速更新状态信息

二：华为防火墙双机热备实验

2.1：环境

• 一台PC机，用于测试
• 两台三层交换机
• 两台USG6000V防火墙：做双机热备

2.2：拓扑图

2.3：实验目的

• 通过配置，实现华为防火墙的双机热备

2.4：实验过程

• 配置所有的IP地址

  '//此处以R1路由器为例，其他配置IP地址的方式都是一样的，不在赘述'
  <Huawei>sys
  Enter system view, return user view with Ctrl+Z.
  [Huawei]sysn R1
  [R1]int g0/0/0
  [R1-GigabitEthernet0/0/0]ip add 10.1.1.1 24
  [R1-GigabitEthernet0/0/0]un sh
  [R1-GigabitEthernet0/0/0]int loo 0
  [R1-LoopBack0]ip add 1.1.1.1 32
  [R1-LoopBack0]q
  '//下面是防火墙的登陆信息，需要注意'
  Username:admin
  Password:	'//输入aaa@qq.com'
  The password needs to be changed. Change now? [Y/N]: y
  Please enter old password: 	'//输入aaa@qq.com'
  Please enter new password: 	'//输入自定义新密码，如aaa@qq.com'
  Please confirm new password: 	'//重复输入自定义新密码'
  '//接下来就可以配置接口的IP地址了'
  

  

• 将防火墙接口加入相应的区域

  '//仅展示了FW1的操作，FW2的操作相同，不在赘述'
  [FW1]firewall zone trust
  [FW1-zone-trust]add int g1/0/2	
  [FW1-zone-trust]firewall zone dmz
  [FW1-zone-dmz]add int g1/0/1	
  [FW1]firewall zone untrust 
  [FW1-zone-untrust]add interface g1/0/0
  [FW1-zone-untrust]q
  

• 防火墙添加默认路由，R1路由器添加静态路由

  [R1]ip route-static 192.168.10.0 24 10.1.1.100
  [FW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
  [FW2]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1
  

• 配置防火墙安全规则

  '//FW1和FW2操作相同，此处仅展示FW1'
  '//配置心跳线的安全规则'
  [FW1]security-policy 
  [FW1-policy-security]rule name permit_heat
  [FW1-policy-security-rule-permit_heat]source-zone local
  [FW1-policy-security-rule-permit_heat]destination-zone dmz	
  [FW1-policy-security-rule-permit_heat]action permit 
  [FW1-policy-security-rule-permit_heat]q
  '//配置其他的安全规则'
  [FW1-policy-security]rule name permit_trust_untrust	
  [FW1-policy-security-rule-permit_trust_untrust]source-zone trust 	
  [FW1-policy-security-rule-permit_trust_untrust]destination-zone untrust 
  [FW1-policy-security-rule-permit_trust_untrust]action permit 
  [FW1-policy-security-rule-permit_trust_untrust]q
  

• 配置VRRP备份组

  '//FW1和FW2的配置相同，此处仅展示FW1的配置'
  [FW1]int g1/0/2
  [FW1-GigabitEthernet1/0/2]ip add 192.168.10.101 24	
  [FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.10.100 active 
  [FW1-GigabitEthernet1/0/2]un sh
  [FW1-GigabitEthernet1/0/2]q
  [FW1]int g1/0/0
  [FW1-GigabitEthernet1/0/0] ip address 10.1.1.101 255.255.255.0	
  [FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active 
  [FW1-GigabitEthernet1/0/0]un sh
  

• 配置心跳接口

  [FW1] hrp interface g1/0/1 remote 172.16.1.2
  
  [FW2] hrp interface g1/0/1 remote 172.16.1.1
  

• 启动双机热备

  [FW1] hrp enable
  
  [FW2] hrp enable
  '//两个都开启双机热备后，会发现[FW1]变成了HRP_M[FW1]（主），[FW2]变成了HRP_S[FW2]（从）'
  '//或者查看双机热备的状态信息，此处仅展示了FW1的操作，FW2的操作相同'
  HRP_M[FW1]dis hrp state
  2020-02-14 10:35:30.900 
   Role: active, peer: standby
   Running priority: 45000, peer: 45000
   Backup channel usage: 0.00%
   Stable time: 0 days, 0 hours, 1 minutes
   Last state change information: 2020-02-14 10:33:49 HRP core state changed, old_
  state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
  rity = 45000.
  

• 查看心跳接口状态

  HRP_M[FW1]dis hrp interface 	'//FW2操作相同'
  2020-02-14 10:36:21.260 
               GigabitEthernet1/0/1 : running
  

2.5：验证

• 进入SW1交换机，关闭e/0/01接口

  <Huawei>sys
  Enter system view, return user view with Ctrl+Z.
  [Huawei]sysn SW1
  [SW1]int e0/0/1
  [SW1-Ethernet0/0/1]shutdown	'//关闭接口'
  

• 回到FW1和FW2上查看双机热备状态

  HRP_S[FW1]dis hrp state	'//相同方式查看FW2'
  2020-02-14 10:40:29.350 
   Role: standby, peer: active (should be "active-standby")'//可以发现已经变成从了，FW2变成了主'
   Running priority: 44998, peer: 45000
   Backup channel usage: 0.00%
   Stable time: 0 days, 0 hours, 1 minutes
   Last state change information: 2020-02-14 10:39:09 HRP core state changed, old_
  state = normal, new_state = abnormal(standby), local_priority = 44998, peer_prio
  rity = 45000.
  
  

• 将交换机接口重新开启

  [SW1-Ethernet0/0/1]un sh
  

• 再次查看防火墙状态

  '//等到系统通告信息发出后，发现主又变回了FW1'
  HRP_M[FW1]dis hrp state
  2020-02-14 10:42:52.450 
   Role: active, peer: standby
   Running priority: 45000, peer: 45000
   Backup channel usage: 0.00%
   Stable time: 0 days, 0 hours, 0 minutes
   Last state change information: 2020-02-14 10:42:47 HRP core state changed, old_
  state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
  rity = 45000.
  

• 主又变回FW1了，因为当时在FW1的vrrp配置的时候选择了active，所以会变回来