华为防火墙双机热备

简介

介绍了双机热备的产生背景以及基本的功能。

现在各类各样的业务普遍部署在网络上，网络带宽也以指数级增加，网络短期的中断就可能影响大量业务，形成重大损失。高可靠性成为网络建设的关键因素。

如图1所示，设备1部署在网络节点处，内网用户的业务流量都经过设备1进行转发。若是设备1出现故障，内外网之间的网络业务将会所有中断。

图1 单条链路网络基本组网图

为了规避一台设备故障致使网络业务中断的风险，能够在网络节点处同时部署两台设备，造成双机热备组网。当其中一台设备出现故障时，业务流量能平滑地切换到备用设备上，保证业务不中断，使内外网用户交互的时候感知不到曾经出现过网络故障。

如图2所示，网络正常时业务流量经过设备1转发。当设备1发生故障时，业务流量切换到设备2，经过设备2转发，从而保证了业务的正常转发，加强了网络的可靠性。

图2 双机热备基本组网图

使用限制和注意事项

介绍双机热备中的使用限制，包括硬件限制、软件限制、与NAT结合使用的限制和与IPSec结合使用的限制。

硬件限制

• 目前只支持两台设备进行双机热备。
• 主备设备的产品型号和版本必须相同。
• 主备设备接口卡的位置、类型和数目都必须相同，不然会出现主用设备备份过去的信息，与备用设备的物理配置没法兼容，致使主备切换后出现问题。

软件限制

• 主备设备的软件版本必须一致。不然，不一样版本的软件的某些配置命令或会话表结构可能不一样，从而致使主备设备在备份配置命令和状态时产生错误。
• 主备设备的Bootrom版本必须一致。
• 建议主备设备的配置文件均为初始文件。不然，可能因为两台设备的配置冲突致使主备切换后出现问题。
• 主备设备须要选择相同的业务接口和心跳口。例如主用设备选择GigabitEthernet1/0/1做为业务接口，选择GigabitEthernet1/0/7做为心跳口，那么备用设备也须要这样选择。
• 主备设备的对应接口必须加入到相同的安全区域。如主用设备的GigabitEthernet1/0/1接口加入了Trust区域，那么备用设备的GigabitEthernet1/0/1接口也必须加入Trust区域。

• 配置了vrrp virtual-mac enable命令的接口不能用做心跳口。

• 心跳口的MTU值必须是缺省值1500。

• 主备设备业务接口的IP地址必须固定，所以双机热备特性不能与PPPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。
• 双机热备成功创建后，若是但愿使用Web界面更改“运行模式”（从“主备备份”切换成“负载分担”，或者从“负载分担”切换成“主备备份”），则必须先清空全部双机热备的配置。
• 使用engine overload action命令设置引擎过载时的处理动做时，若是选择block即丢弃报文保证安全优先时，主备切换后，已链接业务如FTP链接会受到影响须要从新链接；若是选择bypass即转发报文保证业务优先，则不须要从新链接。但代理类业务如ssl代理、邮件代理等不管选择block或bypass，在主备切换后均会受到影响，须要从新链接。

与NAT结合使用的限制

• 双机热备与NAT结合使用时，主备设备的上下行业务接口必须为三层接口。

• 在负载分担方式的双机热备组网中，配置地址池方式的源NAT策略时，若是只配置一个NAT地址池且不容许端口转换，两台NGFW可能会将不一样主机发来的流量的源IP地址转换成同一个IP地址，致使冲突。

  此时，建议您建立两个NAT地址池，针对不一样源IP的流量使用不一样的地址池进行NAT转换。例如，双机热备的两台设备为NGFW_A和NGFW_B，NGFW_A和NGFW_B分别处理10.1.1.1～10.1.1.128和10.1.1.129～10.1.1.254网段主机的流量。配置不容许端口转换的地址池方式源NAT时，须要建立两个NAT地址池addressgroup1和addressgroup2，并配置两条源NAT策略，将10.1.1.1～10.1.1.128网段主机发来流量的源地址转换为addressgroup1中的地址、将10.1.1.129～10.1.1.254网段主机发来流量的源地址转换为addressgroup2中的地址。

与IPSec结合使用的限制

• 双机热备与IPSec结合使用时，主备设备的创建隧道的业务接口必须为三层接口。
• 双机热备与IPSec结合使用时，双机热备和IPSec的配置与单独使用时没有区别。

• 主用设备配置的IPSec策略会备份到备用设备上，可是因为接口上的配置不会备份到备用设备，所以须要在备用设备的出接口上应用备份过来的IPSec策略。

• 配置双机热备

  介绍双机热备的Web配置方法。

  操做步骤

  1. 选择“系统 > 高可靠性 > 双机热备”。
  2. 单击“配置”。
  3. 选中“启用”前的复选框后，配置双机热备基本参数。具体参数解释以下：

     参数	说明
     运行模式	选择双机的运行模式。 主备备份：两台设备处于主备备份运行模式，一台为主用设备，一台为备用设备。 负载分担：两台设备处于负载分担运行模式，两台设备互为主备。 注意： 业务接口工做在二层且链接交换机时，必须选择“主备备份”。
     运行角色	在主备备份运行模式下，选择本设备是作主用设备仍是备用设备。当“运行模式”选择“主备备份”时，界面显示此配置项。
     心跳接口	选择心跳接口，心跳接口必须已经配置了IP地址。心跳接口用于两台设备之间备份配置和状态信息。 当两台设备的心跳接口经过交换机或路由器相连时，必须配置“对端接口IP”。“对端接口IP”即为对端设备的心跳接口IP地址。 说明： 不配置“对端接口IP”时，心跳报文为组播报文；配置了“对端接口IP”后，心跳报文为单播报文。 所以当配置了“对端接口IP”后，须要配置local区域与心跳接口所在区域间的安全策略，保证两台设备可以交互报文。 最多能够配置16个心跳接口，但只有最早配置的处于UP状态的心跳接口处于使用状态。单击，能够添加心跳接口。
     主动抢占	选择是否启用主动抢占功能。设备默认启用此功能，抢占延时为60秒。此功能仅在主用设备上生效。 主动抢占是指主用设备故障恢复后，从新切换成主用设备处理业务的过程。若是取消了主动抢占功能的配置，则主用设备故障恢复后，还是备用设备，不处理业务。 当设备的业务接口工做在二层，上下行链接路由器时，必须启用此功能。
     Hello报文周期	Hello报文周期默认为1000毫秒，建议使用默认值。若要修改此参数，必须保证两台设备配置的取值一致。 主备备份运行模式下，Hello报文周期是指主用设备向备用设备发送Hello报文的时间间隔。 负载分担运行模式下，Hello报文周期是指两台设备相互发送Hello报文的时间间隔。

  4. 配置虚拟IP地址（VRRP备份组）。
     说明：

     当业务接口工做在三层且链接交换机时，须要配置虚拟IP地址。
     1. 在“配置虚拟IP地址”下单击“新建”。
     2. 配置虚拟IP地址的参数。具体的配置原则和参数解释以下：

        • 若是“运行模式”为“主备备份”，须要在主用设备上将业务接口加入VRRP备份组，在备用设备上将相同的业务接口加入相同的VRRP备份组。

          如图1所示，NGFW_A的GE1/0/1接口加入VRRP备份组2，NGFW_B的GE1/0/1接口也加入VRRP备份组2。

        • 若是“运行模式”为“负载分担”，须要在NGFW_A上将一个业务接口加入两个VRRP备份组（其中一个“角色”为“主”，另外一个“角色”为“备”）。在NGFW_B上将相同的业务接口加入与NGFW_A相同的两个VRRP备份组（“角色”须要与NGFW_A相反）。

          如图1所示，NGFW_A的GE1/0/1接口加入VRRP备份组2（角色为主）和VRRP备份组4（角色为备），NGFW_B的GE1/0/1接口也加入VRRP备份组2（角色为备）和VRRP备份组4（角色为主）。

        图1 配置虚拟IP地址
        

        参数	说明
        VRID	VRRP备份组的ID。两台NGFW相同的接口应该配置VRID相同的VRRP备份组。 例如图1中NGFW_A与NGFW_B的GE1/0/1接口上都配置VRRP备份组2，VRID都为2。
        接口	配置VRRP备份组的接口，此接口应该是设备的上下行业务接口。 例如图1中两台NGFW的GE1/0/1和GE1/0/3接口。
        接口IP地址/掩码	选择“接口”后，此处自动显示接口的IP地址和掩码。 例如在NGFW_A上选择GE1/0/1，这里显示10.2.0.1/24。
        虚拟IP地址/掩码	输入VRRP备份组的虚拟IP，例如图1中的10.2.0.3/2四、10.3.0.3/2四、10.2.0.4/2四、10.3.0.4/24。 虚拟IP不能与接口IP相同。对于IPv4的VRRP备份组，若是虚拟IP与接口IP不在同一网段，则必须输入掩码。 虚拟IP是两台NGFW共同对外提供的IP地址。在上下行设备看来，两台NGFW是一台设备，接口IP为虚拟IP。所以当上下行设备配置静态路由时，须要将下一跳设置为虚拟IP。
        虚拟MAC	虚拟MAC地址是设备根据VRID生成的MAC地址，格式为：00-00-5E-00-01-{VRID}。一个VRID对应一个虚拟MAC地址。 在双机热备场景下，当对端设备对MAC地址有校验时，则必须启用虚MAC功能，不然主备设备切换后由于更换了MAC地址将致使报文被对端设备丢弃。
        Link-Local地址	对于IPv6的VRRP备份组，除了配置虚拟IP地址，还须要配置Link-Local地址。Link-Local地址是IPv6的VRRP备份组的链路本地地址。链路本地地址是前缀为FE80的IPv6的地址（如FE80::7），用于同一链路的相邻节点间通讯，有效域仅限于本地链路。配置VRRP备份组的虚拟IPv6地址时，必须同时为VRRP备份组配置一个Link-Local地址。
        角色	当“运行模式”选择“负载分担”时，界面显示此配置项。 这时若是一台设备的VRRP备份组的角色为主，那么另外一台设备的相同VRRP备份组（VRID相同）的角色必须为备。反之亦然，如图1所示。

     3. 单击“肯定”。

  5. 配置接口监控，如图2所示。
     说明：

     当业务接口工做在三层且链接路由器时，须要配置接口监控。选择的监控接口应该是设备的业务接口。
     图2 配置接口监控
     

     具体参数解释以下：

     参数	说明
     监控接口	选择须要监控的上行和下行业务接口。例如图2中的GE1/0/1和GE1/0/3。
     监控远程探测地址/域名	输入须要监控的非直链接口的IP地址或域名。例如图2中的公网地址“1.1.1.1”。 在哪一个接口后输入“监控远程探测地址/域名”就表明探测报文从哪一个接口发出。
     将所选监控接口加入到监控组	选中此复选框后，设备会将以前所选的“监控接口”加入到监控组中。 当监控组中的一个接口down时，全部接口状态都变成down。例如图2中接口GE1/0/1故障，GE1/0/3的状态也变成down。

  6. 单击“肯定”。

  后续处理

  配置完成后，选择“系统 > 高可靠性 > 双机热备”，查看双机热备的运行状况。具体参数解释以下：

  参数	说明
  当前运行模式	单机：没有运行双机热备时，显示此参数。 主备备份：运行在主备备份工做模式时，显示此参数。 负载分担：运行在负载分担工做模式时，显示此参数。
  当前运行角色	初始化：配置完成后，双机热备状态还没有创建时，设备显示此参数。 主用：双机热备状态正常创建后，主用设备显示此参数。 备用：双机热备状态正常创建后，备用设备显示此参数。 单击“详细”，查看设备主备状态切换的记录信息，包括：切换时间、切换内容和缘由。 单击“手动切换”，能够手动选择设备的运行角色。
  当前心跳接口	显示当前正在使用的心跳接口以及心跳接口的带宽使用率。
  主动抢占	显示是否启用主动抢占功能。
  配置一致性	显示两台设备的配置是否一致。 单击“配置一致性检查”，对两台设备的配置一致性进行检查。 单击“详细”，显示整体检查结果、检查日期以及各个模块的检查结果。 在“一致性检查”界面单击“同步配置”，能够同步两台设备的配置。 单击“从新检查”，从新检查两台设备配置的一致性。
  虚拟IP	显示监控的VRRP备份组的状态。
  接口	显示监控的接口的状态。
  远端监控IP/域名	显示监控的远端监控IP/域名的状态。