網絡裝置主備配置系列3:華為防火牆(路由模式）

自從推薦主備配置系列以來，許多網友一起與我溝通配置的方法。這兩天終于有時間了，決定繼續推出華為的。共分兩部分，路由模式與透明模式！  

雙機熱備，所謂雙機熱備其實是雙機狀态備份，當兩台防火牆，在确定主從防火牆後，由主防火牆進行業務的轉發，而從防火牆處于監控狀态，同時主防火牆會定時向從防火牆發送狀态資訊和需要備份的資訊，當主防火牆出現故障後，從防火牆會及時接替主防火牆上的業務運作。狀态備份最主要的優點，是可以保護目前業務不會中斷.

實作雙機熱備的基本步驟：

（1）在接口上配置VRRP（虛拟路由器備援協定）備份組，來發現防火牆的故障情況；

（2）将VRRP備份組加入到VGMP（ VRRP組管理協定）中，以實作對VRRP管理組的統一管理；

（3）使能HRP（華為備援協定），實作雙機情況下的資訊備份。

設計思路：

1、其實就是個口字型網絡，主備裝置間起TRUNK， 交換機與防火牆互聯為access口，

2、交換機與防火牆互為VRRP，A和B交換浮動IP192.168.0.3，防火牆浮動IP為192.168.0.6

C和D交換機浮動IP192.168.1.3，防火牆浮動IP為192.168.1.6

3、兩個防火牆間通過一個網口作芯跳，HRP

4、上面和下面的兩組交換機配置方法一樣。本文隻列出上面的。。

配置：交換機，此處就不配置TRUNK和ACCESS口的方法了。

三層A

interface Vlan-interface803

description To_Eudemon500A

ip address 192.168.0.1 255.255.255.248

vrrp vrid 4 virtual-ip 192.168.0.3

vrrp vrid 4 priority 120

三層B

description To_Eudemon500B

ip address 192.168.0.2 255.255.255.248

防火牆：

1,eudemon 500A配置：

sysname FW-E500-A

super password level 3 ciper huawei                

web-manager enable                                 

web-manager security enable  

acl number 3000                                    

description permit-all                             

rule permit ip  

firewall zone trust

set priority 85

add int g1/0/0

firewall zone untrust

set priority 5

add int g1/0/1

firewall zone hrp

set priority 30

add int g4/0/1

int g1/0/0

de to_switch_A

ip address 192.168.0.4 255.255.255.248

vrrp vrid 10 virtual-ip 192.168.0.6

vrrp vrid 10 pri 120

int g1/0/1

de to_switch_C

ip address 192.168.1.4 255.255.255.248

vrrp vrid 15 virtual-ip 192.168.1.6

vrrp vrid 15 pri 120

int g4/0/1

de HA_to_E500-B

ip address 192.168.3.1 255.255.255.0

vrrp vrid 20 virtual-ip 192.168.1.3

vrrp vrid 20 pri 120

vrrp group 1

add interface ethernet4/0/1 vrrp vrid 30 data

transfer-only

add interface ethernet1/0/0 vrrp vrid 10 data

add interface ethernet1/0/1 vrrp vrid 20 data

vrrp-group pri 105

vrrp-group preempt

vrrp-group enable

hrp enable

hrp interface g4/0/1

fire intzone trust local

pack 3000 in

pack 3000 out

fire intzone untrust local

fire intzone trust untrust

aaa                                                

local-user huawei password simple huawei           

local-user huawei service-type web telnet ssh 

local-user huawei level 0                          

user-interface vty 0 4                             

authentication-mode aaa                            

user privilege level 0 

2、eudemon 500B配置

sysname FW-E500-B

super password level 3 ciper huawei                      

web-manager enable                                       

acl number 3000                                          

description permit-all                                   

de to_switch-B

ip address 192.168.0.5 255.255.255.248

de to_switCh-D

ip address 192.168.1.5 255.255.255.248

de HA_to_FW-E500-B

ip address 192.168.3.2 255.255.255.0

vrrp vrid 20 virtual-ip 192.168.3.3

add interface ethernet4/0/1 vrrp vrid 30 data transfer-

only

pack 3002 in

pack 3001 out

aaa                                                      

local-user huawei password simple huawei                 

local-user huawei level 0                                

user-interface vty 0 4                                   

authentication-mode aaa                                  

<b>1.    </b><b>雙機熱備的注意點</b><b></b>

<b></b>

（1）對于雙機熱備目前隻支援兩台設定進行備份，不支援多台裝置進行備份。但對于隻使用VRRP的組網可以支援多台裝置進行備援備份；

（2）由于雙機熱備中具有備份機制可以備份動态資訊和指令，是以要求進行雙機熱備的兩台裝置闆卡的位置，以及接口卡的類型都要求相同，否則會出現主防火牆備份過去的資訊，與從防火牆根本就無法進行搭配使用，如出現主備狀态切換就會導緻業務出問題。

（3）進行雙機熱備的兩台防火牆中的配置檔案最好為初始配置或保證兩台裝置配置相同，以免由于先前的配置而導緻業務問題。

     本文轉自小俠唐在飛 51CTO部落格，原文連結：http://blog.51cto.com/xiaoxia/64142，如需轉載請自行聯系原作者