华为防火墙双机热备配置及组网DOCWord下载.docx

1、HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。两台防火墙正确配置VRRP，VGMP，

2、以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备

3、防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。HRP的配置命令的功能和使用介绍如下： hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。 hrp configuration check hrp ：检查主备防火墙两端的HRP的配置是否一致。 hrp in

4、terface Ethernet/ GigabitEthernet ：添加防火墙配置会话备份通道。通常就是指防火墙心跳口，此接口用来备份防火墙的会话的。 hrp interface Ethernet 1/0/0 high-availability ：配置防火墙的高可用性接口。主要是用来实现防火墙的会话快速备份，如果不配置high-availability，会话快速备份的命令将不能使能，配置此命令之后，此接口会被有限选择作为防火墙会话备份的接口。在防火墙上配置了hrp interface之后，防火墙选择备份通道的接口为：先选择配置的时候带了high-availability的接口，如果配置了多个

5、带high-availability的接口，先选择槽位号和端口号比较小的接口，然后在选择槽位号和端口号比较小的不带high-availability的接口。接口发生故障导致接口上的VRRP处于初始化状态或者是接口上的VRRP所属的VGMP没有使能的时候，防火墙会重新选择备份通道。 hrp mirror session enable ：会话快速备份使能命令，此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上，在配置high-availability之后才能配置此命令。 hrp mirror packet enable ：报文搬迁使能命令，此命令使能之后，如果ICMP的应答报

6、文或者是TCP的ACK报文在其中一台防火墙上找不到会话，会把报文搬迁到另外一台防火墙上，如果在另外一台防火墙上找到会话，报文根据会话转发，如果找不到会话，直接丢弃。此功能现在保留，但是基本上不再使用，因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上，并且报文搬迁占用比较多的带宽，所以这个命令推荐不使用。 hrp ospf-cost adjust-enable ：这个命令是在防火墙和路由器组网的时候使用的，在防火墙上配置这个命令后，防火墙发布OSPF的路由的时候，会判断是主防火墙或者是备防火墙，如果是主防火墙，防火墙把学习到的路由直接发布出去，如果是备防火墙，防

7、火墙把学习到的路由加上一个COST值再发布出去，这个COST值默认是65535，可以根据需要进行调整，这样和防火墙相连的路由器在计算路由的时候，路由就都能指到主防火墙上，路由器把报文转发到主防火墙上。在使用防火墙和路由器进行组网起OSPF协议的时候，尽量保证OSPF的域小一些，这样在防火墙发生主备倒换的时候，OSPF的路由能尽快收敛，保证业务很快恢复。 hrp auto-sync connection-status ：防火墙连接状态备份命令。防火墙会话备份不分防火墙是主防火墙或者是备防火墙，使能了次命令后，防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。此命令行在防火墙hrp e

8、nable执行之后就默认使能了。 hrp auto-sync config：防火墙配置备份命令。防火墙上使能此命令后，在主防火墙上配置的命令行如ACL，域等都可以自动备份到备防火墙上，保证命令行能实时同步。此命令行在hrp enable之后就默认使能了，此时在备防火墙上是默认不能配置ACL等配置的，但是如果需要单独配置，执行undo hrp auto-sync config就可以在备防火墙上配置此命令行了，主防火墙上执行ACL等配置发送到备防火墙上不会备执行，如果在主防火墙上执行此命令，主防火墙上将不把配置发送到备防火墙上执行。 hrp auto-sync config batch-backu

9、p ：防火墙配置批量备份使能命令。使能此命令，在防火墙发生主备倒换之后，新的主防火墙备自动把配置备份到新的备防火墙上。此命令默认是不使能的，现在也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务。 hrp sync config：防火墙配置批量备份命令。执行此命令后主防火墙能把自己的配置发送到备防火墙上执行，此命令行在用户视图下使用，在使能了hrp之后才能使用。此命令默认是也不推荐使用，因为批量备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务。 hrp sync connection-status：手工同步连接状态信息命令，会进行会话，黑名单

10、，地址转换表，以及ARP表等的备份等，同时对于Eudemon 1000来说还会刷新备份的通道。 display hrp：显示当前HRP的状态信息，主要包括HRP的备份通道，HRP的状态，hrp是否使能快速备份，为MASTER状态的VGMP信息。 display hrp verbose：显示当前HRP的详细状态信息。1.2 1.2 VGMP配置说明VGMP（vrrp group management protocol）是VRRP的组管理协议，同样VGMP协议也是华为私有的协议。VGMP通过把VRRP加入到一个组中进行管理，通过VGMP报文和对端进行协商，确定自己和对端的VGMP的状态，根据VGM

11、P的状态的主备，把VGMP组下面的VRRP的状态改成和VGMP的状态一致。VGMP状态也分Master和Slave，同样VGMP报文是在VRRP报文的基础上进行封装的，它通过VRRP报文通知对端自己的状态以及和对端进行协商。防火墙的VGMP功能现在支持两台防火墙之间的VGMP协商，通过协商，在两台防火墙上形成一主一备的状态，当其中主防火墙发生故障或者其他原因导致VGMP的优先级降低的时候，备防火墙的VGMP会抢占为主，原来的主防火墙的VGMP会变成备，同时VGMP组里面的VRRP也跟随这VGMP的状态的变化发生变化。通过VGMP来管理VRRP，使VGMP为主的防火墙对外发布VGMP组下面的所有

12、的VRRP的虚地址，而VGMP为备的防火墙不对外发布VRRP虚地址，形成VRRP的冗余备份。VGMP的配置命令的功能和使用介绍如下： vrrp group ：创建VGMP管理组。执行此命令行之后，创建一个VGMP管理组，并进入此管理组视图，所有的VGMP的配置都在VGMP视图下进行配置。 add interface Ethernet 1/0/7 vrrp vrid 1 ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理。 add interface Ethernet 1/0/7 vrrp vrid 1 data ：把接口Ethernet1/0/7下配置的VRRP 1加

13、入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。配置了发送VGMP的数据通道之后，VGMP才能使能。防火墙的配置同步是通过VGMP的数据通道进行发送的。 add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。通常在防火墙上下行都是交换机组网的情况，心跳口上的VRRP可

14、以以此种方式加入到VGMP组中。 add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，同时在VGMP上绑定ip-link功能。ip-link的使用介绍请参考其他文档。 vrrp-group enable：VGMP组使能命令。在配置了VGMP的数据通道之后，此命令才可以执行，执行此命令后，防火墙会从数据通道发送VGMP的报文和对端防火墙进行交互，确定VGMP的主备状态。 vrrp-group preempt：配置VGMP组的抢占模式。此命令配置之后本端VGMP和对端VGMP进行协商，并进行抢占，如果优先级高就抢占为主，如果优先级低就被抢占为备。配置此命令后默认抢占延时为0，即立即抢占。 vrrp-group preempt delay 配置VGMP组抢占延时，单位为毫秒（ms），如果本地的VGMP组的优先级比对端的VGMP的优先级高，在延时配置的时间后VGMP就抢占为Master状态。对于防火墙组网，我们建议的抢占方式是备防火墙抢占延时为0，主防火墙配置抢占延时为20000ms或者是不抢占