华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置

作者主页：点击！

ENSP专栏：点击！

创作时间：2024年5月6日20点26分

华为防火墙双机热备是一种高可用性解决方案，可以将两台防火墙设备组成一个双机热备组，实现主备切换。当主用防火墙出现故障时，备用防火墙可以自动切换为新的主用防火墙，确保网络流量不中断。

华为防火墙双机热备的工作原理

华为防火墙双机热备的工作原理是通过两台防火墙设备之间定期发送心跳报文来判断对方的状态。如果主用防火墙出现故障，备用防火墙会收到主用防火墙停止发送心跳报文的消息，然后会自动切换为新的主用防火墙。

两种工作模式

主备模式：在主备模式下，只有一台防火墙处于工作状态，另一台防火墙处于备用状态。当主用防火墙出现故障时，备用防火墙会自动切换为新的主用防火墙。
负载分担模式：在负载分担模式下，两台防火墙都处于工作状态，可以同时处理网络流量。当其中一台防火墙出现故障时，另一台防火墙会承担全部的网络流量。

VRRP协议

VRRP（虚拟路由器冗余协议）是一种用于实现路由器冗余的协议，它可以将多台路由器组成一个虚拟路由器组，并选取其中一台路由器作为主用路由器，其他路由器作为备用路由器。当主用路由器出现故障时，备用路由器会自动切换为新的主用路由器，确保网络流量不中断。

VRRP在双机热备中的应用主要体现在以下几个方面：

虚拟化路由器地址：VRRP可以为双机热备组分配一个虚拟的路由器地址，该地址可以被所有连接到双机热备组的设备使用。这样可以简化网络配置，并提高网络的可扩展性。
负载分担：VRRP支持负载分担模式，在负载分担模式下，所有路由器都可以同时转发流量，从而提高网络的吞吐量。
故障转移：VRRP可以快速检测主路由器的故障，并自动将备用路由器切换为新的主路由器。这样可以确保网络流量不中断，并提高网络的可用性。

华为防火墙双机热备

VRRP现以下功能

虚拟化路由器地址：华为防火墙双机热备组通常会分配一个虚拟的路由器地址，该地址可以被所有连接到双机热备组的设备使用。这样可以简化网络配置，并提高网络的可扩展性。
故障转移：VRRP可以快速检测主防火墙的故障，并自动将备用防火墙切换为新的主防火墙。这样可以确保网络流量不中断，并提高网络的可用性。

VRRP的角色

主路由器（Master）

备份路由器（Backup）

VRRP的状态

初始状态（Initialize）：当接口Up之后，如果其VRRP优先级为255 (这种情况发生在该接口的实际IP地址是VRRP虚拟IP地址的情况)，那么接口的VRRP状态将由Initialize切换到Master，而如果接口的VRRP优先级不为255，则进入Backup状态。

活动状态（Master）：处于活动状态的路由器是VRRP虚拟路由器组中的主路由器，负责转发数据包。主路由器会定期发送VRRP通告报文来宣告自己的状态，并更新路由表。

备份状态（Backup）：处于备份状态的路由器是VRRP虚拟路由器组中的备用路由器。备份路由器会定期接收主路由器的VRRP通告报文，如果主路由器出现故障，备份路由器会经过一段时间的等待时间后切换为新的主路由器。

VRRP 状态机之间的转换规则

当前状态	事件	下一个状态
初始状态	收到 VRRP 通告报文	备份状态
备份状态	收到更高优先级的 VRRP 通告报文	初始状态
备份状态	定时器超时	初始状态
备份状态	检测到故障	初始状态
活动状态	收到更高优先级的 VRRP 通告报文	备份状态
活动状态	定时器超时	备份状态
活动状态	检测到故障	初始状态

VGMP组管理协议

VGMP（VRRP组管理协议）代表VRRP组管理协议。这是华为开发的专有协议，专门用于其防火墙，用于管理冗余连接和实现高可用性。

在华为防火墙上管理多个VRRP（虚拟路由器冗余协议）组。
确保设备上所有 VRRP 组的故障转移行为一致。
为在 VRRP 组中的主状态和备份状态之间切换提供集中控制。

工作原理：

VGMP在华为防火墙上运行的多个VRRP组之间建立通信通道。
它协调这些组之间的故障转移过程，确保在主防火墙遇到问题时平稳过渡。
VGMP 依赖于分配给每个 VRRP 组的优先级。发生故障时，优先级最高的组将接管主服务器。

使用场景

VGMP 在需要最大程度地减少网络停机时间的高可用性环境中特别有用。
它通常用于数据中心、企业网络和其他关键基础设施部署。

HRP(华为冗余协议)

是华为开发的专有协议，旨在为其防火墙和路由器提供高可用性和冗余。它支持主用和备用设备之间的无缝故障切换，确保在主设备发生故障时不间断的网络连接和数据转发。

HRP的主要特点

快速故障转移：HRP 采用快速故障转移机制，通常在 50 毫秒内，最大限度地减少设备转换期间的网络停机时间。

负载均衡：HRP 支持跨活动 HRP 设备进行负载均衡，分配网络流量并增强整体网络性能。

安全性：HRP 包含身份验证和加密等安全措施，以防止未经授权的访问和数据操纵。

优点

高可用性：HRP即使在设备故障的情况下也能确保网络持续运行，最大限度地减少停机时间并保持业务连续性。

负载均衡：HRP 在活动设备之间分配网络流量，提高网络性能并减少拥塞。

可扩展性：HRP 支持扩展 HRP 组以容纳更多设备，从而在不影响冗余的情况下实现网络增长。

什么是HRP

HRRP 代表华为快速环协议。它是华为开发的专有协议，用于在以太网中提供冗余。HRRP主要用于华为设备，如路由器、交换机等，用于建立备用路由器组，实现容错。在此组中，一台路由器充当活动路由器，处理路由职责，而其他路由器则保持待机模式，准备在活动路由器发生故障时接管。

VRRP（虚拟路由器冗余协议）和 HSRP（热备用路由器协议）是以太网中更广泛采用的冗余标准。HRRP是华为专有协议，而VRRP和HSRP则受到更广泛的供应商和设备的支持。

HRRP的主要特点：

快速故障转移：HRRP 提供快速故障转移，通常在活动路由器发生故障后的 100 毫秒内，从而最大限度地减少网络停机时间。

负载均衡：HRRP可以在群组中的活动路由器之间分配流量，实现负载均衡，提高网络性能。

简单性：与其他冗余协议（如 VRRP 或 HSRP）相比，HRRP 配置相对简单。

实验拓扑

AR1的基本配置

<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[Huawei-GigabitEthernet0/0/0]int lo0
[Huawei-LoopBack0]ip add 100.0.0.100 24
[Huawei-LoopBack0]q//默认路由接收1.0网段的数据
[Huawei]ip route-s 192.168.1.0 24 10.1.1.100
[Huawei]

FW1配置

基本的IP地址配置

[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.2 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 172.16.1.1 24
[USG6000V1-GigabitEthernet1/0/2]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.1 24
[USG6000V1-GigabitEthernet1/0/1]q//配置默认路由所有流量流出
[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.1

在华为USG6000V1防火墙上配置防火墙区域。

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add int g1/0/1[USG6000V1]firewall zone untrust 
[USG6000V1-zone-untrust]add int g1/0/0
[USG6000V1-zone-untrust]q[USG6000V1]firewall zone  dmz 
[USG6000V1-zone-dmz]add int g1/0/2
[USG6000V1-zone-dmz]q

[USG6000V1-zone-trust]add int g1/0/1 - 此命令将接口 g1/0/1 添加到“信任”区域。信任区域中的接口通常连接到您的内部网络，该网络被视为受信任的。

[USG6000V1-zone-untrust]add int g1/0/0 - 此命令将接口 g1/0/0 添加到“不信任”区域。不信任区域通常用于外部连接，例如被视为不受信任的 Internet。

您提供的命令在华为USG6000V1防火墙上配置安全策略规则，以允许从“信任”区域到“不信任”区域的流量。


[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_untrust
[USG6000V1-policy-security-rule-trust_untrust]source-zone trust 
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untrust]action permit 
[USG6000V1-policy-security-rule-trust_untrust]q[USG6000V1-policy-security]rule name heat
[USG6000V1-policy-security-rule-heat]source-zone local 
[USG6000V1-policy-security-rule-heat]destination-zone dmz 
[USG6000V1-policy-security-rule-heat]action permit 
[USG6000V1-policy-security-rule-heat]q

让我们分解每个步骤：

进入安全策略配置：

[USG6000V1]security-policy - 该命令在USG6000V1防火墙上进入安全策略配置模式。此模式允许您定义控制流量如何流经防火墙的规则。
[USG6000V1-policy-security-rule-trust_untrust] - 此行表示您现在正在配置名为“trust_untrust”的特定规则。防火墙规则通常具有描述性名称来标识其用途。、
[USG6000V1-policy-security-rule-trust_untrust]source-zone trust - 此命令指定规则的源区域。源自“信任”区域的流量将按此规则进行评估。“信任”区域通常表示您的内部网络，该网络被视为受信任网络。
[USG6000V1-policy-security-rule-trust_untrust]destination-zone untrust - 此命令定义规则的目标区域。发往“不信任”区域的流量将按此规则进行评估。“不信任”区域通常表示外部网络，如互联网，它被认为是不受信任的。
[USG6000V1-policy-security-rule-trust_untrust]action permit - 此命令设置规则的操作。在这种情况下， permit 允许与指定条件（源区域和目标区域）匹配的流量流经防火墙。
第二组的命名以及信任是同类~~

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.100 active 
[USG6000V1-GigabitEthernet1/0/0]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 active 
[USG6000V1-GigabitEthernet1/0/1]q//HRP配置指向对端建立
[USG6000V1]hrp int g1/0/2 remote 172.16.1.2

vrrp ：在接口上启用VRRP功能。
vrid 1 ：将 VRRP 组 ID 设置为 1。此 ID 标识参与 VRRP 以实现冗余的一组路由器。
virtual-ip 10.1.1.100 ：定义 VRRP 组使用的虚拟 IP 地址。客户端设备会将此 IP 视为其默认网关。
active ：将接口的 VRRP 状态设置为活动状态。这意味着该接口将尝试成为VRRP组中的主路由器，并宣传其处理路由任务的可用性。
第二组同类~~~

FW2配置

基本的IP地址和路由配置

[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.3 24
[USG6000V1-GigabitEthernet1/0/0]int g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 172.16.1.2 24
[USG6000V1-GigabitEthernet1/0/2]q
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 192.168.1.2 24
[USG6000V1-GigabitEthernet1/0/1]q[USG6000V1]ip route-static 0.0.0.0 0 10.1.1.1

创建不同的区域

[USG6000V1]firewall zone trust 
[USG6000V1-zone-trust]add interface g1/0/1[USG6000V1]firewall zone  untrust 
[USG6000V1-zone-untrust]add interface g1/0/0[USG6000V1]firewall zone  dmz 
[USG6000V1-zone-dmz]add int g1/0/2

这次就不详细介绍了原理同上~~~

防火墙上配置安全策略规则

[USG6000V1]security-policy
[USG6000V1-policy-security]rule name trust_untr	
[USG6000V1-policy-security-rule-trust_untr]source-zone trust  
[USG6000V1-policy-security-rule-trust_untr]destination-zone untrust 
[USG6000V1-policy-security-rule-trust_untr]action permit 
[USG6000V1-policy-security-rule-trust_untr]q[USG6000V1-policy-security]rule name heat
[USG6000V1-policy-security-rule-heat]source-zone local 
[USG6000V1-policy-security-rule-heat]destination-zone dmz 
[USG6000V1-policy-security-rule-heat]action permit 
[USG6000V1-policy-security-rule-heat]q

[USG6000V1]int g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.100 standby 
[USG6000V1-GigabitEthernet1/0/0]int g1/0/1	
[USG6000V1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 standby 
[USG6000V1-GigabitEthernet1/0/1]q//指向对端双机热备中，心跳线
[USG6000V1]hrp int g1/0/2 remote  172.16.1.1