防火墙技术基础篇：配置主备备份的双机热备

防火墙双机热备（High Availability, HA）技术是网络安全中的一个关键组成部分，通过它，我们可以确保网络环境的高可靠性和高可用性。下面我们一起来了解防火墙双机热备的基本原理、主要工作模式。

一、基本原理

防火墙双机热备技术的基础是将两台（或更多）防火墙设备组成一个高可用性（HA）集群，这些防火墙在网络出口位置进行协同工作。一旦主防火墙出现故障，备份防火墙会立即接管业务流量，确保网络通信的连续性。此技术主要涉及以下三个核心协议：

VRRP（Virtual Router Redundancy Protocol）：虚拟路由冗余协议，提供网关冗余，通过虚拟IP地址实现无缝接管。
VGMP（Virtual Gateway Management Protocol）：虚拟网关管理协议，负责多台防火墙设备的同步和管理。
HRP（Hot Standby Routing Protocol）：热备路由协议，负责在主备防火墙之间同步会话状态和配置。

二、主要工作模式

防火墙双机热备主要有以下两种工作模式：

主备备份模式：在这种模式下，两台防火墙设备分为主设备和备设备。平时业务流量由主设备处理，备设备处于待机状态，仅在主设备故障时才接管业务。
负载分担模式：两台防火墙设备共同处理流量，彼此分担负载，提高整体的处理能力和效率。当某一设备故障时，另一设备会接管其流量。

接下来我们通过一个简单的实验来演示防火墙双机热备（主备模式）的配置过程以及具体的效果。

实验步骤

一、FW1配置

1 FW1基础IP地址配置

1.1 配置g1/0/1

1.2 配置g1/0/6

1.3 配置g1/0/2

2 将FW1将接口加入安全区域

2.1 将接口g1/0/2加入trust

2.2 将g1/0/6加入dmz区域

2.3 将g1/0/1加入untrust区域

3 配置默认路由访问外网

[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.10

4 配置VRRP备份组

4.1 配置VRRP备份组1为master

4.2 配置VRRP备份组2为master

5 指定心跳口和对端的IP地址

[USG6000V1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2

6 开启双击热备

1 FW2配置

1 FW2基础IP地址配置

1.1配置g1/0/1

1.2配置g1/0/6

1.3 配置g1/0/2

2 将FW2将接口加入安全区域

2.1 将接口g1/0/2加入trust

2.2 将g1/0/6加入dmz区域

2.3 将g1/0/1加入untrust区域

3 配置默认路由访问外网

[USG6000V1]ip route-static 0.0.0.0 0 1.1.1.10

4 配置VRRP备份组

4.1 配置VRRP备份组1为backup

4.2 配置VRRP备份组2为backup

5 指定心跳口和对端的IP地址

[USG6000V1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1

6 开启双击热备

2 配置转发策略（在FW1配置即可）

3.1 配置安全策略

因为开启了双机热备功能，并且FW1为master所以只需在FW1配置，然后自动备份到FW2

HRP_M[USG6000V1]security-policy
HRP_M[USG6000V1-policy-security]rule name to_un
HRP_M[USG6000V1-policy-security-rule-to_un]source-zone trust
HRP_M[USG6000V1-policy-security-rule-to_un]destination-zone untrust
HRP_M[USG6000V1-policy-security-rule-to_un]source-address 10.3.0.0 24
HRP_M[USG6000V1-policy-security-rule-to_un]action permit
HRP_M[USG6000V1-policy-security-rule-to_un]dis th

3.2 配置源NAT地址池

3.3 配置NAT转发策略

HRP_M[USG6000V1]nat-policy
HRP_M[USG6000V1-policy-nat]rule name nat1
HRP_M[USG6000V1-policy-nat-rule-nat1]source-zone trust
HRP_M[USG6000V1-policy-nat-rule-nat1]destination-zone untrust
HRP_M[USG6000V1-policy-nat-rule-nat1]source-address 10.3.0.0 24
HRP_M[USG6000V1-policy-nat-rule-nat1]action source-nat address-group test
HRP_M[USG6000V1-policy-nat-rule-nat1]dis th

3 配置路由器

4 查看配置有没有同步到FW2

在FW2上可以看到nat地址池，这个操作我们并没有在FW2上执行过，是通过双机热备进行备份的

5 查看双机热备状态

下面还有vrrp 备份组2的信息，篇幅太长，就不截图了

七、测试双击热备切换

7.1 设置PC1的IP地址，向路由器发起ping

查看防火墙会话表，流量从FW1转发

7.2 从PC不间断ping路由器，然后断开FW1的g1/0/1接口，模拟链路故障，再查看ping的状态

这里发现丢了两个数据包，之后就恢复转发了，防火墙发生了主备切换

查看FW1双击热备状态，发现FW1的vrrp备份组1处于初始化状态，vrrp2处于备份状态


查看FW2的双机热备组状态，发现FW2的vrrp备份组1处于master状态，vrrp2也处于master状态

7.3 恢复FW1的链路故障，查看双击热备的状态

当链路故障恢复后，FW1会恢复他的master状态，因为我们在配置的时候指定的FW1的身份为master