华为防火墙：HRP

华为防火墙：HRP-HA-VRRP: 防火墙直路部署，上下行连接交换机  、（[FW] hrp enable # 启动HRP双机热备份功能。）

FW_A.txt

FW_B_2022.01.11.15时43分28秒.txt

sw1_2022.01.11.20时11分38秒.txt

sw2_2022.01.11.20时11分19秒.txt

（1）需求

组网需求如图所示，两台FW的业务接口都工作在三层，上行连接二层交换机，下行连接了三层核心交换机。上行交换机连接运营商的接入点，运营商为企业分配的IP地址为1.1.1.3和1.1.1.4。现在希望两台FW以负载分担方式工作。正常情况下，FW_A和FW_B共同转发流量。当其中一台FW出现故障时，另外一台FW转发全部业务，保证业务不中断。

备注：

HRP(Huawei Redundancy Protocol)双机热备协议(华为冗余协议)

（2）拓扑图

（3）基本信息配置（略）

（4）配置VRRP备份组为了实现负载分担组网需要在每个业务接口上配置两个VRRP备份组，一个设置状态为Active，另一个设置状态为Standby。在FW_A上行业务接口GE1/0/1上配置VRRP备份组1，并将其状态设置为Active；配置VRRP备份组2，并将其状态设置为Standby。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1，并将其状态设置为Standby；配置VRRP备份组2，并将其状态设置为Active。需要注意的是：如果接口的IP地址与VRRP备份组地址不在同一网段，则配置VRRP备份组地址时需要指定掩码。FW_A:interface GigabitEthernet1/0/1 ip address 10.2.0.1 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 255.255.255.0 active vrrp vrid 2 virtual-ip 1.1.1.4 255.255.255.0 standby FW_B:interface GigabitEthernet1/0/1 ip address 10.2.0.2 255.255.255.0 vrrp vrid 1 virtual-ip 1.1.1.3 255.255.255.0 standby vrrp vrid 2 virtual-ip 1.1.1.4 255.255.255.0 active 在FW_A下行业务接口GE1/0/0上配置VRRP备份组3，并将其状态设置为Active；配置VRRP备份组4，并将其状态设置为Standby。在FW_B下行业务接口GE1/0/0上配置VRRP备份组3，并将其状态设置为Standby；配置VRRP备份组4，并将其状态设置为Active。FW_A:interface GigabitEthernet1/0/0 ip address 10.3.0.1 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.3 active vrrp vrid 4 virtual-ip 10.3.0.4 standby FW_B:interface GigabitEthernet1/0/0 ip address 10.3.0.2 255.255.255.0 vrrp vrid 3 virtual-ip 10.3.0.4 active vrrp vrid 4 virtual-ip 10.3.0.3 standby

display vrrp protocol-information

display vrrp brief   

（5）配置会话快速备份功能# 负载分担组网下，两台FW都转发流量，为了防止来回路径不一致，需要在两台FW上都配置会话快速备份功能。FW_A:hrp mirror session enable FW_B:hrp mirror session enable

（6）指定心跳口并启用双机热备功能。# 负载分担组网下，两台FW都转发流量，为了防止来回路径不一致，需要在两台FW上都配置会话快速备份功能。FW_A:hrp interface GigabitEthernet1/0/2 remote 10.10.0.2hrp enable

FW_B: hrp interface GigabitEthernet1/0/2 remote 10.10.0.1hrp enable

HRP_M[FW_A]display hrp interface 2022-01-11 08:27:09.040              GigabitEthernet1/0/2 : runningHRP_M[FW_A]

（7）启用IPv4静态路由配置自动同步到对端设备 hrp auto-sync config static-route

（8）配置双机热备的运行模式:备注：当业务接口工作在二层且连接交换机时，必须选择主备备份运行模式；当业务接口工作在二层且连接路由器时，必须选择负载分担运行模式；当业务接口工作在三层时，两种模式都可以选择。 hrp load balance device

display hrp state

（9）在FW_A上配置安全策略。双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上。（略）（10）在FW_A上配置NAT策略。双机热备状态成功建立后，FW_A的NAT策略配置会自动备份到FW_B上。（略）（11）NAT转换时端口冲突问题（只需要在Master防火墙角色上配置此命令） 对于双机热备的负载分担组网，为了防止两台设备进行NAT转换时端口冲突，需要在FW_A和FW_B上分别配置可用的端口范围。 在FW_A上进行如下配置：HRP_M[FW_A] hrp nat resource primary-groupFW_A配置此命令后，FW_B上会自动备份此命令，并转换成hrp nat resource secondary-group命令

（12）核心交换机配置策略路由，不同的源地址分别从不同的防火墙出去。（略）

其他：双机做成功后，在Master上配置命令时，出现+B，则表示