SecPath 防火墙双机热备典型配置

SecPath核心防火墙双机热备典型配置举例 SecPath防火墙双机热备典型配置举例

关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换

摘 要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。保障

信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：

缩略语 ALG ASPF NAT VRRP OSPF 英文全名 Application Level Gateway Application Specific Packet Filter Network Address Translator Virtual Router Redundancy Protocol Open Shortest Path First 应用层网关 基于应用层的包过滤 网络地址转换 虚拟路由冗余协议 开放最短路径优先 中文解释

杭州华三通信技术有限公司

www.h3c.com.cn

第1页, 共33页

SecPath核心防火墙双机热备典型配置举例 目 录

1 特性简介 .................................................................................................................................. 3

1.1 双机热备的工作机制 ...................................................................................................... 3 2 特性使用指南 ........................................................................................................................... 4

2.1 使用场合 ........................................................................................................................ 4 2.2 配置指南 ........................................................................................................................ 4

2.2.1 双机热备组网应用配置指南 ................................................................................ 4 2.2.2 双机热备应用涉及的配置 .................................................................................... 4 2.3 注意事项 ........................................................................................................................ 4 3 支持的设备和版本 .................................................................................................................... 5

3.1 设备版本 ........................................................................................................................ 5 3.2 支持的设备 .................................................................................................................... 5 3.3 配置保存 ........................................................................................................................ 5 4 配置举例 .................................................................................................................................. 6

4.1 典型组网 ........................................................................................................................ 6 4.2 设备基本配置 ................................................................................................................. 9

4.2.1 其他共同配置： ................................................................................................... 9 4.3 双机热备业务典型配置举例 ........................................................................................... 9

4.3.1 透明模式＋主备模式 ........................................................................................... 9 4.3.2 透明模式＋负载分担模式 .................................................................................. 14 4.3.3 路由模式＋主备模式 ......................................................................................... 17 4.3.4 路由模式＋负载分担模式 .................................................................................. 19 4.3.5 路由模式＋主备模式＋支持非对称路径 ............................................................ 21 4.3.6 路由模式＋负载分担模式＋支持非对称路径 ..................................................... 28 4.3.7 动态路由模式组网 ............................................................................................. 33

5 相关资料 ................................................................................................................................ 33

杭州华三通信技术有限公司

www.h3c.com.cn

第2页, 共33页

? SecPath核心防火墙双机热备典型配置举例 1 特性简介

双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制

互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。另外需要使用专有的备份链路口进行会话信息的备份，该备份链路口不作数据转发，从而保障了备份的高可靠性及高性能。

A. 在命令行下无法配置双机热备，只能在WEB页面上配置； WEB配置页面：

B. 必须配置心跳口，心跳口也须在WEB页面上配置，指定一个物理口后保存，重启，

心跳口开始工作，心跳口在命令行和WEB页面下的接口管理中都不可见，但是双机热备配置页面下可见。

C. 没有主备设备之分，工作中的设备称为主用设备比较合适些，两台防火墙的会话信

息相互备份，主用设备上产生的会话会自动通过心跳口备份到备用设备上，目前只有稳态的会话才会进行备份；

D. 主要有两种模式的组网：静态路由模式和动态路由模式，静态路由模式组网依赖于

VRRP，当一台设备Down机后，Vrrp的主备状态发生切换，工作的防火墙随之切换；动态路由模式依赖于动态路由协议，由于动态路由协议进行路由学习比VRRP切换

杭州华三通信技术有限公司

www.h3c.com.cn

第3页, 共33页

? SecPath核心防火墙双机热备典型配置举例 慢，所以路由模式的双机热备主用设备切换时间较长；在这两种组网的基础上又可以配置为双主用模式、主备用模式；

E. 目前版本仅支持对称路径的双机热备份，即报文来回都要通过同一台防火墙；若出

报文从A出，回来的报文从B返回的话，称为非对称路径，在以后的版本将支持非对称的报文转发。

2 特性使用指南

2.1 使用场合

Secpath防火墙作为内外网的接入点，当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话，无论其可靠性多高，系统都必然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。

2.2 配置指南

2.2.1 双机热备组网应用配置指南

双机热备典型组网应用包括以下内容：

? ? ? ? ? ?

透明模式＋主备模式 透明模式＋负载分担模式 路由模式＋主备模式 路由模式＋负载分担模式

路由模式＋主备模式＋支持非对称路径 路由模式＋负载分担模式＋支持非对称路径

2.2.2 双机热备应用涉及的配置

用户必须在Web设置双机热备功能，命令行无法配置。

2.3 注意事项

双机热备关于Web配置根据具体实例再作说明。

杭州华三通信技术有限公司

www.h3c.com.cn

第4页, 共33页

? SecPath核心防火墙双机热备典型配置举例 3 支持的设备和版本

3.1 设备版本

[f5000a-1]_dis ver

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 3203

Comware Platform Software Version COMWAREV500R002B62D001 H3C SecPath F5000-A5 Software Version V300R002B01D012

Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Oct 31 2008 14:56:27, RELEASE SOFTWARE

H3C SecPath F5000-A5 uptime is 0 week, 0 day, 0 hour, 51 minutes

CPU type: RMI XLR732 1000MHz CPU 2048M bytes DDR2 SDRAM Memory 4M bytes Flash Memory

MPUA PCB Version:Ver.A SWBA PCB Version:Ver.A MPUA Basic Logic Version:133.0 MPUA Extend Logic Version:133.0 SWBA Logic Version:132.0 MPUA LX30T FPGA Version: 3.08 Basic BootWare Version: 1.02 Extend BootWare Version: 1.02

[FIXED PORT] CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0 [FIXED PORT] AUX (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0 [FIXED PORT] M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0 [SUBCARD 1] NSQ1GT8C40 (Hardware)Ver.A, (Driver)1.0, (Cpld)134.0 [SUBSLOT 2] The SubCard is not present [SUBSLOT 3] The SubCard is not present [SUBSLOT 4] The SubCard is not present

3.2 支持的设备

Secpath F5000-A5

3.3 配置保存

每次配置完成后，注意进行配置的保存。 系统管理 > 配置维护 > 配置保存 ，点击<确定>。

杭州华三通信技术有限公司

www.h3c.com.cn

第5页, 共33页

? SecPath核心防火墙双机热备典型配置举例

4 配置举例

4.1 典型组网

ServerS56-1S56-2Vrrp:100.0.0.5G1/0G1/0F5000a-1G1/1Vrrp:200.0.0.5F5000a-2G1/1S56-aS56-bPC1PC2

图1 双机热备（路由）典型组网

杭州华三通信技术有限公司

www.h3c.com.cn

第6页, 共33页

? SecPath核心防火墙双机热备典型配置举例

PC-A:155.1.1.10F1000E（主）G0/2Bvlan11Untrust域:G0/3Dvlan12G1/6G1/6F5000A-AG1/9Avlan11Trust域:Cvlan12Gvlan11G1/8F5000A-BG1/9Evlan12G1/8S56AG1/0/14G1/0/13PC-B:150.1.1.2G1/0/14G1/0/13PC-C160.1.1.2S56B

图2 双机热备（透明）典型组网

杭州华三通信技术有限公司

www.h3c.com.cn

第7页, 共33页

? SecPath核心防火墙双机热备典型配置举例 Http/ftp/dns serverG0/3F1000e-01G0/2G0/1G1/0G0/3G0/1G1/0F1000e-02G0/2PC1 图3 双机热备（非对称主备）典型组网

Http/ftp/dns serverG0/3G0/1G1/0G0/3G0/1G1/0F1000e-02G0/2G0/2PC1PC2 图4 双机热备（非对称双主）典型组网

杭州华三通信技术有限公司

www.h3c.com.cn

第8页, 共33页

? SecPath核心防火墙双机热备典型配置举例

4.2 设备基本配置

4.2.1 其他共同配置：

(1) 接口模式：M-G0/0为管理接口

Interface Physical Protocol IP Address M-GigabitEthernet0/0 up up 192.1.1.1

4.3 双机热备业务典型配置举例

4.3.1 透明模式＋主备模式

1. 功能简述

主备模式就是只有一台防火墙处于工作状态，另一台处于备用状态，当主用设备Down机后，备用设备会接管工作。 2. 典型配置步骤（组网 图2 ）

1、 防火墙运行在二层模式，配置如图所示的Vlan； F5000A-B 配置 ：

sysname f5000a-2 # vlan 12

# interface GigabitEthernet1/6 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/8 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 12

[f5000a-2]dis cu

杭州华三通信技术有限公司

www.h3c.com.cn

第9页, 共33页

? SecPath核心防火墙双机热备典型配置举例 F5000A-A 配置 ：

[f5000a-1]dis cu

sysname f5000a-1 # vlan 11

# interface GigabitEthernet1/6 port link-mode bridge port access vlan 11

# interface GigabitEthernet1/8 port link-mode bridge port access vlan 11 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 11

2、 路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、

vlan12两个网段；提供两个网关(15.1.1.1和16.1.1.1)，并分别指回程路由。 F1000E 配置 ：

[f1000e]dis cu

# interface GigabitEthernet0/2 port link-mode route

ip address 15.1.1.1 255.255.255.0 # interface GigabitEthernet0/3 port link-mode route

ip address 16.1.1.1 255.255.255.0

# ip route-static 150.1.1.0 255.255.255.0 15.1.1.2

ip route-static 150.1.1.0 255.255.255.0 16.1.1.2 preference 100 ip route-static 160.1.1.0 255.255.255.0 15.1.1.3

ip route-static 160.1.1.0 255.255.255.0 16.1.1.3 preference 100

3、 S56A和S56B上配置静态路由分别指向这两个网关，配置两条路由，使优先级

不同。实现当链路断时，使优先级高的静态路由失效。 S56A 配置 ：

[lsw-up]dis cu

杭州华三通信技术有限公司

www.h3c.com.cn

第10页, 共33页

? SecPath核心防火墙双机热备典型配置举例 # vlan 11 to 14 # interface Vlan-interface11 ip address 15.1.1.2 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.2 255.255.255.0 # interface Vlan-interface13 ip address 150.1.1.1 255.255.255.0

# interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14 port access vlan 14

# ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60 ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100

S56B 配置 ：

#

[lsw-down]dis cu

sysname lsw-down # vlan 11 to 14 # interface Vlan-interface11 ip address 15.1.1.3 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.3 255.255.255.0 # interface Vlan-interface13 ip address 160.1.1.1 255.255.255.0

#

杭州华三通信技术有限公司

www.h3c.com.cn

第11页, 共33页

? SecPath核心防火墙双机热备典型配置举例 interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14

port access vlan 14 # ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60 ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100

B.WEB 配置：

1．首先把F5000A相关接口加入域；

2．把需要联动的接口加入到同一联动组。一旦其中一个接口down丢，组内其他接口同样down丢。配置切换时F5000A结合透明方式接口组联动来实现

杭州华三通信技术有限公司

www.h3c.com.cn

第12页, 共33页

? SecPath核心防火墙双机热备典型配置举例

3. 验证结果

?

从PC-B到PC-A，从PC-C到PC-A通过默认路由，默认都走F5000A-A

tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet Press CTRL_C to break

1 160.1.1.1 2 ms 1 ms 1 ms 2 15.1.1.1 1 ms 0 ms 1 ms 3 155.1.1.10 0 ms 1 ms 0 ms tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet 1 150.1.1.1 11 ms 5 ms 6 ms 2 15.1.1.1 19 ms 3 ms 8 ms 3 155.1.1.10 9 ms 3 ms 3 ms

?

当F5000A-A出现故障后，则切换到F5000A-B上

[PC-B]tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet Press CTRL_C to break

1 160.1.1.1 1 ms 2 ms 1 ms 2 16.1.1.1 0 ms 1 ms 0 ms 3 155.1.1.10 1 ms 1 ms 0 ms [PC-C]tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet 1 150.1.1.1 11 ms 4 ms 7 ms 2 16.1.1.1 19 ms 3 ms 9 ms 3 155.1.1.10 8 ms 3 ms 4 ms

杭州华三通信技术有限公司

www.h3c.com.cn

第13页, 共33页

? SecPath核心防火墙双机热备典型配置举例 4. 注意事项

?

本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。

4.3.2 透明模式＋负载分担模式

1. 功能简述

双主组网就是两台防火墙都处于工作状态，每台设备负责转发一部分流量，实现负载分担，而当任一台设备Down机后，另一台设备会接管全部工作。 2. 典型配置步骤（组网 图2 ）

1、 负载分担模式和主备模式区别在于路由配置。

2、 路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、

vlan12两个网段；提供两个网关(15.1.1.1和16.1.1.1)， F1000E 配置 ：

[f1000e]dis cu

# interface GigabitEthernet0/2 port link-mode route

ip address 15.1.1.1 255.255.255.0 # interface GigabitEthernet0/3 port link-mode route

ip address 16.1.1.1 255.255.255.0

# ip route-static 150.1.1.0 255.255.255.0 15.1.1.2

ip route-static 150.1.1.0 255.255.255.0 16.1.1.2 preference 100 ip route-static 160.1.1.0 255.255.255.0 16.1.1.3

ip route-static 160.1.1.0 255.255.255.0 15.1.1.3 preference 100

3、 S56A和S56B上配置静态路由分别指向这两个网关，配置两条路由，使优先级

不同。为了实现当链路断时，使优先级高的静态路由失效，配置切换时结合透明方式接口组联动来实现。F1000E上分别指回程路由，使防火墙负载分担。 S56A 配置 ：

# vlan 11 to 14 #

[lsw-up]dis cu

杭州华三通信技术有限公司

www.h3c.com.cn

第14页, 共33页

? SecPath核心防火墙双机热备典型配置举例 interface Vlan-interface11 ip address 15.1.1.2 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.2 255.255.255.0 # interface Vlan-interface13 ip address 150.1.1.1 255.255.255.0

# interface GigabitEthernet1/0/11 port access vlan 11 # interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14 port access vlan 14

# ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 60 ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 100

S56B 配置 ：

#

[lsw-down]dis cu

sysname lsw-down # vlan 11 to 14 # interface Vlan-interface11 ip address 15.1.1.3 255.255.255.0 # interface Vlan-interface12 ip address 16.1.1.3 255.255.255.0 # interface Vlan-interface13 ip address 160.1.1.1 255.255.255.0

# interface GigabitEthernet1/0/11 port access vlan 11 #

杭州华三通信技术有限公司

www.h3c.com.cn

第15页, 共33页

? SecPath核心防火墙双机热备典型配置举例 interface GigabitEthernet1/0/12 port access vlan 12 # interface GigabitEthernet1/0/13 port access vlan 13 # interface GigabitEthernet1/0/14

port access vlan 14 # ip route-static 0.0.0.0 0.0.0.0 16.1.1.1 preference 60

ip route-static 0.0.0.0 0.0.0.0 15.1.1.1 preference 100

3. 验证结果

?

从PC-B到PC-A,从PC-C到PC-A通过默认路由进行负载分担，分别走F5000A-1 和F5000A-2

[PC-B]tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet 1 150.1.1.1 11 ms 6 ms 8 ms 2 15.1.1.1 16 ms 3 ms 9 ms 3 155.1.1.10 8 ms 4 ms 3 ms [PC-C]tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet Press CTRL_C to break

1 160.1.1.1 1 ms 2 ms 1 ms 2 16.1.1.1 0 ms 1 ms 0 ms

3 155.1.1.10 1 ms 0 ms 1 ms

?

当F5000A-1 和F5000A-2中有一个接口down了，则切换到另一台上。

如F5000A-1一个接口down，则切换到F5000-B上。

[PC-B]tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet 1 150.1.1.1 11 ms 4 ms 7 ms 2 16.1.1.1 9 ms 3 ms 3 ms 3 155.1.1.10 14 ms 3 ms 9 ms [PC-C]tracert 155.1.1.10

traceroute to 155.1.1.10(155.1.1.10) 30 hops max,40 bytes packet 1 150.1.1.1 11 ms 4 ms 7 ms 2 16.1.1.1 9 ms 3 ms 3 ms 3 155.1.1.10 14 ms 3 ms 9 ms

杭州华三通信技术有限公司

www.h3c.com.cn

第16页, 共33页

? SecPath核心防火墙双机热备典型配置举例

4. 注意事项

?

本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。

4.3.3 路由模式＋主备模式

1. 功能简述

静态路由模式需要同时配置Vrrp以支持主备用设备的切换。所谓主备模式就是只有一台防火墙处于工作状态，另一台处于备用状态，当主用设备Down机后，备用设备会接管工作。 2. 典型配置步骤（组网图2 ） (1) 命令行下进行如下配置：

F5000a-1 配置 ：(作为主用设备)

nat address-group 1 102.0.1.1 102.0.1.254 level 1 #

acl number 3001 rule 0 permit ip source 101.0.5.0 0.0.0.255 rule 5 permit ip source 101.0.6.0 0.0.0.255 # interface GigabitEthernet1/0 port link-mode route

ip address 101.0.0.254 255.255.0.0 vrrp vrid 1 virtual-ip 101.0.0.1 vrrp vrid 1 priority 105 vrrp vrid 1 track interface GigabitEthernet1/1

# interface GigabitEthernet1/1 port link-mode route

ip address 102.0.0.254 255.255.0.0 vrrp vrid 1 virtual-ip 102.0.0.1 vrrp vrid 1 priority 105 vrrp vrid 1 track interface GigabitEthernet1/0

nat outbound static track vrrp 1 nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track vrrp 1

#（track vrrp关键字，意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为

杭州华三通信技术有限公司

www.h3c.com.cn

第17页, 共33页

应答！）

? SecPath核心防火墙双机热备典型配置举例 F5000a-2配置：（作为备用设备）

nat address-group 1 102.0.1.1 102.0.1.254 level 1 #

acl number 3001 rule 0 permit ip source 101.0.5.0 0.0.0.255

rule 5 permit ip source 101.0.6.0 0.0.0.255 //与主用设备配置要一致 # interface GigabitEthernet1/0 port link-mode route

ip address 101.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 101.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/1

# interface GigabitEthernet1/1 port link-mode route

ip address 102.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 102.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/0

nat outbound static track vrrp 1 nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track vrrp 1

#（track vrrp关键字，意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为应答！）

PC机IP配置：

Server：155.1.1.10 PC1：101.0.0.13 PC2：101.0.6.2

3. 验证结果

(1) 从Server可以ping通pc1（转换后的102.0.0.13）。 (2) 从pc1可以访问Server 的ftp/http/telnet等业务。

4. 注意事项

?

杭州华三通信技术有限公司

www.h3c.com.cn

第18页, 共33页

? SecPath核心防火墙双机热备典型配置举例 4.3.4 路由模式＋负载分担模式

1. 功能简述

双主组网就是两台防火墙都处于工作状态，每台设备负责转发一部分流量，实现负载分担，而当任一台设备Down机后，另一台设备会接管全部工作，要实现双主组网要配置至少两个VRRP组以产生两个网关，每台设备分别是一个网关的主用设备，若使用NAT则至少要配置两个地址池以进行地址转换。 2. 典型配置步骤（组网图2 ） (1) 命令行配置如下：

F5000a-1配置：

#

nat address-group 1 102.0.1.1 102.0.1.254 level 1

nat address-group 2 102.0.2.1 102.0.2.254 level 1 #

acl number 3001 rule 0 permit ip source 101.0.5.0 0.0.0.255 rule 5 permit ip source 101.0.6.0 0.0.0.255 acl number 3002 rule 0 permit ip source 101.0.7.0 0.0.0.255 rule 5 permit ip source 101.0.8.0 0.0.0.255

# interface GigabitEthernet1/0 port link-mode route

ip address 101.0.0.254 255.255.0.0 vrrp vrid 1 virtual-ip 101.0.0.1 vrrp vrid 1 priority 105 vrrp vrid 1 track interface GigabitEthernet1/1

vrrp vrid 2 virtual-ip 101.0.0.2 vrrp vrid 2 track interface GigabitEthernet1/1

# interface GigabitEthernet1/1 port link-mode route

ip address 102.0.0.254 255.255.0.0 vrrp vrid 1 virtual-ip 102.0.0.1 vrrp vrid 1 priority 105 vrrp vrid 1 track interface GigabitEthernet1/0

vrrp vrid 2 virtual-ip 102.0.0.2 vrrp vrid 2 track interface GigabitEthernet1/0

杭州华三通信技术有限公司

www.h3c.com.cn

第19页, 共33页

? SecPath核心防火墙双机热备典型配置举例 nat outbound static track vrrp 1 nat outbound 3002 address-group 2 track vrrp 2 nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track vrrp 1

#（track vrrp关键字，意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为应答！）

F5000a-2 配置：

nat address-group 1 102.0.1.1 102.0.1.254 level 1

nat address-group 2 102.0.2.1 102.0.2.254 level 1 #

acl number 3001 rule 0 permit ip source 101.0.5.0 0.0.0.255 rule 5 permit ip source 101.0.6.0 0.0.0.255

acl number 3002 rule 0 permit ip source 101.0.7.0 0.0.0.255 rule 5 permit ip source 101.0.8.0 0.0.0.255 #(这儿与主用设备配置要一致！)

# interface GigabitEthernet1/0 port link-mode route

ip address 101.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 101.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/1

vrrp vrid 2 virtual-ip 101.0.0.2 vrrp vrid 2 priority 105 vrrp vrid 2 track interface GigabitEthernet1/1

# interface GigabitEthernet1/1 port link-mode route

ip address 102.0.0.253 255.255.0.0 vrrp vrid 1 virtual-ip 102.0.0.1 vrrp vrid 1 track interface GigabitEthernet1/0

vrrp vrid 2 virtual-ip 102.0.0.2 vrrp vrid 2 priority 105 vrrp vrid 2 track interface GigabitEthernet1/0

nat outbound static track vrrp 1 nat outbound 3002 address-group 2 track vrrp 2 nat outbound 3001 address-group 1 track vrrp 1 nat server protocol icmp global 102.0.0.13 inside 101.0.0.13 track vrrp 1 nat server protocol udp global 102.0.0.13 any inside 101.0.0.13 any track

杭州华三通信技术有限公司

www.h3c.com.cn

第20页, 共33页

vrrp 1

? SecPath核心防火墙双机热备典型配置举例 #（track vrrp关键字，意思是当接口收到对nat 地址的arp查询时以vrrp 1的虚接地址作为应答！//

PC机IP配置：

PC1：101.0.5.0 PC2：101.0.7.0

3. 验证结果

pc1 业务默认从F5000A-1走。Pc2业务默认从F5000A-2走。 当主机F5000A-1down 全部切换到F5000A-2 4. 注意事项

该组网要注意报文来回路径要保持一致。

4.3.5 路由模式＋主备模式＋支持非对称路径

1. 功能简述（F1000E为例） 功能。

2. 典型配置步骤（组网错误！未找到引用源。） (1) 命令行配置：

f1000E01: #

version 5.20, Feature 3101 #

sysname fw01 #

undo voice vlan mac-address 00e0-bb00-0000 #

domain default enable system # vlan 1 #

domain system

access-limit disable state active idle-cut disable

杭州华三通信技术有限公司

www.h3c.com.cn

第21页, 共33页

self-service-url disable #

user-group system #

local-user h3c

? SecPath核心防火墙双机热备典型配置举例 password cipher G`M^B

interface Aux0 async mode flow link-protocol ppp #

interface NULL0 #

interface GigabitEthernet0/0 port link-mode route

ip address 192.168.102.31 255.255.252.0 #

interface GigabitEthernet0/2 port link-mode route

ip address 11.0.0.11 255.0.0.0 vrrp vrid 11 virtual-ip 11.0.0.1 vrrp vrid 11 priority 105

vrrp vrid 11 track interface GigabitEthernet0/3 #

interface GigabitEthernet0/3 port link-mode route

ip address 12.0.0.11 255.0.0.0 vrrp vrid 122 virtual-ip 12.0.0.2 #

interface GigabitEthernet1/1 port link-mode route #

interface GigabitEthernet1/2 port link-mode route #

interface GigabitEthernet1/3 port link-mode route #

interface GigabitEthernet1/4 port link-mode route

杭州华三通信技术有限公司

www.h3c.com.cn

第22页, 共33页

#

interface GigabitEthernet1/5 port link-mode route #

interface GigabitEthernet1/6 port link-mode route #

interface GigabitEthernet1/7 port link-mode route #

? SecPath核心防火墙双机热备典型配置举例 ip route-static 192.168.96.0 255.255.252.0 192.168.100.254 #

arp timer aging 1440 #

load xml-configuration #

user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4 F1000e02: #

version 5.20, Feature 3101 #

sysname fw02 #

undo voice vlan mac-address 00e0-bb00-0000 #

domain default enable system # vlan 1 #

domain system

access-limit disable state active idle-cut disable

self-service-url disable #

user-group system #

local-user h3c

password cipher G`M^B

杭州华三通信技术有限公司

www.h3c.com.cn

第23页, 共33页

authorization-attribute level 3 service-type telnet #

interface Aux0 async mode flow link-protocol ppp #

interface NULL0 #

interface GigabitEthernet0/0 port link-mode route

? SecPath核心防火墙双机热备典型配置举例 ip address 192.168.102.32 255.255.252.0 #

interface GigabitEthernet0/2 port link-mode route

ip address 11.0.0.22 255.0.0.0 vrrp vrid 11 virtual-ip 11.0.0.1 #

interface GigabitEthernet0/3 port link-mode route

ip address 12.0.0.22 255.0.0.0 vrrp vrid 122 virtual-ip 12.0.0.2 vrrp vrid 122 priority 105

vrrp vrid 122 track interface GigabitEthernet0/2 #

interface GigabitEthernet1/1 port link-mode route #

interface GigabitEthernet1/2 port link-mode route #

interface GigabitEthernet1/3 port link-mode route #

interface GigabitEthernet1/4 port link-mode route #

interface GigabitEthernet1/5 port link-mode route #

interface GigabitEthernet1/6 port link-mode route

杭州华三通信技术有限公司

www.h3c.com.cn

第24页, 共33页

#

interface GigabitEthernet1/7 port link-mode route #

? SecPath核心防火墙双机热备典型配置举例 ip route-static 192.168.96.0 255.255.252.0 192.168.100.254 #

load xml-configuration #

user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4

数据流向：

Http/ftp/dns serverG0/3F1000e-01F1000e-02PC1

WEB配置：

杭州华三通信技术有限公司

www.h3c.com.cn

第25页, 共33页

? SecPath核心防火墙双机热备典型配置举例

杭州华三通信技术有限公司

www.h3c.com.cn

第26页, 共33页

? SecPath核心防火墙双机热备典型配置举例

3. 验证结果

pc1从server http/ftp、方式get文件，连接不中断；

VRRP状态： dis vrrp

IPv4 Standby Information: Run Method : VIRTUAL-MAC Total number of virtual routers: 2

Interface VRID State Run Adver. Auth Virtual Pri Time Type IP --------------------------------------------------------------------- GE0/2 11 Master 105 1 NONE 11.0.0.1 GE0/3 122 Backup 100 1 NONE 12.0.0.2

[fw02-GigabitEthernet0/3]dis vrrp IPv4 Standby Information: Run Method : VIRTUAL-MAC Total number of virtual routers: 2

Interface VRID State Run Adver. Auth Virtual Pri Time Type IP

杭州华三通信技术有限公司

www.h3c.com.cn

第27页, 共33页

? SecPath核心防火墙双机热备典型配置举例 --------------------------------------------------------------------- GE0/2 11 Backup 100 1 NONE 11.0.0.1 GE0/3 122 Master 105 1 NONE 12.0.0.2

4. 注意事项

?

本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。

4.3.6 路由模式＋负载分担模式＋支持非对称路径

1. 功能简述（F1000E为例） 通过Vlan虚接口实现三层转发。 2. 典型配置步骤（组网4） (1) 命令行配置：

# F1000E-1: #

version 5.20, Feature 3101 #

sysname fw01 #

undo voice vlan mac-address 00e0-bb00-0000 #

nat address-group 1 12.2.2.1 12.2.2.254 level 1 nat address-group 2 12.2.3.1 12.2.3.254 level 1 #

domain default enable system #

acl number 3000

rule 0 permit ip source 11.0.0.3 0 acl number 3001

rule 0 permit ip source 11.0.0.4 0 # vlan 1 #

domain system

access-limit disable state active idle-cut disable

self-service-url disable #

杭州华三通信技术有限公司

www.h3c.com.cn

第28页, 共33页

user-group system #

local-user h3c

? SecPath核心防火墙双机热备典型配置举例 password cipher G`M^B

interface Aux0 async mode flow link-protocol ppp #

interface NULL0 #

interface GigabitEthernet0/0 port link-mode route

ip address 192.168.102.31 255.255.252.0 #

interface GigabitEthernet0/2 port link-mode route

ip address 11.0.0.11 255.0.0.0 vrrp vrid 11 virtual-ip 11.0.0.1 vrrp vrid 11 priority 105

vrrp vrid 11 track interface GigabitEthernet0/3 vrrp vrid 111 virtual-ip 11.0.0.2 #

interface GigabitEthernet0/3 port link-mode route

nat outbound 3001 address-group 2 track vrrp 12 nat outbound 3000 address-group 1 track vrrp 122 ip address 12.0.0.11 255.0.0.0 vrrp vrid 12 virtual-ip 12.0.0.1 vrrp vrid 12 priority 105

vrrp vrid 12 track interface GigabitEthernet0/2 vrrp vrid 122 virtual-ip 12.0.0.2 #

interface GigabitEthernet1/1 port link-mode route #

interface GigabitEthernet1/2 port link-mode route #

interface GigabitEthernet1/3

杭州华三通信技术有限公司

www.h3c.com.cn

第29页, 共33页

port link-mode route #

interface GigabitEthernet1/4 port link-mode route #

interface GigabitEthernet1/5 port link-mode route #

interface GigabitEthernet1/6 port link-mode route #

interface GigabitEthernet1/7 port link-mode route #

? SecPath核心防火墙双机热备典型配置举例 ip route-static 192.168.96.0 255.255.252.0 192.168.100.254 #

arp timer aging 1440 #

load xml-configuration #

user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4 #

return

F1000E-2: #

version 5.20, Feature 3101 #

sysname fw02 #

undo voice vlan mac-address 00e0-bb00-0000 #

ike sa nat-keepalive-timer interval 0 #

nat address-group 1 12.2.2.1 12.2.2.254 level 1 nat address-group 2 12.2.3.1 12.2.3.254 level 1 #

domain default enable system

杭州华三通信技术有限公司

www.h3c.com.cn

第30页, 共33页

#

acl number 3000

rule 0 permit ip source 11.0.0.3 0 acl number 3001

rule 0 permit ip source 11.0.0.4 0 # vlan 1 #

domain system

access-limit disable state active idle-cut disable

self-service-url disable #

user-group system #

local-user h3c

? SecPath核心防火墙双机热备典型配置举例 password cipher G`M^B

interface Aux0 async mode flow link-protocol ppp #

interface NULL0 #

interface GigabitEthernet0/0 port link-mode route

ip address 192.168.102.32 255.255.252.0 #

interface GigabitEthernet0/2 port link-mode route shutdown

ip address 11.0.0.22 255.0.0.0 vrrp vrid 11 virtual-ip 11.0.0.1 vrrp vrid 111 virtual-ip 11.0.0.2 vrrp vrid 111 priority 105

vrrp vrid 111 track interface GigabitEthernet0/3 #

interface GigabitEthernet0/3 port link-mode route

杭州华三通信技术有限公司

www.h3c.com.cn

第31页, 共33页

? SecPath核心防火墙双机热备典型配置举例 nat outbound 3001 address-group 2 track vrrp 12 nat outbound 3000 address-group 1 track vrrp 122 ip address 12.0.0.22 255.0.0.0 vrrp vrid 12 virtual-ip 12.0.0.1 vrrp vrid 122 virtual-ip 12.0.0.2 vrrp vrid 122 priority 105

vrrp vrid 122 track interface GigabitEthernet0/2 #

interface GigabitEthernet1/1 port link-mode route #

interface GigabitEthernet1/2 port link-mode route #

interface GigabitEthernet1/3 port link-mode route #

interface GigabitEthernet1/4 port link-mode route #

interface GigabitEthernet1/5 port link-mode route #

interface GigabitEthernet1/6 port link-mode route #

interface GigabitEthernet1/7 port link-mode route #

ip route-static 192.168.96.0 255.255.252.0 192.168.100.254 #

load xml-configuration #

user-interface con 0 idle-timeout 0 0 user-interface aux 0 user-interface vty 0 4 #

return

数据流向：

杭州华三通信技术有限公司

www.h3c.com.cn

第32页, 共33页

? SecPath核心防火墙双机热备典型配置举例 Http/ftp/dns serverG0/3F1000e-01G0/2G0/1G1/0G0/3G0/1G1/0G0/2PC1PC2 3. 验证结果

(1) pc1，pc2从server http/ftp、方式get文件，连接不中断；。 4. 注意事项 无。

4.3.7 动态路由模式组网

动态路由模式组网，所有设备可以使用ospf路由协议，保证路由快速收敛。两台防火墙在WEB页面中配置双机热备，其余的配置与普通组网配置没有什么不同，要注意的一点是要保证来回的报文均通过同一台防火墙即可。

5 相关资料

《双机热备技术白皮书》 《v5双机热备典型组网》

Copyright ?2007 杭州华三通信技术有限公司 版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 本文档中的信息可能变动，恕不另行通知。

杭州华三通信技术有限公司

www.h3c.com.cn

第33页, 共33页

本文来源：https://www.bwwdw.com/article/5ixg.html