自從推薦主備配置系列以來，許多網友一起與我溝通配置的方法。這兩天終于有時間了，決定繼續推出華為的。共分兩部分，路由模式與透明模式！?? 雙機熱備，所謂雙機熱備其實是雙機狀態備份，當兩臺防火墻，在確定主從防火墻后，由主防火墻進行業務的轉發，而從防火墻處于監控狀態，同時主防火墻會定時向從防火墻發送狀態信息和需要備份的信息，當主防火墻出現故障后，從防火墻會及時接替主防火墻上的業務運行。狀態備份最主要的優點，是可以保護當前業務不會中斷. 實現雙機熱備的基本步驟：

（1）在接口上配置VRRP（虛擬路由器冗余協議）備份組，來發現防火墻的故障情況；

（2）將VRRP備份組加入到VGMP（?VRRP組管理協議）中，以實現對VRRP管理組的統一管理；

（3）使能HRP（華為冗余協議），實現雙機情況下的信息備份。

? 設計思路： 1、其實就是個口字型網絡，主備設備間起TRUNK， 交換機與防火墻互聯為access口， 2、交換機與防火墻互為VRRP，A和B交換浮動IP192.168.0.3，防火墻浮動IP為192.168.0.6 C和D交換機浮動IP192.168.1.3，防火墻浮動IP為192.168.1.6 3、兩個防火墻間通過一個網口作芯跳，HRP 4、上面和下面的兩組交換機配置方法一樣。本文只列出上面的。。 配置：交換機，此處就不配置TRUNK和ACCESS口的方法了。 三層A interface Vlan-interface803
description To_Eudemon500A
ip address 192.168.0.1 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3
vrrp vrid 4 priority 120 三層B
interface Vlan-interface803
description To_Eudemon500B
ip address 192.168.0.2 255.255.255.248
vrrp vrid 4 virtual-ip 192.168.0.3 防火墻： 1,eudemon 500A配置： sysname FW-E500-A
super password level 3 ciper huawei????????????????
????????????????????????????????????????????????? web-manager enable?????????????????????????????????
web-manager security enable??
acl number 3000????????????????????????????????????
description permit-all?????????????????????????????
rule permit ip??
firewall zone trust
set priority 85
add int g1/0/0
?
firewall zone untrust
set priority 5
add int g1/0/1
?
firewall zone hrp
set priority 30
add int g4/0/1
int g1/0/0
de to_switch_A
ip address 192.168.0.4 255.255.255.248
vrrp vrid 10 virtual-ip 192.168.0.6
vrrp vrid 10 pri 120 int g1/0/1
de to_switch_C
ip address 192.168.1.4 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6
vrrp vrid 15 pri 120 int g4/0/1
de HA_to_E500-B
ip address 192.168.3.1 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.1.3
vrrp vrid 20 pri 120 vrrp group 1
add interface ethernet4/0/1 vrrp vrid 30 data transfer-only
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group pri 105
vrrp-group preempt
vrrp-group enable
hrp enable
hrp interface g4/0/1
fire intzone trust local
pack 3000 in
pack 3000 out fire intzone untrust local
pack 3000 in
pack 3000 out fire intzone trust untrust aaa????????????????????????????????????????????????
local-user huawei password simple huawei???????????
local-user huawei service-type web telnet ssh?
local-user huawei level 0??????????????????????????

user-interface vty 0 4?????????????????????????????
authentication-mode aaa????????????????????????????
user privilege level 0? 2、eudemon 500B配置 sysname FW-E500-B
super password level 3 ciper huawei??????????????????????
????????????????????????????????????????????????????????? web-manager enable???????????????????????????????????????
web-manager security enable??
acl number 3000??????????????????????????????????????????
description permit-all???????????????????????????????????
rule permit ip??
firewall zone trust
set priority 85
add int g1/0/0
?
firewall zone untrust
set priority 5
add int g1/0/1
?
firewall zone hrp
set priority 30
add int g4/0/1
int g1/0/0
de to_switch-B
ip address 192.168.0.5 255.255.255.248
vrrp vrid 10 virtual-ip 192.168.0.6 int g1/0/1
de to_switCh-D
ip address 192.168.1.5 255.255.255.248
vrrp vrid 15 virtual-ip 192.168.1.6 int g4/0/1
de HA_to_FW-E500-B
ip address 192.168.3.2 255.255.255.0
vrrp vrid 20 virtual-ip 192.168.3.3 vrrp group 1
add interface ethernet4/0/1 vrrp vrid 30 data transfer- only
add interface ethernet1/0/0 vrrp vrid 10 data
add interface ethernet1/0/1 vrrp vrid 20 data
vrrp-group preempt
vrrp-group enable
hrp enable
hrp interface g4/0/1
fire intzone trust local
pack 3000 in
pack 3000 out fire intzone untrust local
pack 3000 in
pack 3000 out fire intzone trust untrust
pack 3002 in
pack 3001 out
aaa??????????????????????????????????????????????????????
local-user huawei password simple huawei?????????????????
local-user huawei service-type web telnet ssh?
local-user huawei level 0????????????????????????????????

user-interface vty 0 4???????????????????????????????????
authentication-mode aaa??????????????????????????????????
user privilege level 0? 1.????雙機熱備的注意點

（1）對于雙機熱備目前只支持兩臺設置進行備份，不支持多臺設備進行備份。但對于只使用VRRP的組網可以支持多臺設備進行冗余備份；

（2）由于雙機熱備中具有備份機制可以備份動態信息和命令，因此要求進行雙機熱備的兩臺設備板卡的位置，以及接口卡的類型都要求相同，否則會出現主防火墻備份過去的信息，與從防火墻根本就無法進行搭配使用，如出現主備狀態切換就會導致業務出問題。

（3）進行雙機熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設備配置相同，以免由于先前的配置而導致業務問題。

本文轉自小俠唐在飛 51CTO博客，原文鏈接：http://blog.51cto.com/xiaoxia/64142，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的网络设备主备配置系列3:华为防火墙(路由模式）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。