华为 WLAN AC双机热备技术白皮书

华为防火墙(VRRP)双机热备配置及组网

防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。 在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下： ★ hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

防火墙技术案例双机热备负载分担组网下的IPSec配置

论坛的小伙伴们，大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为 USG6600V100R001C10） 现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。1、如何使两台防火墙形成双机热备负载分担状态 两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。 2、分支与总部之间如何建立IPSec隧道 正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导 总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】

防火墙技术案例5双机热备(负载分担)组网下的IPSec配置

【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置 论坛的小伙伴们，大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？ 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10） 现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态？ 两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。 2、分支与总部之间如何建立IPSec隧道？ 正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导？ 总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前，小伙伴们需要按照上图配置各接口的IP地址，并将各接口加入相应的安全区域，然后配置正确的安全策略，允许网络互通。由于这些不是本案例的重点，因此不在此赘述。 完成以上配置后，就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙（NGFW_C和NGFW_D负载分担处理流量）的上下行接口都工作在三层，而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层，上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例，无论是命令行配置举例还是Web配置举例，大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。

防火墙双机热备特性FAQ

防火墙双机热备特性FAQ 1：问：R6新增了支持防火墙和路由器双机热备份组网，的这种组网是如何实现的防火墙主备组网的，需要在防火墙上配置哪些命令，需要注意哪些东西？ 答：R6上新增支持防火墙和路由器双机热备份组网，这种组网防火墙和路由器之间器OSPF 协议，同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值，使得路由器学到的路由都指向主防火墙，保证业务都从主防火墙上过，形成双机热备份的。 为了实现防火墙和双机热备份组网，需要在主备防火墙上配置命令：hrp ospf-cost adjust-enable，这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值，主防火墙直接发布路由。这个COST值默认是65500。 防火墙和路由器组网的时候，心跳线不能配置成transfer-only，同时需要使用VRRP的优先级作为防火墙的VGMP的优先级，VRRP需要track上和路由器相连的接口。 2：问：R6双机热备份是如何支持来回路径不一致的，会话快速备份和传统的会话实时备份有什么区别，会话快速备份涉及到哪些命令行。 答：R6是通过支持会话快速备份来支持来回路径不一致的，会话快速备份就是在会话建立的时候就立即备份到对端防火墙上，保证即使是来回路径不一致，到备防火墙上的报文也能命中会话进行转发。 会话快速备份和传统的会话实时备份的区别是：1：会话快速备份在会话一建立就备份到备防火墙上，而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的，所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上，所以仅仅有会话实时备份不能支持来回路径不一致。2：会话快速备份能备份tcp半连接会话和ICMP会话，而会话实时备份不备份半连接会话和ICMP的会话。 会话快速备份首先需要配置心跳口，并配置high-availability参数，保证此接口是高可用性接口，同时配置hrp mirror session enable。 3：问：R6版本的IP-link应用场景如何？，配置ip-link需要注意什么？ 防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示：

华为三层 二层交换机双机热备份配置举例

华为三层+二层交换机双机热备份配置举例 组网需求 SE2300作为会话边界控制器被部署在企业网络和NGN网络之间，考虑到设备运行的可靠性，采用两台SE2300以主备备份方式工作。其中SE2300-A作为主用，SE2300-B作为备用。 如图1-10所示，内部企业网络1的网段地址为10.100.10.0/24，企业网络2的网段地址为10.100.20.0/24。两台SE2300分别通过LAN Switch连接各个网络。 企业网络1对应的备份组虚拟IP地址为10.100.10.1；企业网络2对应的备份组虚拟IP地址为10.100.20.1；NGN 网络对应的备份组虚拟IP地址为202.38.10.1。 SE2300-A和SE2300-B分别通过接口Ethernet1/0/0连接企业网络1，通过Ethernet2/0/0连接企业网络2，通过Ethernet4/0/0连接NGN网络。 图1-10 双机热备份典型配置组网 配置思路 采用如下思路进行配置： l 在接口上配置VRRP备份组 l 配置VRRP管理组，将备份组添加到VRRP管理组中 l 配置HRP 数据准备 数据规划如下： l VRRP备份组虚拟IP地址 l VRRP管理组的优先级 配置步骤 在进行VRRP相关配置前，请先确保SE2300自己能够正常工作，即已经成功地配置了信令代理和媒体代理功能，及各接口的IP地址。之后进行如下配置： 步骤1 配置SE2300-A # 在Ethernet1/0/0接口上配置VRRP备份组1，并配置备份组的虚拟IP地址。 首先配置实地址，再配置虚地址，实地址和虚地址要配置在同一网段。 在组网环境中一定要注意检查不能有相同的vrid配置存在，不允许出现vrid相同的两台设备接在同一台交换机上。 system-view [Quidway] interface ethernet 1/0/0 [Quidway-Ethernet1/0/0] ip address 10.100.10.2 24 [Quidway-Ethernet1/0/0] vrrp vrid 1 virtual-ip 10.100.10.1

双机热备篇 你所不知道的HRP

【防火墙技术连载41】强叔侃墙双机热备篇你所不知道的HRP 强叔在前几篇中讲解了双机热备的核心VGMP。在介绍VGMP报文结构时我们看到了几种HRP协议 定义的报文，本期强叔就要为大家解析HRP协议和这几种HRP报文。 有的小伙伴儿们会说：“HRP不就是负责双机的数据备份嘛。有什么难度？”其实HRP在备份时还 是大有文章的，现在强叔就为大家揭秘这些HRP鲜为人知的细节。 1 为什么需要HRP？ 1.1 备份配置命令 防火墙通过执行命令（通过Web配置实际上也是在执行命令）来实现用户所需的各种功能。如果备用设备切换为主用设备前，配置命令没有备份到备用设备，则备用设备无法实现主用设备的相关功能，从而导致业务中断。 如下图所示，主用设备FW1上配置了允许内网用户访问外网的安全策略。如果主用设备FW1上配置的安全策略没有备份到备用设备FW2上，那么当主备状态切换后，新的主用设备FW2将不会允许内网用户访问外网（因为防火墙缺省情况下禁止所有报文通过）。 1.2 备份会话 防火墙属于状态检测防火墙，对于每一个动态生成的连接，都有一个会话表项与之对应。主用设备处理业务过程中创建了很多动态会话表项；而备用设备没有报文经过，因此没有创建会话表项。如果备用设

备切换为主用设备前，会话表项没有备份到备用设备，则会导致后续业务报文无法匹配会话表，从而导致业务中断。 如下图所示，主用设备FW1上创建了PC1访问PC2的会话（源地址为10.1.1.10，目的地址为200.1.1.10），PC1与PC2之间的后续报文会按照此会话转发。如果主用设备FW1上的会话不能备份到备用设备FW2上，那么当主备状态切换后，PC1访问PC2的后续报文在FW2上匹配不到会话。这样就会导致PC1访问PC2的业务中断。 因此为了实现主用设备出现故障时备用设备能平滑地接替工作，必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了HRP（ Huawei Redundancy Protocol）协议，实现防火墙双机之间动态状态数据和关键配置命令的备份。 如下图所示，主用设备FW1上配置了允许内网用户访问外网的安全策略，所以FW1会允许内网PC1访问外网PC2的报文通过，并且会建立会话。由于在FW1和FW2上都使用了HRP协议（配置了双机热备中的HRP功能），因此主用设备FW1上配置的安全策略和创建的会话都会备份到备用设备FW2上。这样当主备状态切换后，由于备用设备上已经存在允许内网用户访问外网的安全策略以及PC1访问PC2的会话，所以PC1访问PC2业务报文不会被禁止或中断。

基于华为防火墙ip link机制的线路检测和切换方案的研究报告和实现

基于ip link机制的 线路检测和保护案的研究和实现

目录 第1章背景 (3) 第2章案概述 .........................................................................................错误!未定义书签。 2.1 负载均衡案.................................................................................错误!未定义书签。 2.2 非负载均衡线路和业务保护案....................................................错误!未定义书签。第3章总结与优化 .. (8) 3.1 总结 (8) 3.2 优化............................................................................................错误!未定义书签。

第1章背景 近年来，随着互联网应用的不断发展，集团客户的业务越来越多的依赖于互联网，由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展，都开通了多条运营商线路，通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换，都成为客户关注和急需要解决的问题。 为此，本文作者结合日常工作经验和典型集团客户需求，分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护案。 第2章线路检测和保护案 2.1 Ip link线路检测机制 Ip link检测机制是基于icmp协议的链路可达性检查机制，主要原理是通过icmp协议探测链路上目的地址是否可达，由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上，用于检测与防火墙不直接相连的接口或链路状态。 检测流程如下：

华为 配置双机热备份

Quidway Eudemon 200E-B 配置指南可靠性分册目录 目录 1 配置双机热备份...........................................................................................................................1-1 1.1 简介..............................................................................................................................................................1-2 1.1.1 VRRP概述...........................................................................................................................................1-2 1.1.2 VGMP概述..........................................................................................................................................1-3 1.1.3 备份方式分类.....................................................................................................................................1-4 1.1.4 HRP应用..............................................................................................................................................1-8 1.1.5 配置设备的主从划分.........................................................................................................................1-9 1.1.6 配置命令和状态信息的备份...........................................................................................................1-10 1.1.7 双机热备份的组网方式...................................................................................................................1-12 1.1.8 配置一致性检查概述.......................................................................................................................1-12 1.1.9 接口的双机热备...............................................................................................................................1-13 1.2 配置VRRP备份组.....................................................................................................................................1-13 1.2.1 建立配置任务...................................................................................................................................1-13 1.2.2 配置VRRP备份组............................................................................................................................1-14 1.2.3 检查配置结果...................................................................................................................................1-15 1.3 配置VRRP管理组.....................................................................................................................................1-15 1.3.1 建立配置任务...................................................................................................................................1-15 1.3.2 配置路由模式下的VRRP管理组....................................................................................................1-16 1.3.3 配置混合模式下的VRRP管理组....................................................................................................1-17 1.3.4 检查配置结果...................................................................................................................................1-18 1.4 配置双机热备份........................................................................................................................................1-18 1.4.1 建立配置任务...................................................................................................................................1-18 1.4.2 配置双机热备份...............................................................................................................................1-20 1.4.3 检查配置结果...................................................................................................................................1-20 1.5 维护............................................................................................................................................................1-20 1.5.1 调试VRRP报文、状态和定时器....................................................................................................1-21 1.5.2 调试VRRP管理组............................................................................................................................1-21 1.5.3 调试HRP...........................................................................................................................................1-21 1.5.4 检查两端配置的一致性...................................................................................................................1-21 1.5.5 调试HRP配置检查功能...................................................................................................................1-22

防火墙双机热备典型故障现象及定位

双机热备份典型故障现象及定位 当前现网组网基本上都是双机热备份组网，而现在由于双机热备份配置或者是组网带来的问题导致现网业务中断也是多有案例出现，下面就几个典型案例来介绍防火墙双机热备份组网中的常见故障及故障定位解决办法。 1案例一：双机热备份组网部分业务中断的问题 业务与软件部门在河北某局点于2007年11月用两台Eudemon 1000替换NetScreen的防火墙NS500，业务割接之后发现部分业务不通，最终定位为双机热备份配置的问题。 1.1组网图： 组网图如下所示，其中图中注明的新增的两台Eudemon 1000是替换掉NS500割入的设备，防火墙使用路由模式组网，使用的版本是EU300&500&1000&SP1800-VRP3.30-0359(08)。 1.2防火墙配置： 防火墙配置如下附件所示：

由于此次割接是Eudemon 防火墙替换NS500的防火墙，所以防火墙的配置基本上是把NS500的配置翻译成防火墙的配置之后割接上去。 1.3故障现象： 防火墙割接上去之后，发现用一个测试软件从trust到dmz域做NAT outbound出去访问一个指定的server不通，但是可以从防火墙上ping通此server服务器，查看防火墙会话，有从测试PC到server的会话。 刚开始业务与软件部门的兄弟开始检查配置，找自己的部门人员分析，反复查看配置及组网，对比防火墙和NS500的配置之后，仍然没有发现任何疑点，因为NAT地址的地址以前在NS500上使用是可以的对外发起访问的，但是在Eudemon 1000上却对外发起访问不成功，由于此次割接只是用防火墙Eudemon 1000替换NS500，其他设备没有什么改动，初步定位问题出现在防火墙上。但是防火墙上已经建立了从内网访问server的会话，如果按照防火墙的转发原理，只要回来的报文能到达防火墙，都能命中会话转发到测试PC上。 1.4定位过程： 最后现场技术支持和用服找到防火墙研发，防火墙研发登陆到防火墙上，开始进行定位。首先查看从测试PC到指定Server的会话，确实是存在从测试PC到指定Server的TCP会话，同时存在从F5到Server的会话。当时让现场工程师从F5 ping Server，发现ping不通，然后查看防火墙上的从测试PC到Server的会话，发现会话的老化时间都是10S钟。 根据上面的现象，初步断定是报文从防火墙做NAT出去之后回来的报文没有达到防火墙上，因为如果报文能回到防火墙上，会命中会话转发到F5或者是测试PC上，ping和TCP的三次握手能完成，F5能ping通Server，从测试PC到Server的TCP连接的会话老化时间应该是20分钟而不是10S。 首先让现场工程师查看从防火墙的上行设备上是否有地址池地址的路由能到达防火墙，查看路由没有问题，然后查看防火墙上行设备上的对应的地址池的ARP表项是否正确，发现此设备上没有到地址池的ARP表项，所以导致到防火墙NAT地址池的地址的报文因为没有ARP转发不到防火墙上。通过在防火墙上行设备上ping防火墙的NAT地址的地址，使上行设备

核心交换机双机热备解决方案

核心交换机双机热备解决方案 一、项目背景 稳定持续的系网络系统运行变得越来越重要，而原来有单机核心三层交换数据潜伏巨大的崩溃风险。 VRRP（虚拟路由冗余协议）技术来解决该问题，以实现主、备核心三层交换设备之间动态、无停顿的热切换。 二、方案设计： 2.1、简要介绍VRRP的基本概念。 通常情况下，内部网络中的所有主机都设置一条相同的缺省路由，指向出口网关（即图1中的交换机S9300A），实现主机与外部网络的通信。当出口网关发生故障时，主机与外部网络的通信就会中断。 图1 局域网缺省网关 配置多个出口网关是提高系统可靠性的常见方法，但需要解决如何在多个出口网关之间进行选路的问题。 VRRP（Virtual Router Redundancy Protocol）是RFC3768定义的一种容错协议，通过物理设备和逻辑设备的分离，实现在多个出口网关之间选路，很好地解决了上述问题。 在具有多播或广播能力的局域网（如以太网）中，VRRP提供逻辑网关确保高利用度的传输链路，不仅能够解决因某网关设备故障带来的业务中断，而且无需修改路由协议的配置。 2.2、VRRP工作原理：

vrrp只定义了一种报文——vrrp报文，这是一种组播报文，由主三层交换机定时发出来通告他的存在。使用这些报文可以检测虚拟三层交换机各种参数，还可以用于主三层交换机的选举。 VRRP中定义了三种状态模型，初始状态Initialize，活动状态Master 和备份状态Backup，其中只有活动状态的交换机可以为到虚拟IP地址的的转发请求提供服务。 VRR报文是封装在IP报文上的，支持各种上层协议，同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。 那么如何从备份组的多台交换机中选举Master？这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。 虚拟交换机根据配置的优先级的大小选择主交换机，优先级最大的作为主交换机，状态为Master，若优先级相同（如果交换机没有配置优先级，就采用默认值100），则比较接口的主IP地址，主IP地址大的就成为主交换机，由它提供实际的路由服务。其他交换机作为备份交换机，随时监测主交换机的状态。当主交换机正常工作时，它会每隔一段时间发送一个VRRP 组播报文，以通知组内的备份交换机，主交换机除正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机，则将自己状态转换为Master。当组内有多台备份交换机，将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级，如果本地的优先级小于VRRP中的优先级，则将自己的状态转换为Backup，否则保持自己的状态不变。通过这样一个过程，就会将优先级最大的交换机选成新的主交换机，完成VRRP的备份功能。

基于华为防火墙ip link机制的线路检测和切换方案的研究和实现

基于ip link机制的 线路检测和保护方案的研究和实现

目录 第1章背景 (3) 第2章方案概述 .......................................................................................... 错误！未定义书签。 2.1负载均衡方案 ................................................................................. 错误！未定义书签。 2.2非负载均衡线路和业务保护方案 ................................................. 错误！未定义书签。第3章总结与优化 (8) 3.1总结 (8) 3.2优化................................................................................................. 错误！未定义书签。

第1章背景 近年来，随着互联网应用的不断发展，集团客户的业务越来越多的依赖于互联网，由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展，都开通了多条运营商线路，通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换，都成为客户关注和急需要解决的问题。 为此，本文作者结合日常工作经验和典型集团客户需求，分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护方案。 第2章线路检测和保护方案 2.1 Ip link线路检测机制 Ip link检测机制是基于icmp协议的链路可达性检查机制，主要原理是通过icmp协议探测链路上目的地址是否可达，由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上，用于检测与防火墙不直接相连的接口或链路状态。 检测流程如下：

华为防火墙部署及配置指南

防火墙二层模式部署在互联网出口，运行在双机热备的主备模式下。上连出口网关路由器，下连入侵防御系统，对接沙箱和CIS ，按等保三级“安全区域边界”相关控制点配置策略。 CIS 、SecoManager 一般部署在“运维管理区”，如果用户网络没有按分域架构部署，CIS 、SecoManager 可直接连接核心交换机，保证USG 和CIS 、SecoManager 路由可达即可。 1 防火墙部署及配置指南1.1 方案描述

1.2 网络规划

1.3 配置思路 1.完成防火墙基本网络配置，包括接口和安全区域。 2.配置防火墙双机。 3.配置安全策略，放通OSPF协议流量和内部服务器对外提供服务的流量，禁止其 他流量通过。 4.配置路由器和交换机OSPF。数据规划参考2.2.2 网络规划，配置操作请参考相关 路由器与交换机产品文档。 5.参考本手册后续章节完成与FireHunter、SecManager、CIS、日志服务器的对接和 业务配置。 1.4 配置详情 1.完成网络基本配置。

2.配置双机热备功能。 3.在FW_A上配置安全策略。双机热备状态成功建立后，FW_A的安全策略配置会 自动备份到FW_B上。 # 配置安全策略，允许上下行路由器交互的OSPF报文通过FW。

当FW的业务接口工作在二层时，上下行设备之间的OSPF报文需要通过FW。OSPF报文受 firewall packet-filter basic-protocol enable命令控制。缺省情况下，firewall packet-filter basic- protocol enable处于开启状态，即OSPF报文受安全策略控制，需要在上行业务接口所在安全区 域与下行业务接口所在安全区域之间配置安全策略，允许协议类型为OSPF的报文通过。本例以 firewall packet-filter basic-protocol enable开启为例进行介绍。 HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name policy_ospf_1 HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.0.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.1.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.0.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.1.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit HRP_M[FW_A-policy-security] rule name policy_ospf_2 HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.0.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.1.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.0.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.1.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_2] quit # 配置安全策略，允许外部访问内部服务器的服务端口。 HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name service HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 192.168.0.100 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] service protocol tcp destination-port 8081 HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit 1.5 使用限制及注意事项 本场景中用到防火墙各功能特性的使用限制及注意事项详见防火墙产品文档。

华为USG9500高端防火墙售前培训材料

Huawei Enterprise A Better Way T级安全防护,极速访问体验 -华为USG9500高端防火墙售前技术培训

新特性应用场景、方案&价值 目录 USG9500产品定位 13x -x x -x USG9500产品软硬件介绍 2x -x

USG9500产品定位及概述 ?市场定位 ?USG9500主要定位于运营商、金融、教育、能源、政府等高端用户，主要部署在其高速网络出口，提供攻击防护、安全隔离、大规模NAT转换、访问控制、海量VPN接入等安全功能。 ?体系结构 ?最领先的“NP＋多核＋分布式”架构 ?产品特点 ?最高性能防火墙、最大容量VPN网关、灵活多样的智能选路、服务器负载均衡、最多接口种类&最大接口容量、高可靠性

USG9500规格参数 型号USG9520USG9560USG9580 插槽数量3个，可配置业务板和接口板8个插槽，可配置业务板和接口板16个插槽，可配置业务板和接口板吞吐量80G（特殊配置可达100G）480G960G 并发连接数80M480M960M 每秒新建连接数1M6M12M VPN性能48G（配4个CPU业务板）240G（配4个CPU业务板：5块）480G（配4个CPU业务板：10块）VPN隧道数128k（配4个CPU业务板）640k（配4个CPU业务板：5块）100万 虚拟防火墙数409640964096 可靠性模块热插拔/组件热插拔/双机热备/链路聚合/双主控/外置BYPASS盒子 接口板类型以太网 GE接口 单槽位：48×GE（光/电） 以太网 10GE接 口 单槽位：10×10G，收敛卡4×10G可插4块