防火墙双机热备注意事项（原理类）

小乔

上下行接口配置了VRRP虚拟IP地址，还需要配置实IP地址吗

在配置VRRP虚拟IP地址前，必须先配置接口的IP地址。IPv4 VRRP虚拟IP地址和接口IP地址可以在同一个网段，也可以不在同一个网段。但IPv6 VRRP虚拟IP地址与接口IP地址必须在同一个网段。

为什么主用防火墙需要配置较长的抢占延时，而备用防火墙可以配置很短的抢占延时

抢占操作总是在主用防火墙故障恢复后启动。如果主用防火墙的抢占延时太短，则主用防火墙很快完成状态切换，但备用防火墙上的会话表项可能还没有完全备份过来，导致主用防火墙上会话表项不全，部分业务中断。因此主用防火墙要配置较长的抢占延时。

接口相关的命令行，哪些支持备份，哪些不支持备份

支持备份的接口相关的命令行如下：

• 新建子接口
• 新建Eth-Trunk等逻辑口
• 接口加入Eth-Trunk
• 接口加入安全区域
  

不支持备份的接口相关的命令行如下：

• 接口配置IP地址
• 接口配置VRRP
• 接口下添加IPSec策略
• shutdown接口
  

为什么备用防火墙上不能配置命令

两台防火墙建立主备状态后，可以自动备份的命令不能在备用防火墙上手动配置，

在主用防火墙上配置命令后会自动同步到备用防火墙。

如果需要在备用防火墙上手动配置这类命令，需要先取消配置的自动备份功能（undo hrp auto-sync config），同时允许备墙修改配置（hrp standby config enable）。

主用防火墙配置了较长的抢占延时后，会不会影响故障响应速度

不会。主用防火墙出现故障时，业务很快切换到备用防火墙。主用防火墙的抢占延时只在其故障恢复时起作用，即故障恢复后，再经过抢占延时时间，才会启动抢占操作。这时备用防火墙是正常工作的，不会影响故障响应速度。

为什么原主用防火墙的故障恢复后不抢占

可能原因如下：

• 关闭了抢占功能。
• 尚未满足抢占延时。原主用防火墙故障恢复后，并不会立即抢占。设置抢占延时是为了避免主用防火墙状态不稳定引起的反复切换。
  

会话自动备份和会话快速备份有什么区别，为什么来回路径不一致必须启用会话快速备份

会话快速备份和传统的会话实时备份的区别是：

• 会话快速备份是在会话建立的时候立即备份到备用防火墙上；会话实时备份只有当会话老化线程扫描到会话、且此会话需要备份，才会备份到备用防火墙上。
• 会话快速备份能备份TCP半连接会话以及单包UDP会话。
  

来回路径不一致时，必须保证两台防火墙的会话表完全相同，必须启用会话快速备份。

心跳接口是否一定需要直连

推荐直连。如果防火墙心跳口不直连，当心跳报文出现丢包时可能导致双机状态异常。

调整HRP心跳报文的发送间隔，对组网有何影响

HRP心跳报文，用于检测主备防火墙的连接状态。备防火墙在连续5个报文发送周期没有收到对端发送的心跳报文，认为对端出现故障，将自己切换到主防火墙。因此，设置较短的HRP心跳报文发送间隔可以提高对防火墙整机故障的响应速度。

但是，如果心跳报文发送间隔太小，可能会影响双机热备状态的稳定。当防火墙的CPU负荷较大时，发送心跳报文的任务得不到调度，会导致防火墙误切换。因此一般推荐使用缺省值（1秒）。

双机热备组网时，配置IPSec VPN需要注意什么

• 防火墙的上下行业务接口必须为三层接口（包括VLANIF接口）。
• 先建立双机热备状态，再配置IPSec VPN。在主用防火墙上配置的IPSec策略会自动备份到备用防火墙上。在备用防火墙上，只需要在出接口上应用备份过来的IPSec策略即可。
• 如果防火墙作为IPSec隧道的发起方，必须执行命令tunnel local ip-address，设置本端发起协商的地址为VRRP备份组的虚拟IP地址。
• 配置DPD，在状态倒换后自动删除主用防火墙上已建立的隧道，以免业务被丢弃。
  

是否需要配置心跳接口所在域与Local域之间的安全策略

不需要。

主机故障，备机接替主机处理业务期间，备机上新增了配置，这些配置会自动同步到主机吗

• 如果主机仅仅是接口或链路出现故障，整机未重启或下电、心跳接口正常，备机上新增的、支持备份的配置可以同步到主机。
• 如果主机重启或下电，在主机故障恢复重启完成后，会自动从备机进行一次配置同步。因此，该场景下，备机上的配置修改也能同步到主机。
  重启后自动同步配置依赖hrp base config enable命令开启相应的功能。未开启时，主机重启后，不会自动从备机上同步配置。
  
  

双机热备组网中，配置主设备和配置从设备是什么意思

在负载分担组网下，两台FW都是主用设备。因此如果允许两台主用设备之间能够相互备份命令，那么可能就会造成两台设备命令相互覆盖或冲突的问题。所以为了方便管理员对两台FW配置的统一管理，避免混乱，我们引入配置主和配置从设备的概念。

我们定义负载分担组网下，发送备份配置命令的FW称为配置主设备（命令行提示符前有HRP_M前缀），接收备份配置命令的FW称为配置从设备（命令行提示符前有HRP_S前缀）。

在负载分担组网下，配置命令只能由“配置主设备”备份到“配置备设备”。状态信息则是两台设备相互备份的。

在负载分担组网下，设备名称（sysname）的ASCⅡ码较小的FW会成为配置主设备。例如，FW_A与FW_B形成负载分担，FW_A会成为配置主设备。如果两条设备名称（sysname）相同，执行hrp enable命令时的时钟小为主，执行hrp enable命令时的时钟大为备。

V5版本双机是否支持不同版本运行双机热备

由于双机升级过程中，会话需要重建，所以老版本的双机升级过程中是可能会导致业务短暂受影响的。

从V500R001C30SPC300之后版本，在升级或回退时允许主备设备的软件版本不一致。例如，将一台设备的软件版本由V500R001C30SPC300升级到V500R001C50，两台设备仍然能正常运行。但此时主备FW之间不能正常进行配置的备份。因此，在升级或回退期间，请不要在主备FW上下发和升级或回退无关的配置。同时，为了让设备能长期稳定的运行，请务必将两台设备升级或回退到相同的版本。具体请参见升级指导书。

升级或者回退之前，请在主备FW上执行undo hrp base config enable命令，关闭重启后从对端FW同步配置功能。如果未关闭，FW版本升级重启后，会自动从对端FW同步配置。但因为不同版本间配置命令可能存在差异，从对端FW自动同步过来的配置可能与当前设备软件版本存在冲突，导致配置无法正常恢复。

防火墙双机相关的会话有哪些

• 双机状态相关的会话
  
                                 
  登录/注册后可看大图
  如果配置有多个心跳接口，则每个心跳接口都会存在以下会话，也就是每个心跳接口会多产生2个状态会话。
  
  
  
  • 对端心跳接口IP、源端口49152---》本端心跳接口IP、目的端口18514的会话 udp  VPN: public --> public  ID: a58f392656b8850f765b09791e                     Zone: trust --> local TTL: 00:02:00  Left: 00:01:59                            Recv Interface: GigabitEthernet1/0/0                                            Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 0000-0000-0000                 <--packets: 0 bytes: 0 --> packets: 2023 bytes: 347,848                         1.1.1.1:49152 --> 1.1.1.2:18514 PolicyName: ---
    
  • 本端心跳接口IP、源端口49152---》对端心跳口IP、目的端口18514的会话 udp  VPN: public --> public  ID: a58f392656ab07590c5b09791e                     Zone: local --> trust TTL: 00:02:00  Left: 00:02:00                            Recv Interface: InLoopBack0                                                     Interface: GigabitEthernet1/0/0  NextHop: 1.1.1.1  MAC: 04fe-8df4-18f9          <--packets: 0 bytes: 0 --> packets: 2026 bytes: 348,731                         1.1.1.2:49152 --> 1.1.1.1:18514 PolicyName: ---
    
  
  
  

• 双机备份相关的会话：
  对端心跳接口IP、源端口16384---》本端心跳接口IP、目的端口18514的会话
  udp  VPN: public --> public  ID: a58f3a6babb902d7615b097950 Zone: trust --> local  TTL: 00:02:00  Left: 00:01:59                  Recv Interface: GigabitEthernet1/0/0  Interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 0000-0000-0000  <--packets: 0 bytes: 0 --> packets: 844 bytes: 83,358 1.1.1.2:16384 --> 1.1.1.1:18514 PolicyName: ---
  

双机组网下，如果配置了多个心跳接口，如何选择running的心跳接口

按照如下原则选择running状态的心跳接口：

• 按照配置顺序选择，永远选择第一个配置的心跳接口先协商。
  如果两台设备的心跳接口配置顺序不一致，可能出现主备设备处于running状态的心跳接口不一致的情况。要求主备设备的心跳接口配置顺序必须一致。
• 如果第一个心跳接口协商失败，则按配置先后顺序选择下一个心跳接口。
• 如果先前的心跳接口从故障中恢复以后，则会抢占回running位置。
  

配置了hrp standby-device后，为什么设备还是主机

在一台设备上同时配置hrp standby-device命令和VRRP备份组，设备的状态由VRRP备份组的配置决定，hrp standby-device的配置无效。因此，如果配置了VRRP备份组，不建议在再设备上配置hrp standby-device。

防火墙双机热备组网时，上下行三层设备通过什么报文学习到虚拟IP地址的ARP表项

上下行三层设备转发报文时，查询路由表获取下一跳，找到VRRP备份组的虚拟IP地址，然后据此查询ARP表。如果找不到虚拟IP地址的ARP表项则发送ARP请求。主用防火墙收到ARP请求后应答（只有主用防火墙才会应答）。

此ARP应答报文的二层报文头的源MAC地址以接口的实MAC地址填充，ARP应答数据的源MAC地址以虚拟MAC地址填充。上下行三层设备通过ARP应答数据中的源MAC地址学习到虚拟IP地址对应的虚拟MAC地址。

上下行三层设备用虚拟MAC地址填充收到的报文的二层报文头的目的MAC地址字段，然后转发给防火墙。

防火墙双机热备组网时，上下行二层设备通过什么报文学习到虚拟MAC地址表项

主用防火墙定期发送VRRP通告报文，其源MAC以虚拟MAC地址填充（只有主用防火墙才会发送VRRP通告报文）。上下行二层设备通过VRRP通告报文学习到虚拟MAC地址对应的出接口。

hrp auto-sync和hrp sync有什么区别

hrp auto-sync是自动备份，默认启用，表示后续配置和状态表项将备份到备用防火墙上，备用防火墙上新建的状态表项将备份到主用防火墙上。该命令对当前已存在的配置和状态表项没有影响。

hrp sync则把主用防火墙当前的配置和状态表项立即备份到备用防火墙上。该命令立即生效，对后续配置和状态表项没有影响。

hrp track interface监控的是接口的物理状态还是协议状态

hrp track interface监控的是接口的物理状态，而不是协议状态。如果接口物理状态为Up，但是没有配置IP地址，所以协议状态为Down，这种情况下hrp track interface该接口，不会导致VGMP管理组优先级减2。

接口故障时VGMP管理组优先级如何计算

正常情况下，主备设备的VGMP管理组优先级相等。

接口故障对VGMP组优先级的影响与配置有关，具体如下：

• 如果接口上配置了VRRP备份组，该接口故障时，VGMP组优先级降低“2*接口上VRRP备份组数量”。
• 如果使用hrp track interface命令配置VGMP组监控物理接口状态，每一个物理接口故障时，VGMP组优先级降低2。
• 如果使用hrp track interface命令配置VGMP组监控Eth-Trunk或IP-Trunk接口状态时，缺省情况下，Trunk接口的部分成员接口故障，VGMP组优先级降低“2*故障成员接口个数”。Trunk接口的所有成员接口故障，VGMP组优先级降低“2*（1+成员接口个数）”。
• 如果接口上配置了VRRP备份组，同时又使用hrp track interface命令配置VGMP组监控接口的状态，该接口故障时，VGMP组优先级降低值会叠加计算。例如，接口GigabitEthernet 1/0/1上配置了2个VRRP备份组，同时又配置了hrp track interface GigabitEthernet 1/0/1，当GigabitEthernet 1/0/1故障时，VGMP组优先级降低6。
• 如果使用hrp track vlan监控VLAN状态，加入该VLAN的接口故障时，VGMP组优先级会降低。每一个接口故障，VGMP组优先级降低2。
  

为什么双机热备组网不支持Easy IP

在Easy IP的配置中，无法指定VRID。正常情况下，主用防火墙使用自身的出接口的IP地址作为公网地址，建立会话。在主备切换后，备用防火墙也采用自身的出接口的IP地址作为公网地址。这时，主用防火墙备份过来的会话，与备用防火墙的出接口IP地址不能匹配，导致业务中断。

双机热备组网，FW重启后，在没有对端成功协商主备关系前，是否立即会抢占为主

                               
登录/注册后可看大图

双机热备组网下升级设备软件版本时，通常是将主用或备用FW的业务接口、心跳接口shutdown，将主用或备用FW完全隔离后分别进行升级。这种场景下，因为心跳口仍然处于shutdown状态，会出现FW重启后不能和对端协商主备关系的情况。

不会立即抢占为主。如果立即抢占为主，可能会因为FW的主控板、接口板未完全恢复，导致业务引导过来后中断。

FW启动后，在还没有和对端协商成功之前，判断是要抢占为主用状态的条件如下：

• 主控板配置恢复完成
• 至少有一个CPU在位
• 至少有一个心跳口所在的接口板配置恢复完成
  

满足上述3个条件之后，等待30秒再抢占为主。如果有任意一个条件不满足，则设备不会抢占为主。例如，FW使用Eth-Trunk接口作为心跳口时，如果接口板异常，在FW重启后检测不到Eth-Trunk接口的成员口，此时该设备将一直处于备状态。

主备备份组网，心跳接口异常，双机的主备状态会怎样

两台设备以主备备份方式运行的过程中，如果心跳接口异常（例如心跳链路异常或心跳接口所在接口板故障等），此时设备不能正常收发心跳报文，无法协商主备状态。如果设备连续5个报文发送周期没有收到对端发送的心跳报文时，就判断对端设备发生故障，此时会形成双主。

在双机热备组网下，允许备用设备可以配置命令之后，备用设备配置的命令行是否会同步到主用设备

通过命令hrp standby config enable开启允许备用设备配置命令的功能后，在备用设备上配置的命令，都会实时同步到主用设备上。

备用设备的会话表项是否会同步到主用设备

如果流量从备用设备经过，则在备用设备上新建的会话都会实时地同步到主用设备上。

主备切换的时间多长

主备切换的时间与其触发条件有关：

• 如果由接口或链路故障触发主备切换，切换时间为毫秒级。
• 如果由整机故障触发切换，切换时间为5个心跳报文的发送间隔。
  

VRRP虚拟IP地址能否做为NAT地址池的地址

可以。如果只有一个公网地址，可以使用VRRP虚拟IP地址作为NAT地址池地址。

哪些类型的接口可以用做业务接口，哪些类型的接口可以用做心跳接口

常见接口对业务接口和心跳口的支持情况如表13-11。

表13-11 常见接口[]

接口类型	业务接口	心跳口
GE接口	支持，推荐	支持，推荐
Eth-Trunk接口	支持，推荐	支持，推荐
子接口	支持	支持，不推荐
VLANIF接口	支持	支持，不推荐

子接口和VLANIF接口会与其他的子接口或者VLANIF接口共用一个物理口，如果其他的子接口或者VLANIF接口流量过大，会导致心跳报文丢失，所以不推荐使用子接口或者VLANIF接口做心跳口。

防火墙是否支持使用虚拟MAC地址作为源MAC地址封装报文

支持。缺省情况下，防火墙转发三层业务时，使用接口的实际MAC地址封装报文。如果需要使用虚拟MAC地址封装报文，请在接口视图下执行vrrp virtual-mac enable命令。

FW双机热备和路由器双链路备份有何区别

报文的转发机制不同：

• 对于路由器来说，业务中的每个数据包都会逐包转发，即每个报文都会查路由表和接口ACL等，当匹配后才进行转发，当链路切换后，后续报文不会受到影响，继续进行转发。即每个报文都是独立处理的，与其它报文没有关联。
• FW是状态检测防火墙，只会对业务中首包进行检查，如果首包允许通过会建立一条五元组的会话表项，只有命中该会话表项的后续报文（包括返回报文）才能够通过FW防火墙，如果链路被切换，后续报文找不到正确的会话表项，业务会中断。路由器启用NAT后也会存在同样的问题，因为在进行NAT后会形成一个NAT转换后的表项。
  

在双机热备组网中，防火墙的上下行设备能否选用四层交换机

防火墙的上下行设备可以使用四层交换机。在这种组网中，必须使用虚拟MAC地址来封装业务报文，否则主备切换后将导致业务中断。

缺省情况下，防火墙使用接口的实际MAC地址封装业务报文并转发。在防火墙与四层交换机的组网中，四层交换机建立连接状态表，记录从防火墙转发过来的报文的源MAC地址（即主用防火墙业务接口的MAC地址）。四层交换机根据连接状态表转发报文。主备切换时，四层交换机不会自动更新连接状态表中的MAC地址，因此还会将报文转发至原来的主用防火墙，导致业务中断。

使用虚拟MAC地址封装业务报文后，防火墙使用虚拟MAC地址封装业务报文并转发，四层交换机的连接状态表中记录的是虚拟MAC地址。主备切换后，四层交换机可以转发业务报文到新的主用防火墙上。

虚拟MAC地址与虚拟IP地址相对应，是防火墙根据VRID自动生成的MAC地址，其格式为：

• IPv4：00-00-5E-00-01-{VRID}
• IPv6：00-00-5E-00-02-{VRID}
  

在防火墙业务接口上，启用虚拟MAC地址封装业务报文的命令如下：

<sysname> system-view[sysname] interface GigabitEthernet 1/0/1[sysname-GigabitEthernet1/0/1] vrrp virtual-mac enable
主备切换后，为什么当前的主用设备上还有带remote标志的会话

双机热备场景下，remote说明该会话产生的时候设备是作为备用设备，该会话是从主用设备上备份过来的。一旦会话表带有remote标志，则不会被删除，直到此会话表老化。因此，主备切换后，原先备份过来的会话表项还是会带有remote标志，直到该会话老化。

在主用设备上设置了长的抢占延时后，会不会影响设备的故障响应速度

不会。在FW出现故障时，执行的是立即切换操作，只有在故障恢复时才会启动抢占操作。而在故障恢复时由于另一台FW是正常工作的，因此不会影响业务。

调整hrp timer hello的大小，对组网有何影响

hrp timer hello命令用来配置FW发送VGMP报文、HRP心跳报文、HRP链路探测报文的时间间隔，对双机热备的影响如下：

• 两台FW通过互相发送VGMP报文，了解对端的状态和VGMP组优先级。当本端的VGMP组优先级变化时，可以第一时间与对端比较优先级并进行切换。因此，较小的发送时间间隔能让FW更准确地了解到对端的状态。
• HRP心跳报文用来探测对端设备是否处于工作状态。如果FW五个心跳周期收不到对端的心跳报文，就认为对端设备故障，本端设备会切换为主用设备。因此，较小的发送时间间隔可以提高整机故障时的主备切换速度。
• HRP链路探测报文用于检测对端设备的心跳接口是否正常。因此，较小的发送时间间隔能让FW更快地感知到对端心跳接口的状态，在心跳接口故障时，能更快切换到备用的心跳接口发送报文。
  

但时间间隔不能设置过小，尤其是在FW管理面CPU使用率较高时，应适当将时间间隔调大。因为管理面CPU使用率较高时，如果将时间间隔设置过小，可能会出现发送HRP心跳报文的任务在五个心跳周期内得不到调度的情况，导致FW错误的切换主备状态。因此，请勿将时间间隔设置过小，否则可能导致主备FW错误的切换主备状态。一般推荐使用缺省值（1000毫秒）。

在负载分担组网下，是否可以调整备用设备所在链路的Cost值

不能。