核心高可用技术汇总
实现网络高可用性,主要依赖于以下几项技术在不同网络层级的协同工作:
| 技术领域 | 关键技术 | 主要作用 | 解决的核心问题 |
|---|---|---|---|
| 网关冗余 | VRRP(虚拟路由冗余协议) | 为终端提供虚拟网关 ,实现网关设备的主备切换。 | 单一网关设备故障导致网络中断。 |
| 链路冗余与防环 | MSTP(多生成树协议) | 在存在物理环路 的二层网络中,通过逻辑阻塞端口,构建无环路径 ,并实现VLAN流量的负载分担。 | 广播风暴、MAC地址表震荡。 |
| 链路捆绑与备份 | Eth-Trunk(链路聚合) | 将多条物理链路捆绑 成一条逻辑链路,增加带宽并提供链路级备份。 | 单条物理链路带宽不足或发生故障。 |
| 关键设备冗余 | HRP(华为冗余协议) | 实现防火墙、AC等设备 的双机热备,同步会话表、配置信息,实现毫秒级切换。 | 出口防火墙等单点故障导致业务中断。 |
| 快速故障检测 | BFD(双向转发检测) | 与VRRP、OSPF等协议联动,提供毫秒级的链路故障检测,加速收敛。 | 协议默认检测机制较慢,收敛时间长。 |
HRP是华为防火墙双机热备的核心协议,它能确保主备设备平滑切换,是实现网络高可用的关键。理解HRP前,需要先掌握几个关键概念及其相互关系,它们共同构成了华为防火墙双机热备的基础。
| 概念 | 全称/定义 | 核心作用 | 关键特性 |
|---|---|---|---|
| HRP | 华为冗余协议 (Huawei Redundancy Protocol) | 负责在主备防火墙之间同步状态信息(如会话表、Server-map表等)和部分配置命令。 | 实现主备切换时业务不中断。 |
| VGMP | VRRP组管理协议 (VRRP Group Management Protocol) | 华为私有协议,用于统一管理一台防火墙上所有VRRP备份组的状态,是HRP的基础。 | 保证整机切换,避免同一台设备上的VRRP组出现主备状态分裂。 |
| VRRP | 虚拟路由冗余协议 (Virtual Router Redundancy Protocol) | 为终端提供虚拟网关IP,实现网关层面的冗余备份。 | 标准协议,负责通告虚拟网关,引导流量走向主用防火墙。 |
HRP与VGMP、VRRP的协作关系:
-
分工 :VGMP负责监控设备状态 并决策主备切换;VRRP负责通告虚拟网关 ,引导流量;HRP负责同步会话和状态信息,保证切换无缝衔接。
-
流程 :VGMP通过心跳线监控对端设备状态。当主设备故障时,VGMP会统一降低本设备上所有VRRP组的优先级,触发VRRP主备选举。同时,通过HRP提前同步的数据,备设备能立即接管业务。
防火墙双机热备(HRP)完整配置指南
适用设备 :华为 USG6000V1/V2(双机热备场景)
核心目标:实现外网/内网虚拟网关高可用(VRRP) + 状态/配置自动同步(HRP)
一、基础网络与接口配置
防火墙 A (USG6000V1) 配置
<USG6000V1> system-view
[USG6000V1] interface GigabitEthernet 1/0/0 # 外网接口(连接ISP)
[USG6000V1-GigabitEthernet1/0/0] ip address 10.1.1.2 255.255.255.0
[USG6000V1-GigabitEthernet1/0/0] quit
[USG6000V1] interface GigabitEthernet 1/0/1 # 内网接口(连接核心交换机)
[USG6000V1-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[USG6000V1-GigabitEthernet1/0/1] quit
[USG6000V1] interface GigabitEthernet 1/0/2 # 心跳口(直连防火墙B)
[USG6000V1-GigabitEthernet1/0/2] ip address 172.16.1.1 255.255.255.0
[USG6000V1-GigabitEthernet1/0/2] quit
# 配置安全区域(关键:心跳口必须加入DMZ区域)
[USG6000V1] firewall zone untrust
[USG6000V1-zone-untrust] add interface GigabitEthernet 1/0/0
[USG6000V1-zone-untrust] quit
[USG6000V1] firewall zone trust
[USG6000V1-zone-trust] add interface GigabitEthernet 1/0/1
[USG6000V1-zone-trust] quit
[USG6000V1] firewall zone dmz
[USG6000V1-zone-dmz] add interface GigabitEthernet 1/0/2
[USG6000V1-zone-dmz] quit防火墙 B (USG6000V2) 配置
<USG6000V2> system-view
[USG6000V2] interface GigabitEthernet 1/0/0
[USG6000V2-GigabitEthernet1/0/0] ip address 10.1.1.3 255.255.255.0 # 对端IP为10.1.1.2
[USG6000V2-GigabitEthernet1/0/0] quit
[USG6000V2] interface GigabitEthernet 1/0/1
[USG6000V2-GigabitEthernet1/0/1] ip address 192.168.1.2 255.255.255.0 # 对端IP为192.168.1.1
[USG6000V2-GigabitEthernet1/0/1] quit
[USG6000V2] interface GigabitEthernet 1/0/2
[USG6000V2-GigabitEthernet1/0/2] ip address 172.16.1.2 255.255.255.0 # 对端IP为172.16.1.1
[USG6000V2-GigabitEthernet1/0/2] quit
# 安全区域配置(与防火墙A一致)
[USG6000V2] firewall zone untrust
[USG6000V2-zone-untrust] add interface GigabitEthernet 1/0/0
[USG6000V2-zone-untrust] quit
[USG6000V2] firewall zone trust
[USG6000V2-zone-trust] add interface GigabitEthernet 1/0/1
[USG6000V2-zone-trust] quit
[USG6000V2] firewall zone dmz
[USG6000V2-zone-dmz] add interface GigabitEthernet 1/0/2
[USG6000V2-zone-dmz] quit配置说明:
- 外网接口IP:
10.1.1.2(A) vs10.1.1.3(B)- 内网接口IP:
192.168.1.1(A) vs192.168.1.2(B)- 心跳口IP:
172.16.1.1(A) vs172.16.1.2(B) → 必须在同一网段- 安全区域 :心跳口必须加入
dmz区域(避免业务流量干扰HRP心跳)
二、配置VRRP虚拟网关(仅需配置虚拟IP,无需指定主备)
防火墙 A 配置(VRRP组ID 1/2)
[USG6000V1] interface GigabitEthernet 1/0/0 # 外网接口
[USG6000V1-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 10.1.1.100 active # 虚拟网关IP
[USG6000V1-GigabitEthernet1/0/0] quit
[USG6000V1] interface GigabitEthernet 1/0/1 # 内网接口
[USG6000V1-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 192.168.1.100 active # 虚拟网关IP
[USG6000V1-GigabitEthernet1/0/1] quitactive
-
设置此路由器为活跃路由器(主路由器)
-
通常拥有更高的优先级,负责转发流量
-
示例:
vrrp vrid 1 virtual-ip 10.1.1.100 active
standby
-
设置此路由器为备份路由器
-
当活跃路由器故障时接管转发任务
-
示例:
vrrp vrid 1 virtual-ip 10.1.1.100 standby
防火墙 B 配置(VRRP组ID 1/2)
[USG6000V2] interface GigabitEthernet 1/0/0
[USG6000V2-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 10.1.1.100 standby
[USG6000V2-GigabitEthernet1/0/0] quit
[USG6000V2] interface GigabitEthernet 1/0/1
[USG6000V2-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 192.168.1.100 standby
[USG6000V2-GigabitEthernet1/0/1] quit验证VRRP状态(HRP启用后自动同步)
<USG6000V1> display vrrp brief Interface VRID Virtual IP Master State Priority Preempt GigabitEthernet1/0/0 1 10.1.1.100 Master 100 Yes GigabitEthernet1/0/1 2 192.168.1.100 Master 100 Yes
三、配置HRP双机热备(关键:指定心跳口+启用HRP)
防火墙 A 配置
[USG6000V1] hrp interface GigabitEthernet 1/0/2 remote 172.16.1.2 # 指定心跳口及对端IP
[USG6000V1] hrp enable # 启用HRP功能(触发主备协商)
[USG6000V1] hrp mirror session enable # 启用会话快速备份(必须开启!)防火墙 B 配置
[USG6000V2] hrp interface GigabitEthernet 1/0/2 remote 172.16.1.1
[USG6000V2] hrp enable
[USG6000V2] hrp mirror session enableHRP工作原理:
- 通过心跳口(
172.16.1.1/2)建立通信- 通过VGMP组自动选举主备(默认优先级100)
- 主设备(Master)同步配置/会话到备设备(Slave)
- 故障切换时间:默认3秒(HRP心跳间隔1秒)
四、保存配置与验证(双机状态确认)
保存配置
<USG6000V1> save # 两台设备均需执行
<USG6000V2> save关键验证命令
# 查看HRP状态(确认主备关系)
<USG6000V1> display hrp state
State: Master # 防火墙A为主设备
VRRP State: Master
<USG6000V2> display hrp state
State: Slave # 防火墙B为备设备
VRRP State: Backup
# 查看VRRP状态(确认虚拟IP归属)
<USG6000V1> display vrrp brief
Interface VRID Virtual IP Master State
GigabitEthernet1/0/0 1 10.1.1.100 Master
GigabitEthernet1/0/1 2 192.168.1.100 Master
<USG6000V2> display vrrp brief
Interface VRID Virtual IP Master State
GigabitEthernet1/0/0 1 10.1.1.100 Backup
GigabitEthernet1/0/1 2 192.168.1.100 Backup五、关键注意事项(避免常见故障)
| 项目 | 说明 |
|---|---|
| 心跳口要求 | 1. 必须为直连物理接口(禁止使用VLAN/Trunk) 2. 不能配置默认路由(避免HRP流量被丢弃) 3. 心跳接口必须加入**DMZ区域,**避免业务流量干扰HRP心跳 |
| HRP启用顺序 | 必须先配置VRRP,再配置HRP!若顺序颠倒,HRP无法同步VRRP状态 |
| 优先级调整 | 若需指定主设备,可在HRP中配置:hrp preemption delay 5(默认抢占) |
| 会话备份 | hrp mirror session enable 必须开启,否则TCP连接会中断(非会话备份) |
| 故障切换测试 | 拔掉防火墙A的心跳线 → 3秒内防火墙B自动接管虚拟IP(验证VRRP状态变化) |
六、典型应用场景
- 企业出口网关:双机热备保障互联网接入连续性
- 数据中心边界:避免单点故障导致业务中断
- 分支网络:替代单点防火墙,提升可靠性
配置顺序:基础网络 → VRRP(仅虚拟IP) → HRP → 保存验证
可直接用于eNSP实验 ,配置完成后内网终端默认网关设为
192.168.1.100,外网网关设为10.1.1.100,故障切换时无需手动操作。