华为USG6525E防火墙高可用部署配置和注意事项

最近接了个Case，某外贸公司网络改造一期项目，主要针对核心机房设备进行高可用改造，新增核心，替换，利旧部分接入交换机等操作，以下分几个方面做个总结：

1、项目概况(篇幅优先，无线控制器HA高可用部署参考我往期的总结，其余内容不过多阐述）

2、华为USG6000E系列防火墙高可用部署配置

3、华为USG6000E系列双向NAT以及策略路由的配置

4、项目总结和建议

如下拓扑是完成1期改造后的情况：

1. 项目概况：一期改造范围包括：

1、新增2台H3C 6520X 24口全光交换机IRF堆叠作为新核心交换机

2、原核心华为S5735和仓库一台冷备的同型号交换机，做iStack 作为办公接入交换机使用

3、办公无线控制器和仓库生产无线控制器和仓库冷备的2台无线控制器2-2做成2组HSB VRRP热备使用，并配备相应数量的授权

4、新采购1台同型号的出口防火墙华为USG6525E和原出口防火墙做HRP主备高可用配置

5、原Hyper-v服务器采用双万兆光接动态链路聚合接新增办公核心

6、原NAS设备，2条千兆链路，动态链路聚合接入到办公接入交换机

7、AP接入层，替换原傻瓜式POE交换机，采用可网管POE交换机，原傻瓜式POE交换机利旧给监控网络使用

8、新增SDWAN-Slave设备和原SDWAN-Master运行VRRP，进行主备部署

9、新增1条联通千兆家宽（不限会话数），作为办公出口；服务器，SSLVPN均使用原100Mbps移动专线

10、原来单独部署的防火墙和办公核心交换机增加1个电源作为配件高可用保障

11、替换原有PDU，增加1路市电，单电源设备采用UPS后备式供电，双电源设备采用1路市电，1路UPS供电

12、调整所有设备在机柜中的位置，利于布线

13、机房机柜配线架重新打一遍

14、所有仓库到办公机房，以及2楼到办公机房的业务光缆重新拉一共96芯+8芯备用

15、新增一套机柜KVM

16、机柜理线，打标签，做资料

这个接入-汇聚-核心的设计是从保护已有投资，尽量利旧原有核心设备的角度出发的，如果可以当然最好的选择是使用2台入门级别的框式，带光口，电口是更加合理的，但是这也就意味着会浪费已有设备投资，并增加采购成本的问题，综合上述考虑，本次仅新增2台H3C 6520X 24万兆光交换机作为新的核心交换机。利用它的光口资源直接双归接入外围的接入层交换机（接入层交换机至少提供2个千兆光口）

2期将利用新增的96芯光纤资源，将原仓库和其他接入层傻瓜交换机全部换成可网管交换机，并链路聚合双归接入到新增核心交换机，塌缩的2层设计将提高网络效率，利于集中管理。

2、华为USG6000E系列防火墙高可用部署配置

这次调整遇到问题最多的就是华为USG6000E防火墙的主备部署，华为防火墙高可用是不同步物理网卡信息的，需要首先配置所有的物理网卡 ，其次华为防火墙高可用是通过VRRP实现的，所以还必须配置VRRP组。

华为的USG防火墙安全策略有local的概念，比如防火墙要更新病毒库，就要放行从local到Untrust区域的流量；防火墙做主备高可用，就要放行从local到心跳接口安全域（可以是任何安全域）的流量；SSVPN就要放行Untrust到Local的流量。

参考华为官方配置方式，优先采用图形化配置，首先规划和配置防火墙物理接口：

备机也是这样去配置，但是接口地址IP实IP全部改下和主防火墙不同，因为要跑VRRP，物理接口配置完后，进入到HRP高可靠性业务部署：

接下来配置VRRP：点击新建就是创建，内网VRRP VRID和IP没关系，按照正常逻辑创建即可；公网IP由于运营商只给了1个公网IP，这个时候，在接口上实IP用一个内网没在用任意私网IP，然后VRRP虚IP则配置运营商分配的公网IP地址，如果配置完毕后发现无法PING同公网网关地址，这里有2个坑，首先是运营商锁定MAC地址的问题，如果你换上之前的网关MAC可以通信，但是改了一个MAC地址就无法通信，说明运营商将你设备的MAC绑定了，需要联系运营商取消这个动作；还有一个由于采用了VRRP，运营商侧可能也用了VRRP，并且VRID和我们自己配置的冲突了，这也会导致网关异常，无法PING通运营商网关，这个时候需要仔细选择1个不常见的VRID号，并且最好启用vrrp认证，但是图形化无法配置vrrp认证，需要在命令行下配置，这个我后面演示，备机也是创建相对应的vrrp vrid ，实IP不同，虚IP相同。

图形化配置完毕后我们进入接口看下对应的配置，这里的虚拟MAC可以配置，也可以不用，建议配置，可以加快主备切换的速度，

这里我没有配置VRRP认证，正常情况下，面向运营商侧强烈建议配置vrrp 认证：

HRP_M[Firewall_ISP-GigabitEthernet0/0/1]dis this
 2026-01-20 11:00:36.120 +08:00
 #
 interface GigabitEthernet0/0/1
  undo shutdown
  ip address 172.16.105.1 255.255.255.0
  vrrp vrid 131 virtual-ip 112.1.1.112 255.255.255.0 active
  vrrp virtual-mac enable
  gateway 112.16.187.1
  service-manage https permit
  redirect-reverse next-hop 112.16.187.1
 #
 return

内网互联接口的配置，注意这里实际生效的是我们的vrrp 虚地址，也就是172.16.100.2，内网核心交换机指向的默认路由IP也是它：

HRP_M[Firewall_ISP-Eth-Trunk0]dis this
 2026-01-20 11:03:41.230 +08:00
 #
 interface Eth-Trunk0
  ip address 172.16.100.3 255.255.255.0
  vrrp vrid 1 virtual-ip 172.16.100.2 active
  alias BVI1
  service-manage http permit
  service-manage https permit
  service-manage ping permit
  service-manage ssh permit
  service-manage snmp permit
  service-manage telnet permit
  service-manage netconf permit
 #
 return

接下来我们看下HRP的配置部分(基于固件版本 V600R007C20SPC600，较新固件命令行有所差异，以官网产品手册为准）：

 #
  hrp enable
  hrp interface GigabitEthernet0/0/7 remote 172.16.101.2
  hrp auto-sync config static-route
  hrp auto-sync config policy-based-route
  hrp track interface Eth-Trunk0
  hrp track interface GigabitEthernet0/0/1
  hrp track interface GigabitEthernet0/0/2
 #

华为这个版本V600R007C20SPC600 我们没有发现配置自动同步的命令，高版本具备配置定时自动检查和同步命令，命令如下（主备机都要配置）:

hrp auto-check enable
hrp auto-check interval 1440
 hrp auto-check warning enable

HRP优化命令（可以不配）如下：

关闭Checksum校验功能，以提升备份性能。

心跳口直连情况下，建议不使能Checksum校验，以提升备份性能。心跳口非直连情况下不建议关闭，保持默认即可（主备都要配置）。

undo hrp checksum enable

主备设备关闭非同网段ARP学习功能，可以避免从业务口学习到心跳口同网段的ARP影响心跳报文，同时，也可以防止虚假源IP发送大量ARP请求攻击导致ARP表项耗尽（主备都要配置）。

 arp learning on-different-segment disable

HRP抢占时延建议配置为300秒，以保证抢占时数据备份完全，如果配置时延过小，在数据表项较多的情况下可能会导致双机抢占后表项未备份完全导致业务受损（主备都要配置）。

  hrp preempt delay 300

开启备用设备的部分配置功能（主备都要配置）

hrp standby config enable

--------------------------------分割线-------------------------------------------------

最新固件版本的HRP图形化配置截图如下，其他配置在图形化界面里面都一样，但是命令行就有少许区别：

新版本的HRP命令行配置，VRRP配置部分是和老版本一致，增加了配置自动同步功能，增加了HRP认证功能：

#
hrp enable
hrp interface Eth-Trunk0 remote 10.10.0.2
hrp authentication-key Admin@123.
undo hrp checksum enable
hrp auto-check enable
hrp auto-check interval 1440
hrp auto-check warning enable
hrp preempt delay 300
hrp timer hello 1000
hrp escape enable
hrp auto-sync
hrp auto-sync config static-route
hrp auto-sync config policy-based-route
hrp auto-sync config dns-transparent-policy
hrp standby config enable
#
interface Eth-Trunk0
 service-manage enable
 service-manage ping permit
 service-manage ssh permit
 ip address 10.10.0.1 255.255.255.0
 mode lacp-static
 lacp timeout fast
 trunkport 10GE 0/0/1
 trunkport 10GE 0/0/2
 load-balance round-robin
#
arp learning on-different-segment disable
#
interface GE0/0/1
 ip address 10.2.0.1 255.255.255.0
 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
#
interface GE0/0/3
 ip address 10.3.0.1 255.255.255.0
 vrrp vrid 2 virtual-ip 10.3.0.3 active
#

老版本的HRP配置完毕后，系统不会自动同步配置，需要手动在主墙同步下(注意HRP的配置部分也不属于同步范围）：

不会同步的内容如下（包括HRP自身的配置），其他内容都会同步：

防火墙做完HRP之后，需要注意的地方主要包括SSLVPN创建的时候网关地址需要手动填写虚IP地址，无法选择了，因为接口地址实IP是无法使用的，截图如下：

3、华为USG6000E系列双向NAT以及策略路由的配置

接下来说下双向NAT的问题，正常双向NAT按照如下方式配置：

正常这样配置完就可以了，但是如果遇到策略路由，可能会有问题，流量可能不是按照我们的想法走，这个时候需要增加一条策略路由，动作是不做策略路由如下，避免双向NAT被系统已有的策略路由影响：

4、项目总结和建议

每个厂家的双向NAT做法均不甚相同，最简单的如H3C的在接口下开启nat hairpin 即可，其他厂家的一般都通过SNAT配合特殊参数实现；所以推荐的做法是在内网部署DNS服务器，直接返回内网IP，不推荐采用双向NAT的做法在防火墙上再做一次流量中转。

此外稍具规模的公司也不推荐在核心或者防火墙上面启DHCP功能，一方面是设备性能问题，主要问题是不方便管理和排查问题，建议采用Window 2台搭建高可用的DHCP服务器和DNS服务器，方便管理维护，同时也减轻了网络设备的压力，简化了网络和安全设备自身的配置。