防火墙主备备份的非VRRP的三种模式

结论前置

• 防火墙双机热备完全可以不用 VRRP；
• VGMP 只服务于 VRRP，它本身不负责双机热备的主备协商、会话同步；
• VGMP 不是双机热备的必需协议，只有用到多 VRRP 组做网关冗余时，才必须上 VGMP。

误区 1：VGMP 是管理防火墙双机主备的

错！

华为防火墙双机热备真正的核心管家是 HRP 协议：

• HRP 负责：两台防火墙心跳协商、主备角色选举、会话表同步、故障检测、整机流量切换。
• VGMP 压根不管整机主备，它只管 VRRP 组，是「VRRP 组的捆绑联动工具」。

误区 2：双机热备必须依赖 VRRP

错！

防火墙双机热备分两大实现模式，只有一种用 VRRP，另一种完全不用。

---

模式一：上下全三层路由主备模式（无 VRRP、无 VGMP）

一、先固定标准拓扑 & IP 规划（上下全三层）

所有接口都是三层路由口，无二层、无透明、无 VRRP 虚 IP

[内网三层核心SW]
        │
        ├──────────────────┐
        │                  │
  主FW内口G0/0/1     备FW内口G0/0/1
192.168.10.2/24    192.168.10.3/24
        │                  │
  主FW外口G0/0/2     备FW外口G0/0/2
202.100.1.2/24     202.100.1.3/24
        │                  │
        └──────────────────┘
                   │
           [出口NE40E三层路由器]
           互联口：202.100.1.1/24

额外心跳链路：

• 主 FW 心跳口 G0/0/8：10.0.0.1/24
• 备 FW 心跳口 G0/0/8：10.0.0.2/24

二、先记死 3 个核心底层机制

机制 1：HRP 作用

两台 FW 之间心跳协商、主备角色选举、会话表同步、故障检测。

• 正常：主 FW=Master，备 FW=Backup
• 主 FW 挂了：备 FW 自动升级为 Master

机制 2：Track 核心作用（优先级自动下降靠它）

在 FW 上创建 Track 1 跟踪本机 HRP 角色状态：

• 本机是 HRP Master → Track 状态 Up
• 本机变成 HRP Backup → Track 状态 Down

机制 3：静态路由绑定 Track（华为关键规则）

ip route-static 网段 掩码 下一跳 track 1 preference 60

绑定后规则：

• Track Up（自己是主） ：路由正常生效，优先级 60（优）
• Track Down（自己是备） ：这条路由直接失效、从路由表消失
• 👉优先级自动下降 ：不是改数字，是备机路由直接被禁用，天然不被上下行设备选中！

机制 4：上下行设备选路规则

内网 SW、出口 NE40E 都配置两条静态路由，不同优先级：

• 主 FW 路由：优先级数值小（更优）
• 备 FW 路由：优先级数值大（更差）平时只走优的；
• 主 FW 路由失效，自动走备的。

三、逐设备完整标准配置

1、主防火墙 完整配置

# 1. 心跳口三层+IP
int g0/0/8
 port link-mode route
 ip add 10.0.0.1 255.255.255.0

# 2. 业务三层口实IP（无VRRP）
int g0/0/1
 port link-mode route
 ip add 192.168.10.2 255.255.255.0
int g0/0/2
 port link-mode route
 ip add 202.100.1.2 255.255.255.0

# 3. HRP心跳+会话同步
hrp int g0/0/8 remote 10.0.0.2
hrp session enable
hrp preempt enable
hrp preempt delay 60

# 4. Track跟踪本机HRP状态（核心）
track 1 hrp state

# 5. 默认路由绑定Track
# 自己是Master就生效，变成Backup就自动失效
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1 track 1 preference 60

2、备防火墙 完整配置（和主墙几乎一样）

# 1. 心跳口
int g0/0/8
 port link-mode route
 ip add 10.0.0.2 255.255.255.0

# 2. 业务三层实IP
int g0/0/1
 port link-mode route
 ip add 192.168.10.3 255.255.255.0
int g0/0/2
 port link-mode route
 ip add 202.100.1.3 255.255.255.0

# 3. HRP
hrp int g0/0/8 remote 10.0.0.1
hrp session enable
hrp preempt enable

# 4. 同样Track跟踪HRP
track 1 hrp state

# 5. 同样默认路由绑定Track
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1 track 1 preference 60

✅ 重点：备墙必须配一模一样路由，否则切换后没路由转发。

3、内网三层核心 SW 配置

# 两条默认路由：优先主FW，备选备FW
# 优先级越小越优先
ip route-static 0.0.0.0 0.0.0.0 192.168.10.2 preference 60
ip route-static 0.0.0.0 0.0.0.0 192.168.10.3 preference 80

4、出口 NE40E 配置（回程路由）

# 回内网网段，优先主FW，备选备FW
ip route-static 192.168.10.0 255.255.255.0 202.100.1.2 preference 60
ip route-static 192.168.10.0 255.255.255.0 202.100.1.3 preference 80

四、正常状态：流量怎么走？为什么只走主 FW？

• 主 FW ：HRP=Master → Track1=Up → 默认路由生效
• 备 FW ：HRP=Backup → Track1=Down → 默认路由直接失效，路由表里没有
• 内网 SW：两条路由，60 优于 80 → 流量发给 192.168.10.2（主 FW）
• 主 FW 查默认路由，发给 NE40E
• NE40E 回程路由优先走 202.100.1.2 回主 FW
• 备 FW 全程静默，有配置但路由不生效，不转发流量

👉 这就是路由优先级天然选主弃备。

五、关键：主 FW 故障时，完整切换全过程（逐步骤拆解）

场景：主 FW 断电 / 死机 / 系统崩溃

步骤 1：HRP 感知故障

备 FW 心跳口收不到主 FW 的 HRP 报文 → 判定主 FW 故障。

步骤 2：备 FW 角色切换

备 FW 从 Backup → 升级为 Master

步骤 3：Track 状态联动（你最关心的优先级下降）

• 原主 FW：宕机直接下线，路由彻底失效
• 备 FW：角色变 Master → Track1 从 Down → 变成 Up
• 备 FW 绑定 Track 的默认路由 自动激活、加入路由表

步骤 4：内网 SW 自动切换流量

SW 上两条路由：

• 主 FW 下一跳 192.168.10.2 已不可达
• 路由协议自动优选优先级 80 的备 FW 路由
• 流量自动发给 192.168.10.3（备 FW）

步骤 5：备 FW 转发流量

备 FW 路由已激活 → 把内网流量转发给 NE40E

步骤 6：NE40E 回程自动切换

NE40E 检测主 FW 下一跳不可达 → 自动选优先级 80 的备 FW 回程路由

外网回包走 202.100.1.3 回备 FW

步骤 7：会话无中断

HRP 提前同步了会话表，业务不用重连。

六、把 3 个核心疑问直接答透

疑问 1：路由优先级是怎么自动下降的？

不是改数字！ 靠 Track 1 hrp state 绑定路由：

• 备机平时是备 → Track Down → 路由直接禁用（等同于优先级无限低，没人选）
• 主机故障，备机变主 → Track Up → 路由自动启用 这就是隐形优先级升降。

疑问 2：内网 SW、NE40E 怎么知道主动切流量？

三层设备静态路由本身就有路由优选机制 ：同网段多条路由，永远选优先级数值最小的；当主 FW 不可达，主路由实际失效，设备自动选次优的备路由。

疑问 3：为什么全程不用 VRRP、不用 VGMP？

• 没有配置任何虚拟 IP、没有 VRRP 组；
• VGMP 唯一作用是捆绑多 VRRP 组同步切换；
• 本模式靠实 IP+HRP+Track + 路由优先级搞定主备，完全不需要 VRRP/VGMP。

---

模式二：防火墙二层透明模式双机热备

防火墙纯二层网桥工作、业务口无三层 IP→根本没法配置 VRRP→天然不需要 VGMP，以及二层不靠路由、不靠 Track 优先级，靠什么做主备切换。

一、标准拓扑 & 规划（全网二层透传，网关下移核心交换机）

终端 192.168.10.0/24
        │
【内网核心三层交换机】
  网关：192.168.10.1/24 （**网关在这里，不在防火墙**）
        │
        ├──────────────────┐
        │                  │
   主FW(透明二层)     备FW(透明二层)
   业务口纯二层       业务口纯二层
   无任何业务三层IP   无任何业务三层IP
        │                  │
        └──────────────────┘
                   │
            【出口路由器】

额外规划

• 防火墙全局透明模式 ，所有业务接口都是二层桥接口 ，不配业务 IP；
• 仅心跳接口用三层 IP 做 HRP 协商，不影响业务二层转发；
• 心跳链路：
  • 主 FW：G0/0/8 10.0.0.1/24
  • 备 FW：G0/0/8 10.0.0.2/24
• 整个业务流量：二层帧透传，防火墙不做三层网关、不做路由转发。

二、先记死 3 个核心底层机制（对标三层模式）

机制 1：透明模式本质

firewall transparent 全局开启后：

• 所有业务接口变为二层网桥口，只能转发二层以太帧；
• 业务接口不能配置三层 IP；
• 防火墙不参与三层网关、不参与路由计算。

机制 2：为什么永远配不了 VRRP？

VRRP 必须依赖：接口配置真实三层 IP + 虚拟 IP

透明模式下业务口根本没有三层 IP ，连创建 VRRP 组的基础条件都没有 → 天生无 VRRP 。没有 VRRP → 直接不需要 VGMP（VGMP 只服务 VRRP 组联动）。

机制 3：二层双机靠什么做主备 & 切换？

不用路由、不用 Track、不用路由优先级，全靠 HRP 三件套：

• HRP 心跳协商：主备角色选举；
• HRP 同步 MAC 地址表 + 会话表 + 端口状态；
• HRP 链路故障检测：检测对端整机宕机、接口 Down、链路中断。

三、逐设备完整标准配置

1、主防火墙 配置（纯透明二层）

# 1. 全局开启透明模式（核心）
firewall transparent

# 2. 心跳口单独用三层，做HRP协商（只有心跳配IP，业务不配）
interface GigabitEthernet 0/0/8
 port link-mode route
 ip address 10.0.0.1 255.255.255.0

# 3. 所有业务接口改为二层桥模式 **不配任何IP**
interface GigabitEthernet 0/0/1  # 连内网核心
 port link-mode bridge
interface GigabitEthernet 0/0/2  # 连出口路由器
 port link-mode bridge

# 4. HRP配置（和三层模式一样）
hrp interface GigabitEthernet 0/0/8 remote 10.0.0.2
hrp session enable         # 同步会话表
hrp preempt enable        # 抢占
hrp preempt delay 60

# 5. 二层透明放通域间策略
security-policy
 rule permit all source any destination any

2、备防火墙 配置 和主墙几乎一模一样

# 1. 全局透明
firewall transparent

# 2. 心跳口三层IP
interface GigabitEthernet 0/0/8
 port link-mode route
 ip address 10.0.0.2 255.255.255.0

# 3. 业务口二层，不配IP
interface GigabitEthernet 0/0/1
 port link-mode bridge
interface GigabitEthernet 0/0/2
 port link-mode bridge

# 4. HRP
hrp interface GigabitEthernet 0/0/8 remote 10.0.0.1
hrp session enable
hrp preempt enable

# 5. 全域放通策略
security-policy
 rule permit all source any destination any

3、内网核心交换机 配置

完全不用做任何主备路由、不用 NQA

只需要：

• 配置内网网关 192.168.10.1/24
• 上下行接口放通 VLAN、二层转发即可

根本不用感知防火墙主备，因为防火墙是二层透明透传。

4、出口路由器 配置

正常配置静态路由 / 默认路由指向内网网段即可，不需要做双路由优先级。

四、正常状态：流量怎么走？为什么只走主 FW？

• 两台 FW 全局透明，业务口纯二层透传；
• HRP 协商：主 FW=Master，备 FW=Backup；
• 二层转发规则：
  • Master 主 FW：正常转发二层业务流量；
  • Backup 备 FW ：二层端口逻辑阻塞，不转发业务流量，只同步 MAC 表、会话表；
• 终端流量：终端→核心交换机→主 FW 二层透传→出口路由器上网；
• 备 FW 全程静默待命，二层端口被 HRP 逻辑锁住，不走流量。

五、主 FW 故障 完整切换全过程（逐步骤拆透）

场景：主 FW 断电、整机死机、上下行接口 Down

步骤 1：HRP 心跳断裂

备 FW 收不到主 FW 的 HRP 协商报文，判定主 FW 故障离线。

步骤 2：备 FW 角色切换

备 FW 由 Backup → 自动升级为 Master

步骤 3：二层端口自动放开

HRP 自动放开备 FW 上下行二层接口的逻辑阻塞，允许二层流量通过。

步骤 4：直接无缝接管流量

关键：HRP 提前同步了 MAC 地址表、会话表

• 上下行交换机不需要重新学习 MAC 地址；
• 业务会话表已经同步，终端无需重连。

步骤 5：流量自动切换路径

终端→核心交换机→备 FW 二层透传 →出口路由器全程二层链路层切换，路由、网关完全不用变化。