华赛USG5310防火墙双机热备配置教程

组网需求
FW-USG5310作为安全设备被部署在业务节点上，其中下行设备是交换机，FW1、FW2分别充当主用设备和备用设备，实现双机热备份组网。
网络规划如下：
     1.内部网络通过路由器与FW1、FW2的GigabitEthernet 0/0/2接口相连，部署在Trust区域。
     2.外部网络通过路由器与FW1、FW2的GigabitEthernet 0/0/1接口相连，部署在Untrust区域。
     3.两台FW-USG5310的HRP备份通道接口GigabitEthernet 0/0/3部署在Trust区域。
其中，各安全区域对应的备份组虚拟IP地址如下：
     1.Trust区域对应的备份组虚拟IP地址为192.168.233.254。
     2.Untrust区域对应的备份组虚拟IP地址为1.1.1.1（外网ip）。
 

配置主备备份方式下的双机热备组网图
FW-USG5310 接口             IP地址                 虚拟IP地址
FW1  GigabitEthernet 0/0/2 192.168.233.252/24 192.168.233.254/24
  GigabitEthernet 0/0/3 192.168.232.252/24 -
  GigabitEthernet 0/0/1 1.1.1.2/24         1.1.1.1/24

FW2  GigabitEthernet 0/0/2 192.168.233.253/24 192.168.233.254/24
  GigabitEthernet 0/0/3 192.168.232.253/24 -
  GigabitEthernet 0/0/1 1.1.1.3/24         1.1.1.1/24
配置思路
1.在主备设备上配置FW-USG5310相关接口的IP地址，将接口加入相应的安全区域。
2.在主备设备上配置VRRP备份组，并配置备份组的虚拟IP地址。
3.在主备设备上配置HRP备份通道，并启动HRP。
4.在主设备上启动配置命令的自动备份、并配置Trust区域和Untrust区域的域间包过滤规则。
5.配置Switch。
说明：
由于VRRP HELLO报文为组播报文，启用VRRP时上下行设备必须具有二层交换功能（包括二层交换机或者带二层板的路由器），否则备用FW-USG5310无法收到主用FW-USG5310发送的VRRP HELLO报文。
操作步骤
1.在FW1上完成以下基本配置。
# 配置GigabitEthernet 0/0/2的IP地址。
 system-view
[FW1] interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2] ip address 192.168.233.252 24
[FW1-GigabitEthernet0/0/2] quit
# 配置GigabitEthernet 0/0/3的IP地址。
[FW1] interface GigabitEthernet 0/0/3
[FW1-GigabitEthernet0/0/3] ip address 192.168.232.252 24
[FW1-GigabitEthernet0/0/3] quit
# 配置GigabitEthernet 0/0/1的IP地址。
[FW1] interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1] ip address 1.1.1.2 24
[FW1-GigabitEthernet0/0/1] quit
# 配置GigabitEthernet 0/0/2加入Trust区域。
[FW1] firewall zone trust
[FW1-zone-trust] add interface GigabitEthernet 0/0/2
[FW1-zone-trust] quit
# 配置GigabitEthernet 0/0/3加入Trust区域。
[FW1] firewall zone trust
[FW1-zone-dmz] add interface GigabitEthernet 0/0/3
[FW1-zone-dmz] quit
# 配置GigabitEthernet 0/0/1加入Untrust区域。
[FW1] firewall zone untrust
[FW1-zone-untrust] add interface GigabitEthernet 0/0/1
[FW1-zone-untrust] quit
# 配置VRRP备份组1，并配置备份组的虚拟IP地址。
注意：
配置接口加入VRRP备份组前，需要先配置接口IP地址。
请确保虚拟IP地址和任何接口的实际IP地址不同。
[FW1] interface GigabitEthernet 0/0/2
[FW1-GigabitEthernet0/0/2] vrrp vrid 1 virtual-ip 192.168.233.254 24 master
[FW1-GigabitEthernet0/0/2] quit
# 配置VRRP备份组2，并配置备份组的虚拟IP地址。
[FW1] interface GigabitEthernet 0/0/1
[FW1-GigabitEthernet0/0/1] vrrp vrid 2 virtual-ip 1.1.1.1 24 master
[FW1-GigabitEthernet0/0/1] quit
# 配置HRP备份通道。
注意：
主备FW-USG5310的HRP备份通道接口必须直接相连，中间不能连接交换机。
[FW1] hrp interface GigabitEthernet 0/0/3
# 启动HRP。
[FW1] hrp enable
2.配置FW2。
FW2和上述FW1的配置基本相同，不同之处在于：
FW2各接口的IP地址与FW1各接口的IP地址不相同。
FW2的VRRP指定的管理组应该设为Slave。
2.在FW1上启动配置命令的自动备份、配置Trust区域和Untrust区域的域间包过滤规则。
说明：
当FW1和FW2都启动HRP功能完成后，在FW1上开启配置命令的自动备份，这样在FW1上配置的域间包过滤规则都将自动备份到FW2。
# 启动配置命令的自动备份功能。
HRP_M[FW1] hrp auto-sync config
# 配置域间包过滤规则，使10.100.10.0/24网段用户可以访问Untrust区域。
HRP_M[FW1] policy interzone trust untrust outbound
HRP_M[FW1-policy-interzone-trust-untrust-outbound] policy 0
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0] policy source 192.168.233.0 0.0.0.255
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0] action permit
HRP_M[FW1-policy-interzone-trust-untrust-outbound-0] quit
HRP_M[FW1-policy-interzone-trust-untrust-outbound] quit
# 请根据网络情况逐个关闭不需要开放的域间缺省包过滤。在逐个关闭期间，请关注网络是否能够正常通信。如果在关闭某个域间后影响正常业务，请重新打开该域间的缺省包过滤并检查和修改包过滤的配置。
HRP_M[FW1] firewall packet-filter default deny interzone local dmz
HRP_M[FW1] firewall packet-filter default deny interzone local untrust
HRP_M[FW1] firewall packet-filter default deny interzone trust dmz
HRP_M[FW1] firewall packet-filter default deny interzone trust untrust
HRP_M[FW1] firewall packet-filter default deny interzone dmz untrust
4.配置Switch。
# 实际应用中，Switch与FW-USG5310相连的接口一般是二层接口，配置Switch连接到FW1、Switch连接到FW2的接口以及Switch连接到Trust或Untrust区域的接口，将此三个接口加入同一个VLAN。
具体配置命令请参考交换机的相关文档。
# 在处于Trust区域的PC1和Untrust区域的PC2上配置网关地址为VRRP备份组的虚拟IP地址。
结果验证
1.  在FW1上执行display vrrp命令，检查VRRP备份组内接口的状态信息，显示以下信息表示VRRP备份组建立成功。
2.  HRP_M[FW1] display vrrp 
3.    GigabitEthernet0/0/2 | Virtual Router 1
4.      VRRP Group : Master
5.      state : Master
6.      Virtual IP : 192.168.233.254
7.      Virtual MAC : 0000-5e00-0101
8.      Primary IP : 192.168.233.252
9.      PriorityRun : 100
10.    PriorityConfig : 100
11.    MasterPriority : 100
12.    Preempt : YES   Delay Time : 0
13.    Timer : 1
14.    Auth Type : NONE
15.    Check TTL : YES  
16.
17.  GigabitEthernet0/0/1 | Virtual Router 2
18.    VRRP Group : Master
19.    state : Master
20.    Virtual IP : 1.1.1.1
21.    Virtual MAC : 0000-5e00-0102
22.    Primary IP : 1.1.1.2
23.    PriorityRun : 100
24.    PriorityConfig : 100
25.    MasterPriority : 100
26.    Preempt : YES   Delay Time : 0
27.    Timer : 1
28.    Auth Type : NONE
    Check TTL : YES  
29.在FW1上执行display hrp state命令，检查当前HRP的状态，显示以下信息表示HRP建立成功。
30.HRP_M[FW1] display hrp state
31. The firewalls config state is: MASTER
32.
33. Current state of virtual routers configured as master:
34.             GigabitEthernet0/0/2    vrid   1 : master
             GigabitEthernet0/0/1    vrid   2 : master
35.在处于Trust区域的PC端(192.168.102.252)ping VRRP备份组1的虚拟IP地址192.168.233.254，在FW1上检查会话。
说明：
验证此步骤前，必须先打开Trust区域和Local区域的域间包过滤。
HRP_M[FW1] display firewall session table verbose
可以看出VRRP备份组配置正确后，在PC1端能够ping通VRRP备份组1的虚拟IP地址。
拔掉FW1 连接到SW的网线（模拟FW1故障或者死机），在PC端也能够ping通VRRP备份组1的虚拟IP地址。
36.PC(192.168.102.252)作为内网服务器位于trust区域，通过防火墙映射对外提供HTTP服务。对外服务地址是 http://1.1.1.4:8081/host.php
拔掉FW1 连接到SW的网线（模拟FW1故障或者死机），然后用手机访问上面url，可以正常访问。
如经过上述测试均成功，则证明方案有效。

配置脚本
FW1配置脚本：
[FW1]sysname FW1                                                                          
[FW1]hrp enable
[FW1]hrp interface GigabitEthernet 0/0/3
[FW1]interface GigabitEthernet 0/0/1
[FW1]ip address 1.1.1.2/24
[FW1]vrrp vrid 2 virtual-ip 1.1.1.1 master
[FW1]interface GigabitEthernet 0/0/2
[FW1]ip address 192.168.233.252 255.255.255.0
[FW1]vrrp vrid 1 virtual-ip 192.168.233.254 master
[FW1]interface GigabitEthernet 0/0/3
[FW1]ip address 192.168.232.252 255.255.255.0

[FW1]firewall zone trust
[FW1]add interface GigabitEthernet 0/0/2

[FW1]firewall zone trust
[FW1]add interface GigabitEthernet 0/0/3

[FW1]firewall zone untrust
[FW1]add interface GigabitEthernet 0/0/1

[FW1]policy interzone trust untrust outbound                                                                
[FW1]policy 0                                    
[FW1]action permit
[FW1]policy source 192.168.233.0 0.0.0.255
                               
#FW2配置脚本：                                                                              
[FW1]sysname FW2
                                                                              
[FW1]hrp enable
[FW1]hrp interface GigabitEthernet 0/0/3

[FW1]interface GigabitEthernet 0/0/1
[FW1]ip address 1.1.1.3/24
[FW1]vrrp vrid 2 virtual-ip 1.1.1.1 slave

[FW1]interface GigabitEthernet 0/0/2
[FW1]ip address 192.168.233.253 255.255.255.0
[FW1]vrrp vrid 1 virtual-ip 192.168.233.254 slave

[FW1]interface GigabitEthernet 0/0/3
ip address 192.168.232.253 255.255.255.0

[FW1]return

#----------------------------------------------------------------------------#
回退办法：
1，实施方案前，先备份防火墙（FW1）和交换机配置文件，下载到本地PC端，备用。
2，拆除新增的网线和光纤。
3，防火墙配置恢复到方案实施前的状态。
4，测试。
#----------------------------------------------------------------------------#