一、组网需求

公司A基于确保内部网络安全性的考虑，在内外网络之间部署了防火墙。由于防火墙设备是所有信息流都必须通过的单一节点，故一旦防火墙设备出现故障所有信息流都会中断。为了增强网络的可靠性，保证当防火墙设备出现故障时不中断网络，公司A利用两台设备实现防火墙主备功能

二、配置思路

正常情况下，公司A内的用户主机以RouterA为默认网关接入Internet，当RouterA出现故障时，RouterB接替RouterA继续进行工作。具体配置思路如下：

1. 配置各设备接口IP地址及路由协议，以保证各设备间网络层连通。

2. 在RouterA和RouterB上分别配置防火墙功能，实现公司内外网的安全隔离。

3. 在RouterA和RouterB上配置VRRP备份组。其中，RouterA上配置较高优先级，作为主用设备承担流量转发；RouterB上配置较低优先级，作为备用设备。
4. 在RouterA和RouterB上配置双机热备份功能，将RouterA上的业务信息通过备份链路批量备份和实时备份到RouterB上，保证在主设备故障时业务能够不中断地顺利切换到备份设备。
5. 在RouterA和RouterB上分别使能防火墙主备功能，实现当主用防火墙设备RouterA出现故障时，备用防火墙设备RouterB启动防火墙功能，以保证网络的不间断运行。

三、操作步骤

1、配置设备间的网络互连。

# 配置设备各接口的IP地址，以RouterA为例。RouterB的配置与之类似，详见配置文件。

<Huawei> system-view
[Huawei] sysname RouterA
[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] ip address 192.168.1.1 24
[RouterA-GigabitEthernet1/0/0] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] ip address 10.1.1.1 24
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface gigabitethernet 3/0/0
[RouterA-GigabitEthernet3/0/0] ip address 192.168.2.1 24
[RouterA-GigabitEthernet3/0/0] quit

# 配置Switch的二层透传功能。

<Huawei> system-view
[Huawei] sysname Switch
[Switch] vlan 100
[Switch-vlan100] quit
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 100
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 100
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port hybrid pvid vlan 100
[Switch-GigabitEthernet0/0/2] port hybrid untagged vlan 100
[Switch-GigabitEthernet0/0/2] quit

2、配置防火墙功能。

# 在RouterA上配置防火墙功能，RouterB的配置与之类似，详见配置文件。

[RouterA] firewall zone trust
[RouterA-zone-trust] priority 15
[RouterA-zone-trust] quit
[RouterA] firewall zone untrust
[RouterA-zone-untrust] priority 1
[RouterA-zone-untrust] quit
[RouterA] firewall interzone trust untrust
[RouterA-interzone-trust-untrust] firewall enable
[RouterA-interzone-trust-untrust] quit

# 在RouterA上将接口加入安全区域，RouterB的配置与之类似，详见配置文件。

[RouterA] interface gigabitethernet 1/0/0
[RouterA-GigabitEthernet1/0/0] zone untrust
[RouterA-GigabitEthernet1/0/0] quit
[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] zone trust
[RouterA-GigabitEthernet2/0/0] quit
[RouterA] interface gigabitethernet 3/0/0
[RouterA-GigabitEthernet3/0/0] zone untrust
[RouterA-GigabitEthernet3/0/0] quit

3、配置VRRP备份组。

# 在RouterA上创建VRRP备份组1，配置RouterA在该备份组中的优先级为120。

[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.1.1.111
[RouterA-GigabitEthernet2/0/0] vrrp vrid 1 priority 120
[RouterA-GigabitEthernet2/0/0] quit

# 在RouterB上创建VRRP备份组1，其在该备份组中的优先级为缺省值100。

[RouterB] interface gigabitethernet 2/0/0
[RouterB-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.1.1.111
[RouterB-GigabitEthernet2/0/0] quit

4、配置双机热备份功能，并使能防火墙主备功能。

# 在RouterA上创建HSB主备服务0，并配置其主备通道IP地址和端口号。

[RouterA] hsb-service 0
[RouterA-hsb-service-0] service-ip-port local-ip 192.168.1.1 peer-ip 192.168.1.2 local-data-port 10241 peer-data-port 10241
[RouterA-hsb-service-0] quit

# 在RouterB上创建HSB主备服务0，并配置其主备通道IP地址和端口号。

[RouterB] hsb-service 0
[RouterB-hsb-service-0] service-ip-port local-ip 192.168.1.2 peer-ip 192.168.1.1 local-data-port 10241 peer-data-port 10241
[RouterB-hsb-service-0] quit

# 在RouterA上创建HSB备份组0，并配置其绑定HSB主备服务0和VRRP备份组1。RouterB的配置与之类似，详见配置文件。

[RouterA] hsb-group 0
[RouterA-hsb-group-0] bind-service 0
[RouterA-hsb-group-0] track vrrp vrid 1 interface gigabitethernet 2/0/0
[RouterA-hsb-group-0] quit

# 在RouterA上使能防火墙主备功能，RouterB的配置与之类似，详见配置文件。

[RouterA] hsb-service-type firewall hsb-group 0

# 在RouterA上使能HSB备份组0，使HSB备份组的相关配置生效。RouterB的配置与之类似，详见配置文件。

[RouterA] hsb-group 0
[RouterA-hsb-group-0] hsb enable
[RouterA-hsb-group-0] quit

5、验证配置结果。

# 完成上述配置以后， 在RouterA和RouterB上执行display hsb-group group-index命令，查看HSB备份组的运行情况。RouterA和RouterB上的显示信息如下。

<RouterA> display hsb-group 0
Hot Standby Group Configuration:
----------------------------------------------------------HSB-group ID                : 0                                Vrrp Group ID               : 1                                Vrrp Interface              : GigabitEthernet2/0/0                        Service Index               : 0                                Group Vrrp Status           : Master                           Group Status                : Active                           Group Backup Process        : Realtime                         Peer Group Device Name      : Router                     Peer Group Software Version : V300R021Group Backup Modules        : Firewall     

<RouterB> display hsb-group 0
Hot Standby Group Configuration:
----------------------------------------------------------HSB-group ID                : 0                                Vrrp Group ID               : 1                                Vrrp Interface              : GigabitEthernet2/0/0                        Service Index               : 0                                Group Vrrp Status           : Backup                           Group Status                : Inactive                         Group Backup Process        : Realtime                         Peer Group Device Name      : Router                     Peer Group Software Version : V300R021Group Backup Modules        : Firewall      

# 在RouterA的接口GE2/0/0上执行shutdown命令，模拟RouterA出现故障。

[RouterA] interface gigabitethernet 2/0/0
[RouterA-GigabitEthernet2/0/0] shutdown
[RouterA-GigabitEthernet2/0/0] quit

# 在RouterB上执行display hsb-group group-index命令查看HSB备份组状态信息，可以看到RouterB的状态是Master。

<RouterB> display hsb-group 0
Hot Standby Group Configuration:
----------------------------------------------------------Hsb-group ID                : 0Vrrp Group ID               : 1Vrrp Interface              : GigabitEthernet2/0/0Service Index               : 0                                Group Vrrp Status           : Master                      Group Status                : Independent                      Group Backup Process        : Realtime                         Peer Group Device Name      : Router                     Peer Group Software Version : V300R021Group Backup Modules        : Firewall        

四、配置文件

RouterA的配置文件

#
sysname RouterA
#
hsb-service-type firewall hsb-group 0
#
interface GigabitEthernet1/0/0ip address 192.168.1.1 255.255.255.0zone untrust
#
interface GigabitEthernet2/0/0ip address 10.1.1.1 255.255.255.0vrrp vrid 1 virtual-ip 10.1.1.111vrrp vrid 1 priority 120zone trust
#
interface GigabitEthernet3/0/0ip address 192.168.2.1 255.255.255.0zone untrust
#
hsb-service 0service-ip-port local-ip 192.168.1.1 peer-ip 192.168.1.2 local-data-port 10241 peer-data-port 10241
# 
firewall zone trustpriority 15
#                                                                               
firewall zone untrust                                                           priority 1                                                                     
#                                                                               
firewall interzone trust untrust                                                firewall enable
#
hsb-group 0track vrrp vrid 1 interface GigabitEthernet2/0/0bind-service 0hsb enable
#
return

RouterB的配置文件

#
sysname RouterB
#
hsb-service-type firewall hsb-group 0
#
interface GigabitEthernet1/0/0ip address 192.168.1.2 255.255.255.0zone untrust
#
interface GigabitEthernet2/0/0ip address 10.1.1.2 255.255.255.0vrrp vrid 1 virtual-ip 10.1.1.111zone trust
# 
interface GigabitEthernet3/0/0ip address 192.168.2.2 255.255.255.0zone untrust
#
firewall zone trustpriority 15
#                                                                               
firewall zone untrust                                                           priority 1                                                                     
#                                                                               
firewall interzone trust untrust                                                firewall enable
#              
hsb-service 0service-ip-port local-ip 192.168.1.2 peer-ip 192.168.1.1 local-data-port 10241 peer-data-port 10241
#
hsb-group 0track vrrp vrid 1 interface GigabitEthernet2/0/0bind-service 0hsb enable
#
return

Switch的配置文件

#
sysname Switch
#
vlan batch 100
#
interface GigabitEthernet0/0/1port hybrid pvid vlan 100port hybrid untagged vlan 100
#
interface GigabitEthernet0/0/2port hybrid pvid vlan 100port hybrid untagged vlan 100
#
return