1. 华为防火墙双机热备HRP入门指南第一次接触华为防火墙双机热备时我也被那些专业术语搞得一头雾水。后来在实际项目中摸爬滚打几年才发现这套系统就像给网络上了双保险——主设备故障时备设备能在毫秒级完成切换业务流量几乎不会中断。这次我就用最直白的语言带大家从零搭建这套高可用安全网关。HRPHuawei Redundancy Protocol是华为防火墙专用的心跳协议相当于两台设备之间的暗号。当主备设备通过心跳线建立连接后它们会实时同步配置信息和会话状态。我常把这种机制比作双人自行车前面的人主设备负责掌控方向时后面的人备设备随时准备接手而且两人始终保持相同的骑行节奏。典型的企业网络会划分Trust区内网、Untrust区外网和DMZ区服务器区。在双机热备方案中除了业务接口外必须专门用独立网口建立心跳线。这条线就像设备间的生命线建议使用千兆以上带宽的直连光纤避免经过交换机中转。有次客户为了省事用普通网线做心跳线结果经常误报故障后来换成SFP光模块才稳定。2. 硬件连接与基础配置2.1 物理连线规划先来看最基础的网络拓扑。假设我们有两台华为USG6000系列防火墙需要连接以下线路业务接口GE1/0/0接Untrust区外网GE1/0/1接Trust区内网心跳接口GE1/0/5直连两台防火墙建议用交叉线或光纤直连管理接口MEth0/0/0接管理网络可选这里有个容易踩坑的地方心跳线必须单独使用物理接口不能和业务接口复用。我有次偷懒把心跳信号和业务流量混在同一个VLAN里结果网络拥塞时导致脑裂split-brain问题两台设备都认为自己是主设备。2.2 接口IP地址规划按照企业网典型规划建议采用以下IP方案设备接口IP地址用途FW1GE1/0/0192.168.1.10/24Untrust区实际IPFW1GE1/0/110.1.1.10/24Trust区实际IPFW1GE1/0/5172.16.1.1/24心跳线地址FW2GE1/0/0192.168.1.20/24Untrust区实际IPFW2GE1/0/110.1.1.20/24Trust区实际IPFW2GE1/0/5172.16.1.2/24心跳线地址虚拟IP-192.168.1.254/24Untrust区虚拟IP虚拟IP-10.1.1.254/24Trust区虚拟IPVRRP虚拟IP就像团队的对外统一联系方式无论内部谁在值班外部设备始终访问这个固定地址。配置时要注意VRID值必须在同一网段内唯一通常Untrust和Trust区会用不同的VRID。3. 核心配置步骤详解3.1 基础接口配置以FW1为例关键配置命令如下# 配置Untrust接口 interface GigabitEthernet1/0/0 undo shutdown ip address 192.168.1.10 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.1.254 vrrp vrid 2 priority 120 # 主设备优先级建议高于备设备 vrrp vrid 2 preempt-mode timer delay 20 # 设置20秒抢占延迟 vrrp vrid 2 track interface GigabitEthernet1/0/5 reduced 30 # 心跳线故障时降优先级 # 配置Trust接口 interface GigabitEthernet1/0/1 undo shutdown ip address 10.1.1.10 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.1.254 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 20 # 配置心跳接口 interface GigabitEthernet1/0/5 undo shutdown ip address 172.16.1.1 255.255.255.0FW2的配置基本相同但需要调整接口实际IP的最后一位改为20VRRP优先级设为100默认值不配置preempt-mode备设备通常不开启抢占3.2 安全区域与HRP配置安全区域相当于给接口打标签决定流量如何被处理# 配置安全区域 firewall zone trust set priority 85 add interface GigabitEthernet1/0/1 firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0 firewall zone dmz set priority 50 add interface GigabitEthernet1/0/5 # 心跳接口必须加入DMZ区域 # 启用HRP功能 hrp interface GigabitEthernet1/0/5 remote 172.16.1.2 # 指向对端心跳IP hrp enable hrp mirror config # 开启配置自动同步配置完成后可以用display hrp state查看状态。正常时应该显示Local device state: active (主设备) 或 standby (备设备)Peer device state: 对端状态HRP channel status: up4. 业务验证与故障模拟4.1 安全策略配置为了让Trust区PC能访问Untrust区资源需要添加安全策略# 在主设备上配置策略会自动同步到备机 security-policy rule name trust-to-untrust source-zone trust destination-zone untrust source-address 10.1.1.0 255.255.255.0 action permit策略名称后面会出现(B)标记表示已通过HRP同步。这时候如果在备设备上尝试修改策略系统会提示Configurations cannot be modified on the standby device。4.2 主备切换测试验证高可用性的核心是模拟故障场景手动切换测试在主设备执行hrp standby-device命令观察业务是否中断断线测试拔掉主设备心跳线备设备应在3个VRRP通告周期默认9秒后接管恢复测试重新连接心跳线原主设备应自动或延迟后恢复主状态建议用持续ping测试连通性# 在Trust区PC上执行 ping 192.168.1.1 -t正常切换时应该只会丢失1-2个ping包。4.3 常见问题排查遇到主备不同步时可以按以下步骤检查确认心跳连通性ping 172.16.1.2对端心跳IP检查HRP状态display hrp state看通道是否up验证VRRP状态display vrrp查看主备角色检查时间同步display clock确保两台设备时间一致有次客户遇到备设备频繁抢占主角色最后发现是心跳线误接了PoE交换机供电干扰导致信号不稳定。改用直连光纤后问题立即解决。