华三防火墙配置HA详细配置案例

大家读完觉得有帮助记得关注和点赞！！！

以下是华三防火墙配置 HA（双机热备） 的详细案例，涵盖主备模式部署、配置步骤及验证方法，基于 Comware V7 操作系统整理。案例以路由模式为例，支持会话同步和故障自动切换。

一、基础拓扑与需求

网络拓扑

plaintext

                    +-----------------+
                    |     互联网       |
                    +--------+--------+
                             |
                  +----------+----------+
                  |        核心交换机       |
                  +----------+----------+
                             |
                  +----------+----------+
                  |      防火墙主        | (Active)
                  | 公网IP: 202.96.128.1 |
                  | 私网IP: 10.1.0.1     |
                  +----------+----------+
                             |心跳线（直连）
                  +----------+----------+
                  |      防火墙备        | (Standby)
                  | 公网IP: 202.96.128.2 |
                  | 私网IP: 10.1.0.2     |
                  +----------+----------+
                             |
                  +----------+----------+
                  |       内网          |
                  |    192.168.1.0/24   |
                  +---------------------+

要求：

1. 主备防火墙通过 HRP（H3C冗余协议） 同步会话和配置。

2. 主设备故障时，备设备在 秒级 内接管流量。

3. 心跳线使用 GE1/0/3 接口直连。

二、详细配置步骤（以主防火墙为例）

1. 基础网络配置

bash

# 配置公网接口
interface GigabitEthernet1/0/1
 ip address 202.96.128.1 255.255.255.0
 nat outbound  # 启用NAT（需豁免心跳流量）

# 配置内网接口
interface GigabitEthernet1/0/2
 ip address 10.1.0.1 255.255.255.0

# 配置心跳接口（直连备防火墙）
interface GigabitEthernet1/0/3
 ip address 10.10.10.1 255.255.255.252  # 点对点地址

2. 启用HRP双机热备

bash

# 启用HRP功能
hrp enable
hrp interface GigabitEthernet1/0/3  # 指定心跳接口
hrp device-role primary             # 设置为主设备
hrp standby-device                  # 声明对端为备设备

# 配置会话和配置同步
hrp mirror config enable    # 同步配置
hrp mirror session enable   # 同步会话表

# 监控业务接口（故障触发切换）
hrp track interface GigabitEthernet1/0/1  # 公网口
hrp track interface GigabitEthernet1/0/2  # 内网口

3. 配置安全域与策略

bash

# 配置安全域
security-zone name Trust
 import interface GigabitEthernet1/0/2
security-zone name Untrust
 import interface GigabitEthernet1/0/1

# 配置安全策略（主设备配置后自动同步至备机）
security-policy ip
 rule name Trust_to_Untrust
  source-zone Trust
  destination-zone Untrust
  action pass

4. NAT豁免心跳流量

bash

acl advanced 4000
 rule 0 deny ip source 10.10.10.0 0.0.0.3  # 禁止NAT转换心跳流量
!
nat outbound 4000  # 应用ACL

三、备防火墙配置

bash

# 基础网络配置（镜像主设备，修改IP）
interface GigabitEthernet1/0/1
 ip address 202.96.128.2 255.255.255.0
interface GigabitEthernet1/0/2
 ip address 10.1.0.2 255.255.255.0
interface GigabitEthernet1/0/3
 ip address 10.10.10.2 255.255.255.252

# HRP配置（角色设为备机）
hrp enable
hrp interface GigabitEthernet1/0/3
hrp device-role standby  # 关键区别！

四、验证命令

1. 检查HRP状态

bash

display hrp state  # 查看主备状态

正常输出：

plaintext

Role: Primary, State: Active  
Peer IP: 10.10.10.2 (Reachable)  
Config Synchronization: Enabled  
Session Synchronization: Enabled  
Tracked Interfaces: GE1/0/1(UP), GE1/0/2(UP)  

2. 测试故障切换

bash

# 模拟主设备公网口故障
interface GigabitEthernet1/0/1
 shutdown

# 备设备日志显示：
%HRP/5/HRP_STATE_CHANGE: Device switched to Active state.

3. 检查会话同步

bash

display session table  # 切换后会话表应保持不变

五、透明模式HA配置要点

若防火墙部署在 透明模式（二层桥接），需额外配置：

1. VLAN透传：

   bash

   interface GigabitEthernet1/0/1
    port link-mode bridge
    port link-type trunk
    port trunk permit vlan all  # 允许所有VLAN:cite[1]:cite[8]

2. 监控桥接口：

   bash

   hrp track interface Bridge-Aggregation1  # 监控聚合接口:cite[1]

3. 关闭STP干扰：

   bash

   interface Bridge-Aggregation1
    stp disable  # 避免STP阻塞端口:cite[3]

六、常见故障排查

七、配置建议

1. 心跳线冗余：
   使用 聚合链路 或 双心跳接口 避免单点故障6。

2. 抢占控制：

   bash

   hrp preempt enable delay 120  # 主设备恢复后延迟120秒抢占:cite[4]

3. 版本一致性：
   主备设备需 相同硬件型号和软件版本（display version验证）2。

八、主备 vs 堆叠方案对比

推荐场景：

• 主备模式：F1000-AK系列、透明模式部署、成本敏感场景25。

• 堆叠模式：高性能要求、简化管理（需设备支持IRF）。

最终效果：主设备故障时，备设备在 3秒内 接管流量，会话不中断，业务零感知。更多案例参考H3C官方配置指南。