對于局域網(wǎng)內(nèi)的主機來說，如果它要跟外部網(wǎng)絡的主機通信破讨，就需要通過路由器/三層交換機等對相關數(shù)據(jù)包進行轉(zhuǎn)發(fā)。如果路由器或交換機出現(xiàn)故障奕纫，那么跨網(wǎng)段的通信將會受到影響提陶。為了解決單點故障問題，存在一種虛擬路由器冗余協(xié)議（VRRP：Virtual Router Redundancy Protocol）匹层，即將兩臺或多臺路由器/交換機視為一個虛擬路由器隙笆，擁有一個虛擬IP地址，那么主機將該虛擬IP地址作為跨網(wǎng)段訪問的下一跳地址升筏。其中撑柔，虛擬路由器指定其中的一臺設備作為主（Matser）設備進行路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)，其余的為備（Backup/Slave）設備您访，主備設備均有自己的IP铅忿。當主設備故障時，VRRP通過自己的選擇策略將主設備的工作交由備設備接管灵汪，從而避免了對網(wǎng)絡通信的影響檀训。當然，除了單純的主備模式享言，VRRP還支持負載模式峻凫，即主備設備同時工作，以分擔相應工作壓力览露。

上文所述“選擇策略”的一種實現(xiàn)方式是優(yōu)先級的定義蔚晨，對虛擬路由器包含的各個物理設備賦予不同的優(yōu)先級，優(yōu)先級最高的置為主設備肛循，較低的置為備設備铭腕。當主設備故障時退服，備設備升級為主設備多糠。通常情況下累舷，主設備上配置了“搶占模式”（preempt），當其重新入網(wǎng)工作時夹孔，由于其優(yōu)先級較高將重新成為主設備被盈∥瞿酰可以通過如下命令來查看設備的主備狀態(tài)及VRRP信息：

display vrrp

display vrrp brief

防火墻（特別是三層防火墻）也支持VRRP協(xié)議，其功能與上述描述類似只怎。所謂主備切換袜瞬，就是對主防火墻和備防火墻進行切換，是一種應急演練措施身堡，可以用來評測主墻和備墻是否正常工作邓尤。具體的操作過程如下：

1、當前配置保存

對于防火墻來說贴谎，既有存在于硬盤的策略配置文件汞扎，也有存在于內(nèi)存的當前運行策略。如果內(nèi)存中的策略沒有保存則在設備重啟后相關策略會丟失擅这，只會執(zhí)行硬盤中策略配置文件中的策略澈魄。因此，在執(zhí)行主備切換前仲翎，需要保存當前策略痹扇，這一點很重要。

save

2溯香、策略比對同步

因為切換后鲫构，備墻將成為新的主墻，如果主備墻策略不一致逐哈，將會對網(wǎng)絡運行造成影響芬迄。因此，在切換前昂秃，必須比對主墻和備墻的策略禀梳，以保障策略一致。

3肠骆、關閉搶占模式

如上文所述算途，如主墻配置了搶占模式，當其重新入網(wǎng)時將重新成為主墻蚀腿，流量也將重新回歸主墻嘴瓤，備墻無法順利執(zhí)行工作。因此莉钙，需要關閉主墻的搶占模式：

undo hrp preempt

4廓脆、識別上下行接口

一般情況下，可以通過shutdown防火墻的上下行接口實現(xiàn)主備切換的觸發(fā)磁玉，而上下行接口往往會被分別劃入trust和untrust安全域停忿，可以通過如下命令查看每個安全域下面的接口信息。

display zone

由上圖可見蚊伞，GigabitEthernet0/0/5席赂、GigabitEthernet0/0/6分別為上下行接口吮铭。進一步的，可以通過如下命令查看這接口的IP地址颅停、link-group谓晌、ospf cost值等配置信息。我們需要關注的是接口的link-group值癞揉，可以看出GigabitEthernet0/0/5纸肉、GigabitEthernet0/0/6的link-group值相同，表示其中一個接口down的話另外一個接口也會down烧董。

display current-configuration interface

進一步的毁靶，通過如下命令可以查看接口的up/down狀態(tài)胧奔。其中逊移，接口up/down狀態(tài)包括physical和protocol兩個方面，即一個是物理開關狀態(tài)龙填，一個是邏輯開關狀態(tài)胳泉。可以看出岩遗，正常情況下扇商，GigabitEthernet0/0/5、GigabitEthernet0/0/6的physical和protocol狀態(tài)都是up宿礁。

display ip interface brief

5案铺、查看主備墻通訊接口并開啟telnet功能

主備墻之間通過心跳口hrp相連，因為主墻上下行接口down掉之后梆靖，會導致主墻無法通過正常方式登錄而造成托管控汉，因此在down接口之前需要開啟主墻的telnet功能，并利用備墻利用心跳口登錄主墻進行操作返吻，防止主墻托管姑子。

5.1 查看心跳域hrp對應的接口Eth-Trunk0

display zone

5.2 查看接口Eth-Trunk0對應的IP地址192.168.222.4

display currrent-configuration interface

或

display ip interface brief

5.3 開啟主墻telnet功能

system-view

telnet server enable

quit

6、通過備墻TELNET登錄主墻并shutdown相關端口

#telnet登錄

telnet 192.168.222.4

username:XX

password:XX

#進入接口0/0/6并shutdown

system-view

interface GigabitEthernet0/0/6

shutdown

quit

quit

通過如上操作即實現(xiàn)了接口GigabitEthernet0/0/6的down操作测僵，GigabitEthernet0/0/6的狀態(tài)由up變?yōu)閐own街佑。因為GigabitEthernet0/0/5與GigabitEthernet0/0/5在一個link-group，則GigabitEthernet0/0/5的狀態(tài)也由up變?yōu)閐own捍靠，可以通過display ip interface brief進行查看確認沐旨。

7、恢復原主墻狀態(tài)并關閉其telnet功能

執(zhí)行步驟6的操作后榨婆，原則上原備墻會即可變?yōu)橹鲏Υ判绻渲昧硕绦鸥婢脑捊?jīng)過幾秒鐘應該會收到告警。因為原主墻關閉了搶占模式纲辽，那么即使主墻重新入網(wǎng)也不會執(zhí)行搶占操作颜武，即主備墻的當前狀態(tài)不會改變璃搜。

為了使得原主墻仍然在管控范圍內(nèi)，需要通過如下命令恢復原主墻上下行接口的狀態(tài)鳞上，以實現(xiàn)設備的正常登錄这吻。

system-view

interface GigabitEthernet0/0/6

undo shutdown

quit

quit

執(zhí)行上述操作幾秒后，可以發(fā)現(xiàn)原主墻可以通過原有的方式進行登錄和管理篙议。從安全角度考慮唾糯，防火墻應關閉telnet功能以防止惡意人員的探測和攻擊，因此主墻切換的最后一步就是通過如下命令關閉原主墻的telnet功能鬼贱。

system-view

undo telnet server enable

quit

8移怯、總結(jié)

總得來看，華為防火墻主備切換主要分為保存策略这难、檢查接口舟误、切換操作、恢復狀態(tài)這么幾步姻乓，按流程操作一般都能夠完成嵌溢。這里，小餅特別套強調(diào)策略保存的狀態(tài)恢復這兩步蹋岩，如果這兩步出現(xiàn)問題要么會因策略不一致對業(yè)務造成直接影響赖草，更有可能會導致設備托管，到時只能去機房處理了剪个。

感謝您花費時間閱讀此文秧骑，水平有限，但請見諒扣囊，歡迎關注評論乎折，期待與您一起學習、成長如暖。有興趣深入了解的同仁可以參見《強叔侃墻》笆檀，絕對物超所值，下文將介紹華為防火墻的NAT配置方法盒至。