防火墙VRRP+OSPF 现网应用实例

文档名称 文档密级

双机热备路由器+交换机的负载分担方式典型配置

防火墙工作在路由器模式，上行是路由器下行为交换机是目前应用最多的一种组网。对于此种组网，防火墙需要和路由器之间运行OSPF协议，防火墙对交换机一侧使用VRRP协议，使VRRP虚地址作为交换机下面设备的下一跳地址来保证报文转发到主防火墙上。

在实际应用中，下行交换机侧由于未使用动态路由协议，所以VRRP的切换速度较快。

而上行路由器端，防火墙需要参与路由计算，主备切换时要通过HRP的状态修改OSPF COST 值，使OSPF重新计算，耗时较长。

如果要形成主备组网，可以在防火墙的上行路由器上对特定的链路调整COST值，保证

业务都从一边的路由器上转发，或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值得命令，使备防火墙发布路由的时候增大COST，保证业务在同一边的路由器上转发，同时防火墙上配置一个VGMP，把所有的接口上的VRRP加入到同一个VGMP组中。

如果要形成负载分担的组网，即主备防火墙都有转发业务，需要保证防火墙上下行的路

由器上都能有业务达到防火墙，这个可以通过配置路由的方式实现，对交换机一侧需要起两个VRRP，分别加入不通的VGMP组中，两个VGMP组在两台防火墙上分别为主状态，同时最好保证来回路径一致，可以通过在路由器上配置策略路由来实现。如果存在来回路径不一致的情况，需要在防火墙上配置会话快速备份功能。

在某局点交付项目中，正是采用了上述的组网方式，并且已经成功上线，下面来详细对

该项目的组网配置情况做一个说明：

用户需求：

用户租用了不通运营商的两条专线用于承载业务数据，希望两条链路能同时使用，同时

在一条链路出现问题以后业务能切换到另一条链路上。用户接入区1和区2 PC的业务分别分担到两条链路，所以从防火墙上来说，我们配置负载分担方式，使业务流量分布在两台防火墙上。用户接入区Switch采用二层接入的方式，PC的网关设置在防火墙上。

组网图：

2015-9-11

华为保密信息,未经授权禁止扩散 第1页, 共4页

文档名称 文档密级

IP规划：

USG 接口 G0/0/2 USGA G0/0/1 G5/0/0 G5/0/3 G0/0/2 USGA G0/0/1 G5/0/0 G5/0/3 IP地址 虚拟IP 10.111.65.44/28 10.111.65.46 10.111.65.60/28 10.111.65.62 10.33.255.18/30 10.111.66.61/27 10.111.66.60 10.111.66.161/27 10.111.66.163 1.1.1.1/24 10.111.65.45/28 10.111.65.46 10.111.65.61/28 10.111.65.62 10.34.255.18/30 10.111.66.62/27 10.111.66.60 10.111.66.162/27 10.111.66.163 1.1.1.2/24

重点配置说明：

2015-9-11

华为保密信息,未经授权禁止扩散

第2页, 共4页

文档名称 文档密级

#

hrp mirror session enable hrp enable

hrp ospf-cost adjust-enable

hrp interface GigabitEthernet5/0/3

-------配置会话的快速备份，虽然我们在此项目中已经通过路由策略的方式实现了来回路径一致（下面会提到），为了保证设备故障后的平滑切换，我们还是配置了该命令。 #

interface GigabitEthernet0/0/2 combo enable 1000base-x description to_IPS

ip address 10.111.65.45 255.255.255.240 ip address 10.111.65.61 255.255.255.240 sub vrrp vrid 1 virtual-ip 10.111.65.46 slave vrrp vrid 2 virtual-ip 10.111.65.62 master

-------同一个接口下配置两个IP地址，配置两个VRRP，作为同一个业务接入区不同PC的网关。 #

acl number 2001

rule 5 permit source 10.111.65.32 0.0.0.15 rule 10 permit source 10.111.66.32 0.0.0.31 #

acl number 2002

rule 5 permit source 10.111.65.48 0.0.0.15 rule 10 permit source 10.111.66.160 0.0.0.31 #

ospf 1

import-route direct route-policy policy_1 area 0.0.0.0

network 10.34.255.16 0.0.0.3 #

route-policy policy_1 permit node 1 if-match acl 2001 apply cost 60

route-policy policy_1 permit node 2 if-match acl 2002 apply cost 10

-------配置OSPF引入直连路由，并且引入时候应用路由策略，更改不同网段路由的COST值，

2015-9-11

华为保密信息,未经授权禁止扩散

第3页, 共4页

配置根据HRP状态调整OSPF 的COST值。

文档名称 文档密级

保证数据的来回路径一致。

防火墙配置：

2015-9-11

华为保密信息,未经授权禁止扩散 第4页, 共4页