登录 注册
submit
近期热搜
1.
hcip
2.
CCNP
首页 > 热门文章 > 技术资讯

华为USG双击热备实战演示

小编 2025-09-12 16:43:44 人看过

晚上好,同学们!

防火墙是出口生命线,必须“主备双活/秒级切换不丢会话”。

华为USGHRP(Hot Standby Routing Protocol,华为热备)支持配置同步与会话镜像,实现主备切换业务不中断。

今天手把手带你完成HRP部署。

今日文章阅读福利:《网络工程师手册

扫添加小助理微信,备注网工,即可获取。

新盟教育助教老师微信HCIE99.png


一、 HRP能做什么?

图片1.jpg 

· 配置同步:在主设备改配置,自动下发到备设备

· 会话同步:已有连接在切换后仍然有效(如内外网长连接)

· 健康检测与抢占:链路故障触发切换,恢复后可延时回切

类比:两个“保安岗亭”共用一本访客簿(会话表),主岗下班,副岗直接接班。

二、组网与规划

· USG-M(主)与USG-S(备)通过一条心跳链路直连(建议独立VLAN/物理口)

· 业务接口与安全域:Trust/Untrust与现网一致

· 建议:先在主设备完成业务配置,再开启HRP同步到备

三、配置步骤(USG,命令可能因版本略有差异)

1)基础接口与安全域(略,参考你现网)

2)启用HRP与心跳接口

# 主设备 USG-M
[USG-M] hrp enable
[USG-M] interface GigabitEthernet0/0/3
[USG-M-GE0/0/3] ip address 192.168.254.1 255.255.255.0
[USG-M-GE0/0/3] quit
[USG-M] hrp interface GigabitEthernet0/0/3 remote 192.168.254.2
[USG-M] hrp mirror session enable
[USG-M] hrp standby config enable
[USG-M] hrp preempt enable delay 30
[USG-M] hrp track interface GigabitEthernet0/0/2       # 例如上联公网口

# 备设备 USG-S
[USG-S] hrp enable
[USG-S] interface GigabitEthernet0/0/3
[USG-S-GE0/0/3] ip address 192.168.254.2 255.255.255.0
[USG-S-GE0/0/3] quit
[USG-S] hrp interface GigabitEthernet0/0/3 remote 192.168.254.1
[USG-S] hrp mirror session enable
[USG-S] hrp standby config enable
[USG-S] hrp preempt enable delay 30
[USG-S] hrp track interface GigabitEthernet0/0/2

3)在主设备完成业务后做一次全量同步

[USG-M] hrp sync configuration all

4)NAT与策略注意事项

· NAT、策略、对象组等业务配置统一在主设备维护

· HA前建议统一接口命名与zone归属,避免不一致导致同步失败

常见坑

· 心跳口与业务口复用或跨三层网络,稳定性差(建议直连/专用VLAN)

· 忘记开启会话镜像,切换后长连接中断

· 主备设备版本/特性不一致,部分配置无法同步

四、验证与演练

# HRP 状态
[USG] display hrp state
[USG] display hrp interface
[USG] display hrp track

# 会话与NAT(切换前后观测)
[USG] display firewall session table summary
[USG] display nat session statistics

# 切换演练:在主设备关闭上联或执行手工切换
[USG-M] interface GigabitEthernet0/0/2
[USG-M-GE0/0/2] shutdown


· 观察主备角色变化、会话是否保留、业务是否无感

最佳实践

· 心跳口专用、冗余可用双心跳;规划抢占与延时避免“来回抢”

· 变更流程:主设备改配置→HRP自动同步→观察告警与日志

· 每季度做一次切换演练,记录恢复时间与影响范围

我们今天就分享到这,下次再见啦!

版权声明:本文部分素材整理自网络公开领域,版权归原作者所有,如有侵权,请联系我们修改或者删除处理。

编辑推荐

热门文章

精选好课

即刻报名 免费试听-咨询课程-获取免费资料
客服电话 16602639305 邮箱 jianyu.luo@thinkmo.com.cn 地址 天津市红桥区光荣道157号宝能创业中心2号楼-1、2门-907号
官方公众号
商务合作