摘  要：双机热备是在网络出口处部署两台网关设备，以防一台设备出现故障而导致网络中断。使用华为路由器仿真模拟软件（eNSP）设计防火墙双机热备实验方案，分析了组管理协议（VGMP）和冗余备份协议（HRP），构建了以命令行方式配置防火墙双机热备的方案，并对实验结果进行了有效性验证。在具体的实验教学设计中，给出详细的配置方案设计，绘制了网络拓扑图，完成了防火墙的命令配置，最后进行了连通测试。

关键词：eNSP；双机热备；VGMP；HRP；实验研究

中图分类号：TP393.1   文献标识码：A     文章编号：2096-4706（2023）14-0084-04

Research and Implementation of Dual-Machine Hot Standby Technology

YANG Yumei

（Department of Computer Science and Technology， Huaibei Vocational & Technical College， Huaibei  235000， China）

Abstract： Dual-machine hot standby is to deploy two gateway devices at the network egress to prevent network interruption caused by the failure of one device. Using Huawei Router Simulation Software （eNSP） to design a firewall dual machine hot standby experimental scheme， analyze the Group Management Protocol （VGMP） and Redundant Backup Protocol （HRP）， construct a solution for configuring firewall dual machine hot standby through command line mode， and validate the effectiveness of the experimental results. In the specific experimental teaching design， detailed configuration scheme design is provided， network topology diagram is drawn， firewall command configuration is completed， finally， connectivity testing is conducted.

Keywords： eNSP; dual-machine hot standby; VGMP; HRP; experimental research

0  引  言

互聯网的高速发展推动了企业的不断发展，为保护企业网络内部的数据安全，企业需要部署防火墙并设置安全策略，但是传统网络中一台防火墙出现故障后，会引起企业网络瘫痪，为确保网络在业务传输中不中断，可通过双机热备备份重要的数据信息，因此，双机热备在企业网络中发挥非常重要的应用。

通过网络安全技术课程的教学研究，探索出一条通过华为eNSP软件实现防火墙双机热备技术的方案，将两台安全设备防火墙部署在出口业务节点上，它的上下行设备都是交换机，两台防火墙是以主备备份方式工作。

1  双机热备技术

1.1  双机热备

双机热备技术是在网络出口处使用两台或多台网关设备实现主备备份，如果防火墙主用设备有故障，链路不会出现中断，流量会切换到防火墙备用设备，备用设备立即切换成主用设备，从而保证内外部网络间业务的正常开展，提高了网络稳定性和可靠性，双机热备的实验中使用的是自动备份的方式，可以完成实时备份[1]。

1.2  VRRP协议

VRRP（Virtual Router Redundancy Protocol）是一种虚拟路由冗余协议，把多台物理设备虚拟为一台设备实现冗余备份。它包括主用路由器、备用路由器和备份组，主用路由器相当于网关转发数据报文和发送VRRP报文，备用路由器处于备份状态，不转发数据报文，备份组是由VRRP路由器组成的虚拟组，提供一个虚拟IP地址对外部提供服务[2]。

VRRP在防火墙上使用时，传统的VRRP方式不能实现主备状态一致，因为防火墙与路由器的数据报文转发机制是不一样的，路由器的报文查找路由表进行匹配后转发，链路切换也不会影响后续报文的转发，而防火墙在链路切换后会使后续报文找不到会话表项而中断[3]。

1.3  VGMP和HRP

要使VRRP备份组状态都一致，使用VGMP（VRRP Group Management Protocol）组管理协议，将一台防火墙上的多个VRRP备份组都加入一个VRRP管理组，由管理组统一管理所有VRRP备份组对备份组统一管理来实现管理组中的VRRP备份组的状态一致性，VGMP的状态为ACTIVE（活跃）状态的防火墙为是主用防火墙，另外一台为备用防火墙，如果管理组有故障，它的优先级降低，要重新协商ACTIVE组和备份组[4]。

HRP（Huawei Redundancy Protocol）是冗余备份协议，当设备发生故障时以使网络业务不中断，在双机热备网络中，主用防火墙故障切换到备用防火墙，两台之间的备份数据是使用心跳口发送和接收，通过备份链路传输，心跳口是一个物理接口或多个物理接口组成的链路聚合口，有无效、关闭、对端关闭、准备和运行五种状态[5]。

1.4  网络构建

根据网络实际的需求分析，进行网络的整体规划，要充分考虑企业网络系统的优化性能：管理容易、扩展性好和安全性等，选取先进的网络设备。在实验中，选取华为防火墙和交换机设备，搭建实验环境拓扑如图1所示，在运行Windows 10操作系统的电脑上安装路由器模拟软件和终端软件，搭建实验环境，防火墙FW1和FW2两台，交换机和PC机各两台。

使用eNSP（Enterprise Network Simulation Platform）软件来完成，eNSP是一款华为模拟器软件，提供图形化的网络仿真工具平台，可以模拟企业网络防火墙、交换机和路由器、接入控制器（AC）、无线访问节点（AP）和PC机等，还能完成与真实设备的对接[4]。

2  命令行方式双机热备方案

2.1  安全区域配置

防火墙安全区域通常分为本地、受信任、非受信任和非军事化四个区域，本地区域安全级别最高，非受信任区域安全级别最低，除了本地区域之外，安全区域使用前，必须将接口加入安全域，而且安全区域与网络的关联要遵循一定的规则[6]。

两台防火墙接口的IP地址配置完成后，将接口加入相应的安全区域。

防火墙的主要配置如下：

firewall zone trust ；trust区域

add interface GigabitEthernet 1/0/1；接口G1/0/1划入trust区域

firewall zone untrust；untrust区域

add interface GigabitEthernet 1/0/4；接口G1/0/4划入untrust区域

firewall zone dmz；DMZ区域

add interface GigabitEthernet 1/0/3；接口G1/0/4划入DMZ区域

2.2  VRRP与VGMP配置

VRRP这个容错协议是先从一组VRRP路由器中选举一个主路由器Master，然后将Master关联到一个虚拟路由器，作为所连接网段的网关，实现设备冗余，还需要VGMP组管理，VGMP管理组控制所有的VRRP备份组统一切换。

防火墙的主要配置如下：

interface GigabitEthernet 1/0/1；进入G1/0/1接口

vrrpvrid 1 virtual-ip 1.1.2.3 24 active ；设置虚拟IP地址，把G1/0/1的备份组1划入ACTIVE状态的VGMP管理组

interface GigabitEthernet 1/0/4；进入G1/0/4接口

vrrpvrid 2 virtual-ip4.1.1.3 24 active；设置虚拟IP地址，把G1/0/4的备份组2划入ACTIVE状态的VGMP管理组

2.3  设置心跳口与备份

hrp是承载在VGMP报文上进行传输的，可以实现防火墙双机之间动态状态数据和关键配置命令的备份[5]，心跳接口是连接主备链路的接口，VGMP通过心跳线协商VGMP状态信息。

防火墙FW1的hrp配置如下：

interface GigabitEthernet1/0/3；进入G1/0/3接口

ip address 3.1.1.1 255.255.255.0；设置G1/0/7接口的IP地址

firewall zone dmz；DMZ区域

add interface GigabitEthernet1/0/3；G1/0/3划入DMZ 区域

hrp interface GigabitEthernet 1/0/3remote 3.1.1.2 ;心跳口GigabitEthernet1/0/3

hrp enable; HRP 备份开启

防火墙FW1的hrp配置如下：

hrp interface GigabitEthernet 1/0/3 remote 3.1.1.1 ;心跳口GigabitEthernet1/0/3

hrp enable; HRP 备份开启

hrp auto-sync；HRP自动备份

2.4  安全策略配置

安全策略是对通过的防火墙流量进行检测，符合条件的流量允许通过，否则禁止，防火器trust和untrust域间转发策略yy配置如下：

security-policy；安全策略视图

rule name yy   ;安全规则名称为yy

source-zone trust ；安全规则源地址trust

destination-zone untrust；安全规则目标地址untrust

service icmp   ;icmp包允许通过

action permit ；安全规划允许

配置安全策略http如下所示，使内网主机Client1能访问外网服务器Server1：

security-policy；安全策略视图

rule name http   ;安全规则名称为http

source-zone trust；安全规则源地址trust

destination-zone untrust；安全規则目标地址untrust

source-address 10.1.1.0 24；源网段

destination-address 100.1.1.0 24   ;目标网段

service http   ; http服务允许

action permit   ; 安全规划允许

3  实验结果验证

3.1  Server1和Client1通信

使用PING命令测试两台主机是否正常通信，连通测试如图2所示。

3.2  VRRP组内接口状态信息

检查VRRP组内接口的状态信息如图3所示，VRRP组建立成功，FW1上接口G1/0/1状态为Master，FW2上G1/0/1接口状态为Backup。

3.3  HRP状态

当前HRP状态如图4所示，HRP建立成功，FW1提示符为HRP_M，FW1为主用防火墙，FW2提示符为HRP_S，FW2为备用防火墙。

3.4  服务器验证

测试HTTP报文是否通过防火墙，在Server1上指定文件目录为http，添加一个文件http.html，启动HTTP服务，在Client1的地址栏输入http：//4.1.1.100测试HTTP服务，如图5所示，Client1可以成功访问Server1。

4  结  论

双机热备实验中使用eNSP软件，通过命令行方式配置实现，易于操作，方便实现，主要为主备方式，FW1是主用防火墙，FW2是备用防火墙，实施时FW2和FW1的设置基本类同，安全策略是主备同步的，在安全策略配置好，主用设备有（+B）标识，说明配置被同步到备份设备；http安全规则的配置使客户机能够成功访问服务器。

通过eNSP软件实现防火墙双机热备的实验，使学生熟悉掌握正确的配置方法，不但构建了安全可靠的企业网络，而且有利于教学的实施。学生先使用模拟软件进行操作练习，然后在真实设备上实练，有效地避免昂贵设备的损坏，经过教学实践证明，该教学方法适合学生，可以使学生更好地掌握信息安全技术应用所需的专业技能。

参考文献：

[1]坎香，金海峰.基于IRF的网络核心层双机热备系统的设计与实现[J].通化师范学院学报，2021，2（20）：24-29.

[2] 华为技术有限公司.网络系统建设与运维（中级）[M].北京：人民邮电出版社，2020：97.

[3]刘洪亮，杨志茹.信息安全技术（HCIA-Security）[M].北京：人民邮电出版社，2020：145.

[4]刘婧.基于eNSP的防火墙二层双机热备实验教学设计[J].信息系统工程，2021，7（20）：165-166.

[5]孙友凯，贾立辉，董涛.基于虚拟IP的双机热备系统设计与实现[J].信息技术与信息化，2020，10（28）：147-149.

[6]曾丽娟，杨平，徐涢基，等.基于防火墙双机热备IPsec VPN穿越仿真实验设计[J]现代信息科技，2022，8（25）：96-99.

作者简介：杨玉梅（1969—），女，汉族，安徽淮

北人，副教授，碩士，研究方向：网络系统建设与运维。