對于局域網內的主機來說，如果它要跟外部網絡的主機通信，就需要通過路由器/三層交換機等對相關數據包進行轉發。如果路由器或交換機出現故障，那么跨網段的通信將會受到影響。為了解決單點故障問題，存在一種虛擬路由器冗余協議（VRRP：Virtual Router Redundancy Protocol），即將兩臺或多臺路由器/交換機視為一個虛擬路由器，擁有一個虛擬IP地址，那么主機將該虛擬IP地址作為跨網段訪問的下一跳地址。其中，虛擬路由器指定其中的一臺設備作為主（Matser）設備進行路由選擇和數據轉發，其余的為備（Backup/Slave）設備，主備設備均有自己的IP。當主設備故障時，VRRP通過自己的選擇策略將主設備的工作交由備設備接管，從而避免了對網絡通信的影響。當然，除了單純的主備模式，VRRP還支持負載模式，即主備設備同時工作，以分擔相應工作壓力。

上文所述“選擇策略”的一種實現方式是優先級的定義，對虛擬路由器包含的各個物理設備賦予不同的優先級，優先級最高的置為主設備，較低的置為備設備。當主設備故障時退服，備設備升級為主設備。通常情況下，主設備上配置了“搶占模式”（preempt），當其重新入網工作時，由于其優先級較高將重新成為主設備。可以通過如下命令來查看設備的主備狀態及VRRP信息：

display vrrp

display vrrp brief

防火墻（特別是三層防火墻）也支持VRRP協議，其功能與上述描述類似。所謂主備切換，就是對主防火墻和備防火墻進行切換，是一種應急演練措施，可以用來評測主墻和備墻是否正常工作。具體的操作過程如下：

1、當前配置保存

對于防火墻來說，既有存在于硬盤的策略配置文件，也有存在于內存的當前運行策略。如果內存中的策略沒有保存則在設備重啟后相關策略會丟失，只會執行硬盤中策略配置文件中的策略。因此，在執行主備切換前，需要保存當前策略，這一點很重要。

save

2、策略比對同步

因為切換后，備墻將成為新的主墻，如果主備墻策略不一致，將會對網絡運行造成影響。因此，在切換前，必須比對主墻和備墻的策略，以保障策略一致。

3、關閉搶占模式

如上文所述，如主墻配置了搶占模式，當其重新入網時將重新成為主墻，流量也將重新回歸主墻，備墻無法順利執行工作。因此，需要關閉主墻的搶占模式：

undo hrp preempt

4、識別上下行接口

一般情況下，可以通過shutdown防火墻的上下行接口實現主備切換的觸發，而上下行接口往往會被分別劃入trust和untrust安全域，可以通過如下命令查看每個安全域下面的接口信息。

display zone

由上圖可見，GigabitEthernet0/0/5、GigabitEthernet0/0/6分別為上下行接口。進一步的，可以通過如下命令查看這接口的IP地址、link-group、ospf cost值等配置信息。我們需要關注的是接口的link-group值，可以看出GigabitEthernet0/0/5、GigabitEthernet0/0/6的link-group值相同，表示其中一個接口down的話另外一個接口也會down。

display current-configuration interface

進一步的，通過如下命令可以查看接口的up/down狀態。其中，接口up/down狀態包括physical和protocol兩個方面，即一個是物理開關狀態，一個是邏輯開關狀態。可以看出，正常情況下，GigabitEthernet0/0/5、GigabitEthernet0/0/6的physical和protocol狀態都是up。

display ip interface brief

5、查看主備墻通訊接口并開啟telnet功能

主備墻之間通過心跳口hrp相連，因為主墻上下行接口down掉之后，會導致主墻無法通過正常方式登錄而造成托管，因此在down接口之前需要開啟主墻的telnet功能，并利用備墻利用心跳口登錄主墻進行操作，防止主墻托管。

5.1 查看心跳域hrp對應的接口Eth-Trunk0

display zone

5.2 查看接口Eth-Trunk0對應的IP地址192.168.222.4

display currrent-configuration interface

或

display ip interface brief

5.3 開啟主墻telnet功能

system-view

telnet server enable

quit

6、通過備墻TELNET登錄主墻并shutdown相關端口

#telnet登錄

telnet 192.168.222.4

username:XX

password:XX

#進入接口0/0/6并shutdown

system-view

interface GigabitEthernet0/0/6

shutdown

quit

quit

通過如上操作即實現了接口GigabitEthernet0/0/6的down操作，GigabitEthernet0/0/6的狀態由up變為down。因為GigabitEthernet0/0/5與GigabitEthernet0/0/5在一個link-group，則GigabitEthernet0/0/5的狀態也由up變為down，可以通過display ip interface brief進行查看確認。

7、恢復原主墻狀態并關閉其telnet功能

執行步驟6的操作后，原則上原備墻會即可變為主墻，如果配置了短信告警的話經過幾秒鐘應該會收到告警。因為原主墻關閉了搶占模式，那么即使主墻重新入網也不會執行搶占操作，即主備墻的當前狀態不會改變。

為了使得原主墻仍然在管控范圍內，需要通過如下命令恢復原主墻上下行接口的狀態，以實現設備的正常登錄。

system-view

interface GigabitEthernet0/0/6

undo shutdown

quit

quit

執行上述操作幾秒后，可以發現原主墻可以通過原有的方式進行登錄和管理。從安全角度考慮，防火墻應關閉telnet功能以防止惡意人員的探測和攻擊，因此主墻切換的最后一步就是通過如下命令關閉原主墻的telnet功能。

system-view

undo telnet server enable

quit

8、總結

總得來看，華為防火墻主備切換主要分為保存策略、檢查接口、切換操作、恢復狀態這么幾步，按流程操作一般都能夠完成。這里，小餅特別套強調策略保存的狀態恢復這兩步，如果這兩步出現問題要么會因策略不一致對業務造成直接影響，更有可能會導致設備托管，到時只能去機房處理了。

感謝您花費時間閱讀此文，水平有限，但請見諒，歡迎關注評論，期待與您一起學習、成長。有興趣深入了解的同仁可以參見《強叔侃墻》，絕對物超所值，下文將介紹華為防火墻的NAT配置方法。