华为USG6000V防火墙VRRP配置实战：小白也能看懂的高可用指南

防火墙vrrp.png

在网络世界里，防火墙就像小区的安保系统，一旦“安保队长”（主防火墙）罢工，必须立刻有“副队长”（备用防火墙）顶上，否则整个小区（网络）就会乱套。VRRP（虚拟路由冗余协议）就是用来实现这种“无缝换岗”的技术。但在华为USG6000V防火墙的实际配置中，很多新手会遇到一个令人抓狂的“坑”：明明配置了主备，查看状态时却发现两台设备都在“待机”（Backup），没人愿意当“队长”。这通常是因为华为防火墙默认开启了一个叫HRP（心跳保活协议）的功能在“捣乱”。别担心，本文将手把手教你如何通过关闭HRP来正确配置VRRP，让你的防火墙真正实现高可用。

一、拓扑与原理：谁是老大？

我们先看一眼最简单的拓扑结构（想象一下两台防火墙并排站着）：

FW1（防火墙1号）：接口IP设为 192.168.1.2，我们要把它设为“Master”（老大）。
FW2（防火墙2号）：接口IP设为 192.168.1.3，我们要把它设为“Backup”（老二）。
虚拟IP（VIP）：192.168.1.1。这是给内网用户用的“门牌号”，无论老大老二谁当班，这个门牌号永远有效。

二、新手必踩的“坑”：为什么状态不对？

很多新手按照网上的教程输入命令后，兴致勃勃地输入 dis vrrp 查看状态，结果发现两台设备的 State 都是 Backup。这是为什么呢？因为华为防火墙默认开启了 HRP（华为冗余协议），这个协议是专门用来做“双机热备”的高级功能。在进阶配置中它很重要，但在我们只做基础 VRRP 实验时，它就像一个“霸道”的管家，强行接管了控制权，导致 VRRP 无法正常选举老大。

解决办法： 在做 VRRP 配置之前，必须先去系统视图下输入命令undo hrp enable把它关掉！

三、实战配置：手把手教你当“导演”

现在，我们开始正式的配置流程。请拿出你的模拟器，跟着我一步一步操作。

第一步：关闭HRP（关键步骤）

在两台防火墙上都要执行，告诉系统：“我现在只想玩VRRP，别用HRP来干扰我。”

# 进入系统视图（按回车就行）
<FW1> system-view
# 关闭HRP功能
[FW1] undo hrp enable
# FW2上也要做同样的操作
<FW2> system-view
[FW2] undo hrp enable

第二步：配置FW1（设定老大）

我们把FW1的GigabitEthernet 1/0/0接口配置好，并明确告诉它：“你是老大，你负责干活。”

# 进入接口视图
[FW1] interface GigabitEthernet 1/0/0
# 配置接口IP地址
[FW1-GigabitEthernet1/0/0] ip address 192.168.1.2 255.255.255.0
# 配置VRRP，VRID设为1，虚拟IP是192.168.1.1，最后的active表示“我是主用”
[FW1-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 255.255.255.0 active
# 配置完毕，退出接口
[FW1-GigabitEthernet1/0/0] quit

第三步：配置FW2（设定老二）

FW2的配置和FW1几乎一样，唯一的区别在于最后那个关键字。我们要告诉FW2：“你是备用的，平时站着别动，老大挂了你再上。”

# 进入接口视图
[FW2] interface GigabitEthernet 1/0/0
# 配置接口IP地址
[FW2-GigabitEthernet1/0/0] ip address 192.168.1.3 255.255.255.0
# 配置VRRP，注意最后的关键字是standby（备用）
[FW2-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 255.255.255.0 standby
# 配置完毕，退出接口
[FW2-GigabitEthernet1/0/0] quit

四、验证结果：谁是最终赢家？

配置完成后，我们输入验证命令 display vrrp 来看看结果。

FW1（主防火墙）：你会看到 State 变成了 Master。这意味着它现在是“当班”的，拥有虚拟IP 192.168.1.1。
FW2（备防火墙）：你会看到 State 变成了 Backup。它正在默默待命，时刻准备着接替FW1的工作。

如果看到这样的状态，恭喜你！你已经成功配置了华为防火墙的VRRP。这意味着如果FW1突然断电或故障，FW2会在毫秒级的时间内自动接管虚拟IP，内网用户几乎感觉不到网络中断。

五、给未来的你：进阶思考

虽然我们通过关闭 HRP 成功配置了 VRRP，但在真正的企业生产环境中，你通常会看到 HRP 是开启的。这是因为企业需要更高级的“双机热备”功能，它不仅能切换IP，还能同步会话表（Session Table），保证正在传输的数据不中断。当你掌握了基础的 VRRP 后，下一步就可以去研究 HRP 的配置了。

注：此文章部分内容由AI生成