🔧 一、HA基础概念与架构

1. 工作模式

   • 主备模式：主设备处理业务，备设备实时同步会话及配置；主故障时备设备接管（切换时间≤1秒）57。

   • 负载分担模式（较少用）：两台设备同时处理业务，但会话同步复杂性高，通常不建议生产环境使用25。

2. 核心协议

   • VRRP：实现虚拟网关IP（如192.168.1.254），客户端网关指向此IP37。

   • VGMP：统一管理所有VRRP组状态，确保主备设备整机切换（避免单接口切换导致的流量黑洞）57。

   • HRP：华为冗余协议，负责会话表、NAT表、IPSec SA等状态同步7。

⚙️ 二、配置前提与硬件要求

1. 设备一致性要求：

   • 硬件型号、接口模块、License必须相同7。

   • 软件版本（包括系统镜像、补丁、特征库）需完全一致7。

2. 心跳线（HA接口）：

   • 作用：传输心跳报文、配置同步数据、VGMP状态协商7。

   • 选型建议：

     • 使用独立物理接口（如GigabitEthernet1/0/7），推荐万兆光口。

     • 禁止使用管理口（MGMT）或MTU<1500的接口7。

     • 直连或通过交换机互联（需启用端口快速转发）

       一、基础环境准备（物理层）

       要素	配置要求
       硬件一致性	相同型号、相同接口卡、相同电源模块
       软件版本	必须完全一致（V500R005C10SPC300 → 备机也必须是此版本）
       心跳链路	至少2条（防单点故障），推荐： ▪ 接口：万兆光口（GE1/0/7, GE1/0/8） ▪ 连接方式：直连 或 通过交换机（需开启PortFast）
       业务接口	上下行接口物理连接对称（主备设备接相同交换机）

       📌 心跳线MTU检查：
       display interface GigabitEthernet 1/0/7 | include MTU → MTU≥1500

       ---

       二、主备模式全配置流程（逐行命令解析）

       ▶ Step 1：基础网络配置（主设备FW_A）

        

       # 配置心跳接口（两条链路做聚合）
       interface Eth-Trunk 1              # 创建聚合接口
        description HRP_Heartbeat         
        ip address 10.10.10.1 255.255.255.252  # 主备心跳IP需同网段
       #
       interface GigabitEthernet 1/0/7    # 物理口加入聚合组
        eth-trunk 1
       #
       interface GigabitEthernet 1/0/8
        eth-trunk 1
       
       # 配置业务接口及VRRP
       interface GigabitEthernet 1/0/1    # 内网口
        ip address 192.168.1.1 255.255.255.0
        vrrp vrid 1 virtual-ip 192.168.1.254 active  # 主设备设为Active
        vrrp vrid 1 priority 120          # 主设备优先级>备设备（默认100）
       #
       interface GigabitEthernet 1/0/2    # 外网口
        ip address 202.100.1.1 255.255.255.0
        vrrp vrid 2 virtual-ip 202.100.1.254 active

       ▶ Step 2：配置HRP核心参数（主设备FW_A）

        

       hrp enable                         # 全局启用双机热备
       hrp interface Eth-Trunk 1 remote 10.10.10.2  # 指向备设备心跳IP
       hrp mirror session enable          # 会话同步（必须开启！）
       hrp mirror packet enable           # 开启报文搬迁（防ICMP丢包）
       hrp auto-sync config               # 自动同步关键配置（策略/NAT/路由）
       hrp preempt enable                 # 主设备恢复后自动抢占（按需开启）
       hrp standby-device config          # 允许在备机查看配置（只读）

       ▶ Step 3：配置安全域及策略（主设备FW_A）

        

       # 将心跳口加入安全域（如HRP_ZONE）
       firewall zone name HRP_ZONE
        set priority 15                   # 优先级高于其他域
        add interface Eth-Trunk 1
       
       # 放行心跳域间流量（主备+本地）
       security-policy
        rule name HRP_Permit
         source-zone local HRP_ZONE       # 允许本机管理流量
         destination-zone local HRP_ZONE
         source-zone HRP_ZONE             # 允许主备间通信
         destination-zone HRP_ZONE
         action permit

       ▶ Step 4：备设备FW_B配置（关键差异点）

        

       # 心跳接口（聚合组IP不同）
       interface Eth-Trunk 1
        ip address 10.10.10.2 255.255.255.252  # 同一网段不同IP
       
       # 业务接口VRRP状态设为Standby
       interface GigabitEthernet 1/0/1
        ip address 192.168.1.2 255.255.255.0    # 真实IP与主设备不同！
        vrrp vrid 1 virtual-ip 192.168.1.254 standby  # 备设备状态
        vrrp vrid 1 priority 100               # 优先级低于主设备
       #
       hrp interface Eth-Trunk 1 remote 10.10.10.1  # 指向主设备心跳IP

       ---

       三、状态验证与监控命令

       1. 检查HA主备状态

        

       display hrp state                  # 核心命令！输出示例：
       --------------------------------------------------------------------------------
         Role: active, peer: standby      # 本机为Active，对端为Standby
         Running priority: 200, peer: 200 # VGMP优先级（默认200）
         Heartbeat status: normal         # 心跳正常
         Last switch reason: Manual       # 上次切换原因

       ✅ 关键指标：

       • HRP_M[Active]：本机主状态

       • Peer: standby：对端为备机

       • Heartbeat status: normal：心跳正常

       2. 检查会话同步状态

        

       display hrp statistics session     # 会话同步统计
         Session sync total: 3562         # 总同步会话数
         Last 1min sync rate: 200/s       # 最近1分钟同步速率
         Last error: None                 # 无同步错误

       3. 模拟故障切换测试

        

       # 在主设备执行：
       hrp switch standby                # 手动切换为备机（业务流量切至FW_B）
       # 观察切换时间：Ping虚拟IP（192.168.1.254）丢包≤3个 = 成功！

       ---

       四、高级调优与生产环境要点

       🔧 VGMP权重调整（影响切换优先级）

        

       hrp adjust vgmp-role priority 150  # 调高本机VGMP权重（默认100）

       📡 心跳链路优化

        

       hrp heartbeat interval 500         # 心跳间隔从1秒改为500ms（高风险链路适用）
       hrp heartbeat hold-multi 6         # 超时次数从3次改为6次（网络抖动时防误切）

       ⚠️ 配置禁忌（必看！）

     • License不一致：备机缺少IPS/AV等License → 切换后功能失效

     • 非对称路由：主备设备路由表不一致 → 切换后流量黑洞

     • 未关闭生成树：心跳线接交换机时STP阻塞端口 → 启用PortFast

     • 安全策略拦截：未放行local与心跳域间流量 → HRP协商失败

     • 下载

       display current-configuration > hrp_backup.cfg  # 完整配置备份
       display hrp configuration > hrp_config.cfg      # 仅HRP相关配置

       按此指南配置后，华为USG防火墙HA可实现99.999%高可用性。实际部署建议参考华为官方文档：USG系列双机热备配置指南。

       ---

       五、故障排查工具箱

       故障现象	排查命令	解决方法
       HA状态为Initial	display hrp state	检查心跳IP连通性、安全策略
       会话不同步	display hrp statistics error	确认hrp mirror session enable
       切换后业务中断	display vrrp	检查备设备VRRP状态是否为Active
       心跳报文丢失	debugging hrp packet	调整心跳间隔或检查物理链路

       ---

       六、负载分担模式配置差异

        

       # 主设备（承担VRID 1的Active）
       interface G1/0/1
        vrrp vrid 1 virtual-ip 192.168.1.254 active
       
       # 备设备（承担VRID 2的Active）
       interface G1/0/1
        vrrp vrid 2 virtual-ip 192.168.2.254 active  # 不同网段由不同设备主控

       💡 负载分担核心逻辑：
       通过划分不同VRRP组，让主备设备分别承担不同业务流量（如：FW_A处理VLAN10，FW_B处理VLAN20）。

       ---

       附：配置备份脚本（主设备导出）

       附：配置备份脚本（主设备导出）

        

       display current-configuration > hrp_backup.cfg  # 完整配置备份
       display hrp configuration > hrp_config.cfg      # 仅HRP相关配置

       按此指南配置后，华为USG防火墙HA可实现99.999%高可用性。