上去掉根据HRP状态调整OSPF路由的COST的命令。在防火墙上配置会话快速备份功能，保证在存在来回路径不一致的时候不影响业务。

组网优点：

1：网络拓扑简单，发生故障的时候OSPF的路由能快速收敛，减小业务中断的时间，同时

出现问题时定位比较容易。

2：防火墙上下行业务口采用1GE的板卡，成本较低，转发性能高，能达到防火墙最大转发

性能。

3：可以根据需要，只需要在命令行上配置，就能在主备组网和负载分担组网上进行切换。 4：对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。

组网缺点：

1：此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用，不能使用虚地址，因为一旦其中一台防火墙down掉，虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。

2：发生故障的时候，OSPF的收敛时间较长，如果业务中断的时候需要更快的响应时间，防火墙上下行最好采用VRRP，这样故障的时候相应切换速度最快。

可靠性分析：

这里只分析主备组网的可靠性。

如图所示，防火墙和路由器组网，链路正常的时候，业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙，FW-1为备防火墙，备防火墙向外发布路由的时候会自动加上一个COST值（默认是65500）。 1：FW-2和R4之间的链路故障

当FW-2和R4之间的链路故障，防火墙上配置的vrrp track了此接口，所以vrrp的优先级降低，并且是使用的vrrp的优先级作为VGMP的优先级，所以vgmp的优先级降低，此时FW-2的优先级比FW-1的优先级低，防火墙发生主备倒换，FW-1变成主防火墙，FW-2变成备防火墙。

在防火墙发生主备倒换之后，FW-1和FW-2都会更新自身的路由并对外发布路由，此时FW-1为主，对外直接发布自身的路由，而FW-2变成了备防火墙，对外发布路由的时候会另外加上一个cost值（默认是65500），路由重新计算并收敛，业务都从FW-1上走。此组网图中任何一个和防火墙相连的路由器的链路down或者是路由器故障，都会引发上述过程。

2：防火墙故障

如果是其中FW-2防火墙发生故障down或者是重启，此时FW-1防火墙因为心跳口down，导致vrrp的状态变成初始化状态，VGMP的状态也变成初始化状态，HRP的状态变成初始化状态，此时防火墙更新自身路由，同时整个链路的路由收敛，业务从没有故障的防火墙上走，从而保证业务的正常。如果发生故障的防火墙FW-2恢复，防火墙FW-1上的VRRP会up起来，VGMP会变成主状态，HRP也会变成主状态，而FW-2上的VRRP，VGMP以及HRP都是备状态，FW-2和FW-1都对外发布路由信息，HRP状态为备FW-2对外发布路由的时候会自动加上一个cost值，使业务仍然从为主的FW-1上走。如果VGMP配置了抢占，抢占延时设置为20s左右，保证FW-1上的会话充分备份到FW-2上，此时FW-2变成主防火墙的时候重新发布路由，业务从主防火墙FW-2上走，因为会话已经从FW-1上备份

过来了，所以也不会对业务产生影响。

如果是防火墙之间的心跳线中的一根down掉，因为两台防火墙上的两个心跳线上都配置了VRRP并加入了VGMP组中，所以不会对状态产生影响，但是要注意即使是防火墙的一根心跳线down，也要保证在其他设备出现故障的时候防火墙能正常倒换，所以需要每个接口上的VRRP都track上下行业务口。

组网配置要点： 主备模式配置要点： 1：防火墙之间采用2GE板卡，GE卡的两个口之间相连，并配置VRRP，加入同一个VGMP组中，使心跳线形成备份，保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。

2：防火墙的VGMP的优先级使用VRRP的优先级，每个VRRP都监视防火墙的上下两个业务口，并且为主状态的VRRP优先级设置为105，为备状态的优先级设置为默认值100。 3：防火墙上下行接口都加入到同一个link-group组中，保证一个接口down的时候另外一个接口也跟着down，OSPF收敛的速度快。

4：在防火墙上配置ip-link，分别检测防火墙上下行路由器的接口，保证在接口没有down但是不转发数据的时候防火墙也能检测到并且能进行主备倒换，注意使用ip-link的时候需要添加包过滤规则使防火墙和路由器能进行icmp交互。

5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛速度快，防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。同时如果防火墙上做nat转换，有私网路由的时候，需要保证私网路由不发布出去，需要在ospf中通过acl限制私网路由的发布。 6：配置根据HRP的状态调整OSPF的cost值的命令，形成主备模式的组网。

7：防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID，在路由器请求nat地址池或者时nat server的arp的时候，因为收到ARP请求的接口和配置VRRP的接口不一致，防火墙不会回应ARP请求，会导致上行路由器上没有ARP导致业务不通，不配置VRRP的ID，防火墙直接根据用接口地址回应ARP请求。

8：心跳口不能配置成transfer-only，否则VGMP状态会是初始化状态，导致VGMP无法协商形成主备，配置的transfer-only上绑定的ip-link也将不再起作用。 9：配置会话快速备份功能，保证发生故障防火墙倒换之后不影响业务。

10：配置VGMP为主的防火墙VGMP不抢占，这样在主防火墙发生故障恢复后路由只变化一次，避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。

负载分担配置要点： 1：防火墙之间采用2GE板卡，GE卡的两个口之间相连，并配置VRRP，加入同一个VGMP组中，使心跳线形成备份，保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。

2：在防火墙的两个心跳线上配置两个VRRP，把两个VRRP加入不同的VGMP组中，防火墙的VGMP的优先级使用VRRP的优先级，为主状态的VRRP优先级设置为105，为备状态的优先级设置为默认值100，并使得两边的VGMP各有一个是主状态。 3：防火墙上下行接口都加入到同一个link-group组中，保证一个接口down的时候另外一个接口也跟着down，OSPF收敛的速度快。

4：负载分担的组网链路的可靠性靠OSPF路由的计算，防火墙主备倒换不会引起路由的变

化，所以不用配置ip-link进行探测，所以负载分担的组网防火墙收敛速度慢一些。 5：防火墙和上下行路由器起OSPF，形成动态路由，OSPF区域尽量只包含在防火墙和路由器，这样路由收敛速度快，防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由，保证心跳口不转发数据。同时如果防火墙上做nat转换，有私网路由的时候，需要保证私网路由不发布出去，需要在ospf中通过acl限制私网路由的发布。 6：防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID，在路由器请求nat地址池或者时nat server的arp的时候，因为收到ARP请求的接口和配置VRRP的接口不一致，防火墙不会回应ARP请求，会导致上行路由器上没有ARP导致业务不通，不配置VRRP的ID，防火墙直接根据用接口地址回应ARP请求。

7：心跳口不能配置成transfer-only，否则VGMP状态会是初始化状态，导致VGMP无法协商形成主备，同时配置的transfer-only上绑定的ip-link也将不再起作用。

8：心跳口不能配置成transfer-only，否则VGMP状态会是初始化状态，导致VGMP无法协商形成主备，同时如果配置的transfer-only上绑定的ip-link也将不再起作用。

组网验证图及配置：

验证组网配置可以参考下面嵌入的PPT中的配置。

验证组网一：

主备模式组网：验证组网二：

组网验证图及配置_主备模式.ppt 防火墙重点配置说明：

防火墙重点配置说明.doc

负载分担组网：

组网验证图及配置_负载分担.ppt 防火墙重点配置说明：

防火墙重点配置说明.doc

2.1.2 2.1.1组网二：多冗余组网

发生故障防火墙倒换调整路由后业务走向 R1 R2 链路正常时的业务走向 OSPF区域 备防火墙 FW-1 FW-2 主防火墙 故障时此处链路down，防火墙主双机热备心跳线 OSPF区域 备倒换，调整对外发布的路由 R3 R4 如上图所示组网，此种组网是对组网一的一种扩展，可以进一步提高网络的可靠性，对于此种组网，防火墙需要和路由器之间运行OSPF协议，由于网络拓扑结构比组网一复杂，出现故障的时候OSPF的收敛速度比组网一慢，故障恢复时间比组网一要长。

如果要形成主备组网，可以在防火墙的上下行路由器上对特定的链路调整COST值，保证业务都从同一边的路由器上转发，或者是在防火墙上配置根据HRP状态调整OSPF路由的COST值的命令，使备防火墙发布路由的时候增大COST，保证业务在同一边的路由器上转发。

如果要形成负载分担的组网，即主备防火墙上都有转发业务，需要保证防火墙上下行的路由器上都能有业务到达防火墙，这个可以通过配置等价路由的方式实现，同时在防火墙上去掉根据HRP状态调整OSPF路由的COST的命令。如果存在来回路径不一致的情况，需要在防火墙上配置会话快速备份功能。

组网优点：

1：此种组网能提供更好的冗余性能，保证此组网中的任意上下行路由器或者是防火墙的其

中两台发生故障网络都能正常工作。

2：可以根据需要，只需要在命令行上配置，就能在主备组网和负载分担组网上进行切换。 3：对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。

组网缺点：

1：此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用，不能使用虚地址，因为一旦其中一台防火墙down掉，虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。

2：发生故障的时候，OSPF的收敛时间比组网一更长，如果业务中断的时候需要更快的响应时间，防火墙上下行最好采用VRRP，这样故障的时候相应切换速度最快。