以太网链路接入，上下行设备为交换机（主备备份）介绍上下行设备为交换机，主备备份组网的双机热备配置。

组网需求USG作为安全设备被部署在业务节点上。

其中上下行设备均是交换机，USG_A、USG_B分别充当主用设备和备用设备，且均工作在路由模式下。

通过配置NAT功能，使内网用户可以通过公网地址访问Internet。

组网图如图1所示。

图1 以太网链路接入，上下行设备为交换机组网图网络规划如下：∙需要保护的网段地址为192.168.10.0/24，与USG的GigabitEthernet0/0/1接口相连，部署在Trust区域。

∙外部网络与USG的GigabitEthernet0/0/3接口相连，部署在Untrust区域。

其中，各安全区域对应的VRRP组虚拟IP地址如下：∙Trust区域对应的VRRP组1，虚拟IP地址为192.168.10.1/24。

∙Untrust区域对应的VRRP组2，虚拟IP地址为10.100.30.1/24。

网段为192.168.10.0/24的内网用户允许访问Internet的FTP服务器10.100.30.5，公网地址范围为10.100.30.8～10.100.30.9。

配置思路1.在主备设备上配置VRRP备份组，并配置备份组的虚拟IP地址。

2.在主备设备上配置HRP备份通道，并启动HRP。

3.配置NAT功能。

由于NAT地址池地址与VRRP备份组的虚拟IP地址在同一个网段，则需要将地址池绑定该VRRP备份组。

操作步骤1.完成USG_A上、下行接口的配置。

# 配置GigabitEthernet 0/0/1的IP地址。

<USG_A> system-view[USG_A] interface GigabitEthernet 0/0/1[USG_A-GigabitEthernet0/0/1] ip address 192.168.10.2 24[USG_A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/3的IP地址。

[USG_A] interface GigabitEthernet 0/0/3[USG_A-GigabitEthernet0/0/3] ip address 10.100.30.2 24[USG_A-GigabitEthernet0/0/3] quit# 配置GigabitEthernet 0/0/1加入Trust区域。

[USG_A] firewall zone trust[USG_A-zone-trust] add interface GigabitEthernet 0/0/1[USG_A-zone-trust] quit# 配置GigabitEthernet 0/0/3加入Untrust区域。

[USG_A] firewall zone untrust[USG_A-zone-untrust] add interface GigabitEthernet 0/0/3[USG_A-zone-untrust] quit# 配置接口GigabitEthernet 0/0/1的VRRP备份组1，加入到VGMP的Master管理组。

说明：配置接口加入VRRP备份组前，需要先完成接口IP地址的配置。

[USG_A] interface GigabitEthernet 0/0/1[USG_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 192.168.10.1 master [USG_A-GigabitEthernet0/0/1] quit# 配置接口GigabitEthernet 0/0/3的VRRP备份组2，加入到VGMP的Master管理组。

[USG_A] interface GigabitEthernet 0/0/3[USG_A-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 10.100.30.1 master [USG_A-GigabitEthernet0/0/3] quit2.完成USG_A的HRP备份通道配置。

# 配置GigabitEthernet 0/0/2的IP地址。

[USG_A] interface GigabitEthernet 0/0/2[USG_A-GigabitEthernet0/0/2] ip address 192.168.100.2 24[USG_A-GigabitEthernet0/0/2] quit# 配置GigabitEthernet 0/0/2加入DMZ区域。

[USG_A] firewall zone dmz[USG_A-zone-dmz] add interface GigabitEthernet 0/0/2[USG_A-zone-dmz] quit# 指定HRP备份通道。

[USG_A] hrp interface GigabitEthernet 0/0/23.开启HRP功能。

# 开启HRP功能。

[USG_A] hrp enable4.配置USG_B。

USG_B和上述USG_A的配置基本相同，不同之处在于：∙USG_B各接口的IP地址与USG_A各接口的IP地址不相同。

∙USG_B的业务接口加入VGMP的Slave管理组。

5.在USG_A上启动配置命令的自动备份、配置NAT地址池、配置ACL，并配置Trust区域和Untrust区域的域间包过滤规则。

说明：当USG_A和USG_B都启动HRP功能完成后，在USG_A上开启配置命令的自动备份，这样在USG_A上配置的ACL以及域间包过滤规则都将自动备份到USG_B，不需要再在USG_B上单独配置。

# 启动自动备份功能。

HRP_M[USG_A] hrp auto-sync# 配置域间包过滤规则，使192.168.10.0/24网段用户可以访问Untrust区域。

HRP_M[USG_A] policy interzone trust untrust outboundHRP_M[USG_A-policy-interzone-trust-untrust-outbound] policy 0HRP_M[USG_A-policy-interzone-trust-untrust-outbound-0] policy source192.168.10.0 0.0.0.255HRP_M[USG_A-policy-interzone-trust-untrust-outbound-0] action permitHRP_M[USG_A-policy-interzone-trust-untrust-outbound-0] quitHRP_M[USG_A-policy-interzone-trust-untrust-outbound] quit# 通过配置NAT功能，实现内网用户通过公网地址访问Internet。

说明：当NAT地址池地址或者NAT Server的公网IP地址与VRRP组的虚拟IP地址在同一网段时，需要将地址池或者NAT Server绑定该VRRP组，防止上下行设备向NAT地址池或者NAT Server的公网IP发送ARP请求时，两台USG都会回应ARP报文，从而造成冲突，影响正常业务的运行。

HRP_M[USG] nat address-group index 1 10.100.30.8 10.100.30.9 vrrp 2HRP_M[USG_A] nat-policy interzone trust untrust outboundHRP_M[USG_A-nat-policy-interzone-trust-untrust-outbound] policy 0HRP_M[USG_A-nat-policy-interzone-trust-untrust-outbound-0] policy source192.168.10.0 0.0.0.255HRP_M[USG_A-nat-policy-interzone-trust-untrust-outbound-0] actionsource-natHRP_M[USG_A-nat-policy-interzone-trust-untrust-outbound-0] address-group1HRP_M[USG_A-nat-policy-interzone-trust-untrust-outbound-0] quitHRP_M[USG_A-nat-policy-interzone-trust-untrust-outbound] quit6.配置Switch。

# 实际应用中，Switch与USG相连的接口一般是二层接口，配置USG连接到Switch的接口、Switch连接到Trust/Untrust区域的接口以及Switch连接到Switch的接口，将此三个接口加入同一个VLAN。

具体配置命令请参考交换机的相关文档。

7.配置静态路由。

在内网中的PC1上配置网关地址为VRRP备份组1的虚拟IP地址。

结果验证1.在USG_A上执行display vrrp命令，检查VRRP组内接口的状态信息，显示以下信息表示VRRP组建立成功。

2.H RP_M[USG_A] display vrrp3.GigabitEthernet0/0/1 | Virtual Router 14.VRRP Group : Master5.state : Master6.Virtual IP : 192.168.10.17. Virtual MAC : 0000-5e00-01018. Primary IP : 10.100.10.29. PriorityRun : 10010. PriorityConfig : 10011. MasterPriority : 10012. Preempt : YES Delay Time : 013. Timer : 114. Auth Type : NONE15. Check TTL : YES16.17.GigabitEthernet0/0/3 | Virtual Router 218.VRRP Group : Master19.state : Master20.Virtual IP : 10.100.30.121. Virtual MAC : 0000-5e00-010222. Primary IP : 10.100.30.223. PriorityRun : 10024. PriorityConfig : 10025. MasterPriority : 10026. Preempt : YES Delay Time : 027. Timer : 128. Auth Type : NONECheck TTL : YES29.在USG_A上执行display hrp state命令，检查当前HRP的状态，显示以下信息表示HRP建立成功。