防火墙RBM 双主问题

您好，可以配置双主（RBM Dual-Active），但单公网 IP 需要特殊设计。两台防火墙会同时转发，通过等价路由（ECMP）+ 会话一致性 实现负载分担。

我这个是主备，然后外网给了一个地址的案例

你可以参考一下，双主的话把个别配置改一下

我给你用最现场、最直白、不绕理论的方式讲清楚，并且给你真正可用的单公网 IP + RBM 双主方案，你这个拓扑完全能做。
1. 先给结论
只有一个公网 IP，也能做 RBM 双主
两台防火墙可以同时跑业务、负载分担
分担不是靠 “多出口 IP”，而是靠 核心侧 VRRP 负载分担 + 会话哈希
必须配合：RBM 双主 + VRRP 多组分担 + NAT 保存上一跳
2. 为什么能双主？流量怎么走？
你的拓扑：核心堆叠 ←→ 两台防火墙 ←→ 上联交换机 ←→ 光猫（只有 1 个公网 IP）
双主的核心逻辑：
内网侧做负载（核心 ↔ 防火墙）
核心交换机上配置 两个 VRRP 网关
一半流量走防火墙 A，一半走防火墙 B
按 源 IP 哈希 分担，不是随机乱跳
出口侧共享同一个公网 IP
两台防火墙都用 同一个公网地址做 NAT
靠 nat preserve-next-hop（保存上一跳）保证回程流量走回原防火墙
RBM 同步会话表
一台挂了，另一台直接接管所有会话，不断网
3. 关键技术点（必须开）
RBM 模式：dual-active
VRRP 内网侧做多组负载分担
NAT 保存上一跳：nat preserve-next-hop enable
两台防火墙出接口用同一公网 IP / 同一 NAT 策略
上联交换机只配一个网关，不做负载
4. 最简可落地配置示例（H3C 防火墙）
（1）RBM 双主配置（两台都配）
plaintext
# 防火墙A
remote-backup group
backup-mode dual-active
local-ip 10.0.0.1
remote-ip 10.0.0.2
data-channel ip 10.0.0.1 24
hot-backup enable
session sync enable
configuration sync enable
quit

# 防火墙B
remote-backup group
backup-mode dual-active
local-ip 10.0.0.2
remote-ip 10.0.0.1
data-channel ip 10.0.0.2 24
hot-backup enable
session sync enable
configuration sync enable
quit
（2）内网侧 VRRP 负载分担（核心配置）
防火墙 A（主用组 10，备用组 20）
plaintext
interface GigabitEthernet1/0/1 (内网口)
ip address 192.168.1.252 24
vrrp vrid 10 virtual-ip 192.168.1.254
vrrp vrid 10 priority 120

vrrp vrid 20 virtual-ip 192.168.1.253
vrrp vrid 20 priority 100
quit
防火墙 B（主用组 20，备用组 10）
plaintext
interface GigabitEthernet1/0/1 (内网口)
ip address 192.168.1.251 24
vrrp vrid 10 virtual-ip 192.168.1.254
vrrp vrid 10 priority 100

vrrp vrid 20 virtual-ip 192.168.1.253
vrrp vrid 20 priority 120
quit
这样：一半终端走 .254 → 防火墙 A一半终端走 .253 → 防火墙 B实现双主负载分担
（3）出口公网侧（单 IP）
两台防火墙出接口配置同一个公网 IP（或二层桥接模式）
plaintext
interface GigabitEthernet1/0/2 (外网口)
ip address 222.x.x.2 24 # 两台可以一样，或用二层
nat outbound 3000 address-group 1
nat preserve-next-hop enable # 关键：回程走原墙
quit

nat address-group 1
section 0 222.x.x.2 222.x.x.2 # 只有一个公网IP
quit
（4）核心交换机侧（关键）
核心堆叠配置 ECMP + 哈希，让流量均匀分给两台防火墙：
plaintext
ip route-static 0.0.0.0 0 192.168.1.254
ip route-static 0.0.0.0 0 192.168.1.253

ip load-sharing mode per-flow src-ip dst-ip port
5. 两台防火墙怎么 “分担流量”？
不是靠出口，是靠 内网侧哈希分流：
按 源 IP + 目的 IP + 端口 做哈希
同一个 PC 永远走同一台防火墙
一半设备走 A，一半走 B
实现 双主同时转发、负载均衡
6. 单公网 IP 为什么不影响双主？
因为：
出方向：两台防火墙都用同一个公网 IP 做 PAT，不冲突
入方向：上联交换机把公网回程流量发给核心
核心根据会话哈希，把流量还给原来那台防火墙
nat preserve-next-hop 保证会话不丢
7. 一句话总结（最关键）
只有 1 个公网 IP，完全可以做 RBM 双主。
负载分担不靠出口，靠内网 VRRP 多组 + 核心哈希分流。
必须开：dual-active + nat preserve-next-hop + 会话热备。
如果你告诉我：
防火墙型号（F1000 / F5000 / SecPath）
公网 IP / 掩码
内网网段

双防火墙是为了避免单点故障，你加一个交换机，是不是还得加路由器呀，不是又增加新的单点故障了吗？