防火墙RBM组网，公网为pppoe拨号，需要如何配置

拨号没法配置VRRP，所以只能单接到一台设备上去使用，这个我之前问过400

针对防火墙RBM（Remote Backup Management，远端备份管理）组网下，公网是PPPoE拨号的场景，确实需要一套特别的方案，核心思路是用二层交换机将物理信号“一分为二”，再用IRF（Intelligent Resilient Framework，智能弹性架构）技术把两台防火墙虚拟成一台。这样就可以绕开VRRP对IP地址的限制，并对Dialer口实现无缝主备切换。

 核心问题

PPPoE拨号的主备切换难点主要在于IP地址限制和协议连接的重建：

• IP地址限制：VRRP要求主备设备使用同一个虚拟IP地址，但PPPoE拨号获得的公网IP由运营商随机分配，无法固定，也无法在两台防火墙上实现共享。

• PPPoE会话唯一性：PPPoE协议要求会话的MAC地址唯一。如果主备两台防火墙用各自不同的MAC地址去拨号，运营商端会视为两个独立的会话，从而无法实现“主备”切换。

 推荐解决方案：IRF虚拟集群+外部交换机

这个方案通过前置二层交换机统一出口，再利用IRF技术消除主备防火墙的个体差异，来彻底规避上述问题。

1. 出口侧：增加二层交换机
在防火墙前面增加一台二层交换机（简称SW），运营商的光猫直接连接这台交换机。这样一来，物理线路被分流，两台防火墙都可以尝试发起PPPoE拨号。

2. 防火墙侧：启用IRF功能
在两台防火墙上启用IRF功能，将两台独立的设备虚拟成一台“集群”设备。从网络上看，两台防火墙变成了同一个网络节点。

 关键配置步骤

1. 配置前置交换机

在二层交换机上，将连接光猫的接口（如G1/0/1）和连接两台防火墙的接口（如G1/0/2、G1/0/3）都划入同一个VLAN（如VLAN 100），实现二层透传。配置示例如下：

2. 配置防火墙IRF

在两台防火墙上配置IRF，将物理设备虚拟化。

3. 配置PPPoE客户端

完成IRF配置后，在IRF集群上统一配置PPPoE拨号。

 方案优缺点对比

用镜像模式

H3C 防火墙（F1000/F5000 等 V7 版本）RBM + PPPoE 公网的核心思路是：两台防火墙各自独立 PPPoE 拨号，用 RBM 做配置 / 会话同步 + Track 监控拨号口状态，实现主备自动切换。不能用 VRRP（PPPoE 是动态 IP，无固定虚 IP），改用 RBM + Track + 浮动路由 / 默认路由切换 实现热备。
一、组网与原理
拓扑
plaintext
运营商光猫
|
交换机（可选）
/ \
FW1(主) FW2(备)
[GE1/0/1-PPPoE] [GE1/0/1-PPPoE]
| （RBM心跳）|
└-----------┘（GE1/0/2：10.0.0.0/24）
关键设计
两台防火墙独立 PPPoE 拨号：均能获取公网 IP、默认路由
RBM 做双机热备：同步配置、会话、NAT、策略
Track 监控 Dialer 口 / PPPoE 状态：故障触发 RBM 切换
主设备默认路由优先级更高：备设备路由优先级低，正常不优选
二、通用配置步骤（主 / 备分别配）
1. 基础配置（主 / 备一致，仅 IP / 角色不同）
bash
运行
# 系统名
sysname FW1
sysname FW2

# 心跳线（RBM数据通道）
interface GE1/0/2
ip address 10.0.0.1 24 # FW1
ip address 10.0.0.2 24 # FW2
undo shutdown
quit

# 安全域（外网口加入Untrust）
zone name Untrust
add interface GigabitEthernet1/0/1
add interface Dialer1
quit
2. PPPoE 拨号配置（主 / 备完全一样）
bash
运行
# 1) 拨号规则
dialer-rule 1 ip permit

# 2) Dialer接口
interface Dialer1
ip address ppp-negotiate
dialer bundle 1
dialer-group 1
dialer timer idle 0 # 永不挂断
dialer timer autodial 10 # 自动重拨
ppp chap user 你的宽带账号
ppp chap password cipher 你的宽带密码
nat outbound # 公网出口NAT
mtu 1492 # PPPoE建议值
undo shutdown
quit

# 3) 物理口绑定PPPoE
interface GE1/0/1
port link-mode route
pppoe-client dial-bundle-number 1
undo shutdown
quit
3. RBM 双机热备（核心）
FW1（主）
bash
运行
remote-backup group
data-channel interface GigabitEthernet1/0/2
data-channel mode layer3
local-ip 10.0.0.1
remote-ip 10.0.0.2
device-role primary # 主
backup-mode active-standby # 主备
hot-backup enable # 会话热备
configuration auto-sync enable # 配置自动同步
track 1 interface Dialer1 # 监控PPPoE拨号口
delay-time 1
quit
FW2（备）
bash
运行
remote-backup group
data-channel interface GigabitEthernet1/0/2
data-channel mode layer3
local-ip 10.0.0.2
remote-ip 10.0.0.1
device-role secondary # 备
backup-mode active-standby
hot-backup enable
configuration auto-sync enable
track 1 interface Dialer1
delay-time 1
quit
4. 路由与切换（关键）
PPPoE 拨号会自动生成默认路由（优先级 60）
备设备手动加一条更低优先级默认路由（确保主正常时不抢占）
bash
运行
# FW2（备）额外配置
ip route-static 0.0.0.0 0 Dialer1 preference 70
5. 安全策略（放通基本流量）
bash
运行
security-policy ip
rule 0 name trust_to_untrust
source-zone trust
destination-zone untrust
action pass
rule 1 name local_to_untrust
source-zone local
destination-zone untrust
action pass
rule 2 name rbm_heart
source-zone local
destination-zone local
source-ip 10.0.0.0 0.0.0.255
destination-ip 10.0.0.0 0.0.0.255
action pass
quit
6. 保存
bash
运行
save force
三、切换与验证
1. 查看 RBM 状态
bash
运行
display remote-backup group
display remote-backup session
display track all
State: Active（主）、Standby（备）
Track 1: Positive（Dialer UP）
2. 主备切换模拟
主设备 shutdown Dialer1 或 down GE1/0/1
Track 变为 Negative → RBM 切换 → 备设备升主
备设备自动启用 PPPoE 路由，流量无缝切换
3. 回切
主设备 PPPoE 恢复后，默认延迟回切（避免抖动）
如需立即回切：
bash
运行
remote-backup group
standby preempt delay 0 # 取消回切延迟
quit
四、常见问题
两台同时上网、流量冲突
原因：备设备默认路由优先级太高
解决：备设备静态默认路由 preference 70（高于自动生成的 60）
PPPoE 拨号成功但 RBM 不同步
检查心跳线互通、安全域放通 Local→Local
ping 10.0.0.2 能通
切换后部分业务断连
确保 hot-backup enable 开启
关键业务（视频、ERP）用长连接，依赖会话同步
五、与固定 IP VRRP 对比
固定 IP：RBM + VRRP（内外网均虚 IP）
PPPoE：RBM + Track + 独立拨号 + 浮动路由（无 VRRP）