在联华世纪的企业网络结构中，一般都会加入防火墙以提升企业整体网络的安全性，而防火墙通常都是部署在流量的进出口，为防止设备的单点故障，联华世纪多采用双机热备的方式来部署防火墙，以提升网络的稳定性。联华世纪为各大中型企业提供设计、选型、布署、配置、维护、7*24售后等服务，以下是联华世纪为深圳某客户提供的华为防火墙双机热备示例：

双机热备拓扑图，pc1模拟内网主机，pc2模拟外网主机。

实验目的，当FW1出现故障时，流量可以经过FW2访问外网资源，从而防止单点故障。

1.首先分别将防火墙接口加入各自区域

2.给接口配置ip

3.检查各接口是否正常，若想ping通防火墙上的接口需要在接口下配置

Linkchina_A-GigabitEthernet1/0/1]service-manage  ping permit

4.两台防火墙使用hrp心跳线连接，并加入区域并配置ip

5.双击热备配置

Linkchina_A：

Linkchina_B:

6.配置安全策略

由于开启了双机热备，所以在主防火墙上配置了安全策略，会通过hrp同步至备防火墙

7.配置路由

Linkchina_A:

Linkchina_B

R1:

8.测试查看结果，从pc1上tracert，观察节点，并长ping PC2。再分别查看两台的防火墙的vrrp状态和会话表。

可以发现流量是走的主防火墙，Linkchina_A的状态为Master,Linkchinb_B的状态为Backup，查看会话表，可看到表项已经同步过来了。

9.模拟故障，查看切换后的状态，并观察长pingPC2的丢包数量。

我们可以手动shutdown掉R1上连接主防火墙的接口，来模拟故障。

可以看到只丢了一个包。

Linkchina_B已经切换至Master，流量已经往Linkchina_B上走了。

实验结果正常。

在打开R1上的接口，模拟故障恢复，等待60s。

实验成功，现象都能观察到。