AR6120（主备）+ USG6630（主备桥接）+ S6730（堆叠）

您描述的 AR6120（主备） + USG6630（主备桥接） + S6730（堆叠） 是一种高可靠性企业网络架构，适用于关键业务场景。以下是详细解析和配置方案：

---

1. 网络拓扑架构

graph TB Internet --> AR6120_Master Internet --> AR6120_Backup AR6120_Master --> USG6630_Master AR6120_Backup --> USG6630_Backup USG6630_Master --> S6730_Stack USG6630_Backup --> S6730_Stack S6730_Stack --> Internal_Network

核心设备角色

设备	功能
AR6120（主备）	出口路由器，运行 VRRP/HSB 实现主备切换
USG6630（主备桥接）	透明模式防火墙双机热备（HA），提供安全防护
S6730（堆叠）	核心交换机堆叠（iStack），提高带宽和可靠性

---

2. 关键配置详解

(1) AR6120 主备配置（VRRP+HSB）

# 主设备配置
interface GigabitEthernet0/0/1  # 外网口
 ip address 203.0.113.1 255.255.255.0
 nat outbound
#
interface GigabitEthernet0/0/2  # 内网口（连接USG6630）
 ip address 172.16.0.4 255.255.255.0
 vrrp vrid 1 virtual-ip 172.16.0.9
 vrrp vrid 1 priority 120
 vrrp vrid 1 preempt-mode timer delay 10
 
interface GigabitEthernet0/0/3  # 专用心跳口
 ip address 10.10.0.1 255.255.255.252 
#
hsb group 1
 hsb peer 10.10.0.2  # 备份设备IP
 hsb virtual-ip 172.16.0.9
 hsb track interface GigabitEthernet0/0/1

# 备份设备配置（对称配置，仅优先级不同）
interface GigabitEthernet0/0/1  # 外网口
 ip address 203.0.113.1 255.255.255.0
 nat outbound
#
interface GigabitEthernet0/0/2  # 内网口（连接USG6630）
 ip address 172.16.0.5 255.255.255.0
 vrrp vrid 1 virtual-ip 172.16.0.9
 vrrp vrid 1 priority 100
 vrrp vrid 1 preempt-mode timer delay 10
 
interface GigabitEthernet0/0/3  # 专用心跳口
 ip address 10.10.0.2 255.255.255.252 
#
hsb group 1
 hsb peer 10.10.0.1  # 主设备IP
 hsb virtual-ip 172.16.0.9
 hsb track interface GigabitEthernet0/0/1

作用：

• 主设备故障时，备份设备在 秒级 接管业务。
• 通过 hsb track 监控外网口状态，触发快速切换。

---

(2) USG6630 主备桥接模式（HA透明部署）

# 主设备配置
sysmode transparent  # 切换为透明模式
bridge enable
interface Bridge-if1
 ip address 172.16.0.3 255.255.255.0  # 管理IP
#
interface GigabitEthernet1/0/1  # 上行（接AR6120）
 bridge Bridge-if1
#
interface GigabitEthernet1/0/2  # 下行（接S6730）
 bridge Bridge-if1

# 配置心跳接口（假设使用GE1/0/3）
interface GigabitEthernet1/0/3
 ip address 10.10.1.1 255.255.255.252  # 心跳链路IP

# 配置HA心跳线（直连或通过交换机）
hrp interface GigabitEthernet1/0/3 remote 10.10.1.2
hrp enable


# 安全策略（允许所有流量通过，实际按需调整）
security-policy
 rule name permit-all
  source-zone any
  destination-zone any
  action permit
  

# 备份设备配置
sysmode transparent  # 切换为透明模式
bridge enable
interface Bridge-if1
 ip address 172.16.0.7 255.255.255.0  # 管理IP
#
interface GigabitEthernet1/0/1  # 上行（接AR6120）
 bridge Bridge-if1
#
interface GigabitEthernet1/0/2  # 下行（接S6730）
 bridge Bridge-if1

# 配置心跳接口（假设使用GE1/0/3）
interface GigabitEthernet1/0/3
 ip address 10.10.1.2 255.255.255.252  # 心跳链路IP

# 配置HA心跳线（直连或通过交换机）
hrp interface GigabitEthernet1/0/3 remote 10.10.1.1
hrp enable
hrp standby-device  # 备份设备上执行

# 安全策略（允许所有流量通过，实际按需调整）
security-policy
 rule name permit-all
  source-zone any
  destination-zone any
  action permit  

作用：

• 双机运行 HRP（Huawei Redundancy Protocol），状态实时同步。
• 透明模式不改变IP架构，仅做 IPS/AV/攻击防御。

---

(3) S6730 堆叠配置（iStack）

# 成员交换机1（Master）
stack
 stack member 1 priority 150  # 设置高优先级确保为Master
 interface stack-port 1/1
  port member-group interface 25ge1/0/27
  port member-group interface 25ge1/0/28
#
interface Eth-Trunk1  # 配置聚合链路（连接USG6630主备）
 port link-type trunk
 port trunk allow-pass vlan all
 mode lacp-static

# 成员交换机2（Slave）
stack member 2 priority 100

作用：

• 堆叠后逻辑为一台设备，简化管理。
• 通过 Eth-Trunk 连接USG6630主备，实现多路径负载均衡。

---

3. 高可用性设计要点

场景	冗余方案	切换时间
AR6120主备切换	VRRP+HSB	<3秒
USG6630主备切换	HRP协议	<1秒
S6730堆叠故障	堆叠链路冗余	毫秒级

---

4. 典型问题排查

(1) AR6120主备不同步

• 检查：display vrrp 查看状态是否 Master/Backup
• 解决：确认心跳线连通性，调整 preempt-mode。

(2) USG6630 HA状态异常

• 检查：display hrp state 查看同步状态
• 解决：确认HA心跳口配置，关闭不对称策略。

(3) S6730堆叠分裂

• 检查：display stack 查看成员状态
• 解决：检查堆叠线缆，确保 优先级的唯一性。

---

5. 进阶优化建议

1. AR6120：启用 BFD+VRRP 实现毫秒级切换。
2. USG6630：配置 双机负载分担（非对称路由需调优）。
3. S6730：启用 M-LAG 替代堆叠（跨设备链路聚合）。

---

总结

• AR6120主备：保障出口高可用，避免单点故障。
• USG6630透明HA：无感知安全防护，状态实时同步。
• S6730堆叠：提高核心层带宽和可靠性。

VLAN配置

# 进入系统视图
system-view

# 创建VLAN
vlan batch 10 20 21 30 40 50

# 创建Eth-Trunk（以Eth-Trunk1为例）
interface Eth-Trunk 1
 port link-type trunk       # 设为Trunk模式（常用场景）
 port trunk allow-pass vlan 10 20 21 # 允许VLAN 10和20 21通过
 
# 将物理接口（如GE0/0/1和GE0/0/2）加入聚合组
interface GigabitEthernet0/0/1-2
 eth-trunk 1


# 将接口加入VLAN（假设使用GE0/0/1和GE0/0/2）
interface GigabitEthernet0/0/1-2
 port link-type access    # 设置为access模式
 port default vlan 10     # 划入VLAN 10
#

 
 
# 为VLAN配置IP地址（实现VLAN间路由）
interface Vlanif 10
 ip address 172.16.0.1 24  # VLAN 10网关
#
interface Vlanif 20
 ip address 172.16.20.1 24  # VLAN 20网关

interface Vlanif 21
 ip address 172.16.21.1 24  # VLAN 20网关

interface Vlanif 30
 ip address 172.16.30.1 24  # VLAN 20网关

interface Vlanif 40
 ip address 172.16.40.1 24  # VLAN 20网关 
 
interface Vlanif 50
 ip address 172.16.50.1 24  # VLAN 20网关 
 
#查看vlan
display vlan              # 查看VLAN列表
display interface vlanif  # 检查VLANIF状态

display vlan 10              # 查看VLAN 10的成员端口
display eth-trunk 1          # 检查Eth-Trunk成员状态
display ip interface brief   # 查看VLANIF接口IP状态


# 假设出口网关IP为172.16.0.1
ip route-static 0.0.0.0 0 172.16.0.1