防火墙双机热备

防火墙双机热备

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断

心跳线

双机热备组网中，心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”

• 心跳报文（Hello报文）：两台FW通过定期（默认周期为1秒）互相发送心跳报文检测对端设备是否存活
• VGMP报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状态是否稳定，是否要进行故障切换
• 配置和表项备份报文：用于两台FW同步配置命令和状态信息
• 心跳链路探测报文：用于检测对端设备的心跳口能否正常接收本端设备的报文，确定是否有心跳接口可以使用
• 配置一致性检查报文：用于检测两台FW的关键配置是否一致，如安全策略、NAT等

上述报文均不受FW的安全策略控制，不需要针对这些报文配置安全策略

心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接

规划专门的接口作为心跳接口，该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文，不将业务报文引导到该接口上转发。可将多个以太网接口绑定成Eth-Trunk接口，使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性，又可以增加备份通道的带宽

配置了vrrp virtual-mac enable命令的接口不能用作心跳接口

支持主备备份和负载分担模式两种运行模式

基于VRRP的双机热备

FW的VRRP备份组状态则不是由VRRP优先级大小决定,FW启用双机热备功能后，VRRP优先级固定为120

vrrp vrid virtual-router-id virtual-ip virtual-address { active | standby }

当VGMP组状态为active时，VRRP备份组的状态都是Master
当VGMP组状态为standby时，VRRP备份组的状态都是Backup
当VGMP组状态为load-balance时，VRRP备份组状态由VRRP备份组的配置决定


#主备
hrp enable                                #启用双机热备
hrp interface eth-trunk0 remote x.x.x.x  #配置心跳口

interface GigabitEthernet x/x/x
 ip addresss x.x.x.x
 vrrp vrid 1 virtual-ip x.x.x.x active   #配置VRRP备份组 主
 
    
#负载分担
 interface GigabitEthernet x/x/x
 ip addresss x.x.x.x
 vrrp vrid 1 virtual-ip x.x.x.x active   
 vrrp vrid 2 virtual-ip x.x.x.x standby

基于动态路由的双机热备

启用双机热备功能，FW能根据VGMP组状态动态调整OSPF、OSPFv3发布路由的开销值、动态调整BGP发布路由的MED值

• VGMP组状态为active时，FW按照OSPF/OSPFv3/BGP路由的配置正常发布路由
• VGMP组状态为standby时，FW会调整OSPF、OSPFv3发布路由的开销值和BGP发布路由的MED值
• VGMP组状态为load-balance时，FW默认按照OSPF/OSPFv3/BGP路由的配置正常发布路由。在FW上配置了hrp standby-device命令指定FW为备机或者将FW的所有VRRP备份组状态参数都配置为standby时，FW会调整OSPF、OSPFv3发布路由的开销值和BGP发布路由的MED值

hrp enable                               /*启用双机热备功能*/
hrp interface eth-trunk0 remote x.x.x.x /*配置心跳口*/
hrp adjust ospf-cost enable 65000        /*配置VGMP组调整OSPF开销值*/


ospf 100 router-id x.x.x.x
 default-route-advertise always          
 area 0.0.0.0
  network x.x.x.x

interface GigabitEthernet 1/0/1
 ospf cost 1                            

透明模式双机热备

启用双机热备功能，FW能根据VGMP组状态启用或禁用VLAN

• FW默认不会根据VGMP组状态调整任何VLAN的状态。使用hrp track vlan vlan-id命令配置VGMP组监控VLAN状态后，FW才会根据VGMP组的状态调整VLAN的状态
• VGMP组状态为active时，FW将VGMP组监控的VLAN状态调整为启用状态，该VLAN可以转发报文
• VGMP组状态为standby时，FW将VGMP组监控的VLAN状态调整为禁用状态，该VLAN不能转发报文
• VGMP组状态为load-balance时，FW默认将VGMP组监控的VLAN状态调整为启用状态。用户在FW上配置了hrp standby-device命令指定FW为备机或者将FW的所有VRRP备份组状态参数都配置为standby时，FW会将VGMP组监控的VLAN状态调整为禁用状态

#
hrp enable                               /*启用双机热备功能*/
hrp interface eth-trunk0 remote x.x.x.x  /*配置心跳口*/
hrp track vlan 10                        /*配置VGMP监控VLAN状态*/

#
interface GigabitEthernet x/x/x
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10           
 undo port trunk allow-pass vlan 1
#
interface GigabitEthernet x/x/x
 portswitch
 port link-type trunk
 port trunk allow-pass vlan 10          
 undo port trunk allow-pass vlan 1

其它命令
 hrp sync config              #执行hrp sync config命令的设备向对端设备备份
 hrp configuration check      #触发一致性检查
 display hrp state verbose    #查看双机热备状态
 display hrp interface        
 hrp switch                   #强制主备倒换