5、防火墙双机热备

双机热备HA

1、VGMP（VRP组管理协议），解决防火墙上部署的VRRP状态不一致问题，因为VRRP不同的备份组之间无任何关系，某一个备份组的主、备倒换，不会影响其他备份组。

引入VGMP组管理VRRP状态，保证所管理的VRRP备份组状态一致性，VGMP有哪些组？

1.VGMP Active组，该组所管理的所有VRRP备份组都是Master状态；

2.VGMP Standby组，该组所管理的所有VRRP备份组都是Backup状态。

注意：VGMP每个组都有自己状态，包含四种状态，而且每个VGMP组都有自己的优先级，状态的决策就看VGMP组优先级。

1.init 初始化，未启动双机热备

2.load-balance 负载分担，如果两台墙VGMP组优先级一致，则处于load-balance状态

3.active 本端VGMP组优先级比对端墙墙组优先级大，则处于active状态

4.standby 本端VGMP组优先级比对端墙墙组优先级小，则处于standby状态

2、HRP（私有，华为备份协议），保证两台墙配置例如安全、nat策略配置等一致；保证基于流量生成的状态化表项一致，即以上信息可以通过该协议互相同步，引入HRP。

（1）自动备份同步 hrp auto-sync

1）可配置命令实时同步，在防火墙上每执行呵同步的命令，都会是实时自动同步给另一台墙

备墙是无法做配置，除非执行hrp standby config enable允许在备墙上执行一些配置操作

2）状态化表项自动同步，不是实时同步，主墙基于流量、一些配置生成的一些表项会周期向备墙同步，每周期10s一次

（2）手工批量备份同步

1）两台墙在组件双机之前，配置不一致，组件双机后，无法通过自动备份同步方式同步相关配置，引入手工批量备份在拥有配置的墙上执行hrp sync config ，把当前拥有的可同步配置同步给备墙。

（3）设备重启主备防火墙自动同步

1）双击场景，某台防火墙重启，业务由另一台墙承担，可能会发生配置更变，重启后为了保证双方配置一致性，主动向另一台墙执行配置同步。

（4）会话快速备份同步

1)一般用在双机负载分担场景，主、备有自动备份同步即可

2）相对于自动备份同步，防火墙生成的会话会立刻同步给其他墙，包括tcp半连接会话，该方式适合负载分担租房，解决流量来回路径不一致导致业务一场问题 hrp mirror session enable

hrp standby config enable //主、备场景下，对于可同步的配置在备墙无法配置，可以使用该命令允许其配置

双机热备部署场景：

主、备；负载分担，一般都是做主、备

1、防火墙三层部署，上下行连接交换机

防火墙三层部署，上下行连接路由器

防火墙三层部署，上行连接交换机、下行连接路由器

2、 防火墙二层部署，上下行连接交换机

防火墙二层部署，上下行连接路由器

3、以上场景都是把防火墙串联到网络之中，两台防火墙旁挂组网，也可以组建双机热备