防火墙的双机热备

防火墙的可靠性

一条线路的可靠性还是比较低的一旦防火墙出现故障，整个内网的设备都将无法上网。

所以我们可以做线路冗余。

因为防火墙上不仅需要同步配置信息，还需要同步状态信息（会话表等），所以，防火墙不能像路由器那样单纯的靠动态协议来实现切换，需要用到双机热备技术。

1，双机 --- 目前双机热备技术仅支持两台防火墙的互备

2，热备 --- 两台设备共同运行，在一台设备出现故障的情况下，另一台设备可以立即替代原设备。

（也存在冷备的概念，仅工作一台设备，备份一台设备，备份设备仅同步配置，并不工作，只有在主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时间的业务中断）

VRRP --- 虚拟路由器冗余技术

VGMP --- vrrp Group Management Protocol --- HUAWI的私有协议

因为VRRP彼此是独立的，所以，一个VRRP组进行切换不会直接导致其他组同步切换，在防火墙的双机热备场景下，上下有两个VRRP组，需要同步切换，使用传统的上行链路监控，比较复杂，所以，设计了VGMP协议，来对VRRP组进行统一的切换管理。

主备的形成场景

1.FW1被设定为主设备 --- FW1中的VGMP的active组被激活，并且将上下两个VRRP组拉

入到VGMP的active组中，并且状态都是ACTIVE。

2.FE2被设定为备设备 --- FW2中的VGMP的standby组被激活，并且将上下两个vrrp组拉入到VGMP的standby组中，并且状态都是standby

（VGMP组中存在优先级的概念，ACTIVE组的默认优先级是65001，standby组默认的优先

级为65000，并且，在VGMP中，所有的主都被成为active，所有的备成为standby）

3.主设备上下两个VRRP组的接口将发送免费ARP报文

主设备接口故障的切换场景

1.假设主设备下的接口发生故障，接口的状态会从active状态切换到initialize状态（接口故障的一个过渡状态）

2.主设备的VGMP组感知到接口状态变化，会降低自身的优先级（每一个接口发生故障，则优先级会降低2。）

3.主设备会通过HRP（心跳线）向备用设备发送一个状态变更的请求报文，这个报文中会包含降低后的优先级；

4.备用设备收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己standby组的状态从standby切换为active状态

5.备用设备的VGMP组状态发生变化，则组中的VRRP组的状态同步发生变化，都从standby切换到active

6.备用设备回复主设备应答报文，表示允许切换

7.主设备收到应答报文后，将自身ACTIVE组的状态从ACTIVE切换到standby状态，并且，其中的VRRP组同步将状态切换到standby，不包含故障接口的状态，依旧是initialize状态

8.备用设备上下两个VRRP组将发送免费ARP报文，让交换机切换MAC地址表，之后所有的流量将从备用设备通过。

HRP --- 华为冗余协议 --- 华为的私有协议 --- 可以同步防火墙上的状态和配置信息

配置信息 --- （接口IP地址，路由信息）--- hrp不能同步基本的接口和路由信息。

状态信息 --- 会话表，server-map，黑名单和白名单等

HRP在进行双机热备时，还有一个要求，两台热备设备之间，必须拥有一条链路，用来同步信息，并且，这条链路必须是三层链路 --- 这条链路在进行数据传递时，不受安全策略的影

响。（注意，如果心跳线是直连的，则不受安全策略的影响，但是，如果中间有中继设备，即非直连场景，则需要配置安全策略） --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线传输的。

HRP会周期性的发送心跳报文，只有主设备会发送，周期时间默认为1S，如果备设备在三个周期时间内默认3S没有收到对方的心跳报文，则认定对方出现故障将以自生为主。

HRP三种备份方式

1，自动备份 ：自动备份配置和状态信息，但是，配置信息可以立即自动备份，状态信息无

法立即备份，只能通过短暂的延迟之后，在进行备份（10S左右）

2，手工备份 ： 由网络管理员手工触发，可以立即同步配置和状态信息

3，快速备份 ： 该备份方式仅针对负载分担的场景。无法同步配置信息，仅能同步状态信息，并且可以立即同步状态信息。

各场景过程分析

1.主备形成场景

2.主备故障切换场景 --- 接口故障

3，主备故障切换场景 --- 整机故障

整机故障可以通过保活机制来进行切换，主设备发生故障，则不会发送HRP心跳报文，备用设备在超时时间内没有接收到主设备的保活包，则将会进行状态切换；

4.原主设备故障恢复的场景

根据有没有开启抢占分为两种不同的情况

（1）如果没有开启抢占 --- 原主设备继续以备设备的身份工作

（2）如果开启了抢占

5.负载分担场景

6.负载分担接口故障场景

如果勾选了主动抢占，则代表开启抢占模式，默认开启60S抢占延迟（抢占延时主要是为了应对一些接口可能出现反复震荡的情况）

hello报文周期就是保活报文的发送周期，默认是1S，可以修改，但是，需要两边同时修改，否则可能导致对接不上hello报文周期就是保活报文的发送周期，默认是1S，可以修改，但是，需要两边同时修改，否则可能导致对接不上。

注意：

1.虚拟mac地址勾选可以让切换对用户全程无感知

2.如果虚拟IP地址和接口IP地址不再同一个网段，则配置时必须配置子网掩码

HRP手工备份的位置

其他部署模式下的双机热备

1.双机热备直路部署 - 上下二层

2.双机热备直路部署 - 上下三层

防火墙透明部署 --- 上下二层

这种情况下建议使用主备模式不要使用负载分担模式（绿色是正常情况下的流量走向，红色为故障是的流量走向）

防火墙透明部署 --- 上下三层.

这种模式建议采用负载分担，并建议使用主备模式