华为防火墙双机热备-HRP

双机热备的备份问题

1、配置备份问题

如下图所示，主用设备 FW1 上配置了允许内网用户访问外网的安全策略。如果主用设备 FW1配置的安全策略没有备份到备用设备 FW2 上，那么当主备状态切换后，因为防火墙缺省情况下禁止所有报文通过新的主用设备，FW2不会允许内网用户访问外网，从会而导致业务中断。

2、会话备份问题

防火墙属于状态检测防火墙，对于每一个动态生成的连接，都需有一个会话表项与之对应。如下图所示，主用设备 FW1 上创建了 PC1 访问 PC2 的会话， PC1 与 PC2 之间的后续报文会按照此会话转发。如果主用设备 FW1 上的会话不能备份到备用设备 FW2 上，那么当主备状态切换后， PC1 访问 PC2 的后续报文在FW2 上匹配不到会话。这样就会导致 PC1 访问 PC2 的业务中断 。

HRP的作用

为了实现主用设备出现故障时备用设备能平滑地接替工作，必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了 HRP（ Huawei Redundancy Protocol）协议，实现防火墙双机之间动态状态数据和关键配置命令的备份。

如下图所示，主用设备 FW1 上配置了允许内网用户访问外网的安全策略，所以 FW1 会允许内网 PC1 访问外网 PC2 的报文通过，并且会建立会话。

由于在 FW1 和 FW2 上都使用了 HRP议（配置了双机热备中的 HRP 功能），因此主用设备 FW1 上配置的安全策略和创建的会话都会备份到备用设备 FW2 上。这样当主备状态切换后，由于备用设备上已经存在允许内网用户访问外网的安全策略以及 PC1 访问 PC2 的会话，所以 PC1 访问 PC2 业务报文不会被禁止或中断。

HRP备份实现原理

防火墙通过心跳口（HRP 备份通道）发送和接收 HRP 数据报文来实现配置和状态信息的备份。如下图所示， HRP 数据报文从外到内依次封装了 VRRP 报文头、 VGMP 报文头和 HRP报文头。其中 VRRP 报文头中 Type=2， Type2=2。VGMP 报文头中的“vType”字段对应为“HRP 数据报文”的取值。

HRP 报文头中的关键参数：

• Source Module ID和Source Sub Module ID表示本端防火墙哪些特性模块和子模块的数据需要备份。

• Dest Module ID和和Dest Sub Module ID表示需要向对端防火墙的哪些特性模块和子模块备份数据。

HRP数据备份的过程如下图所示