华为双机热备目前的总结

双机热备一个小小的词牵扯出一大块的内容和协议，总的来说还是比较杂和乱的，所以在这里先总结目前学习到的内容。

概述

双机热备总共涉及的协议有VRRP，VGMP，HRP，VRRP主要的应用场景是防火墙处于三层模式下所做的一个双机热备。传统的vrrp的缺点就是vrrp组之间都是独立的，没有办法将这些vrrp组进行集中的管理和控制，这就使得了vrrp组错误的流量引导的发生。所以就出现了VGMP，VGMP的主要思想就是将一台设备上的vrrp组全部都视为同一个VGMP组，通过控制VGMP组来对独立的vrrp组进行统一的控制。因为三种协议的组合，使得其热备的数量仅局限在两台防火墙。VGMP协议的主要作用就是对防火墙与防火墙之间的优先级进行管理，通过对故障进行监控来动态调整优先级，使得高优先级设备可以通过vrrp的master接口进行数据的转发，并通过优先级来进行active设备和standby设备的选举，当然如果两台防火墙设备的优先级是相同的，那么VGMP将认为两台设备都是active设备，都是需要进行数据通信的设备。某台防火墙上是否为vrrp的master取决于该防火墙的VGMP组状态是否为active，换句话来说，一台防火墙如果是active，那么它一定含有状态为master的vrrp，如果A防火墙和B防火墙建立了双机热备的关系，即便此时防火墙A和防火墙B没有做优先级的修改，若此时A防火墙上的vrrp被人工的都设置为standby，那么防火墙A的VGMP状态就直接变为standby，防火墙B的VGMP状态就直接变为active。我们如果输入hrp track interface xxx那么就代表我们需要监控这个接口，当这个接口down掉了，那么VGMP的优先级就会减少2，如果该接口上面有vrrp的配置，那么优先级还会再减少2，即便我们没有监控配置了vrrp的接口，当vrrp的关系down掉了，那么其优先级也会减少2，我们如果监控聚合口，而且聚合口down掉了，那么优先级就会减少2*聚合口的数量，同时VGMP还可以和其他的链路检测工具进行联动，比如IP-LINK，BFD，OSPF的邻居表，每down一个相关的对象优先级就减少2。所以VGMP的作用就是进行故障的检测来动态调整VGMP的优先级，从而来决定哪个设备应该是vrrp的master，哪个设备去进行vrrp的相关流量的转发。当防火墙上面的相关接口如果down掉了，那么优先级减少2，VGMP通过比对发现对端的优先级高，就会发送VGMP状态请求变化的报文，希望对端可以将状态进行改变，于是对端如果是standby就会转变为active，如果是active就不变，当接收到对端发送来的应答后，本端就会进行状态的切换，将自己切换为standby，于是自己上面的所有vrrp组全部都变为standby的状态。或者说是slave的状态。总的来说VGMP的主要作用就是为了防止vrrp的间接错误的生成，虽然传统的vrrp的联动跟踪也可以但是，没有VGMP快。

然后就是hrp，虽然VGMP可以解决vrrp的间接错误，实现vrrp组的统一管理，但是由于防火墙是一种状态检测的设备，所以双机热备经常出现的一个问题就是会话不同步的问题，对于防火墙来说，每个到达防火墙的报文会进行状态的检测，看下是否有对应的会话，如果没有就要进行状态检测，因为有些报文如果syn+ack，ICMP的回显，这些都是不正常的数据流量，因为没有一条数据流的首包会是以这些报文开头，所以防火墙会对其进行拦截，于是就会出现因为来回路径不一致而导致的丢包的现象。于是HRP就出来解决这个问题，我们在防火墙于防火墙间单独拉一条hrp数据通路的原因不仅仅是因为要进行VGMP报文的传送并借助VGMP来协商相关设备的角色，而且因为我们要通过心跳线来传输相关的配置信息，状态信息，为什么要传输配置信息？因为为了防止主备切换的时候，备设备设备上面没有主设备的配置从而导致业务的中断，所以我们就需要进行配置的同步，而且我们在连接防火墙的时候，接口也应该是对应的。这里我们需要注意，防火墙同步过来的配置并不是进行配置的覆盖，也是配置的重新输入，也就是说备设备上面的还是会保存，但是当主设备的配置过来的时候，备设备会将同步配置再输入一遍，保证备设备上面有主设备的相关配置。一般来说，同步的配置都是一些与数据，流量，业务相关的配置。VGMP的active和hrp的主设备是两个独立的称呼，VGMP的active表示了这个设备上面的vrrp组肯定有至少一个的master状态，而hrp的主设备表达的是在主设备上进行配置将会将配置同步到备设备上。

那么备份的内容和方式有哪些呢？备份的内容主要是配置，状态信息，而且为了保证对端一直是存活的，hrp必须不断地进行心跳报文的传送来确定对端是存活的。而且有的时候防火墙还会主动发送一致性检查的报文，双方由此来确定哪些配置是不同的。配置的方式有三种针对的备份内容也不同，第一种是自动备份，这个是默认开启的，当我们在防火墙上配置了可以备份的配置那么将立刻在另一台防火墙上输入，但是状态信息则是在一段周期后进行同步，这种自动备份会在设备重启的时候进行一次，热备关系建立的时候备份一次，周期到的时候备份一次。第二种是手工备份，可以备份配置也可以备份状态信息，主要命令就是hrp sync config/connection-status，因为一个周期后才备份的自动备份有的时候需要我们进行等待，所以我们可以直接手动进行强制备份。第三种是快速备份，它的主要主要备份内容是状态化信息。在负载的情况下，状态会话的快速备份是十分的需要的，因为很有可能下一个数据包就是一个来回路径不一致的数据包。

上面将的是vrrp和VGMP以及hrp的联动，这种情况下，假设我们的防火墙此时上下联的都是路由器，那么如何实现主备和负载？现网中比较常用的IGP就是OSPF，所以我们通告加大自己type-1LSA的cost值，由此来使得形成主备的流量流向，主备就加大standby的cost值，负载就不加大，由此来实现负载和主备。所以三层设备无论是上下联交换机还是上下联路由器，它们的都是可以负载和主备的。那么此时假设我们的上联是路由器，下联是交换机，那么此时的是否还是主备和负载都可以呢？我们来探讨一下，因为上联是路由器，所以我们如果要实现防火墙与路由器之间的主备，那么还是一样，将某台防火墙设置为standby即可，standby设备加大ospf的cost值，同时将本端的vrrp组全部都设置为standby状态，那么因为没人生成任何从standby防火墙经过的ospf路由，那么standby防火墙上的vrrp组也就根本没有必要变为master状态。所以主备还是负载都是可以的。

防火墙二层该如何实现负载和主备，当防火墙工作在二层，它会监控相应的vlan，当某个设备因为优先级的缘故变为standby设备，那么它上面监控的vlan都会被禁止，于是绑定或者放行了相应vlan的接口也就不会放行相应的vlan流量，从而达到主备切换和负载的功能。

那么假设防火墙此时是工作在二层，且它的上下联都是路由器，路由器与路由器之间通过OSPF进行邻居的建立，那么假设此时我们设置防火墙为主备模式，那么无疑在防火墙放行相应的vlan流量的时候，会引起OSPF关系的重新建立，这就使得业务中断，那为什么防火墙在三层就可以主备？因为防火墙在三层的时候是和路由器建立邻居关系的，它修改的只是OSPF的cost值，所以收敛较这种方式来说快。所以二层防火墙上下联是路由器的情况下是不适合主备的方式

那么如果二层防火墙上下联是交换机的话，那么是否主备和负载都可以？

防火墙上默认是没有STP的相关协议的，所以如果将防火墙设置为负载的话，将会引起环路。所以这种情况下我们不设置为负载模式。而且即便防火墙有STP的相关协议功能，STP的功能是切断相关环路，这样也会切断防火墙与交换机组成的负载链路，从而导致最后其实本质还是主备模式。

中心链路故障引起的问题。

1、三层防火墙上下联交换机

在这种情况下将会出现双主，下联交换机mac表漂移，IP地址冲突，数据不连续通信

其实原因也很简单，当心跳线断了之后，两个防火墙都会认为是主防火墙，于是就会不断地进行vrrp的报文宣告，于是下联或者上联的交换机就会开始mac表的漂移，而且因为vrrp的免费arp的宣告使得出现虚拟IP地址冲突的情况。两台防火墙之间失去了心跳线了之后状态话信息配置信息将无法同步，所以会出现数据不连续通信，严重时（如配置大修改）将导致业务的持久中断。

2、三层防火墙上下联路由器

在这种情况下，其实并不会引起什么大问题。这种情况下将出现负载的模式

3、二层防火墙上下联交换机

这种情况下将出现二层环路，因为两台防火墙都认为自己是主，所以最终将形成二层环路影响相关业务。

4、二层防火墙上下联路由器

这种情况不会引起什么大问题