ensp 双机热备 配置_华为防火墙实现双机热备配置详解

一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

博文大纲：

一、双机热备工作原理

二、VRRP协议

(1)VRRP协议概述

(2)VRRP的角色

(3)VRRP的状态机

(4)VRRP的工作原理

三、VGMP协议

(1)VGMP的工作原理

(2)VGMP的报文封装

(3)双机热备的备份方式

(4)连接路由器时的双机热备

四、实现防火墙双机热备的配置

一、双机热备工作原理

随着互联网的发展，现在人们生活中的大多数问题都可以通过网络解决，但与此同时，网络安全问题也逐渐暴露出来。在企业中部署一台防火墙已然成为常态。如何能够保证网络不间断地传输成为网络发展中急需解决的问题！

企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。在这一刻，都无法挽回企业面临的损失。所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost(运行OSPF协议)比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。这就意味着之前所有的通信流量都将中断，除非重新建立连接。

如图，华为防火墙的双机热备功能是通过提供一条备份链路(心跳线)、协商防火墙之间的主备状态及备份会话表、Server-map表等操作。根据防火墙的配置分别选举出主用设备及备用设备，当主用设备正常工作时，备用设备不提供数据包的转发，但是备用设备会实时从主用设备下载当前的会话表及Server-map表。从而保证，当主用设备故障时，即使切换到备用设备，备用设备依然存在当前流量的会话表及Server-map表，从而保证业务流量不中断。

在双机热备环境中，要求如下：

(1)两台防火墙用于心跳线的接口加入相同的安全区域；

(2)两台防火墙用于心跳线的接口的设备编号必须一致，比如都是G1/0/0；

(3)建议用于双机热备的两条防火墙采用相同的型号、相同的VRP版本；

华为防火墙的双机热备包含以下两种模式：

热备模式：同一时间只用一台防火墙转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表；

负载均衡模式：同一时间，多台防火墙同时转发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙即是主用设备也是备用设备，防火墙之间同步会话表及Server-map表；

关于华为防护墙的热备模式和负载均衡模式如图：

二、VRRP协议

在双机热备技术中，即使选举出了主用设备和备用设备，默认情况下流量也通过主用设备转发，而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口，当客户机将网关指向主用设备时，流量自然从主用设备转发，但是当主用设备故障时，客户机并不会将网关自动指向备用设备，所以即使双机热备本身可以切换、客户机依然无法正常通信。所以要保证双机热备可以正常工作，还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题，甚至还能让设备切换对客户机而言是透明的。在华为防火墙的双机热备技术中，VRRP是非常重要的一个组成部分。

(1)VRRP协议概述

VRRP(虚拟路由冗余协议)由IETF进行维护。用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余，也可以用在防火墙中做双击热备。