VGMP协议详解

今天给大家介绍HCIE安全相关内容。本文主要介绍VGMP协议的场景、应用、状态等内容。
阅读本文，您需要有一定的防火墙基础知识，如果您对此存在困惑，欢迎查阅我博客的其他文章，相信您一定会有所收获。

一、VGMP概述

VGMP（VRRP Group Management Protocol），VRRP组管理协议，是实现对多个VRRP组进行统一管理的协议。该协议由H3C公司开发，是一种私有协议，广泛应用于华为防火墙等网络设备上，是配置防火墙上双机热备技术的一大基础协议。
VGMP协议是在VRRP协议的基础上开发而来的，其最主要的作用便是集中管理VRRP备份组，控制VRRP状态的统一切换。
VGMP协议主要解决下列场景下的VRRP状态不一致带来的问题：

在上述拓扑中，假设防火墙FW1和FW2与前端和后端设备都配置了VRRP协议，来防止链路单点故障。假设FW1是主设备，FW2是备设备。当FW1的G1/0/0接口宕掉后，后端的VRRP状态便切换成FW2是主设备，是因此网内所有的流量都走向FW2，但是在前端，路由器仍然认为FW1是主设备，所有的流量还继续发放FW1，这时就会产生网络不通的状况。
产生问题的原因就是由于上行和下行的VRRP组状态不一致引起的，为了防止这种问题，就必须使得上行和下行的VRRP备份组状态一致，VGMP协议就是为解决这个问题而产生的。（注：实际上，通过合理的配置VRRP也可以解决上述问题，VGMP只不过是从另一个角度来系统的实现这个问题的解决方案）

二、VGMP状态机

从上可以看出，VGMP管理组的主备状态，决定了双机热备组网中防火墙设备的主备状态和所有VRRP备份组的主备状态。与VRRP协议类似，VGMP也有状态机机制，VGMP状态机如下图所示：

在VGMP协议中，一共定义了四种状态机，其含义如下：
Initialise： 启用双机热备功能后，VGMP管理组的初始状态。
Load Blance： 当防火墙本端的VGMP管理组与对端的VGMP管理组优先级相等时，两端的VGMP组都处于Load Blance状态。报文转发负载均衡。
Active： 当本端的VGMP管理组高于对端时，本端的VGMP组处于Active状态，负责报文的转发。
Standby： 当本端的VGMP管理组低于对端时，本端的VGMP组处于Standby状态，负责监听Active端的状态。

三、VGMP状态切换

两台防火墙之间配置双机热备后，可能引起VGMP状态切换的一共有以下三种情况：
1、因接口或链路故障引起的切换。 在这种场景下，VGMP主设备因为一些原因降低了自身的优先级，因此引起自身优先级低于备用设备优先级，此时备用设备会立即发生切换。
2、因整机或心跳链路故障引起的切换。 在这种场景下，VGMP主设备因为一些原因宕机，但是备设备并没有收到主设备的心跳报文，等到三个心跳报文周期（默认为3s）后，备设备自动切换成主设备，同时引导下游流量转发。
3、因主设备恢复引起的抢占。 在这种场景下，VGMP主设备因为故障降低了自身的优先级，当故障恢复后，主设备的优先级恢复，在默认情况下会发生抢占，主设备恢复成为主设备，并引导下游流量转发。
VGMP状态切换三大原则：
①每个接口down，VGMP管理组优先级降低2。计算公式为：VGMP优先级=VGMP初始优先级-2*接口宕的个数
②每台设备的VGMP管理组初始状态由用户指定（Active或Standby），且用户只能指定状态，不能指定VGMP组的具体的优先级。关于VGMP优先级，不同的设备有不同的设定。
③VGMP管理组的状态决定了该设备的主备状态，也决定了VGMP管理组成员（VRRP备份组成员或接口）的状态。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119222611