双机热备（华为防火墙）

简介

将两台软硬件配置均相同的FW通过一条独立的链路连接（通常被称之为“心跳线”）。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使得业务不会中断。
双机热备对软硬件的要求比较严格，简单点说就是要 完全一样
而对于license，两台FW之间不能共享License，需要各自持有，也就是需要买双份授权

双机热备模式

华为官方文档给出了有三种模式：
1.主备备份模式
2.负载分担模式
3.镜像模式

怎么去理解这三种模式：

如果你打开官方文档，找到防火墙的双机热备目录下，你就会看到除了我上述提到的，另外一些熟悉或陌生的词：VRRP，VGMP，透明模式
————————————————————————
VRRP（虚拟路由器冗余协议），当我们组建的网络，核心部分有多台设备时，一般就会用vrrp来为业务流量提供备份，原理就是多台网关设备（可以是三层交换机、路由器，当然也可以是防火墙）共同持有一个虚拟的网关IP，设备角色为一主多备，在对arp请求的处理上回复主设备的mac地址，主down掉时由备接替成为主，以此实现网关的冗余
————————————————————————
VGMP（VRRP Group Management Protocol）是华为的私有协议。在该协议中定义了VGMP组，通过VGMP组来实现设备的主备状态管理。这个VGMP组是自动生成的，从配置的角度来讲，我们不需要过于细致的去了解这个协议，但还是需要知道常用的查看命令，比如（ display hrp state 可以看到本端和对端的优先级，以及本端VGMP组的状态信息）
————————————————————————
透明模式，指防火墙工作在二层，所以这一模式比较特殊，因为我们既可以实现在二层进行主备备份，也可以在二层做负载分担
————————————————————————

三种模式的特点

1.主备模式下，只有一台设备进行业务处理；而负载模式和镜像模式下，两台设备可以同时处理业务流量
2.在镜像模式下，设备会同步所有内容，包括接口配置，也就是说，如果你的主设备g0/0/1（三层接口）配置了1.1.1.1的ip，备设备同步后，接口g0/0/1也会有相同的配置（即1.1.1.1的ip），所以镜像模式相比主备模式、负载模式，配置会简单一些，不需要结合VRRP，但镜像模式也对组网有更严格的要求

组建防火墙双机热备的注意事项

1.两台防火墙都不在现网环境中，配置为空，这种情况下就比较简单了，不用在意太多，直接配置即可
2.其中一台防火墙已经应用于现网，这种情况下就要对现网防火墙的数据进行备份，通常我们会将现网防火墙设置为主，新添加的防火墙作为备去同步主，但是万万不可大意，现网环境并不完全可控，可能一个链路状态的波动就会导致主备状态倒换，导致新加FW的空数据同步到现网FW，所以一定要提前对现网FW进行配置文件、数据库的备份。

双机热备配置

华为官方产品文档，自己去看　
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&lang=zh&idPath=24030814%7C9856724%7C21430823%7C251711411%7C251710381

*　　　　　　　 ┏┓ +++++++┏┓+ +
*　　　　　　　┏┛┻━━━━━━━┛┻┓ + +
*　　　　　　　┃　　　　　　 ┃
*　　　　　　　┃　　　━　　　┃ ++ + + +
*　　　　　　 █████━█████ ┃+
*　　　　　　　┃　　　　　　 ┃ +
*　　　　　　　┃　　　┻　　　┃+
*　　　　　　　┃　　　　　　 ┃ + +
*　　　　　　　┗━━┓　　　 ┏━┛
*　　　　　　　　　┃　　 ┃ + + + +
*　　　　　　　　　┃　　　┃　+
*　　　　　　　　　┃　　　┃ + 　　　
*　　　　　　　　　┃　　　┃ +
*　　　　　　　　　┃　　　┃　　+
*　　　　　　　　　┃　 　 ┗━━━┓ + +
*　　　　　　　　　┃ 　　　　　┣┓
*　　　　　　　　　┃ 　　　　　┏┛
*　　　　　　　　　┗┓┓┏━━━┳┓┏┛ + + + +
*　　　　　　　　　 ┃┫┫　 ┃┫┫
*　　　　　　　　　 ┗┻┛　 ┗┻┛+ + + +