华为防火墙双机热备（VRRP+VGMP+HRP）

前言：在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受因单点故障而导致的网络中断的风险
防火墙一般用作内网到外网的出口，是业务关键路径上的设备，为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更新更高的可靠性，此时需要使用防火墙双机热备组网
双机热备组网的建立和运行需要解决以下几个关键问题：

• 设备的主备状态是如何决定的
• 如何监控并发现接口或者设备故障
• 发现故障后，如何保证设备的主备状态切换
• 正常情况和故障后，流量是如何引导的
• 如果进行信息同步，保证主备切换后业务不中断

以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP共同配合解决的

一、双机热备理论

1.概述

• 传统组网中，只有一台防火墙部署在出口，当防火墙出现故障后，内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断，通讯可靠性无法保证
• 双机热备份技术的出现改变了可靠性难以保证的尴尬状态，通过在网络出口位置部署两台或多台网关设备，保证了内部网络于外部网络之间的通讯畅通

1）VRRP

• 首先，VRRP就不多说了，在之前的博客中有解释过，这是一个共有的网关冗余技术，可以在两台设备之间形成虚拟IP地址，建立主备的冗余关系，但是传统的VRRP在安全领域有一个不可忽略的问题，就是当防火墙上下行业务端口上都配置了VRRP备份组的时候，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况
• 于是华为防火墙引入了VGMP来实现对VRRP备份组的统一管理ÿ