防火墙双击热备技术（理论）

1. 双机热备技术产生的原因

•  双机热备份技术的出现改变了可靠性难以保证的尴尬状态，通过在网络出口位置部署两台防火墙，保证了内部网络于外部网络之间的通讯畅通
• USG防火墙作为安全设备，一般会部署在需要保护的网络和不受保护的网络之间，即位于业务接口点上。在这种业务点上，如果仅仅使用一台USG防火墙设备，无论其可靠性多高，系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断，可以采用两台防火墙形成双机备份

2. 路由器冗余部署方案

• 为了避免路由器传统组网所引起的单点故障的发生，通常情况可以采用多条链路的保护机制，依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题，因此推出了另一种保护机制VRRP（虚拟路由冗余协议）来进行。采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况下的链路保护
• VRRP（Virtual Router Redundancy Protocol）是一种基本的容错协议
• 备份组：同一个广播域的一组路由器组织成一个虚拟路由器，备份组中的所有路由器一起，共同提供一个虚拟IP地址，作为内部网络的网关地址
• 主（Master）路由器：在同一个备份组中的多个路由器中，只有一台处于活动状态，只有主路由器能转发以虚拟IP地址作为下一跳的报文
• 备份（Backup）路由器：在同一个备份组中的多个路由器中，除主路由器外，其他路由器均为备份路由器，处于备份状态

3. VRRP在多区域防火墙组网中的应用

•  当防火墙上多个区域需要提供双机备份功能时，需要在一台防火墙上配置多个VRRP备份组
• 由于USG防火墙是状态防火墙，它要求报文的来回路径通过同一台防火墙。为了满足这个限制条件，就要求在同一台防火墙上的所有VRRP备份组状态保持一致，即需要保证在主防火墙上所有VRRP备份组都是主状态，这样所有报文都将从此防火墙上通过，而另外一台防火墙则充当备份设备

4. VRRP在防火墙应用中存在的缺陷

假设USG A和USG B的VRRP状态一致，即USG A的所有接口均为主用状态，USG B的所有接口均为备用状态

• 此时，Trust区域的PC1访问Untrust区域的PC2，报文的转发路线为(1)-(2)-(3)-(4)。USG A转发访问报文时，动态生成会话表项。当PC2的返回报文经过(4)-(3)到达USG A时，由于能够命中会话表项，才能再经过(2)-(1)到达PC1，顺利返回。同理，当PC2和DMZ区域的Server也能互访
• 假设USG A和USG B的VRRP状态不一致，例如，当USG B与Trust区域相连的接口为备用状态，但与Untrust区域的接口为主用状态，则PC1的报文通过USG A设备到达PC2后，在USG A上动态生成会话表项。PC2的返回报文通过路线(4)-(9)返回。此时由于USG B上没有相应数据流的会话表项，在没有其他报文过滤规则允许通过的情况下，USG B将丢弃该报文，导致会话中断

5. VRRP用于防火墙多区域备份

为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRP Group Management Protocol）来弥补此局

6. VGMP的基本原理

• 当防火墙上的VGMP为Active状态时，组内所有VRRP备份组的状态统一为Active状态，所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态，该防火墙成为备用防火墙
• 通过指定VGMP组的状态来决定谁将成为主用防火墙或备用防火墙
• 防火墙的VGMP优先级有一个初始优先级，当防火墙的接口或者单板等出现故障时，会在初始优先级基础上减去一定的降低值
• USG6000和NGFW Module的初始优先级为45000。USG9500的VGMP组的初始优先级与LPU板（接口板）上的插卡个数和SPU板（业务板）上的CPU个数有关
• VGMP的优先级会根据组内的VRRP备份组状态为Active的VGMP也会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）。成员的状态动态调整，以此完成两台防火墙的主备倒换
• 与VRRP类似，与VRRP不同的是，Standby端收到HELLO报文后，会回应一个ACK消息，该消息中也会携带本身的优先级、VRRP成员状态等
• VGMP HELLO报文发送周期缺省为1秒。当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态

7. VRRP组管理

状态一致性管理

• VGMP管理组控制所有的VRRP备份组统一切换

抢占管理

• 当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主

8. HRP基本概念

• 在双机热备组网中，当主防火墙出现故障时，所有流量都将切换到备防火墙。因为USG防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的会话表等连接状态数据，则切换到备防火墙的流量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接
• HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据，提交给HRP模块，HRP模块负责将数据发送到对端防火墙的对应模块，应用模块需要再将HRP模块提交上来的数据进行解析，并加入到防火墙的动态运行数据池中
• 备份内容：要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等
• 备份方向:防火墙上有状态为主的VGMP管理组，向对端备份
• 备份通道：一般情况下，在两台设备上直连的端口作为备份通道，有时也称为“心跳线”（VGMP也通过该通道进行通信）

9. HRP心跳接口

• 两台FW之间备份的数据是通过心跳口发送和接收的，是通过心跳链路（备份通道）传输的
• 心跳口必须是状态独立且具有IP地址的接口，可以是一个物理接口（GE接口），也可以是为了增加带宽，由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk

 10 .心跳接口的状态

• invalid：当本端FW上的心跳口配置错误时显示此状态（物理状态up，协议状态down），例如指定的心跳口为二层接口或未配置心跳接口的IP地址 
• down：当本端FW上的心跳口的物理与协议状态均为down时，则会显示此状态
• peerdown：当本端FW上的心跳口的物理与协议状态均为up时，则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果收不到对端响应的报文，那么FW会设置心跳接口状态为peerdown。但是心跳口还会不断发送心跳链路探测报文，以便当对端的对应心跳口up后，该心跳链路能处于连通状态
• ready：当本端FW上的心跳口的物理与协议状态均为up时，则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果对端心跳口能够响应此报文（也发送心跳链路探测报文），那么FW会设置本端心跳接口状态为ready，随时准备发送和接受心跳报文。这时心跳口依旧会不断发送心跳链路探测报文，以保证心跳链路的状态正常
• running：当本端FW有多个处于ready状态的心跳口时，FW会选择最先配置的心跳口形成心跳链路，并设置此心跳口的状态为running。如果只有一个处于ready状态的心跳口，那么它自然会成为状态为running的心跳口。状态为running的接口负责发送HRP心跳报文、HRP数据报文、HRP链路探测报文、VGMP报文和一致性检查报文
• 这时其余处于ready状态的心跳口处于备份状态，当处于running状态的心跳口或心跳链路故障时，其余处于ready状态的心跳口依次（按配置先后顺序）接替当前心跳口处理业务