思維導(dǎo)圖：

雙機熱備技術(shù)原理

VRRP備份

雙機熱備技術(shù)產(chǎn)生的背景

單點故障所以配置兩臺防火墻主備。

在雙機熱備組網(wǎng)中，一臺防火墻轉(zhuǎn)發(fā)流量，一臺防火墻作為備份，這時需要VRRP協(xié)議幫助兩臺設(shè)備協(xié)同工作。VRRP協(xié)議最初使用在路由器可靠性組網(wǎng)上。

基于VRRP的路由器冗余部署方案

VRRP（Virtual Router Redundancy Protocol）是一種容錯協(xié)議，它保證當(dāng)主機的下一跳路由器（默認網(wǎng)關(guān)）出現(xiàn)故障時，由備份路由器自動代替出現(xiàn)故障的路由器完成報文轉(zhuǎn)發(fā)任務(wù)，從而保持網(wǎng)絡(luò)通信的連續(xù)性和可靠性。同一VRRP備份組內(nèi)的路由器有兩種角色：Master設(shè)備（活動狀態(tài)）、Backup設(shè)備（備份狀態(tài)）。

當(dāng)Master設(shè)備正常工作時，網(wǎng)絡(luò)內(nèi)主機通過Master設(shè)備與外部網(wǎng)絡(luò)通信。當(dāng)Master設(shè)備出現(xiàn)故障時，Backup設(shè)備會成為新的Master設(shè)備，接替原Master設(shè)備的報文轉(zhuǎn)發(fā)工作，保證網(wǎng)絡(luò)不中斷。

• 備份組：同一個廣播域的一組路由器組織成一個虛擬路由器，備份組中的所有路由器一起，共同提供一個虛擬IP地址，作為內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)地址，實現(xiàn)網(wǎng)關(guān)的備份。

• Master：活動狀態(tài)。VRRP備份組狀態(tài)為Master的設(shè)備被稱為Master設(shè)備。Master設(shè)備擁有VRRP備份組的虛擬IP地址和虛擬MAC地址。Master設(shè)備收到目的IP地址是虛擬IP地址的ARP請求時，會響應(yīng)這個ARP請求。在同一個備份組中的多個路由器中，只有一臺處于活動狀態(tài)，只有主路由器能轉(zhuǎn)發(fā)以虛擬IP地址作為下一跳的報文；

• Backup：備份狀態(tài)。VRRP備份組狀態(tài)為Backup的設(shè)備被稱為Backup設(shè)備。Backup設(shè)備不會響應(yīng)目的IP地址為虛擬IP地址的ARP請求。在同一個備份組中的多個路由器中，除主路由器外，其他路由器均為備份路由器，處于備份狀態(tài)。當(dāng)Master設(shè)備出現(xiàn)故障時，剩下的Backup設(shè)備中將會選舉出新的Master設(shè)備；

• Master設(shè)備選舉規(guī)則：首先比較優(yōu)先級的大小，優(yōu)先級的范圍為0-255，優(yōu)先級高者當(dāng)選為Master設(shè)備，其次比較接口IP地址大小，接口IP地址較大的設(shè)備當(dāng)選為Master設(shè)備。成為Master的設(shè)備運行優(yōu)先級自動變?yōu)?55；

• 主路由器通過組播方式定期向備份路由器發(fā)送通告報文（Hello報文），備份路由器則負責(zé)監(jiān)聽通告報文，以此來確定其狀態(tài)。由于VRRP Hello報文為組播報文，所以要求備份組中的各路由器通過二層設(shè)備相連。

圖中Router A正常時流量轉(zhuǎn)發(fā)流程如下：

• Router A發(fā)送免費ARP：免費ARP包含VRRP虛擬IP地址與VRRP虛擬MAC地址；

• 交換機刷新MAC地址表：MAC地址表將虛擬MAC地址與接收免費ARP的接口映射；

• 內(nèi)部網(wǎng)絡(luò)用戶發(fā)送ARP請求詢問網(wǎng)關(guān)地址：網(wǎng)關(guān)地址即虛擬IP地址；

• Router A應(yīng)答ARP請求：Router A將虛擬MAC地址回應(yīng)給內(nèi)部網(wǎng)絡(luò)用戶；

• 內(nèi)部網(wǎng)絡(luò)用戶的流量發(fā)向網(wǎng)關(guān)Router A：內(nèi)部網(wǎng)絡(luò)用戶將流量發(fā)送給虛擬MAC地址，交換機根據(jù)MAC地址映射表將流量轉(zhuǎn)發(fā)給Router A。

Router A故障時流量轉(zhuǎn)發(fā)流程如下：

• Router B三個報文周期沒有收到主設(shè)備Router A發(fā)送的VRRP報文，自動切換成為新的Master；

• Router B發(fā)送免費ARP：免費ARP包含VRRP虛擬IP地址與VRRP虛擬MAC地址；

• 交換機刷新MAC地址表：MAC地址表將虛擬MAC地址與接收免費ARP的接口映射；

• 內(nèi)部網(wǎng)絡(luò)用戶發(fā)送ARP請求詢問網(wǎng)關(guān)地址：網(wǎng)關(guān)地址即虛擬IP地址；

• Router B應(yīng)答ARP請求：Router B將虛擬MAC地址回應(yīng)給內(nèi)部網(wǎng)絡(luò)用戶；

• 內(nèi)部網(wǎng)絡(luò)用戶的流量發(fā)向網(wǎng)關(guān)Router B：內(nèi)部網(wǎng)絡(luò)用戶將流量發(fā)送給虛擬MAC地址，交換機根據(jù)MAC地址映射表將流量轉(zhuǎn)發(fā)給Router B。

VRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用

為防火墻上多個區(qū)域提供雙機備份功能時，需要在每一臺防火墻上配置多個VRRP備份組，比如上行都要做，下行也都要做vrrp

華為防火墻是狀態(tài)化防火墻，要求報文的來回路徑通過同一臺防火墻，所以切換主備要多個vrrp組一起切換

VRRP在防火墻應(yīng)用中存在的缺陷

傳統(tǒng)VRRP方式無法實現(xiàn)主、備用防火墻狀態(tài)信息和多組VRRP狀態(tài)的一致性。

如圖所示，假設(shè)防火墻A和防火墻B的VRRP狀態(tài)一致，即防火墻A的所有接口均為主用狀態(tài)，防火墻B的所有接口均為備用狀態(tài)。

• 此時，Trust區(qū)域的PC1訪問Untrust區(qū)域的PC2，報文的轉(zhuǎn)發(fā)路線為(1)-(2)-(3)-(4)。防火墻A轉(zhuǎn)發(fā)訪問報文時，動態(tài)生成會話表項。當(dāng)PC2的返回報文經(jīng)過(4)-(3)到達防火墻A時，由于能夠命中會話表項，才能再經(jīng)過(2)-(1)到達PC1，順利返回。同理，當(dāng)PC2和DMZ區(qū)域的Server也能互訪。

• 假設(shè)防火墻A和防火墻B的VRRP狀態(tài)不一致，例如，當(dāng)防火墻B與Trust區(qū)域相連的接口為備用狀態(tài)，但與Untrust區(qū)域的接口為主用狀態(tài)，則PC1的報文通過防火墻A設(shè)備到達PC2后，在防火墻A上動態(tài)生成會話表項。PC2的返回報文通過路線(5)返回。此時由于防火墻B上沒有相應(yīng)數(shù)據(jù)流的會話表項，在沒有其他報文過濾規(guī)則允許通過的情況下，防火墻B將丟棄該報文，導(dǎo)致會話中斷。

問題產(chǎn)生的原因：報文的轉(zhuǎn)發(fā)機制不同。

• 路由器：每個報文都會查路由表，當(dāng)匹配上后才進行轉(zhuǎn)發(fā)。鏈路切換后，后續(xù)報文不會受到影響，繼續(xù)進行轉(zhuǎn)發(fā)。

• 狀態(tài)檢測防火墻：如果首包允許通過會建立一條五元組的會話連接，只有命中該會話表項的后續(xù)報文（包括返回報文）才能夠通過防火墻；如果鏈路切換后，后續(xù)報文找不到正確的表項，會導(dǎo)致業(yè)務(wù)中斷。

如要保障防火墻雙機熱備的順利運行，VRRP在防火墻中應(yīng)用還需滿足以下條件：VRRP狀態(tài)的一致性和防火墻狀態(tài)信息的一致性。

VGMP管理組

VGMP基本原理

VGMP（VRRP Group Management Protocol）是VRRP組管理協(xié)議，該協(xié)議定義了VGMP組，防火墻基于VGMP組實現(xiàn)設(shè)備主備狀態(tài)管理。

• 防火墻VGMP組狀態(tài)分為三類：Load-balance、Active、Standby；

• 防火墻VGMP組通過發(fā)送VGMP報文通告自身運行狀態(tài)，從而根據(jù)Hello優(yōu)先級決定主備設(shè)備，主設(shè)備VGMP組的狀態(tài)為Active，備設(shè)備VGMP組的狀態(tài)為Standby；

• 當(dāng)防火墻上的VGMP組為Active/Standby狀態(tài)時，組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Active/Standby狀態(tài)。

VGMP組選舉主從設(shè)備工作流程如圖所示。

VGMP狀態(tài)：

• Initialize是初始化狀態(tài)，設(shè)備未啟用雙機熱備功能時，VGMP組處于這個狀態(tài)；

• 設(shè)備自身的VGMP組優(yōu)先級等于對端設(shè)備的VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為Load-balance；

• 設(shè)備自身的VGMP組優(yōu)先級大于對端設(shè)備的VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為Active；

• 設(shè)備自身的VGMP組優(yōu)先級小于對端設(shè)備的VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為Standby；

• 設(shè)備沒有接收到對端設(shè)備的VGMP報文，無法了解到對端VGMP組優(yōu)先級時，設(shè)備的VGMP組狀態(tài)為Active；

• 當(dāng)防火墻上的VGMP為Active狀態(tài)時，它保證組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Active狀態(tài)，這樣所有報文都將從該防火墻上通過，該防火墻成為主用防火墻。此時另外一臺防火墻上對應(yīng)的VGMP為備狀態(tài)，該防火墻成為備用防火墻。

VGMP報文：VGMP報文包含VGMP Hello報文、HRP Hello報文以及HRP數(shù)據(jù)報文。

• VGMP報文發(fā)送周期缺省為1秒，通過心跳口發(fā)送；

• VGMP Hello報文用于協(xié)商防火墻主備狀態(tài)，主備防火墻VGMP組定期向?qū)Χ税l(fā)送VGMP Hello報文，通知對端本身的運行狀態(tài)（優(yōu)先級、設(shè)備狀態(tài)等），事件觸發(fā)時也會發(fā)送VGMP報文（如VGMP開啟，優(yōu)先級改變）；

• HRP Hello報文用于探測對端的VGMP組是否處于工作狀態(tài)，主備防火墻VGMP組定期向?qū)Χ税l(fā)送HRP Hello報文，當(dāng)Standby端五個報文周期沒有收到對端發(fā)送的HRP Hello報文時，會認為對端出現(xiàn)故障，從而將自己切換到Active狀態(tài)。

VGMP組選舉主設(shè)備工作流程如下：

• 配置VRRP：配置VRRP備份組1和VRRP備份組2，備份組1和備份組2指定防火墻A為Master設(shè)備，防火墻B為Backup設(shè)備；

• 啟用防火墻VGMP功能：備份組1和備份組2被防火墻A和防火墻B的VGMP組納管；

• 選舉VGMP主設(shè)備：啟用VGMP功能后，VRRP備份組的優(yōu)先級失效，VRRP Master設(shè)備由VGMP優(yōu)先級指定。防火墻A和防火墻B相互發(fā)送VGMP Hello報文，默認情況下，兩臺防火墻VGMP組的優(yōu)先級相同，優(yōu)先級為45000（不同防火墻型號和版本有所區(qū)別），此時根據(jù)VRRP的配置決定防火墻VGMP組的狀態(tài)；

• 切換VRRP組狀態(tài)：根據(jù)配置，防火墻A成為主設(shè)備，狀態(tài)為Active；防火墻B為備設(shè)備，狀態(tài)為Standby。此時備份組1和備份組2皆以防火墻A為Master設(shè)備，由防火墻A轉(zhuǎn)發(fā)流量。

當(dāng)故障發(fā)生時，VGMP統(tǒng)一切換VRRP備份組1與VRRP備份組2的狀態(tài)。當(dāng)VGMP組狀態(tài)為Active時，VRRP備份組的狀態(tài)都是Master；當(dāng)VGMP組狀態(tài)為Standby時，VRRP備份組的狀態(tài)都是Backup；

防火墻正常時工作原理如左圖，在防火墻A上將VRRP備份組1和VRRP備份組2都加入狀態(tài)為Active的VGMP組，在防火墻B上將VRRP備份組1和VRRP備份組2都加入狀態(tài)為Standby的VGMP組。由于VGMP組的狀態(tài)決定了組內(nèi)VRRP備份組的狀態(tài)，所以防火墻A上VRRP備份組1和2的狀態(tài)都為Master，防火墻B上VRRP備份組1和2的狀態(tài)都為Backup。這樣防火墻A就是VRRP備份組1和VRRP備份組2中的Master設(shè)備（也就是兩臺防火墻中的主用設(shè)備），而防火墻B就是他們的Backup設(shè)備（也就是兩臺防火墻中的備用設(shè)備），所以上下行的業(yè)務(wù)流量都會被引導(dǎo)到主用設(shè)備防火墻A轉(zhuǎn)發(fā)。

防火墻故障時工作原理如右圖，當(dāng)防火墻A的接口故障時，VGMP組控制VRRP備份組狀態(tài)統(tǒng)一切換的過程如下：

• 當(dāng)防火墻A的下聯(lián)接口故障時，防火墻A上的VRRP備份組1發(fā)生狀態(tài)切換（由Master切換成Initialize）；

• 防火墻A的VGMP組感知到這一故障后，會降低自身的優(yōu)先級，然后與防火墻B的VGMP組比較優(yōu)先級，重新協(xié)商主備狀態(tài)；

• 協(xié)商后，防火墻A的VGMP組狀態(tài)由Active切換成Standby，防火墻B的VGMP組狀態(tài)由Standby切換成Active；

• 同時，由于VGMP組的狀態(tài)決定了組內(nèi)VRRP備份組的狀態(tài)，所以防火墻A的VGMP組會強制組內(nèi)的VRRP備份組2由Master切換成Backup狀態(tài)，防火墻B的VGMP組也會強制組內(nèi)的VRRP備份組1和2由Backup切換成Master狀態(tài)。這樣防火墻B就成為了VRRP備份組1和VRRP備份組2中的Master設(shè)備，也就成了為兩臺防火墻中的主用設(shè)備；而防火墻A則成為了VRRP備份組1和VRRP備份組2中的Backup設(shè)備，也就成為了兩臺防火墻中的備用設(shè)備；

• 防火墻B會分別向Trust和Untrust區(qū)域發(fā)送免費ARP，更新他們的MAC轉(zhuǎn)發(fā)表，使Trust訪問Untrust的上行報文和回程報文都轉(zhuǎn)發(fā)到防火墻B。這樣就完成了VRRP備份組狀態(tài)的統(tǒng)一切換，并且保證業(yè)務(wù)流量不會中斷。

如下故障會引發(fā)防火墻VGMP狀態(tài)切換，不同故障降低的優(yōu)先級數(shù)值不同：

• VGMP組監(jiān)控的接口故障；

• VGMP監(jiān)控的鏈路故障；

• 接口板故障；

• 業(yè)務(wù)板故障；

• 交換網(wǎng)板故障。

VGMP組管理

狀態(tài)一致性管理

• VGMP管理組控制所有的VRRP備份組統(tǒng)一切換，VRRP備份組加入到管理組后狀態(tài)不能單獨切換。

搶占管理

• 當(dāng)原來出現(xiàn)故障的主設(shè)備故障恢復(fù)時，其VGMP管理組優(yōu)先級也會恢復(fù)，此時可以重新將自己的VGMP管理組狀態(tài)搶占為主；

• 當(dāng)VRRP備份組加入到VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由VGMP管理組統(tǒng)一決定。

通道管理

• 所謂通道管理，就是為了確定雙機熱備的兩臺防火墻之間有哪些接口是可用的，VGMP、HRP模塊將自動選用可用的接口來發(fā)送VGMP、HRP報文。

HRP冗余備份功能

HRP基本概念

HRP（Huawei Redundancy Protocol）協(xié)議，用來實現(xiàn)防火墻雙機之間狀態(tài)信息和關(guān)鍵配置命令的動態(tài)備份。

備份方向，往哪邊備份

• 支持備份的配置命令默認只能在配置主設(shè)備上執(zhí)行，這些命令會自動備份到備設(shè)備上。例如，安全策略配置命令、NAT策略配置命令等；

• 主備備份組網(wǎng)中，只有主設(shè)備會處理業(yè)務(wù)，主設(shè)備上生成業(yè)務(wù)表項，并向備設(shè)備備份。負載分擔(dān)組網(wǎng)中，兩臺防火墻都會處理業(yè)務(wù)，都會生成業(yè)務(wù)表項并向?qū)Χ嗽O(shè)備備份。

備份通道

• 配置和狀態(tài)數(shù)據(jù)需要網(wǎng)絡(luò)管理員指定備份通道接口進行備份。一般情況下，在兩臺設(shè)備上直連的端口作為備份通道，有時也稱為“心跳線”（VGMP也通過該通道進行通信）。

配置備份與狀態(tài)信息備份

為了讓兩臺設(shè)備故障切換時業(yè)務(wù)能平滑切換，兩臺設(shè)備間需要備份配置和狀態(tài)信息。

備份方式

• 自動備份：缺省為開啟狀態(tài)，能夠自動實時備份配置命令和周期性地備份狀態(tài)信息，適用于各種雙機熱備組網(wǎng)。

• 手工批量備份：需要管理員手工觸發(fā)，每執(zhí)行一次手工批量備份命令，主用設(shè)備就會立即同步一次配置命令和狀態(tài)信息到備用設(shè)備。

• 設(shè)備重啟主備防火墻的配置自動同步：重啟成功的設(shè)備會自動從當(dāng)前承載業(yè)務(wù)的防火墻上進行一次配置同步。

• 會話快速備份：會話快速備份功能，適用于負載分擔(dān)的工作方式，以應(yīng)對報文來回路徑不一致的場景。

備份內(nèi)容

• 設(shè)備配置：

• 策略：安全策略、NAT策略、認證策略、攻擊防范和ASPF等；

• 對象：地址、地區(qū)、服務(wù)、應(yīng)用、用戶、認證服務(wù)器、時間段、地址池、URL分類、關(guān)鍵字組、郵件地址組、簽名和安全配置文件等；

• 網(wǎng)絡(luò)：新建邏輯接口、安全區(qū)域、DNS、靜態(tài)路由（配置hrp auto-sync config static-route后才可以備份）、IPSec和SSL VPN等；

• 系統(tǒng)：管理員、虛擬系統(tǒng)、日志配置等。

• 狀態(tài)信息：會話表、Sever-map表、黑白名單、地址映射表、MAC表、用戶表、IPSec安全聯(lián)盟和隧道等。

開啟會話快速備份功能后：

• 到設(shè)備自身和從設(shè)備發(fā)出的報文產(chǎn)生的會話不會備份；

• 對于ICMP協(xié)議，設(shè)備收到ICMP ECHO-REQUEST報文，生成會話后就立即備份會話；

• 對于TCP協(xié)議，設(shè)備收到SYN報文，生成會話后就立即備份會話；

• 對于UDP協(xié)議，設(shè)備收到正向的首個報文，生成會話后就立即備份會話。

HRP心跳線

雙機熱備組網(wǎng)中，心跳線是兩臺防火墻交互消息了解對端狀態(tài)、備份配置命令和各種表項的通道。

• 心跳線兩端的接口通常被稱之為“心跳接口”；

• 心跳接口可以是一個物理接口（GE接口），或者多個物理接口捆綁成的一個邏輯接口（Eth-Trunk）。

心跳線主要傳遞如下消息：

• HRP Hello報文：兩臺防火墻通過定期（默認周期為1秒）互相發(fā)送心跳報文檢測對端設(shè)備是否存活，也稱為HRP心跳報文；

• VGMP Hello報文：了解對端設(shè)備的VGMP組的狀態(tài)，確定本端和對端設(shè)備當(dāng)前狀態(tài)是否穩(wěn)定，是否要進行故障切換；

• HRP數(shù)據(jù)報文：用于兩臺防火墻同步配置命令和狀態(tài)信息；

• 心跳鏈路探測報文：用于檢測對端設(shè)備的心跳口能否正常接收本端設(shè)備的報文，確定是否有心跳接口可以使用；

• 配置一致性檢查報文：用于檢測兩臺防火墻的關(guān)鍵配置是否一致，如安全策略、NAT等；

• 上述報文均不受防火墻的安全策略控制。因此，不需要針對這些報文配置安全策略。

通常情況下，備份數(shù)據(jù)流量約為業(yè)務(wù)流量的20%～30%，請根據(jù)備份數(shù)據(jù)量的大小選擇捆綁物理接口的數(shù)量。

心跳接口的狀態(tài)

HRP心跳接口共有五種狀態(tài)：Invalid、Down、Peerdown、Ready、Running。

Invalid：當(dāng)本端防火墻上的心跳口配置錯誤時顯示此狀態(tài)（物理狀態(tài)up，協(xié)議狀態(tài)down），例如指定的心跳口為二層接口或未配置心跳接口的IP地址。

Down：當(dāng)本端防火墻上的心跳口的物理與協(xié)議狀態(tài)均為down時，則會顯示此狀態(tài)。

Peerdown：當(dāng)本端防火墻上的心跳口的物理與協(xié)議狀態(tài)均為up時，則心跳口會向?qū)Χ藢?yīng)的心跳口發(fā)送心跳鏈路探測報文。如果收不到對端響應(yīng)的報文，那么防火墻會設(shè)置心跳接口狀態(tài)為Peerdown。但是心跳口還會不斷發(fā)送心跳鏈路探測報文，以便當(dāng)對端的對應(yīng)心跳口up后，該心跳鏈路能處于連通狀態(tài)。

Ready：當(dāng)本端防火墻上的心跳口的物理與協(xié)議狀態(tài)均為up時，則心跳口會向?qū)Χ藢?yīng)的心跳口發(fā)送心跳鏈路探測報文。如果對端心跳口能夠響應(yīng)此報文（也發(fā)送心跳鏈路探測報文），那么防火墻會設(shè)置本端心跳接口狀態(tài)為ready，隨時準(zhǔn)備發(fā)送和接受心跳報文。這時心跳口依舊會不斷發(fā)送心跳鏈路探測報文，以保證心跳鏈路的狀態(tài)正常。

Running：當(dāng)本端防火墻有多個處于ready狀態(tài)的心跳口時，防火墻會選擇最先配置的心跳口形成心跳鏈路，并設(shè)置此心跳口的狀態(tài)為Running。如果只有一個處于Ready狀態(tài)的心跳口，那么它自然會成為狀態(tài)為Running的心跳口。狀態(tài)為Running的接口負責(zé)發(fā)送HRP心跳報文、HRP數(shù)據(jù)報文、HRP鏈路探測報文、VGMP報文和一致性檢查報文。這時其余處Ready狀態(tài)的心跳口處于備份狀態(tài)，當(dāng)處于Running狀態(tài)的心跳口或心跳鏈路故障時，其余處于Ready狀態(tài)的心跳口依次（按配置先后順序）接替當(dāng)前心跳口處理業(yè)務(wù)。

防火墻雙機熱備工作流程

防火墻雙機熱備主備備份應(yīng)用場景

應(yīng)用場景

• 主要應(yīng)用于對可靠性要求較高場景，如企業(yè)辦公場景，為提升網(wǎng)絡(luò)可靠性，可在企業(yè)網(wǎng)絡(luò)出口部署兩臺防火墻構(gòu)成雙機熱備的組網(wǎng)。綜合考慮業(yè)務(wù)需求，雙機熱備采用主備模式。

配置分析

• 防火墻VGMP狀態(tài)：防火墻A為主設(shè)備，VGMP狀態(tài)為Active；防火墻B為備設(shè)備，VGMP狀態(tài)為Standby；

• VRRP 備份組：防火墻下游配置VRRP備份組1 ，防火墻上游配置VRRP備份組2；VRRP備份組1和2設(shè)置防火墻A為Master，VRRP備份組1和2設(shè)置防火墻B為Backup；

• 備份方式：默認情況下，雙機熱備采用自動備份方式；

• 備份接口：防火墻GE0/0/1接口為心跳口，所連接的線路為心跳線；

• 搶占：默認開啟，默認搶占時延為60s。

防火墻雙機熱備主備備份工作流程

防火墻主備狀態(tài)：防火墻A為主設(shè)備，VGMP狀態(tài)為Active，VRRP備份組1和2狀態(tài)為Matser；防火墻B為備設(shè)備，VGMP狀態(tài)為Standby，VRRP備份組1和2狀態(tài)為Backup；

配置與狀態(tài)備份：防火墻A的配置與狀態(tài)信息通過心跳線實時備份到防火墻B；

流量轉(zhuǎn)發(fā)路徑：防火墻A向交換機A和交換機C發(fā)送免費ARP報文，刷新交換機的MAC地址表。當(dāng)主機A訪問Internet時，首先通過ARP查詢網(wǎng)關(guān)MAC地址（即查詢VRRP Virtual IP的MAC地址），防火墻A回應(yīng)VRRP Virtual MAC，主機A向交換機A發(fā)送業(yè)務(wù)報文，交換機A根據(jù)MAC表轉(zhuǎn)發(fā)流量到防火墻A，防火墻A再轉(zhuǎn)發(fā)到Internet。返程同理。

防火墻雙機熱備主備切換?

業(yè)務(wù)口/業(yè)務(wù)線路故障

• 如圖所示，防火墻A的業(yè)務(wù)口/所連業(yè)務(wù)線出現(xiàn)故障時，防火墻A的VGMP組優(yōu)先級降低，發(fā)送VGMP請求報文；

• 防火墻B收到對端發(fā)送的VGMP請求報文后，與自己的VGMP組優(yōu)先級進行比較，發(fā)送VGMP應(yīng)答報文；

• 防火墻A收到回應(yīng)報文，將VGMP組狀態(tài)切換為Standby，防火墻A上的VRRP備份組1和備份組2則切換狀態(tài)為Backup；

• 防火墻B將VGMP組狀態(tài)切換為Active，防火墻B上的VRRP備份組1和備份組2則切換狀態(tài)為Master。由防火墻B向交換機B和D發(fā)送免費ARP報文。

整機故障

• 防火墻A出現(xiàn)整機故障，不再發(fā)送HRP Hello報文，防火墻B五個報文周期沒有收到對端發(fā)送的HRP Hello報文，則防火墻B切換為主設(shè)備，VGMP狀態(tài)為Active，防火墻B上的VRRP備份組1和備份組2則切換狀態(tài)為Master。

心跳線故障

• 心跳線出現(xiàn)故障，防火墻B五個報文周期沒有收到對端發(fā)送的HRP Hello報文，則防火墻B切換為主設(shè)備，VGMP狀態(tài)為Active，防火墻B上的VRRP備份組1和備份組2則切換狀態(tài)為Master。此時出現(xiàn)雙主現(xiàn)象。

防火墻雙機熱備主備切回切

• 防火墻A故障恢復(fù)后，此時VGMP組優(yōu)先級恢復(fù)，在等待60s后，發(fā)送VGMP請求報文；

• 防火墻B收到VGMP請求報文后，與自己的VGMP組優(yōu)先級進行比較，發(fā)現(xiàn)對端的優(yōu)先級較高或相等（相等時查看VGMP的配置），則回應(yīng)VGMP應(yīng)答報文，同時將自己的VGMP組狀態(tài)切換為Standby，VRRP備份組1和2狀態(tài)切換為Backup；

• 防火墻A收到回應(yīng)報文后，將自己的VGMP狀態(tài)切換為Active，VRRP備份組1和2狀態(tài)切換為Master。

雙機熱備基本組網(wǎng)與配置

防火墻主備備份雙機熱備配置舉例

需求描述：

• 防火墻A和防火墻B的業(yè)務(wù)接口都工作在三層，上下行分別連接二層交換機。上行交換機連接運營商的接入點，運營商為企業(yè)分配的IP地址為1.1.1.1。現(xiàn)在希望防火墻A和防火墻B以主備備份方式工作。正常情況下，流量通過防火墻A轉(zhuǎn)發(fā)；當(dāng)防火墻A出現(xiàn)故障時，流量通過防火墻B轉(zhuǎn)發(fā)，保證業(yè)務(wù)不中斷；

• VRRP備份組1的虛擬IP：1.1.1.1/24；

• VRRP備份組2的虛擬IP：10.3.0.3/24；

• 防火墻A心跳接口10GE0/0/7地址：10.10.0.1/24；

• 防火墻B心跳接口10GE0/0/7地址：10.10.0.2/24。

配置思路：

• 完成基本網(wǎng)絡(luò)配置：包括配置防火墻各接口的IP地址，將防火墻各接口加入相應(yīng)的安全區(qū)域及缺省路由配置；

• 配置VRRP備份組：在兩臺防火墻上完成VRRP備份組配置；

• 配置安全策略，允許心跳口之間交互HRP報文；

• 指定心跳接口，配置認證密鑰，并啟用雙機熱備功能；

• 配置安全策略，允許內(nèi)網(wǎng)用戶訪問Internet；

• 配置NAT策略，讓內(nèi)網(wǎng)用戶成功訪問Internet。

在防火墻A上行業(yè)務(wù)接口10GE0/0/1上配置VRRP備份組1，并設(shè)置其狀態(tài)為Active。

[FWA] interface 10ge0/0/1

[FWA-10GE0/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 active

[FWA-10GE0/0/1] quit

[FWA] interface 10ge0/0/3

[FWA-10GE0/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 active

[FWA-10GE0/0/3] quit

在防火墻B上行業(yè)務(wù)接口10GE0/0/1上配置VRRP備份組1，并設(shè)置其狀態(tài)為Standby。

[FWB] interface 10ge0/0/1

[FWB-10GE0/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 standby

[FWB-10GE0/0/1] quit

[FWB] interface 10ge0/0/3

[FWB-10GE0/0/3] vrrp vrid 2 virtual-ip 10.3.0.3 standby

[FWB-10GE0/0/3] quit

在防火墻A指定心跳接口，配置認證密鑰，并啟用雙機熱備功能。

[FWA] hrp interface 10ge0/0/7 remote 10.10.0.2

[FWA] hrp authentication-key Admin@123

[FWA] hrp enable

在防火墻B指定心跳接口，配置認證密鑰，并啟用雙機熱備功能。

[FWB] hrp interface 10ge0/0/7 remote 10.10.0.1

[FWB] hrp authentication-key Admin@123

[FWB] hrp enable