防火墙的可靠性

因为防火墙上不仅需要同步配置信息，还需要同步状态信息（会话表等），所以，防火墙不能

像路由器那样单纯的靠动态协议来实现切换，需要用到双机热备技术。

1，双机 --- 目前双机热备技术仅支持两台防火墙的互备

2，热备 --- 两台设备共同运行，在一台设备出现故障的情况下，另一台设备可以立即替

代原设备

（也存在冷备的概念，仅工作一台设备，备份一台设备，备份设备仅同步配置，并

不工作，只有在主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时

间的业务中断）

VGMP --- vrrp Group Management Protocol --- HUAWI的私有协议

因为VRRP彼此是独立的，所以，一个VRRP组进行切换不会直接导致其他组同步切换，在防火

墙的双机热备场景下，上下有两个VRRP组，需要同步切换，使用传统的上行链路监控，比较

复杂，所以，设计了VGMP协议，来对VRRP组进行统一的切换管理

主备的形成场景

1，FW1被设定为主设备 --- FW1中的VGMP的active组被激活，并且将上下两个VRRP组拉

入到VGMP的active组中，并且状态都是ACTIVE

2，FE2被设定为备设备 --- FW2中的VGMP的standby组被激活，并且将上下两个vrrp组拉入

到VGMP的standby组中，并且状态都是standby

（VGMP组中存在优先级的概念，ACTIVE组的默认优先级是65001，standby组默认的优先

级为65000，并且，在VGMP中，所有的主都被成为active，所有的备成为standby）

3，主设备上下两个VRRP组的接口将发送免费ARP报文

FW1接口故障的切换场景

1，假设FW1下的接口发生故障，接口的状态会从active状态切换到initialize状态（接口故障

的一个过渡状态）

2，VGMP组感知到接口状态变化，会降低自身的优先级（每一个接口发生故障，则优先级会

降低2。）

3，FW1会向FW2发送一个状态变更的请求报文，这个报文中会包含降低后的优先级；

4，FW2收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己standby组的状

态从standby切换为active状态

5，FW2的VGMP组状态发生变化，则组中的VRRP组的状态同步发生变化，都从standby切

换到active

6，FW2回复FW1应答报文，表示允许切换

7，FW1收到应答报文后，将自身ACTIVE组的状态从ACTIVE切换到standby状态，并且，其

中的VRRP组同步将状态切换到standby，不包含故障接口的状态，依旧是initialize状态

8，FW2上下两个VRRP组将发送免费ARP报文，让交换机切换MAC地址表，之后所有的流量

将从FW2通过。

HRP --- 华为冗余协议 --- 华为的私有协议 --- 可以同步防火墙上的状态和配置信息

配置信息 --- （接口IP地址，路由信息）--- hrp不能同步基本的接口和路由信息，安全策略，

NAT策略。。。

状态信息 --- 会话表，server-map，黑名单和白名单等

HRP在进行双机热备时，还有一个要求，两台热备设备之间，必须拥有一条链路，用来同步信

息，并且，这条链路必须是三层链路 --- 这条链路在进行数据传递时，不受安全策略的影

响。（注意，如果心跳线是直连的，则不受安全策略的影响，但是，如果中间有中继设备，即

非直连场景，则需要配置安全策略） --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线

传输的。

HRP会周期性的发送心跳报文，只有主设备会发送，周期时间默认为1S，如果备设备在三个周

期时间内默认3S没有收到对方的心跳报文，则认定对方出现故障将以自生为主

HRP三种备份方式

1，自动备份 --- 自动备份配置和状态信息，但是，配置信息可以立即自动备份，状态信息无

法立即备份，只能通过短暂的延迟之后，在进行备份（10S左右）

2，手工备份 --- 由网络管理员手工触发，可以立即同步配置和状态信息

3，快速备份 --- 该备份方式仅针对负载分担的场景。

无法同步配置信息，仅能同步状态信息，并且可以立即同步状态信息。

各场景过程分析

3，主备故障切换场景 --- 整机故障

整机故障可以通过保活机制来进行切换，主设备发生故障，则不会发送HRP心跳报文，

备设备在超时时间内没有接收到主设备的保活包，则将会进行状态切换；

4，原主设备故障恢复的场景

根据有没有开启抢占分为两种不同的情况

1，如果没有开启抢占 --- 原主设备继续以备设备的身份工作

2，如果开启了抢占