huawei USG6001v1学习---防火墙高可靠性（双机热备）

1.什么是双机热备

如图：当左图的防火墙发生故障时，整个系统都会收到影响，而右图即使有防火墙发生故障，但是还有一台防火墙做备份，相对于只有一台防火墙，要可靠些。

由于防火墙上不仅需要同步配置信息，还需要同步状态信息（会话表等），所以，防火墙不能
像路由器那样单纯的靠动态协议来实现切换，需要用到双机热备技术。
1，双机 --- 目前双机热备技术仅支持两台防火墙的互备
2，热备 --- 两台设备共同运行，在一台设备出现故障的情况下，另一台设备可以立即替
代原设备
（也存在冷备的概念，仅工作一台设备，备份一台设备，备份设备仅同步配置，并
不工作，只有在主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时
间的业务中断）

配置信息 --- （接口IP地址，路由信息）--- hrp不能同步基本的接口和路由信息，安全策略，
NAT策略....

状态信息：

2.VGMP

在网络学习中，做互为备份时，会使用一种技术---VRRP技术（虚拟路由器冗余技术），让一台设备为主，一台设备为备，当发生故障时，设备的主备角色发生变化，继续替出现故障的设备工作，从而实现备份的效果

但是，vrrp组是相互独立的，一台设备不只有一组VRRP组，发生故障时，其他组不会同步切换，就会发生丢包等情况，当需要同步切换，使用传统的上行链路监控，比较复杂

所以这里可以使用一种协议------VGMP （ vrrp Group Management Protocol ）--- HUAWI的私有协议，来对VRRP组进行统一的切换管理

3.HRP心跳线

HRP --- 华为冗余协议 --- 华为的私有协议 --- 可以同步防火墙上的状态和配置信息

HRP在进行双机热备时，还有一个要求，两台热备设备之间，必须拥有一条链路，用来同步信
息，并且，这条链路必须是三层链路 --- 这条链路在进行数据传递时，不受安全策略的影
响。（注意，如果心跳线是直连的，则不受安全策略的影响，但是，如果中间有中继设备，即
非直连场景，则需要配置安全策略） --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线
传输的。
HRP会周期性的发送心跳报文，只有主设备会发送，周期时间默认为1S，如果备设备在三个周
期时间内默认3S没有收到对方的心跳报文，则认定对方出现故障将以自生为主

HRP三种备份方式
1，自动备份 --- 自动备份配置和状态信息，但是，配置信息可以立即自动备份，状态信息无
法立即备份，只能通过短暂的延迟之后，在进行备份（10S左右）

2，手工备份 --- 由网络管理员手工触发，可以立即同步配置和状态信息

3，快速备份 --- 该备份方式仅针对负载分担的场景。
无法同步配置信息，仅能同步状态信息，并且可以立即同步状态信息。

4.主备场景

1.主备场景

1，FW1被设定为主设备 --- FW1中的VGMP的active组被激活，并且将上下两个VRRP组拉
入到VGMP的active组中，并且状态都是ACTIVE
2，FE2被设定为备设备 --- FW2中的VGMP的standby组被激活，并且将上下两个vrrp组拉入
到VGMP的standby组中，并且状态都是standby
（VGMP组中存在优先级的概念，ACTIVE组的默认优先级是65001，standby组默认的优先
级为65000，并且，在VGMP中，所有的主都被成为active，所有的备成为standby）
3，主设备上下两个VRRP组的接口将发送免费ARP报文

2.主备故障切换场景 --- 接口故障

FW1接口故障的切换场景
1，假设FW1下的接口发生故障，接口的状态会从active状态切换到initialize状态（接口故障
的一个过渡状态）
2，VGMP组感知到接口状态变化，会降低自身的优先级（每一个接口发生故障，则优先级会
降低2。）
分区 2024.7.5防御保护的第 2 页
3，FW1会向FW2发送一个状态变更的请求报文，这个报文中会包含降低后的优先级；
4，FW2收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己standby组的状
态从standby切换为active状态
5，FW2的VGMP组状态发生变化，则组中的VRRP组的状态同步发生变化，都从standby切
换到active
6，FW2回复FW1应答报文，表示允许切换
7，FW1收到应答报文后，将自身ACTIVE组的状态从ACTIVE切换到standby状态，并且，其
中的VRRP组同步将状态切换到standby，不包含故障接口的状态，依旧是initialize状态
8，FW2上下两个VRRP组将发送免费ARP报文，让交换机切换MAC地址表，之后所有的流量
将从FW2通过。