防火墙--双机热备

双击热备作用

防火墙和路由器备份不同之处

如何连线

双机

热备

冷备

VRRP

VGMP（华为私有协议）

场景解释

VGMP作用过程

主备的形成场景

接口故障的切换场景

整机故障

原主设备故障恢复的场景

如果没有开启抢占

如果开启了抢占

负载分担场景

HRP

作用

配置信息

状态信息

配置要求

HRP三种备份方式

自动备份

手工备份

快速备份

ensp中防火墙web配置双机热备

在哪配置

如何配置

选项解释

HRP手工备份的位置

一些其他的防火墙部署位置情况

双机热备直路部署-上下二层

双机热备直路部署-上下三层

防火墙透明部署

上下二层

上下三层

双击热备作用

这个技术可以保证防火墙的可靠性，就是防火墙备份的一个思想

防火墙和路由器备份不同之处

因为防火墙不仅需要同步配置信息，还要同步状态信息（会话表等），所以防火墙不能单纯靠动态协议来实现切换，需要用到双机热备技术.，如下图

如何连线

二层的话就直接来连接，但是三层设备的话就需要一个二层交换机来连接一下，保证两个防火墙的设备再同一个网段，如下图保证防火墙再公网是同一个网段，和下面内网是同一个网段

双机

目前双机热备技术仅仅支持两台防火墙的互备

热备

可以在正常运行过程，直接同步，两台设备共同运行

一台设备出现故障的情况下另外一台设备可以立即替代原设备

冷备

仅工作一台设备，备份一台设备，备份设备仅同步配置，并不工作，只有在主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时间设备停止工作

VRRP

虚拟路由器的冗余技术

HCIP学习--以太网中继、SVI、VRRP-CSDN博客

VGMP（华为私有协议）

VRRP Group Management Protoco

因为VRRP彼此是独立的，所以，一个VRRP组进行切换不会直接导致其他组同步切换，在防火

墙的双机热备场景下，上下有两个VRRP组，需要同步切换，使用传统的上行链路监控，比较

复杂，所以，设计了VGMP协议，来对VRRP组进行统一的切换管理

场景解释

下依照图例来解释VGMP作用过程

两个方框就是两个防火墙，两个防火墙所在场景就是下面第二张图。两个防火墙上下都需要vrrp技术，如果某个接口出现故障，他所在的那一边的链路无法进行正常通信，所以VRRP需要同时切换，这个时候就需要VGMP技术。

VGMP作用过程

（VGMP几乎舍弃了VRRP的大部分机制）

当有接口坏掉了，接口成了过度状态，VGMP就会发现自己管理的VRRP组出现故障，VGMP就会降低自己的优先级，VGMP默认优先级（这里优先级和VRRP中不同）主设备组为65001，备份设备组65000。在VGMP中他们的设备不叫master和backup了。而是称为Active 和 Standby组Active 优先级65001， Standby组65000。

主备的形成场景

下面第一张图就是两个防火墙，然后左边防火墙的VRRP组1和VRRP族2都被划分到了左边设备的VGMP Active组里。右边防火墙的VRRP组1和VRRP族2都被划分到了右边设备的VGMP Standby组里。所以左边的设备是主设备，右边的设备时备份设备。

1，FW1被设定为主设备（这个由网络管理员来做） --- FW1中的VGMP的active组被激活，并且将上下两个VRRP组拉

入到VGMP的active组中，并且状态都是ACTIVE

2，FE2被设定为备设备 --- FW2中的VGMP的standby组被激活，并且将上下两个vrrp组拉入

到VGMP的standby组中，并且状态都是standby

（VGMP组中存在优先级的概念，ACTIVE组的默认优先级是65001，standby组默认的优先

级为65000，并且，在VGMP中，所有的主都被成为active，所有的备成为standby）

3，主设备上下两个VRRP组的接口将发送免费ARP报文

接口故障的切换场景

左边是FW1

1，假设FW1下的接口发生故障，接口的状态会从active状态切换到initialize状态（接口故障

的一个过渡状态）

2，VGMP组感知到接口状态变化，会降低自身的优先级（每一个接口发生故障，则优先级会

降低2）

3，FW1会向FW2发送一个状态变更的请求报文，这个报文中会包含降低后的优先级；

4，FW2收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己standby组的状

态从standby切换为active状态

5，FW2的VGMP组状态发生变化，则standby组中的VRRP组的状态同步发生变化，都从standby切

换到active

6，FW2回复FW1应答报文，表示允许切换

7，FW1收到应答报文后，将自身ACTIVE组的状态(active组右active状态和standy状态)从ACTIVE切换到standby状态，并且，其中的VRRP组同步将状态切换到standby，不包含故障接口的状态，依旧是initialize状态

8，FW2上下两个VRRP组将发送免费ARP报文，让交换机切换MAC地址表，之后所有的流量将从FW2通过。

整机故障

整机故障可以通过保活机制来进行切换，主设备发生故障，则不会发送 HRP 心跳报文，

备设备在超时时间内没有接收到主设备的保活包，则将会进行状态切换；

原主设备故障恢复的场景

如果没有开启抢占

原主设备继续以备设备的身份工作

如果开启了抢占

1、FW1故障恢复后，调整自身优先级，并发送请求报文给FW2，请求报文是修改后的优先级

2、FW2收到后，发现FW1的优先级大于自己的优先级，调整自己的Standy组为Standy状态，并且发送确认报文给FW1

3、FW1收到确认报文，更改自己Active组为Active状态

负载分担场景

与一个相同只是多创建了两个vrrp

HRP

作用

可以同步防火墙上的状态信息和配置信息

配置信息

接口IP地址，路由信息，安全策略，NAT策略。

HRP不能同步基本的接口和路由信息，在做双击热备前接口信息和路由信息已经有了，同步的画可能会出现问题

状态信息

配置要求

HRP 在进行双机热备时，还有一个要求，两台热备设备之间，必须拥有一条链路，用来同步信

息，并且，这条链路必须是三层链路。这条链路在进行数据传递时，不受安全策略的影响，这条线被称为心跳线。 VGMP协议发送的报文也是通过心跳线传输的。

（注意，如果心跳线是直连的，则不受安全策略的影响，但是，如果中间有中继设备，即

非直连场景，则需要配置安全策略。）

HRP 会周期性的发送心跳报文，只有主设备会发送，周期时间默认为1S，如果备设备在三个周

期时间内默认3S没有收到对方的心跳报文，则认定对方出现故障，将修改自身为主设备。

HRP三种备份方式

这集中方法可以同时开启

自动备份

自动备份配置和状态信息，但是，配置信息可以立即自动备份，状态信息无

法立即备份，只能通过短暂的延迟之后，在进行备份（10S左右）

手工备份

由网络管理员手工触发，可以立即同步配置和状态信息

快速备份

该备份方式仅针对负载分担的场景（两台设备同时工作）。再创建一个VGMP组，两台设备互为两个VGMP组的主设备，然后这种情况可能会两条链路都会走，如下图上去的时候走1这边，下去的时候走二这边，所以是不是两台设备需要快速同步状态信息，不然业务就会收到影响。但是无法同步配置信息，仅能同步状态信息，并且可以立即同步状态信息。

ensp中防火墙web配置双机热备

在哪配置

如何配置

默认从主向备同步

选项解释

主动抢占：如果勾选了主动抢占，则代表开启抢占模式，默认开启60S抢占延迟，就是如果设备好了以后，延迟60秒再开始抢占

（抢占延时主要是为了应对一些接口可能出现反复震荡的情况，这个东西一般只给主设备配置）

hello时间：保活报文发送周期，默认一秒。要是改的话，需要主设备、备份设备同时修改。否则可能对接不上

接口监控：上行链路追踪

配置虚拟IP地址：这里就是做VRRP的地方

注意：

1，虚拟mac地址勾选可以让切换对用户全程无感知

2，如果虚拟IP地址和接口IP地址不再同一个网段，则配置时必须配置子网掩码

这个配置完就配置好了

HRP手工备份的位置

双机热备的时候写NAT要注意，写静态NAT的时候使用出接口可能导致出去产生问题。所以乖乖使用地址池吧

然后备份设备几乎不可以配置东西了，只能说是主配置啥他同步啥

一些其他的防火墙部署位置情况

双机热备直路部署-上下二层

双机热备直路部署-上下三层

配置三层不需要配置虚拟IP，配置监控接口三层监控接口，二层监控VLAN

ospf配置地方

上面的图先配置ospf，配置双击热备前

配置主备模式的双机热备后

发现开销值发生变化，从设备的路由都要经过主设备了。那么这个选路是和发生变化的，是备用设备在传递拓扑信息的时候将Metric修改了修改成了65500，如下面第二张图片

配置负载分担的双击热备就是普通的没有配置主备模式的双机热备的情况也就是只配置了ospf的情况，做负载分担和不做的区别就是他可以把信息同步过去，所以还是需要做的。

防火墙透明部署

上下二层

这种情况下建议使用主备模式不要使用负载分担模式。负载分担下面的vlan可以从左边走也可以从右边走，然后可能成环，然后生成树还会给你堵掉，所以没必要做负载分担

上下三层

这种模式建议采用负载分担，不建议使用主备模式。把两个防火墙当成两个交换机就行，然后如果配置主备，备份的那个防火墙是不是就相当于断掉了。链路都断掉了那还了得。B和D也无法建立邻居关系，然后如果主设备坏了，是不是就要切换到备用设备上，然后B和D要重新建立邻居关系。然后切换收敛的过程就会很长，会影响正常业务。