将之前先理清需要注意的知识点：

1、注意防火墙冗余时的会话表必须保持一致，这里HRP技术已经做到

2、vrrp是自动开启抢占的，且是根据优先级进行抢占的

3、免费ARP的作用：告诉交换机的某个IP的mac地址变成了我的这个mac地址

4、HRP   --HRP进行双机热备是在网络已经完全欧克了，搭建好了才开始进行冗余热备的；

黑名单和白名单是有老化时间的

5、以前的路由器上必须是：虚拟网关和真实接口IP必须在同一个网段

但是现在在防火墙是可以这样干的，虚拟网关绑定的真实IP可以不在一个网段

6、用户有一个mac地址缓存表

7、安全策略只是抓取数据层面的数据包

不会抓取控制层面的数据包，所以安全策略不会拦截路由信息的传递，只会对数据包进行一个匹配拦截；

本章节具体知识点：

1、防火墙的可靠性

--1、如果防护墙需要做冗余，那么此时就不能单纯的像路由器那样切换网关归属，因为防护墙还有许多会话表之类的状态信息，所以我们的防火墙的冗余需要用到双机热备技术；

因为防火墙上不仅需要同步配置信息，还需要同步状态信息（会话表等），所以，防火墙不能像路由器那样单纯的靠动态协议来实现切换，需要用到双机热备技术。

1，双机 --- 目前双机热备技术仅支持两台防火墙的互备

2，热备 --- 两台设备共同运行，在一台设备出现故障的情况下，另一台设备可以立即替代原设备

（也存在冷备的概念，仅工作一台设备，备份一台设备，备份设备仅同步配置，并不工作，只有在主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时间的业务中断：所谓冷备就是主备模式）

---所谓双机热备就是做防火墙冗余的时候，除开切换网关的归属之外，他还会将主设备的状态信息进行传递给对方

VRRP --- 虚拟路由器冗余技术  (就是那个冗余网关用到的技术，当然，只要是IP都可以进行冗余)

2、VGMP --- vrrp Group Management Protocol --- HUAWI的私有协议

在同一个VGMP组内的vrrp他们的状态会强制性保持一样；如果组内的一个vrrp变成了备份，那么所有的vrrp都会变成备份；

为什么要用到VGMP

讲VGMP之前，我们先来看看这个图，通过这个图进行理解

配置：1、上半截是公网

2、下半截是私网

3、防火墙是边界

下面我们来做，为下面网关冗余；

解释：

上面都是一些基础的网关冗余配置

拓展：我们会发现下面和上面的网段不是同一个网段；所以我们的路由器必须要配置路由，来到达下面的网段；这里的话，我们都做网关冗余了，所以我们就直接写两条路由来到达下面的网段；

问题就会出现：当你写了两条路由到达下面的网段之后；那么数据包回来的时候就会任意随机找一条路由去往下面那个网段，正常我们的两个防火墙连接的链路如果没出问题的话；那么这两个路由确实都是可以到达我们的下面的网段的；

但是我们都做网关冗余了，说明我们的两个防火墙就很可能会出现问题；

那么如果左边这个防护墙出现问题了，那么我们的vrrp主就会转到右边去，那么我们就必须满足右边的防火墙也必须能够通信，这里说明我们的路由器必须要有两条路由；

好，问题来了；如果我们的路由有两条之后，我们的回来的包很可能就会走错，所以我们必须把

---最终我们就出现了上面也要做vrrp冗余；

---上面那个vrrp如果嘎调之后，下面的vrrp肯定也不能用了，因为端口地址转换不了了；

或者下面的vrrp嘎调之后，所有外面回来的数据流量肯定也不能通过这个防火墙回去了；所以两个vrrp必须保持同时都是主或者同时都不是主；

3、主备的形成场景

--1，FW1被设定为主设备 --- FW1中的VGMP的active组被激活，并且将上下两个VRRP组拉入到VGMP的active组中，并且状态都是ACTIVE

--2，FE2被设定为备设备 --- FW2中的VGMP的standby组被激活，并且将上下两个vrrp组拉入到VGMP的standby组中，并且状态都是standby

（VGMP组中存在优先级的概念，ACTIVE组的默认优先级是65001，standby组默认的优先级为65000，并且，在VGMP中，所有的主都被成为active，所有的备成为standby）

--3，主设备上下两个VRRP组的接口将发送免费ARP报文

VGMP组里面有防火墙上的两个vrrp

4、FW1接口故障的切换场景

1，假设FW1下的接口发生故障，接口的状态会从active状态切换到initialize状态（接口故障的一个过渡状态）  ---接口出故障，从active变成initialize；

2，VGMP组感知到接口状态变化，会降低自身的优先级（每一个接口发生故障，则优先级会降低2。）           

3，FW1会向FW2发送一个状态变更的请求报文，这个报文中会包含降低后的优先级；

4，FW2收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己standby组的状态从standby切换为active状态

5，FW2的VGMP组状态发生变化，则组中的VRRP组的状态同步发生变化，都从standby切换到active

6，FW2回复FW1应答报文，表示允许切换

7，FW1收到应答报文后，将自身ACTIVE组的状态从ACTIVE切换到standby状态，并且，其中的VRRP组同步将状态切换到standby，不包含故障接口的状态，依旧是initialize状态 ，FW2上下两个VRRP组将发送免费ARP报文，让交换机切换MAC地址表，之后所有的流量将从FW2通过。

8、HRP  ---华为冗余协议，私有；可以同步防火墙上的状态和配置信息；这个协议的防火墙配置成冗余的时候自带的协议

--1、配置信息 --可以同步虚拟的IP，安全策略，nat策略等等；

--2、状态信息   ---会话表，server map表，黑白名单等；

--3、HRP实现的前提条件：

1、两个防火墙必须中间有一条连接链路，专门用来传递配置和状态信息；但是 不会用来传递路由信息；

2、这条链路必须是三层链路，必须要配置IP

3、这条链路正常如果是直连的，则不受安全策略的影响，但是如果是没直连的则需要配置安全策略；

--4、HRP会周期的发送心跳报文用来保活，1s发送一次，最长等待时间3s；如果从设备3s内还没有收到对方的HRP心跳报文的话，则会认为对方出现故障，自己会升为主；

--5、HRP的三种备份方式

1、自动备份：瞬间自动备份配置信息，状态信息等10s后才会进行备份

2、手工备份，由管理管理员触发，可以立刻同步

3、快速备份--该备份方式只能通过负载分担的场景，且不能同步配置信息，只能同步状态信息，但是这里同步状态信息是快速同步

总结：从这里可以发现我们的防火墙冗余之后的信息同步其实都是通过HRP冗余协议来完成的；但是我们其中还用到了VGMP协议来完成两个vrrp的状态同时切换

9、防火墙vrrp各场景过程分析

--1，主备形成场景

--2，主备故障切换场景 --- 接口故障

--3，主备故障切换场景 --- 整机故障

整机故障可以通过保活机制来进行切换，主设备发生故障，则不会发送HRP心跳报文，备设备在超时时间内没有接收到主设备的保活包，则将会进行状态切换；

备设备如果出现问题不会进行任何操作，因为本来就是主在工作，且主如果坏了还会和备进行商量，如果备坏了，商量肯定不会成功

--4，原主设备故障恢复的场景

根据有没有开启抢占分为两种不同的情况

1，如果没有开启抢占 --- 原主设备继续以备设备的身份工作

2，如果开启了抢占  --则一旦接口恢复就会延迟60s抢回来，因为担心接口恢复是短时的；需要进行60s的等待验证

--5，负载分担场景

负载分担其实就是让两个设备都运行，那么就会在两个设备上面都配置4个vrrp；两个上两个下；

其中一个上一个下为一个VGMP组；

且左边的让一个VGMP组运行，让一个VGMP组备份右边；

右边也让一个VGMP组运行，让一个VGMP组备份左边；

这样两边的设备都会运行了；

注意中间的心跳线也要两根；

且上面的公网虚拟IP也要两个了

下面的虚拟私网IP也要两个

--6，负载分担接口故障场景

双机热备配置

如果勾选了主动抢占，则代表开启抢占模式，默认开启60S抢占延迟

（抢占延时主要是为了应对一些接口可能出现反复震荡的情况）

hello报文周期就是保活报文的发送周期，默认是1S，可以修改，但是，需要两边同时修改，否则可能导致对接不上

注意：1，虚拟mac地址勾选可以让切换对用户全程无感知

2，如果虚拟IP地址和接口IP地址不再同一个网段，则配置时必须配置子网掩码

实验：