華為防火墻雙機熱備（詳細介紹VRRP，VGMP）

一.雙機熱備的工作原理
華為的雙機熱備是通過部署倆臺或多臺防火墻實現熱備及負載均衡，倆臺防火墻相互協同工作，猶如一個更大的防火墻

• 雙機熱備概述
  隨著互聯網的發展，人們生活中的大多數問題可以通過網絡解決，但與此同時，網絡安全問題也逐漸暴露出來。
• 華為防火墻的雙機熱備包含以下倆種模式

1.熱備模式：同一時間只有一臺防火墻轉發數據包，其他防火墻不轉發數據包，但是會同步會話表及Server-map表。

2 負載均衡模式：同一時間，多臺防火墻同時轉發數據，但每個防火墻又作為其他防火墻的備用設備，即每個防火墻是主設備也是備份設備，防火墻之間同步會話表及Server-map表
負載均衡模式下，針對一些流量（如黑色圈流量），FW1是主用設備，Fw2是備用設備，所以該流量默認通過FW1轉發，而針對另外一些流量（灰色流量），FW2是主設備，FW1是備用設備，所以改流量默認通過FW2轉發，FW1又作為（灰色）流量的備用設備，當FW2損壞時，FW1依然可以轉發（灰色）流量，同理，FW2也可以在FW1損壞時轉發（黑色）流量

• VRRP
  在雙機熱備技術中，即使選舉出了主用設備和備用設備，默認情況下流量也通過主用設備轉發，而備用設備處于備份狀態
  1.VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協議）由IETF進行維護，用來解決網關單點故障的路由協議，VRRP可以應用在路由器中提供網關冗余，也可以用在防火墻中做雙機熱備

（1）VRRP路由器：運行VRRP協議的路由器
（2）虛擬路由器：由一個主用路由器和若干個備用路由器組成的一個備份組，一個備份組，一個備份組對客戶端提供一個虛擬網關
（3）VRID：virtual Router ID ，虛擬路由器標識，用來唯一的標識一個備份組
（4）虛擬IP地址：提供給客戶端的網關IP地址，也是分配給虛擬路由器的IP地址，在所有的VRRP中配置，只有主用設備提供該IP地址的ARP響應
（5）虛擬MAC地址：基于VRID生成的用于VRRP的MAC地址，在客戶端通過ARP協議解析網關的MAC地址時，主用路由器將提供該MAC地址
（6）IP地址擁有者：若將虛擬路由器的IP地址配置為某個成員物理接口的真實IP地址，那么該成員被稱為IP地址擁有者
（7）優先級：用于標識VRRP路由器的優先級，并通過每個VRRP路由器的優先級選舉主用設備及備份設備
（8）搶占模式：在搶占模式下，如果備用路由器的優先級高于備份組中的其他路由器（包括當前的主用路由器），則不會立即成為新的主用路由器
（9）非搶占模式：在非搶占模式下，如果備用路由器的優先級高于備份組中的其他路由器（包括當前的主用路由器），則不會立即成為主用路由器，直到下一次公平選舉

• VRRP的工作原理和之前介紹的Cisco的HSRP基本相同，只是在細節上有一些區別

• VRRP是公有協議，而HSRP是Cisco私有協議

• VRRP中虛擬路由器的IP地址可以是成員路由器的IP地址，而HSRP不可以

• VRRP的虛擬MAC地址前綴是00-00-5e-00-01-VRID，而HSRP的虛擬MAC地址前綴是00-00-0c-07-AC-組號

• VRRP的狀態機有三個，而HSRP的狀態機包含五個（初始，學習，監聽，發言，備份，活動）

• VRRP只有一種報文，HSRP有三個（hello，政變，辭職）

• VRRP不支持接口跟蹤，而HSRP支持

1. VRRP的角色
   工作在VRRP模式下的路由器有倆種角色，分別是Master路由器和Backup路由器
   Master路由器：正常情況下由Master路由器負責ARP響應及提供數據包的轉發，并且默認每個1s向其他路由器通告Master路由器當前的狀態信息

Backup路由器：是Master路由器的備用路由器，正常情況下不提供數據包的轉發，當Master路由器故障時，在所有的Backup路由器中優先級最高的路由器將成為新的Master路由器，接替轉發數據包的工作，從而保證業務不中斷
2.VRRP的狀態機
VRRP定義了三種工作狀態，分別是
Initalize狀態，Master狀態，Backup狀態

3.VRRP的工作原理
VRRP選舉Master路由器和Backup路由器的流程如下
首先選舉優先級的設備成為Master路由器，如果路由器相同，再比較接口的IP地址大小，IP地址大（數值大）的設備將成為Master路由器，而備份組中的其他路由器將成為Backup路由器

• VGMP
  工作原理
  
  VGMP的工做原理表現如下：

1.VGMP的狀態決定了VRRP備份組的狀態，即設備的角色（Master和Backup）不再通過VRRP報文選舉，而是通過VGMP同意管理

2.VGMP的狀態通過比較優先級決定，優先級高的VGMP將成為Active，優先級低的VGMP組成為Standby

3.默認情況下，VGMP組的優先級為45000

4.VGMP根據組內VRRP備份組的狀態自動調整優先級，一旦檢測到備份組的狀態變成Initialize

5.VGMP通過心跳線協商VGMP狀態信息

VGMP的工作原理

• 雙機熱備的備份方式

1.自動備份：該模式下，和雙機熱備相關的配置命令只能在主用路由器設備上配置，并自動同步到備用設備中，主用設備自動將狀態信息同步到備用設備中
2.手工批量備份：主用設備上所有的配置命令和狀態信息，只有在手工執行批量備份命令時才會同步到備用設備
3.快速備份：不同步配置命令，只同步狀態信息

開啟雙機熱備功能

配置自動模式備份

開啟雙機熱備后，執行可以同步的命令時會有（+B）的提示

配置快速備份命令

案例如下：

1.配置IP略（路由器配置一條默認路由，下一跳為虛擬IP的10.1.1.100 ，PC1網關為下游的虛擬IP192.168.1.100）
ip route-static 0.0.0.0 0.0.0.0 10.1.1.100
2.接口加入到安全區域并配置安全策略（FW1和FW2配置一樣）

3.配置VRRP備份組（FW1與FW2配置）

FW2配置

4.配置心跳接口

5.啟用雙機熱備

6.配置備份方式

FW1配置如下

FW2配置如下

7.配置檢查及檢查

查看雙機熱備的狀態信息

查看心跳接口狀態

在PC1上ping路由器R1

可以ping IP地址 -t 一直ping 然后把FW1的 g0/1/2 口shudown掉，會發現ping的過程中丟掉了倆個包

也可以查看安全規則及會話表

!!!!!!!!!!!!!!!!!!!!!!!!!