防火墙双机热备

????博客主页：微笑的段嘉许博客主页

????欢迎关注????点赞????收藏⭐留言????

????本文由微笑的段嘉许原创！

????51CTO首发时间：????2022年10月4日????

✉️坚持和努力一定能换来诗与远方！

????作者水平很有限，如果发现错误，一定要及时告知作者哦！感谢感谢！

⭐本文介绍⭐

一提到防火墙，一般会联想到企业的边界设备，防火墙一般放置在内网和互联网的必经之路。防火墙承载了非常多的功能；如安全规则、防bingdu、IPS、文件类型过、内容过滤、应用层探测等。也正是因为防火墙如此重要，从另外一个角度看，一旦防火墙出现问题，所有的对外通信及对DMZ服务器的通信都将中断，所以企业还要考虑防火墙自身的优化及高可用性。本文介绍华为防火墙的高可用技术。

[TOC]

????理论讲解：

双机热备的工作原理

华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡，两台防火墙相互协同工作，犹如一个更大的防火墙。

如下图所示，企业中在关键的业务出口部署一台防火墙，所有的对外流量都经过防火墙传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好、功能有多强，在这一刻，都无法挽回企业面临的损失。所以，通过在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

防火墙双机热备

华为防火墙的双机热备包含一下两种模式

热备模式：同一时间只有一台防火墙转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表。

负载均衡模式：同一时间，多台防火墙同时准发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙既是主用设备也是备用设备，防火墙之间同步会话表及Server-map表。

防火墙双机热备

VRRP协议

在双机热备技术中，即使选举出了主用设备和备用设备，默认情况下流量也通过主用设备转发，而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口，当客户机将网关指向主用设备时，流量自然从主用设备转发，但是当主用设备故障时，客户机并不会将网关自动指向备用设备，所以即使双机热备本身可以切换，客户机也依然无法正常通信。所以要保证双机热备可以正常工作，还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题，甚至还能让设备切换对客户机而言时透明的。在华为防火墙的双机热备技术中，VRRP是非常重要的一个组成部分。

VRRP概论

VRRP路由器：运行VRRP协议的路由器。
虚拟路由器：由一个主用路由器和若干个备用路由器组成的一个备份组，一个备份组对客户端提供一个虚拟网关。
VRID：Virtual　Router　ID，虚拟路由器标识，用来唯一的表示一个备份组。
虚拟IP地址：提供给客户端的网关IP地址，也是分配给虚拟路由器的IP地址，在所有的VRRP中配置，只有主要设备提供IP地址的ARP响应。
虚拟MAC地址：基于VRID生成的用于VRRP的MAC地址，在客户端通过ARP协议解析网关的MAC地址时，主要路由器将提供该MAC地址。
IP地址拥有者：若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址，那么该成员被称为IP地址拥有者。
优先级：用于标识VRRP路由器的优先级，并通过每个VRRP路由器的优先级选举主要设备及备用设备。
抢占模式：在抢占模式下，如果备用路由器的优先级高于备份组中的其他路由器（包括当前的主要路由器），将立即称为新的主要路由器。
非抢占模式：在非抢占模式下，如果备用路由器的优先级高于备份组中的其他路由器（包括当前的主用路由器），则不会立即成为主用路由器，直到下一次公平选举（如断电、设备重启等）
VRRP的工作原理和Cisco的HSRP基本相同，只是在细节上有些区别

VRRP时公有协议，而HSRP是Cisco专有协议。
VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址，而HSRP不可以
VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID，而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号
VRRP的状态机有三个，而HSRP的状态机包含五个（初始、学习、监听、发言、备份、活动）
VRRP只有一种报文，VRRP通告报文由主用路由器发出，用于检测虚拟路由器的参数，同时用于主用路由器的选举。而HSRP有三种报文（hell、政变、辞职）
VRRP不支持接口跟踪，而HSRP支持。

VRRP的角色

工作在VRRP模式下的路由器有两种角色，分别是Master路由器和Backup路由器。

Master路由器：正常情况下由Master路由器负责ARP响应及提供数据包的转发，并且默认每个1s 向其他路由器通告Master路由器当前的状态信息
Backup路由器：是Master路由器的备用路由器，正常情况下不提供数据包的转发，当Master路由器故障时，在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器，接替转发数据包的工作，从而保证业务不中断。

VRRP的状态机

VRRP定义了三种工作状态，分别时Initialize（初始）Master（活动状态）和Backup（备份状态）

Initialize状态：刚配置了VRRP时的初始状态。该状态下，不对VRRP报文做任何处理，当接口Shutdown或接口故障时也将进入该状态。
Master状态：当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文，并周期性地发送VRRP通告报文，处于该状态地路由器还将响应客户机发送地ARP请求，并将虚拟MAC地址回送客户机。当接口关闭时，将立即切换至Initialize状态。
backup状态：当前设备选举成为备用路由器时的一种状态。该状态不转发任何业务报文，工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文，并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息。

三种状态之间的切换关系如下图所示

防火墙双机热备

VGMP的工作原理表现

VGMP组的状态决定了VRRP备份组的状态，即设备的角色（如Master和Backup）不通过VRRP报文选举，而是直接通过VGMP统一管理。
VGMP组的状态通过比较优先级决定，优先级高的VGMP组将成为Active，优先级低的VGMP组将成为Standby。
默认情况下，VGMP组的优先级为4500
VGMP根据组内VRRP备份组的状态自动调正优先级，一旦检测到备份组的状态变成Initialize状态，VGMP组的优先级会自动减2
VGMP通过心跳线协商VGMP状态信息、

下面通过一个示例分析VGMP的工作原理，如图：

防火墙双机热备

????友情提示：

在加入了VGMP组之后，VRRP中的状态标识从Master和Backup变成Active和Standby。

VGMP的报文封装

VGMP通过心跳线协商VGMP的状态信息，通过发送VGMP报文实现，VGMP报文有一下两种形式

防火墙双机热备

在实际应用中，应根据实际的拓扑灵活选择报文封装。在华为防火墙中，通过一下命令指定通过接口的报文属于哪种类型的封装。

[USG6000V1]hrp interface GigabitEthernet 1/0/0  //eNSP模拟器中不支持该配置
[USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1

其中hrp命令用来指定用于心跳链路的接口，带remote参数的命令表示报文将封装UDP，并发送单薄报文，不带remote参数的命令表示将发送组播报文。1.1.1.1标识对端设备（心跳线对端接口）的IP地址，该地址要求可路由，只有指定remote参数时才需要指定。

双机热备的备份方式

双机热备的备份方式包括一下三种

自动备份：该模式下，和双机热备有关的配置命令只能在主用设备上配置，并自动同步到备用设备中，主要设备自动将状态信心同步到备用设备中。该模式是华为防火墙的默认开启模式，主要应用于热备模式。
手工批量备份：该模式下，主用设备上所有的配置命令和状态信息，只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主备设备配置不同步，需要立即进行同步的场景中。
快速备份：该模式下，不同步配置命令，只同步状态信息。在负载均衡方式的双机热备坏境中，该模式必须启用，以快速更新状态信息。