华为防火墙双机热备（详细介绍VRRP，VGMP）

一.双机热备的工做原理
华为的双机热备是经过部署俩台或多台防火墙实现热备及负载均衡，俩台防火墙相互协同工做，犹如一个更大的防火墙

• 双机热备概述
  随着互联网的发展，人们生活中的大多数问题能够经过网络解决，但与此同时，网络安全问题也逐渐暴露出来。
• 华为防火墙的双机热备包含如下俩种模式

1.热备模式：同一时间只有一台防火墙转发数据包，其余防火墙不转发数据包，可是会同步会话表及Server-map表。

2 负载均衡模式：同一时间，多台防火墙同时转发数据，但每一个防火墙又做为其余防火墙的备用设备，即每一个防火墙是主设备也是备份设备，防火墙之间同步会话表及Server-map表
负载均衡模式下，针对一些流量（如黑色圈流量），FW1是主用设备，Fw2是备用设备，因此该流量默认经过FW1转发，而针对另一些流量（灰色流量），FW2是主设备，FW1是备用设备，因此改流量默认经过FW2转发，FW1又做为（灰色）流量的备用设备，当FW2损坏时，FW1依然能够转发（灰色）流量，同理，FW2也能够在FW1损坏时转发（黑色）流量

• VRRP
  在双机热备技术中，即便选举出了主用设备和备用设备，默认状况下流量也经过主用设备转发，而备用设备处于备份状态
  1.VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）由IETF进行维护，用来解决网关单点故障的路由协议，VRRP能够应用在路由器中提供网关冗余，也能够用在防火墙中作双机热备

（1）VRRP路由器：运行VRRP协议的路由器
（2）虚拟路由器：由一个主用路由器和若干个备用路由器组成的一个备份组，一个备份组，一个备份组对客户端提供一个虚拟网关
（3）VRID：virtual Router ID ，虚拟路由器标识，用来惟一的标识一个备份组
（4）虚拟IP地址：提供给客户端的网关IP地址，也是分配给虚拟路由器的IP地址，在全部的VRRP中配置，只有主用设备提供该IP地址的ARP响应
（5）虚拟MAC地址：基于VRID生成的用于VRRP的MAC地址，在客户端经过ARP协议解析网关的MAC地址时，主用路由器将提供该MAC地址
（6）IP地址拥有者：若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址，那么该成员被称为IP地址拥有者
（7）优先级：用于标识VRRP路由器的优先级，并经过每一个VRRP路由器的优先级选举主用设备及备份设备
（8）抢占模式：在抢占模式下，若是备用路由器的优先级高于备份组中的其余路由器（包括当前的主用路由器），则不会当即成为新的主用路由器
（9）非抢占模式：在非抢占模式下，若是备用路由器的优先级高于备份组中的其余路由器（包括当前的主用路由器），则不会当即成为主用路由器，直到下一次公平选举

• VRRP的工做原理和以前介绍的Cisco的HSRP基本相同，只是在细节上有一些区别

• VRRP是公有协议，而HSRP是Cisco私有协议

• VRRP中虚拟路由器的IP地址能够是成员路由器的IP地址，而HSRP不能够

• VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID，而HSRP的虚拟MAC地址前缀是00-00-0c-07-AC-组号

• VRRP的状态机有三个，而HSRP的状态机包含五个（初始，学习，监听，发言，备份，活动）

• VRRP只有一种报文，HSRP有三个（hello，政变，辞职）

• VRRP不支持接口跟踪，而HSRP支持

1. VRRP的角色
   工做在VRRP模式下的路由器有俩种角色，分别是Master路由器和Backup路由器
   Master路由器：正常状况下由Master路由器负责ARP响应及提供数据包的转发，而且默认每一个1s向其余路由器通告Master路由器当前的状态信息

Backup路由器：是Master路由器的备用路由器，正常状况下不提供数据包的转发，当Master路由器故障时，在全部的Backup路由器中优先级最高的路由器将成为新的Master路由器，接替转发数据包的工做，从而保证业务不中断
2.VRRP的状态机
VRRP定义了三种工做状态，分别是
Initalize状态，Master状态，Backup状态

3.VRRP的工做原理
VRRP选举Master路由器和Backup路由器的流程以下
首先选举优先级的设备成为Master路由器，若是路由器相同，再比较接口的IP地址大小，IP地址大（数值大）的设备将成为Master路由器，而备份组中的其余路由器将成为Backup路由器

• VGMP
  工做原理
  
  VGMP的工作原理表现以下：

1.VGMP的状态决定了VRRP备份组的状态，即设备的角色（Master和Backup）再也不经过VRRP报文选举，而是经过VGMP赞成管理

2.VGMP的状态经过比较优先级决定，优先级高的VGMP将成为Active，优先级低的VGMP组成为Standby

3.默认状况下，VGMP组的优先级为45000

4.VGMP根据组内VRRP备份组的状态自动调整优先级，一旦检测到备份组的状态变成Initialize

5.VGMP经过心跳线协商VGMP状态信息

VGMP的工做原理

• 双机热备的备份方式

1.自动备份：该模式下，和双机热备相关的配置命令只能在主用路由器设备上配置，并自动同步到备用设备中，主用设备自动将状态信息同步到备用设备中
2.手工批量备份：主用设备上全部的配置命令和状态信息，只有在手工执行批量备份命令时才会同步到备用设备
3.快速备份：不一样步配置命令，只同步状态信息

开启双机热备功能

配置自动模式备份

开启双机热备后，执行能够同步的命令时会有（+B）的提示

配置快速备份命令

案例以下：

1.配置IP略（路由器配置一条默认路由，下一跳为虚拟IP的10.1.1.100 ，PC1网关为下游的虚拟IP192.168.1.100）
ip route-static 0.0.0.0 0.0.0.0 10.1.1.100
2.接口加入到安全区域并配置安全策略（FW1和FW2配置同样）

3.配置VRRP备份组（FW1与FW2配置）

FW2配置

4.配置心跳接口

5.启用双机热备

6.配置备份方式

FW1配置以下

FW2配置以下

7.配置检查及检查

查看双机热备的状态信息

查看心跳接口状态

在PC1上ping路由器R1

能够ping IP地址 -t 一直ping 而后把FW1的 g0/1/2 口shudown掉，会发现ping的过程当中丢掉了俩个包

也能够查看安全规则及会话表

!!!!!!!!!!!!!!!!!!!!!!!!!