華為防火墻雙機(jī)熱備（詳細(xì)介紹VRRP，VGMP）

一.雙機(jī)熱備的工作原理
華為的雙機(jī)熱備是通過部署倆臺(tái)或多臺(tái)防火墻實(shí)現(xiàn)熱備及負(fù)載均衡，倆臺(tái)防火墻相互協(xié)同工作，猶如一個(gè)更大的防火墻

• 雙機(jī)熱備概述
  隨著互聯(lián)網(wǎng)的發(fā)展，人們生活中的大多數(shù)問題可以通過網(wǎng)絡(luò)解決，但與此同時(shí)，網(wǎng)絡(luò)安全問題也逐漸暴露出來(lái)。
• 華為防火墻的雙機(jī)熱備包含以下倆種模式

1.熱備模式：同一時(shí)間只有一臺(tái)防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包，其他防火墻不轉(zhuǎn)發(fā)數(shù)據(jù)包，但是會(huì)同步會(huì)話表及Server-map表。

2 負(fù)載均衡模式：同一時(shí)間，多臺(tái)防火墻同時(shí)轉(zhuǎn)發(fā)數(shù)據(jù)，但每個(gè)防火墻又作為其他防火墻的備用設(shè)備，即每個(gè)防火墻是主設(shè)備也是備份設(shè)備，防火墻之間同步會(huì)話表及Server-map表
負(fù)載均衡模式下，針對(duì)一些流量（如黑色圈流量），F(xiàn)W1是主用設(shè)備，F(xiàn)w2是備用設(shè)備，所以該流量默認(rèn)通過FW1轉(zhuǎn)發(fā)，而針對(duì)另外一些流量（灰色流量），F(xiàn)W2是主設(shè)備，F(xiàn)W1是備用設(shè)備，所以改流量默認(rèn)通過FW2轉(zhuǎn)發(fā)，F(xiàn)W1又作為（灰色）流量的備用設(shè)備，當(dāng)FW2損壞時(shí)，F(xiàn)W1依然可以轉(zhuǎn)發(fā)（灰色）流量，同理，F(xiàn)W2也可以在FW1損壞時(shí)轉(zhuǎn)發(fā)（黑色）流量

• VRRP
  在雙機(jī)熱備技術(shù)中，即使選舉出了主用設(shè)備和備用設(shè)備，默認(rèn)情況下流量也通過主用設(shè)備轉(zhuǎn)發(fā)，而備用設(shè)備處于備份狀態(tài)
  1.VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）由IETF進(jìn)行維護(hù)，用來(lái)解決網(wǎng)關(guān)單點(diǎn)故障的路由協(xié)議，VRRP可以應(yīng)用在路由器中提供網(wǎng)關(guān)冗余，也可以用在防火墻中做雙機(jī)熱備

（1）VRRP路由器：運(yùn)行VRRP協(xié)議的路由器
（2）虛擬路由器：由一個(gè)主用路由器和若干個(gè)備用路由器組成的一個(gè)備份組，一個(gè)備份組，一個(gè)備份組對(duì)客戶端提供一個(gè)虛擬網(wǎng)關(guān)
（3）VRID：virtual Router ID ，虛擬路由器標(biāo)識(shí)，用來(lái)唯一的標(biāo)識(shí)一個(gè)備份組
（4）虛擬IP地址：提供給客戶端的網(wǎng)關(guān)IP地址，也是分配給虛擬路由器的IP地址，在所有的VRRP中配置，只有主用設(shè)備提供該IP地址的ARP響應(yīng)
（5）虛擬MAC地址：基于VRID生成的用于VRRP的MAC地址，在客戶端通過ARP協(xié)議解析網(wǎng)關(guān)的MAC地址時(shí)，主用路由器將提供該MAC地址
（6）IP地址擁有者：若將虛擬路由器的IP地址配置為某個(gè)成員物理接口的真實(shí)IP地址，那么該成員被稱為IP地址擁有者
（7）優(yōu)先級(jí)：用于標(biāo)識(shí)VRRP路由器的優(yōu)先級(jí)，并通過每個(gè)VRRP路由器的優(yōu)先級(jí)選舉主用設(shè)備及備份設(shè)備
（8）搶占模式：在搶占模式下，如果備用路由器的優(yōu)先級(jí)高于備份組中的其他路由器（包括當(dāng)前的主用路由器），則不會(huì)立即成為新的主用路由器
（9）非搶占模式：在非搶占模式下，如果備用路由器的優(yōu)先級(jí)高于備份組中的其他路由器（包括當(dāng)前的主用路由器），則不會(huì)立即成為主用路由器，直到下一次公平選舉

• VRRP的工作原理和之前介紹的Cisco的HSRP基本相同，只是在細(xì)節(jié)上有一些區(qū)別

• VRRP是公有協(xié)議，而HSRP是Cisco私有協(xié)議

• VRRP中虛擬路由器的IP地址可以是成員路由器的IP地址，而HSRP不可以

• VRRP的虛擬MAC地址前綴是00-00-5e-00-01-VRID，而HSRP的虛擬MAC地址前綴是00-00-0c-07-AC-組號(hào)

• VRRP的狀態(tài)機(jī)有三個(gè)，而HSRP的狀態(tài)機(jī)包含五個(gè)（初始，學(xué)習(xí)，監(jiān)聽，發(fā)言，備份，活動(dòng)）

• VRRP只有一種報(bào)文，HSRP有三個(gè)（hello，政變，辭職）

• VRRP不支持接口跟蹤，而HSRP支持

1. VRRP的角色
   工作在VRRP模式下的路由器有倆種角色，分別是Master路由器和Backup路由器
   Master路由器：正常情況下由Master路由器負(fù)責(zé)ARP響應(yīng)及提供數(shù)據(jù)包的轉(zhuǎn)發(fā)，并且默認(rèn)每個(gè)1s向其他路由器通告Master路由器當(dāng)前的狀態(tài)信息

Backup路由器：是Master路由器的備用路由器，正常情況下不提供數(shù)據(jù)包的轉(zhuǎn)發(fā)，當(dāng)Master路由器故障時(shí)，在所有的Backup路由器中優(yōu)先級(jí)最高的路由器將成為新的Master路由器，接替轉(zhuǎn)發(fā)數(shù)據(jù)包的工作，從而保證業(yè)務(wù)不中斷
2.VRRP的狀態(tài)機(jī)
VRRP定義了三種工作狀態(tài)，分別是
Initalize狀態(tài)，Master狀態(tài)，Backup狀態(tài)

3.VRRP的工作原理
VRRP選舉Master路由器和Backup路由器的流程如下
首先選舉優(yōu)先級(jí)的設(shè)備成為Master路由器，如果路由器相同，再比較接口的IP地址大小，IP地址大（數(shù)值大）的設(shè)備將成為Master路由器，而備份組中的其他路由器將成為Backup路由器

• VGMP
  工作原理
  
  VGMP的工做原理表現(xiàn)如下：

1.VGMP的狀態(tài)決定了VRRP備份組的狀態(tài)，即設(shè)備的角色（Master和Backup）不再通過VRRP報(bào)文選舉，而是通過VGMP同意管理

2.VGMP的狀態(tài)通過比較優(yōu)先級(jí)決定，優(yōu)先級(jí)高的VGMP將成為Active，優(yōu)先級(jí)低的VGMP組成為Standby

3.默認(rèn)情況下，VGMP組的優(yōu)先級(jí)為45000

4.VGMP根據(jù)組內(nèi)VRRP備份組的狀態(tài)自動(dòng)調(diào)整優(yōu)先級(jí)，一旦檢測(cè)到備份組的狀態(tài)變成Initialize

5.VGMP通過心跳線協(xié)商VGMP狀態(tài)信息

VGMP的工作原理

• 雙機(jī)熱備的備份方式

1.自動(dòng)備份：該模式下，和雙機(jī)熱備相關(guān)的配置命令只能在主用路由器設(shè)備上配置，并自動(dòng)同步到備用設(shè)備中，主用設(shè)備自動(dòng)將狀態(tài)信息同步到備用設(shè)備中
2.手工批量備份：主用設(shè)備上所有的配置命令和狀態(tài)信息，只有在手工執(zhí)行批量備份命令時(shí)才會(huì)同步到備用設(shè)備
3.快速備份：不同步配置命令，只同步狀態(tài)信息

開啟雙機(jī)熱備功能

配置自動(dòng)模式備份

開啟雙機(jī)熱備后，執(zhí)行可以同步的命令時(shí)會(huì)有（+B）的提示

配置快速備份命令

案例如下：

1.配置IP略（路由器配置一條默認(rèn)路由，下一跳為虛擬IP的10.1.1.100 ，PC1網(wǎng)關(guān)為下游的虛擬IP192.168.1.100）
ip route-static 0.0.0.0 0.0.0.0 10.1.1.100
2.接口加入到安全區(qū)域并配置安全策略（FW1和FW2配置一樣）

3.配置VRRP備份組（FW1與FW2配置）

FW2配置

4.配置心跳接口

5.啟用雙機(jī)熱備

6.配置備份方式

FW1配置如下

FW2配置如下

7.配置檢查及檢查

查看雙機(jī)熱備的狀態(tài)信息

查看心跳接口狀態(tài)

在PC1上ping路由器R1

可以ping IP地址 -t 一直ping 然后把FW1的 g0/1/2 口shudown掉，會(huì)發(fā)現(xiàn)ping的過程中丟掉了倆個(gè)包

也可以查看安全規(guī)則及會(huì)話表

!!!!!!!!!!!!!!!!!!!!!!!!!