華爲防火牆雙機熱備（詳細介紹VRRP，VGMP）

一.雙機熱備的工作原理
華爲的雙機熱備是通過部署倆臺或多臺防火牆實現熱備及負載均衡，倆臺防火牆相互協同工作，猶如一個更大的防火牆

• 雙機熱備概述
  隨着互聯網的發展，人們生活中的大多數問題可以通過網絡解決，但與此同時，網絡安全問題也逐漸暴露出來。
• 華爲防火牆的雙機熱備包含以下倆種模式

1.熱備模式：同一時間只有一臺防火牆轉發數據包，其他防火牆不轉發數據包，但是會同步會話表及Server-map表。

2 負載均衡模式：同一時間，多臺防火牆同時轉發數據，但每個防火牆又作爲其他防火牆的備用設備，即每個防火牆是主設備也是備份設備，防火牆之間同步會話表及Server-map表
負載均衡模式下，針對一些流量（如黑色圈流量），FW1是主用設備，Fw2是備用設備，所以該流量默認通過FW1轉發，而針對另外一些流量（灰色流量），FW2是主設備，FW1是備用設備，所以改流量默認通過FW2轉發，FW1又作爲（灰色）流量的備用設備，當FW2損壞時，FW1依然可以轉發（灰色）流量，同理，FW2也可以在FW1損壞時轉發（黑色）流量

• VRRP
  在雙機熱備技術中，即使選舉出了主用設備和備用設備，默認情況下流量也通過主用設備轉發，而備用設備處於備份狀態
  1.VRRP（Virtual Router Redundancy Protocol，虛擬路由冗餘協議）由IETF進行維護，用來解決網關單點故障的路由協議，VRRP可以應用在路由器中提供網關冗餘，也可以用在防火牆中做雙機熱備

（1）VRRP路由器：運行VRRP協議的路由器
（2）虛擬路由器：由一個主用路由器和若干個備用路由器組成的一個備份組，一個備份組，一個備份組對客戶端提供一個虛擬網關
（3）VRID：virtual Router ID ，虛擬路由器標識，用來唯一的標識一個備份組
（4）虛擬IP地址：提供給客戶端的網關IP地址，也是分配給虛擬路由器的IP地址，在所有的VRRP中配置，只有主用設備提供該IP地址的ARP響應
（5）虛擬MAC地址：基於VRID生成的用於VRRP的MAC地址，在客戶端通過ARP協議解析網關的MAC地址時，主用路由器將提供該MAC地址
（6）IP地址擁有者：若將虛擬路由器的IP地址配置爲某個成員物理接口的真實IP地址，那麼該成員被稱爲IP地址擁有者
（7）優先級：用於標識VRRP路由器的優先級，並通過每個VRRP路由器的優先級選舉主用設備及備份設備
（8）搶佔模式：在搶佔模式下，如果備用路由器的優先級高於備份組中的其他路由器（包括當前的主用路由器），則不會立即成爲新的主用路由器
（9）非搶佔模式：在非搶佔模式下，如果備用路由器的優先級高於備份組中的其他路由器（包括當前的主用路由器），則不會立即成爲主用路由器，直到下一次公平選舉

• VRRP的工作原理和之前介紹的Cisco的HSRP基本相同，只是在細節上有一些區別

• VRRP是公有協議，而HSRP是Cisco私有協議

• VRRP中虛擬路由器的IP地址可以是成員路由器的IP地址，而HSRP不可以

• VRRP的虛擬MAC地址前綴是00-00-5e-00-01-VRID，而HSRP的虛擬MAC地址前綴是00-00-0c-07-AC-組號

• VRRP的狀態機有三個，而HSRP的狀態機包含五個（初始，學習，監聽，發言，備份，活動）

• VRRP只有一種報文，HSRP有三個（hello，政變，辭職）

• VRRP不支持接口跟蹤，而HSRP支持

1. VRRP的角色
   工作在VRRP模式下的路由器有倆種角色，分別是Master路由器和Backup路由器
   Master路由器：正常情況下由Master路由器負責ARP響應及提供數據包的轉發，並且默認每個1s向其他路由器通告Master路由器當前的狀態信息

Backup路由器：是Master路由器的備用路由器，正常情況下不提供數據包的轉發，當Master路由器故障時，在所有的Backup路由器中優先級最高的路由器將成爲新的Master路由器，接替轉發數據包的工作，從而保證業務不中斷
2.VRRP的狀態機
VRRP定義了三種工作狀態，分別是
Initalize狀態，Master狀態，Backup狀態

3.VRRP的工作原理
VRRP選舉Master路由器和Backup路由器的流程如下
首先選舉優先級的設備成爲Master路由器，如果路由器相同，再比較接口的IP地址大小，IP地址大（數值大）的設備將成爲Master路由器，而備份組中的其他路由器將成爲Backup路由器

• VGMP
  工作原理
  
  VGMP的工做原理表現如下：

1.VGMP的狀態決定了VRRP備份組的狀態，即設備的角色（Master和Backup）不再通過VRRP報文選舉，而是通過VGMP同意管理

2.VGMP的狀態通過比較優先級決定，優先級高的VGMP將成爲Active，優先級低的VGMP組成爲Standby

3.默認情況下，VGMP組的優先級爲45000

4.VGMP根據組內VRRP備份組的狀態自動調整優先級，一旦檢測到備份組的狀態變成Initialize

5.VGMP通過心跳線協商VGMP狀態信息

VGMP的工作原理

• 雙機熱備的備份方式

1.自動備份：該模式下，和雙機熱備相關的配置命令只能在主用路由器設備上配置，並自動同步到備用設備中，主用設備自動將狀態信息同步到備用設備中
2.手工批量備份：主用設備上所有的配置命令和狀態信息，只有在手工執行批量備份命令時纔會同步到備用設備
3.快速備份：不同步配置命令，只同步狀態信息

開啓雙機熱備功能

配置自動模式備份

開啓雙機熱備後，執行可以同步的命令時會有（+B）的提示

配置快速備份命令

案例如下：

1.配置IP略（路由器配置一條默認路由，下一跳爲虛擬IP的10.1.1.100 ，PC1網關爲下游的虛擬IP192.168.1.100）
ip route-static 0.0.0.0 0.0.0.0 10.1.1.100
2.接口加入到安全區域並配置安全策略（FW1和FW2配置一樣）

3.配置VRRP備份組（FW1與FW2配置）

FW2配置

4.配置心跳接口

5.啓用雙機熱備

6.配置備份方式

FW1配置如下

FW2配置如下

7.配置檢查及檢查

查看雙機熱備的狀態信息

查看心跳接口狀態

在PC1上ping路由器R1

可以ping IP地址 -t 一直ping 然後把FW1的 g0/1/2 口shudown掉，會發現ping的過程中丟掉了倆個包

也可以查看安全規則及會話表

!!!!!!!!!!!!!!!!!!!!!!!!!