簡介：VGMP（VRRP組管理協議）用來實現VRRP備份組的統一管理，以保證設備在各個備份組中的狀态一緻性。VGMP通過在設備（FW-1和FW-2）上将所有的備份組（備份組1和備份組2）加入一個VGMP組中進行統一管理，一旦檢測到某個備份組（備份組1）中的狀态變化（如接口進入Initialize狀态），VGMP組将自身優先級減2，并重新協商VGMP的Active組和Standby組。選舉出的Active組将所有的其他備份組（備份組1和備份組2）統一進行狀态切換（備份組1和備份組2中的FW-2将成為Master設備）。

VGMP組的狀态決定了VRRP備份組的狀态，即設備的角色（如Master和Backup）不再通過VRRP報文選舉，而是直接通過VGMP統一管理；VGMP組的狀态通過比較優先級決定，優先級高的VGMP組将成為Active，優先級低的VGMP組将成為Standby；默認情況下，VGMP組的優先級為45000；VGMP根據組内VRRP備份組的狀态自動調整優先級，一旦檢測到備份組的狀态變成Initialize狀态，VGMP組的優先級會自動減2。

本文主要介紹華為防火牆使用VGMP協議配置虛拟IP的過程。詳細内容參考下文。

一、登陸防火牆

二、登陸配置視圖

三、集團的網絡拓撲圖

需求說明：集團兩台防火牆FW的業務接口都工作在三層，上下行分别連接交換機。上行交換機S5735連接路透器AR6300後接入Internet，運營商為企業分配的IP地址為1.1.1.1。下行分别接入核心交換機S7706後連接公司Trust辦公域，另一接口接入交換機S5735連接公司的DMZ服務器域。現在配置兩台FW以雙機熱備的方式工作。正常情況下，FW-1為Master狀态，FW-2為Backup狀态，流量通過FW-1轉發。當FW-1出現故障時，流量通過FW_2轉發，保證業務不中斷。

四、VGMP協議的配置過程

1、開啟雙擊熱備功能

#FW-1防火牆的配置

[FW-1]hrp enable

HRP_S[FW-1] //FW-1的配置命令提示符出現變化

#FW-2防火牆的配置

[FW-2]hrp enable

HRP_S[FW-2] //FW-2的配置命令提示符出現變化

2、配置自動備份模式

#FW-1防火牆的配置

HRP_S[FW-1]hrp auto-sync //FW-1配置自動備份

#FW-2防火牆的配置

HRP_S[FW-2] hrp auto-sync //FW-2配置自動備份

3、配置VRRP備份組

#在Trust域配置VRRP備份組2

#FW-1防火牆的配置

[FW-1] interface XGigabitEthernet 0/0/0

[FW-1-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 active

[FW-1-XGigabitEthernet0/0/0] quit

#FW_2防火牆的配置

[FW-2] interface XGigabitEthernet 0/0/0

[FW-2-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 standby

[FW-2-XGigabitEthernet0/0/0] quit

備注：在接口XGigabitEthernet 0/0/0下配置虛拟IP地址172.17.1.1。

#在DMZ域配置VRRP備份組3

#FW-1防火牆的配置

[FW-1] interface GigabitEthernet 0/0/1

[FW-1-GigabitEthernet0/0/1] vrrp vrid 3 virtual-ip 172.16.1.1 active

[FW-1-GigabitEthernet0/0/1] quit

#FW-2防火牆的配置

[FW-2] interface GigabitEthernet 0/0/1

[FW-2-GigabitEthernet0/0/1] vrrp vrid 3 virtual-ip 172.16.1.1 standby

[FW-2-GigabitEthernet0/0/1] quit

備注：在接口GigabitEthernet 0/0/1下配置虛拟IP地址172.16.1.1。

#在Untrust域配置VRRP備份組4

#FW-1防火牆的配置

[FW-1] interface GigabitEthernet 0/0/0

[FW-1-GigabitEthernet0/0/0] vrrp vrid 4 virtual-ip 1.1.1.1 24 active

[FW-1-GigabitEthernet0/0/0] quit

#FW-2防火牆的配置

[FW-2] interface GigabitEthernet 0/0/0

[FW-2-GigabitEthernet0/0/0] vrrp vrid 4 virtual-ip 1.1.1.1 24 standby

[FW-2-GigabitEthernet0/0/0] quit

備注：在接口GigabitEthernet 0/0/0下配置虛拟IP地址1.1.1.1。

4、指定心跳口并啟用雙機熱備功能

#FW-1防火牆的配置

[FW-1] hrp interface XGigabitEthernet 0/0/1 remote 10.10.0.2

[FW-1] hrp enable

#FW-2防火牆的配置

[FW-2] hrp interface XGigabitEthernet 0/0/1 remote 10.10.0.1

[FW-2] hrp enable

五、配置檢查及驗證

1、查看雙機熱備的狀态信息

執行指令display hrp state

2、查看心跳接口狀态

執行指令display hrp interface

3、查看VRRP組内所有接口的狀态

執行指令display vrrp

4、查看VRRP組内某一接口的狀态

執行指令display vrrp interface XGigabitEthernet 0/0/0

5、檢查當前VGMP組的狀态

執行指令display hrp state verbose

6、查看VGMP組的優先級和狀态

執行指令display hrp state

說明事項：

（1）、Running priority: 44996, peer: 44995：本端和對端的VGMP組優先級。“Running priority”表示本端VGMP組優先級。“peer”表示對端VGMP組優先級。

（2）、Last state change information：本端VGMP組最後一次狀态切換的相關信息。old_state是VGMP組的曆史狀态。new_state是VGMP組的當前狀态。old_state和new_state可能有如下取值：

•initial：表示VGMP組狀态為initialize。

•normal：表示VGMP組狀态為load-balance。

•abnormal(standby)：表示VGMP組狀态為standby。

•abnormal(active)：表示VGMP組狀态為active。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!