一、何為雙機熱備？

所謂的雙機熱備無非就是以7X24小時不中斷的為企業提供服務為目的，各種雙機熱備的技術很多，那麼華為使用了這個共有協議的熱備協議——VRRP。

華為的雙機熱備是通過部署兩台或多台防火牆實現熱備及負載均衡，兩台防火牆相互協同工作，猶如一個更大的防火牆。

華為防火牆的雙機熱備包含以下兩種模式：

• 熱備模式：同一時間隻有一台防火牆轉發數據，其他防火牆不轉發，但是會同步會話表及server-map表，當目前工作的防火牆宕機以後，備份防火牆接替轉發數據的工作。
• 負載均衡模式：同一時間内，多台防火牆同時轉發數據，并且互為備份，每個防火牆既是主設備，也是備用設備。防火牆之間同步會話表及server-map表。

二、VRRP的概念

VRRP（virtual router redundancy protocol，虛拟路由冗餘協議），用來解決網關單點故障的路由協議。VRRP可以應用在路由器中提供網關冗餘，也可以用在防火牆中做雙機熱備。

VRRP的相關專業術語介紹：

• VRRP路由器：運行VRRP協議的路由器。
• 虛拟路由器：由一個主用路由器和若幹個備用路由器組成一個備份組，一個備份組對客戶端提供一個虛拟網關。
• VRID：虛拟路由器标識，用來唯一的标識一個備份組。
• 虛拟IP地址：提供給客戶端的網關地址，也是分配給虛拟路由器的IP地址，在所有的VRRP中配置，隻有主用設備提供該IP地址的ARP響應。
• 虛拟MAC地址：基于VRID生成的用于VRRP的MAC地址，在客戶端通過ARP協議解析網關的MAC地址時，主用路由器将提供該MAC地址。
• IP地址擁有者：若将虛拟路由器的IP地址配置為某個成員物理接口的真實IP地址，那麼該成員被稱為IP地址擁有者。
• 優先級：用于标識VRRP路由器的優先級，并通過每個VRRP路由器的優先級選舉主用設備及備用設備。
• 搶占模式：在搶占模式下，如果備用路由器的優先級高于備份組中其他路由器（包括當前的主用路由器），則将立即成為新的主用路由器。
• 非搶占模式：在非搶占模式下，如果備用路由器的優先級高于備份組中其他路由器（包括當前的主用路由器），也不會立即成為主用路由器，直到下一次公平選舉（如重啟設備等）。

三、VRRP的兩種角色

工作在VRRP模式下的路由器有兩種角色，分别是Master路由器和Backup路由器。

• Master路由器：正常情況下由Master路由器負責ARP響應及提供數據包的轉發，并且默認每隔1s向其他路由器通告Master路由器當前狀态信息。
• Backup路由器：是Master路由器的備用路由器，正常情況下不提供數據包的轉發，當master路由器故障時，在所有的Backup路由器中優先級最高的路由器将成為新的master路由器，接替轉發數據包的工作，從而保證業務不中斷。

四、VRRP的選舉流程

VRRP選舉master路由器和backup路由器的流程如下：

首先選舉優先級高的設備成為master路由器，如果優先級相同，再比較接口的IP地址大小，IP地址大（數值大）的設備将成為master路由器，而備份組中其他的路由器将成為backup路由器。

從上圖中可以看出，正常情況下PC去往外部網絡的數據包通過備份組1的master設備（FW1）轉發，外部網絡返回的數據包由備份組2的master設備（FW1）轉發，但是當FW1的G1/0/0接口出現故障時，備份組1可以檢測到這一故障，并将FW2作為備份組1的master設備。PC發起的數據包由備份組1的master設備（FW2）進行轉發，而備份組2的狀态沒有發生任何改變（FW1的G1/0/1接口正常工作），所以由外部網絡返回的流量仍然由備份組2的master設備（FW1轉發），顯然，因為FW1的接口G1/0/0故障，數據包無法繼續轉發。

造成這種現象的原因就是兩個VRRP備份組獨立工作，所以需要使用VGMP（VRRP組管理協議）來實現對VRRP備份組的統一管理，以保證設備在各個備份組中的狀态一緻。VGMP通過在設備（FW1和FW2）上将所有的備份組（備份組1和備份組2）加入一個VGMP組中進行統一管理，一旦檢測到某個備份組（備份組1）中的接口發生變化（如接口進入Initialize狀态），VGMP組将自身優先級減2，并重新協商VGMP的Active組和standby組。選舉出的Active組将所有的其他備份組（備份組1和備份組2）統一進行狀态切換（備份組1和備份組2中的FW2将成為master設備）。

可以簡單理解為，VGMP就是用來統一設備在不同備份組中的狀态的即可。

VGMP的工作原理如下：

• VGMP組的狀态決定了VRRP備份組的狀态，即設備的角色（如master和backup）不再通過VRRP報文選舉，而是直接通過VGMP統一管理。
• VGMP組的狀态通過比較優先級決定，優先級高的VGMP組将成為Active，優先級低的VGMP組将成為standby。
• 默認情況下，VGMP組的優先級為45000。
• VGMP根據組内VRRP備份組的狀态自動調整優先級，一旦檢測到備份組的狀态變成Initialize狀态，VGMP組的優先級會自動減2。
• VGMP通過心跳線協商VGMP狀态信息。

在加入VGMP組之後，VRRP中的狀态标識從master和backup變成了active和standby。

1、VGMP的報文封裝

VGMP通過心跳線協商VGMP的狀态信息，通過發送VGMP報文實現。VGMP報文有以下兩種形式：

如上圖中左邊的網絡圖中，心跳線（G1/0/0）和對端的心跳線直連，或者通過二層交換機相連時，發送的報文屬于組播報文，報文封裝中不攜帶UDP頭部信息，而當心跳線通過三層設備（當然這種情況并不多見）連接時，因為組播報文無法通過三層設備，所以在報文封裝中會額外增加一個UDP頭部消息，此時發送的報文屬于單播。

通過以下命令指定通過接口發送的報文屬于哪種類型的封裝。

[USG6000V1]hrp interface GigabitEthernet 1/0/0 <!--eNSP模拟器中不支持該配置--> [USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1 <!--hrp命令用來指定用于心跳鍊路的接口編号， 1.1.1.1是心跳線對端接口的IP地址，該地址要求路由可達， 帶remote參數的命令将封裝UDP，并發送單播報文不帶remote參數将發送組播報文-->

關于配置VGMP的其他注意事項：

• 加入了VGMP後，心跳線的作用包含狀态信息備份（會話表和server-map表）及VGMP狀态協商。
• 華為防火牆在默認情況下放行組播流量（如不帶remote參數的VGMP報文）禁止單播流量（如帶remote參數的VGMP報文），所以如果配置了remote參數，還需要配置local區域和心跳線接口所在的區域之間配置安全策略。
• 配置了VRRP virtual-mac enable的接口不能作為心跳口。
• 如果使用二層接口作為心跳接口，不能直接在二層接口上配置，而是将二層接口加入vlan，在vlan中配置心跳接口。
• eNSPoint模拟器中，即使心跳接口之間相連，也必須配置remote參數，否則無法配置。

2、雙機熱備的備份方式

雙機熱備的備份方式包括以下三種：

• 自動備份：該模式下，和雙機熱備有關的配置隻能在主用設備上配置，并自動同步到備用設備中，主用設備自動将狀态信息同步到備用設備中。
• 手工批量備份：該模式下，主用設備上所有的配置命令和狀态信息，隻有在手工執行批量備份命令時才會自動同步到備用設備。該模式主要應用于主設備和備用設備配置不同步，需要立即進行同步的場景。
• 快速備份：該模式下，不同步配置命令，隻同步狀态信息，在負載均衡方式的雙機熱備環境中，該默認必須啟用，以快速更新狀态信息。

各個模式的配置命令如下：

（1）開啟雙機熱備功能：

[USG6000V1]hrp enable HRP_S[USG6000V1] <!--開啟雙機熱備功能後，命令提示符發生變化-->

（2）配置自動備份模式：

HRP_M[USG6000V1]hrp auto-sync HRP_M[USG6000V1]security-policy ( B) <!--開啟雙機熱備後，執行可以同步的命令會有（ B）的提示-->

（3）配置手工批量備份模式：

HRP_M<USG6000V1>hrp sync [ config | connection-status ] <!-- 在用戶模式下執行該命令，其中config參數表示手工同步命令配置， connection-status參數表示手工同步狀态信息。 -->

（4）配置快速備份模式：

HRP_S[USG6000V1]hrp mirror session enable HRP_M[USG6000V1] <!--配置快速備份模式後，開頭會變成HRP_M.....-->

3、關于上遊或下遊設備的選路問題

當雙機熱備的設備上遊或下遊是交換機時，是通過VRRP檢測接口或設備的狀态，但當上遊或下遊設備是路由器時，VRRP無法正常運行（VRRP依靠組播實現故障切換）。華為防火牆的做法是監控其接口狀态，并配置OSPF實現流量切換，通過直接将接口加入VGMP組中，當接口故障時（即使是對端設備故障，本端接口的物理特性也将關閉）VGMP會感知接口狀态變化，從而降低VGMP組的優先級，從Active狀态切換至standby狀态。而之前的standby組将提升為active狀态，而處于standby的VGMP組在發布OSPF路由時，會自動将cost值增加65500，通過OSPF的自動收斂，最終将流量引導至active組設備中。

七、配置實例

環境如下（别看上面啰嗦了那麼一堆概念，但真正配置起來，簡單的很，但是若要排錯，還是要理解透徹它的工作原理）：

聲明：該環境不以實際環境為目的，目的是為了介紹防火牆的雙機熱備，所以這是一個簡化環境。

需求如下：

LSW1和LSW2是二層交換機，FW1、FW2、LSW1、LSW2組成雙機熱備網絡，正常情況下，PC1發起的訪問R1的流量通過FW1轉發，當FW1出現故障時，在PC1不做任何調整的前提下，可以自動通過FW2轉發。

開始配置：

FW1配置如下：

<USG6000V1>sys <!--進入系統視圖--> <!--以下是在配置相應接口IP--> [USG6000V1]in g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.101 24 [USG6000V1-GigabitEthernet1/0/0]in g1/0/1 [USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.1 24 [USG6000V1-GigabitEthernet1/0/1]in g1/0/2 [USG6000V1-GigabitEthernet1/0/2]ip add 192.168.1.101 24 [USG6000V1-GigabitEthernet1/0/2]quit <!--以下是在将接口添加至相應區域--> [USG6000V1]firewall zone trust [USG6000V1-zone-trust]add in g1/0/2 [USG6000V1-zone-trust]firewall zone dmz [USG6000V1-zone-dmz]add in g1/0/1 [USG6000V1-zone-dmz]firewall zone untrust [USG6000V1-zone-untrust]add in g1/0/0 [USG6000V1-zone-untrust]quit <!--以下是設置一個策略，放行本地到dmz區域的流量，以便使VGMP報文通過--> [USG6000V1]security-policy [USG6000V1-policy-security]rule name permit_heat [USG6000V1-policy-security-rule-permit_heat]source-zone local [USG6000V1-policy-security-rule-permit_heat]destination-zone dmz [USG6000V1-policy-security-rule-permit_heat]action permit [USG6000V1-policy-security-rule-permit_heat]quit [USG6000V1-policy-security]quit <!--其實在配置完雙機熱備再配置該策略也可以，但是為了保險起見，就先配置上這個策略--> <!--以下是在配置VRRP備份組--> [USG6000V1]in g1/0/0 [USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active [USG6000V1-GigabitEthernet1/0/0]in g1/0/2 [USG6000V1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 active [USG6000V1-GigabitEthernet1/0/2]quit [USG6000V1]hrp in g1/0/1 remote 172.16.1.2 <!--配置心跳接口，指定對端設備--> [USG6000V1]hrp enable <!--啟用雙機熱備--> HRP_S[USG6000V1]hrp auto-sync <!--配置備份方式為自動備份-->

至此，FW1的配置暫時就完成了。開始配置FW2，FW2的配置與FW1的配置類似，就不寫注釋了（體諒一下我這個懶貨）。

FW2配置如下：

<USG6000V1>sys [USG6000V1]in g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.102 24 [USG6000V1-GigabitEthernet1/0/0]in g1/0/1 [USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.2 24 [USG6000V1-GigabitEthernet1/0/1]in g1/0/2 [USG6000V1-GigabitEthernet1/0/2]ip add 192.168.1.102 24 [USG6000V1-GigabitEthernet1/0/2]quit [USG6000V1]firewall zone trust [USG6000V1-zone-trust]add in g1/0/2 [USG6000V1-zone-trust]firewall zone untrust [USG6000V1-zone-untrust]add in g1/0/0 [USG6000V1-zone-untrust]firewall zone dmz [USG6000V1-zone-dmz]add in g1/0/1 [USG6000V1-zone-dmz]quit [USG6000V1]security-policy [USG6000V1-policy-security]rule name permit_heat [USG6000V1-policy-security-rule-permit_heat]source-zone local [USG6000V1-policy-security-rule-permit_heat]destination-zone dmz [USG6000V1-policy-security-rule-permit_heat]action permit [USG6000V1-policy-security-rule-permit_heat]quit [USG6000V1-policy-security]quit [USG6000V1]in g1/0/0 [USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby [USG6000V1-GigabitEthernet1/0/0]in g1/0/2 [USG6000V1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 standby [USG6000V1-GigabitEthernet1/0/2]quit [USG6000V1]hrp in g1/0/1 remote 172.16.1.1 [USG6000V1]hrp enable HRP_S[USG6000V1]hrp auto-sync

配置至此，雙機熱備狀态已經同步了，現在FW2為備份狀态，多數配置已經無法在FW2上進行，隻能在FW1上配置後，自動同步到FW2，那麼現在在FW1配置一條策略，以便允許trust區域訪問untrust區域，并且在FW2防火牆設備上查看是否同步到這條策略。

FW1配置如下：

<!--可以看到每條命令後面自動跟一個“（ B），表示該命令可以同步。”--> HRP_M[USG6000V1]security-policy ( B) HRP_M[USG6000V1-policy-security]rule name test1 ( B) HRP_M[USG6000V1-policy-security-rule-test1]source-zone trust ( B) HRP_M[USG6000V1-policy-security-rule-test1]destination-zone untrust ( B) HRP_M[USG6000V1-policy-security-rule-test1]action permit ( B) HRP_M[USG6000V1-policy-security-rule-test1]quit HRP_M[USG6000V1-policy-security]quit

FW2設備上查看是否有FW1創建的策略：

HRP_S[USG6000V1]security-policy <!--抱歉，備份設備已經進不去安全策略模式了--> Error: The device is in HRP standby state, so this command can not be executed. HRP_S[USG6000V1]dis current-configuration <!--别擔心，還可以查看當前所有策略嘛--> ...................... <!--省略部分内容--> security-policy rule name permit_heat source-zone local destination-zone dmz action permit rule name test1 <!--可以看到剛才創建的名為test1策略已經同步過來了--> source-zone trust destination-zone untrust action permit

配置R1路由器及PC及的IP地址，并ping通。

R1路由器配置如下（R1路由器相當于運營商的公網上的路由器了，這裡隻是為了模拟一個這樣的環境）：

<Huawei>sys [Huawei]in g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 10.1.1.1 24 [Huawei-GigabitEthernet0/0/0]quit [Huawei]ip route-static 192.168.1.0 24 10.1.1.100 <!-- 添加一條去往内網的路由，在實際環境中，可是不會有這條路由的哦， 實際中一般會将内網的地址映射為和該路由器同一網段的公網IP。 -->

PC1的IP地址配置如下：

PC1和R1路由器進行ping測試（最好在命令最後加“-t”選項，進行持續ping，以便查看會話表，否則會話表會老化，查不到相應數據）：

在FW1查看會話表：

HRP_M[USG6000V1]dis firewall session table Current Total Sessions : 24 icmp ×××: public --> public 192.168.1.1:17547 --> 10.1.1.1:2048 icmp ×××: public --> public 192.168.1.1:18059 --> 10.1.1.1:2048 icmp ×××: public --> public 192.168.1.1:14987 --> 10.1.1.1:2048

在FW2查看會話表：

HRP_S[USG6000V1]dis firew se ta Current Total Sessions : 26 icmp ×××: public --> public Remote 192.168.1.1:9099 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:9611 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:10891 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:12171 --> 10.1.1.1:2048

可以看出兩個防火牆上的會話表内容都是不一樣的（但不會影響故障切換）。

那麼現在就可以進行故障切換的驗證咯！

模拟FW1設備故障（關閉FW1的任意一個接口即可，注：此時PC1還在持續pingR1，才可以看到故障切換的效果）：

HRP_M[USG6000V1]in g1/0/0 ( B) HRP_M[USG6000V1-GigabitEthernet1/0/0]shutdown <!--“shutdown”命令系統是不會同步到對端防火牆的，要不然就沒得玩了， 你看它後面都沒有 ( B)-->

在關閉接口的後的一兩秒鐘，可以看到PC1丢了一個包，便又恢複正常了，說明故障切換成功。如下：

配置到此結束，下面是關于雙機熱備的一些查詢命令：

<!--查看雙機熱備的狀态信息，主要看是Role和peer的信息， Role表示本端，peer表示對端。 Running priority表示本端的優先級，peer表示對端的優先級。 --> HRP_S[USG6000V1]display hrp state Role: standby, peer: active (should be "active-standby") Running priority: 44998, peer: 45000 ...................... <!--省略部分内容--> HRP_S[USG6000V1]dis hrp interface <!--查看心跳接口狀态--> GigabitEthernet1/0/1 : running

八、總結

1、兩台防火牆用于心跳線的接口需要加入相同的安全區域。

2、兩台防火牆用于心跳線的接口的編号必須一緻，如都是G1/0/1。

3、建議用于雙機熱備的兩台防火牆采用相同的型号，相同的VRP版本。連接同一個設備（路由器或交換機）都使用同一個接口編号。

4、當熱備組中的設備壞掉後，買來新的設備進行加入熱備組時，在配置時，原來壞掉的那台設備在VGMP中配置的是active，哪怕現在備份組中有設備處于active狀态，新買來的設備必須也配置active狀态，否則無法協商。如在上面環境中，FW1配置時配置為active狀态，然後FW1設備down掉了，此時FW2由standby狀态變為active狀态，那麼，此時再買來一台FW3想要重新加入備份組，在配置時，須配置為active。如該條命令：vrrp vrid 1 virtual-ip 192.168.1.100 active。不過還有個弊端，就是配置後，新買的FW3變成了active狀态，但是FW2上有很多安全策略及會話表就同步不過來了，因為隻有備份設備去同步活躍設備，活躍設備是不會去同步備份設備的狀态的，所以，更省事的方法，還是先将FW2重新使用vrrp vrid 1 virtual-ip 192.168.1.100 active這條命令，将原始的狀态變為active狀态，然後在配置FW3時，直接将FW3配置為standby狀态，便可同步成功。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部