防火墙双机热备（HCIA）

目录

一、冗余分类

1、双机热备的产生

2、热备和冷备

二、VRRP

VRRP注意事项

VRRP通告报文

三、VGMP

两种VGMP组

VGMP优先级

四、HRP

五、双机热备基本组网与配置

配置步骤

---

一、冗余分类

物理冗余：单设备改多设备，多线路连接。

网络冗余：多线路，保障网络冗余性，单条链路挂掉，还能走另一条。

设备冗余：交换机堆叠、关类做双机热备。

链路冗余：线路做链路聚合。

1、双机热备的产生

传统的组网方式，内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障，内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。

双机热备：两台或多台设备解决单台机器的单点故障。

2、热备和冷备

热备：实时备份，业务中断时间短。

冷备：手动备份/离线备份，业务中断时间久，需要人为干预。

二、VRRP

VRRP虚拟路由冗余协议：在一个广播域内将多台路由器的接口，加入同一个逻辑备份组，备份组有一个虚拟IP地址，这个虚拟的IP地址只有主设备会响应。

虚拟MAC：每一个VRRP备份组，都会有自己的虚拟MAC地址。

VRRP注意事项

1、在一个VRRP组中，收到ARP请求，只有主设备会响应这个请求。

2、ARP应答中MAC地址为这个VRRP组中虚拟MAC地址。

3、交换机具备学习的功能，会把接口跟这个虚拟MAC做映射。

4、PC会记录ARP映射表。

5、PC会把这个虚拟MAC地址进行封装后发送。

VRRP通告报文

VRRP通告报文：组播报文224.0.0.18，只有组设备会周期性（1s）在该广播域内发送，3倍hello时间没收到VRRP通告报文，进行VRRP主备切换，备设备切换为主设备，并在该广播域发送免费ARP（检测IP地址是否有冲突，源MAC是【虚拟MAC地址】，交换机本来映射表是虚MAC——>接口1，收到免费ARP后映射表虚MAC——>接口2）。

VRRP技术：在一个广播域内，将不同路由器的多个接口做一个逻辑备份组，这个逻辑备份组有一个虚IP可以给主机做网关，这个虚IP会对应一个虚拟MAC，当三倍hello时间没有收到组播通告报文，备机会切换为主机，并发送免费ARP。

由于VRRP组只在一个广播域，比如路由器上联接口是一个VRRP组，下联接口是另一个VRRP组，R1的下联口发生故障，R2的下联口成为主，上联都没有变化，这样会造成流量来回路径不一致。

VRRP track：将多个接口做逻辑绑定，一个接口故障，会影响绑定组里的其他接口进行优先级降低。

三、VGMP

VGMP（VRRP组管理协议）：将不同的VRRP备份组加入到相同的VGMP管理组，VGMP组内会让关联者状态一致，下边的变为备，上边也变为备，实现同步切换。

两种VGMP组

组名	状态
Active组	Active
Standby组	Standby

启用了VGMP后，VRRP优先级就会失效，不能通过VRRP选举主备，而是VMGP的Active主和Strandby备组决定。

VGMP优先级

（1）、V1：Active优先级65001，Standby优先级65000。

（2）、V5：Active优先级45000，Strandby优先级45000。

优先级高状态为Active，组内有一个VRRP成员故障，会导致这个VGMP优先级下降2，Strandby组的状态就会由Strandby变为Active，会发免费ARP引导流量。

路由器换成防火墙，主备切换会产生问题，由于没有会话同步，流量到备机后，新会话（首包过来并且通过防火墙安全策略放行）正常没有问题，之前主机旧会话由于没有同步，会直接被拦截。

四、HRP

HRP华为冗余协议：用于双机之间数据同步，引入心跳线的概念。

心跳线：单独拿防火墙一个接口配置，主墙会周期性（1s，自动备份，快速备份）同步状态信息（状态信息：会话表）。

数据同步：同步配置（接口IP，路由不同步）、同步状态

周期性同步：	（1）、自动备份	1s
	（2）、快速备份	负载分担下用，产生立刻备份。

五、双机热备基本组网与配置

配置步骤

1、配置接口IP。

2、配置接口区域

3、配置tracert区域内接口的VRRP组，配置Untrust区域内接口的VRRP组。

4、配置心跳口。

5、指定双机热备备墙。

6、开启双机热备。

防火墙接口加入区域：

[FW1]firewall zone trust

[FW1-zone-trust]add interface GigabitEthernet 1/0/0

防火墙不老化：

user-interface con 0

idle-timeout 0 0

做双机之前配置要完全一致

[FW1]interface GigabitEthernet 0/0/0

[FW1-GigabitEthernet0/0/0]vrrp vrid 2 virtual-ip 192.168.1.254 active

[FW1-GigabitEthernet0/0/0]vrrp vrid 2 timer advertise 6 （VRRP通告时间6s一次）

配置心跳口：

[FW1]hrp interface GigabitEthernet 1/0/1 remote 1.1.1.2 （指定本端心跳口和对端心跳IP）

[FW2]hrp standby-device （指定FW2做备墙）

[FW1]hrp interface Eth-Trunk 1 （监听聚合接口）

[FW1]hrp enable （开启双机热备）

双机组建完成后，配置只能在主墙上配置

HRP_M[FW1]security-policy (+B) （+B的意思的立即同步备墙，配置防火墙安全策略）

HRP_M[FW1-policy-security]rule name PC1-to-PC2 (+B) （配置策略名）

HRP_M[FW1-policy-security-rule-PC1-to-PC2]source-zone trust (+B) （配置策略源区域）

HRP_M[FW1-policy-security-rule-PC1-to-PC2]destination-zone untrust (+B) （配置策略目的区域）

HRP_M[FW1-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 32 (+B) （配置源地址）

HRP_M[FW1-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 32 (+B ) （配置目的地址）

HRP_M[FW1-policy-security-rule-PC1-to-PC2]service icmp (+B) （配置匹配的协议）

HRP_M[FW1-policy-security-rule-PC1-to-PC2]action permit (+B) （配置放行策略）

主备部署，心跳线断了，两边都认为自己是主，都会主动发送免费ARP引流，会导致流量时断时续。

正常双主（负载模式），非正常双组（心跳口断开，导致双主，流量路径不一致，会话没同步，丢包时断时续）

防火墙主备模式，心跳线断开，备机从备切到主VRRP会发免费ARP引流，但是这个时候心跳线恢复，备从主切回备就不会发免费ARP，主墙依旧是主，下边链路还没切，得等主墙的ARRP通告时间到了发报文，下边交换机arp和mac地址表才能更新，流量才能走正确路径。