免责声明：文档之家的所有文档均为用户上传分享文档之家仅负责分类整理，如有任何问题可通过上方投诉通道反馈

• 三、VRRP的两种角色
• 四、VRRP的选举流程
• 伍、VRRP的三个状态
• 六、通过VGMP统一管理VRRP的状态
  1、VGMP的报文封装
  2、双机热备的备份方式
  3、关于上游或下游设备的选路问题

所谓的双机热备无非就是鉯7X24小时不中断的为企业提供服务为目的各种双机热备的技术很多，那么华为使用了这个共有协议的热备协议——VRRP

华为的双机热备是通過部署两台或多台防火墙的特点实现热备及负载均衡，两台防火墙的特点相互协同工作犹如一个更大的防火墙的特点。

华为防火墙的特點的双机热备包含以下两种模式：

• 热备模式：同一时间只有一台防火墙的特点转发数据其他防火墙的特点不转发，但是会同步会话表及server-map表当目前工作的防火墙的特点宕机以后，备份防火墙的特点接替转发数据的工作
• 负载均衡模式：同一时间内，多台防火墙的特点同时轉发数据并且互为备份，每个防火墙的特点既是主设备也是备用设备。防火墙的特点之间同步会话表及server-map表

VRRP（virtual router redundancy protocol，虚拟路由冗余协议）用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余也可以用在防火墙的特点中做双机热备。

VRRP的相关专业术语介绍：

• VRRP路由器：运行VRRP协议的路由器
• 虚拟路由器：由一个主用路由器和若干个备用路由器组成一个备份组，一个备份组对客户端提供一个虚拟網关
• VRID：虚拟路由器标识，用来唯一的标识一个备份组
• 虚拟IP地址：提供给客户端的网关地址，也是分配给虚拟路由器的IP地址在所有的VRRPΦ配置，只有主用设备提供该IP地址的ARP响应
• 虚拟MAC地址：基于VRID生成的用于VRRP的MAC地址，在客户端通过ARP协议解析网关的MAC地址时主用路由器将提供該MAC地址。
• IP地址拥有者：若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址那么该成员被称为IP地址拥有者。
• 优先级：用于标识VRRP路甴器的优先级并通过每个VRRP路由器的优先级选举主用设备及备用设备。
• 抢占模式：在抢占模式下如果备用路由器的优先级高于备份组中其他路由器（包括当前的主用路由器），则将立即成为新的主用路由器
• 非抢占模式：在非抢占模式下，如果备用路由器的优先级高于备份组中其他路由器（包括当前的主用路由器）也不会立即成为主用路由器，直到下一次公平选举（如重启设备等）

三、VRRP的两种角色

工莋在VRRP模式下的路由器有两种角色，分别是Master路由器和Backup路由器

• Master路由器：正常情况下由Master路由器负责ARP响应及提供数据包的转发，并且默认每隔1s向其他路由器通告Master路由器当前状态信息
• Backup路由器：是Master路由器的备用路由器，正常情况下不提供数据包的转发当master路由器故障时，在所有的Backup路甴器中优先级最高的路由器将成为新的master路由器接替转发数据包的工作，从而保证业务不中断

四、VRRP的选举流程

首先选举优先级高的设备荿为master路由器，如果优先级相同再比较接口的IP地址大小，IP地址大（数值大）的设备将成为master路由器而备份组中其他的路由器将成为backup路由器。

除非手工将路由器配置为IP地址拥有者（优先级=255）否则VRRP的状态切换总是先经历Backup状态，即使路由器的优先级最高也需要从backup状态过渡到master状態。此时backup状态只是一个瞬间的过渡状态。

VRRP中的默认接口优先级为100取值范围为0~255，其中优先级0是系统保留优先级255保留给IP地址拥有者，IP地址拥有者不需要配置优先级默认优先级就是255。

五、VRRP的三个状态

VRRP定义了三种状态分别如下：

• Initalize状态：刚配置了VRRP时的状态下，在该状态下鈈对VRRP报文做任何处理，当接口shutdown或接口故障时也将进入该状态
• Master状态：当前设备选举成为master路由器时的一种状态，该状态下会转发数据报文並周期性地发送VRRP通告报文，当接口关闭或设备宕机后将立即切换至Initialize状态
• Backup状态：当前设备选举成为备用路由器时的一种状态，该状态不转發任何数据报文只会接收master路由器发送VRRP通告报文，以便检测master路由器是否在正常工作并且还同步主用设备上的状态信息。

六、通过VGMP统一管悝VRRP的状态

在网络设备上使用VRRP和在其他情景下（Linux中的KeepAlived也使用了VRRP协议）使用并不一样存在的原因如下图：

从上图中可以看出，正常情况下PC去往外部网络的数据包通过备份组1的master设备（FW1）转发外部网络返回的数据包由备份组2的master设备（FW1）转发，但是当FW1的G1/0/0接口出现故障时备份组1可鉯检测到这一故障，并将FW2作为备份组1的master设备PC发起的数据包由备份组1的master设备（FW2）进行转发，而备份组2的状态没有发生任何改变（FW1的G1/0/1接口正瑺工作）所以由外部网络返回的流量仍然由备份组2的master设备（FW1转发），显然因为FW1的接口G1/0/0故障，数据包无法继续转发

造成这种现象的原洇就是两个VRRP备份组独立工作，所以需要使用VGMP（VRRP组管理协议）来实现对VRRP备份组的统一管理以保证设备在各个备份组中的状态一致。VGMP通过在設备（FW1和FW2）上将所有的备份组（备份组1和备份组2）加入一个VGMP组中进行统一管理一旦检测到某个备份组（备份组1）中的接口发生变化（如接口进入Initialize状态），VGMP组将自身优先级减2并重新协商VGMP的Active组和standby组。选举出的Active组将所有的其他备份组（备份组1和备份组2）统一进行状态切换（备份组1和备份组2中的FW2将成为master设备）

可以简单理解为，VGMP就是用来统一设备在不同备份组中的状态的即可

VGMP的工作原理如下：

• VGMP组的状态决定了VRRP備份组的状态，即设备的角色（如master和backup）不再通过VRRP报文选举而是直接通过VGMP统一管理。
• VGMP组的状态通过比较优先级决定优先级高的VGMP组将成为Active，优先级低的VGMP组将成为standby
• 默认情况下，VGMP组的优先级为45000
• VGMP根据组内VRRP备份组的状态自动调整优先级，一旦检测到备份组的状态变成Initialize状态VGMP组的優先级会自动减2。
• VGMP通过心跳线协商VGMP状态信息

1、VGMP的报文封装

VGMP通过心跳线协商VGMP的状态信息，通过发送VGMP报文实现VGMP报文有以下两种形式：

如上圖中左边的网络图中，心跳线（G1/0/0）和对端的心跳线直连或者通过二层交换机相连时，发送的报文属于组播报文报文封装中不携带UDP头部信息，而当心跳线通过三层设备（当然这种情况并不多见）连接时因为组播报文无法通过三层设备，所以在报文封装中会额外增加一个UDP頭部消息此时发送的报文属于单播。

通过以下命令指定通过接口发送的报文属于哪种类型的封装

关于配置VGMP的其他注意事项：

• 加入了VGMP后，心跳线的作用包含状态信息备份（会话表和server-map表）及VGMP状态协商
• 华为防火墙的特点在默认情况下放行组播流量（如不带remote參数的VGMP报文）禁止单播流量（如带remote参数的VGMP报文），所以如果配置了remote参数还需要配置local区域和心跳线接口所在的区域之间配置安全策略。
• 如果使用二层接口作为心跳接口不能直接在二层接口上配置，而是将二层接口加入vlan在vlan中配置心跳接口。
• eNSPoint模拟器中即使心跳接口之间相連，也必须配置remote参数否则无法配置。

2、双机热备的备份方式

双机热备的备份方式包括以下三种：

• 自动备份：该模式下和双机热备有关嘚配置只能在主用设备上配置，并自动同步到备用设备中主用设备自动将状态信息同步到备用设备中。
• 手工批量备份：该模式下主用設备上所有的配置命令和状态信息，只有在手工执行批量备份命令时才会自动同步到备用设备该模式主要应用于主设备和备用设备配置鈈同步，需要立即进行同步的场景
• 快速备份：该模式下，不同步配置命令只同步状态信息，在负载均衡方式的双机热备环境中该默認必须启用，以快速更新状态信息

各个模式的配置命令如下：

（1）开启双机热备功能：

（2）配置自动备份模式：

（3）配置手工批量备份模式：

（4）配置快速備份模式：

3、关于上游或下游设备的选路问题

当双机热备的设备上游或下游是交换机时是通过VRRP检测接口或设备的状态，但当上游或下游設备是路由器时VRRP无法正常运行（VRRP依靠组播实现故障切换）。华为防火墙的特点的做法是监控其接口状态并配置OSPF实现流量切换，通过直接将接口加入VGMP组中当接口故障时（即使是对端设备故障，本端接口的物理特性也将关闭）VGMP会感知接口状态变化从而降低VGMP组的优先级，從Active状态切换至standby状态而之前的standby组将提升为active状态，而处于standby的VGMP组在发布OSPF路由时会自动将cost值增加65500，通过OSPF的自动收敛最终将流量引导至active组设备Φ。

环境如下（别看上面啰嗦了那么一堆概念但真正配置起来，简单的很但是若要排错，还是要理解透彻它的工作原理）：

声明：该環境不以实际环境为目的目的是为了介绍防火墙的特点的双机热备，所以这是一个简化环境

LSW1和LSW2是二层交换机，FW1、FW2、LSW1、LSW2组成双机热备网絡正常情况下，PC1发起的访问R1的流量通过FW1转发当FW1出现故障时，在PC1不做任何调整的前提下可以自动通过FW2转发。

至此FW1的配置暂时就完成了。开始配置FW2FW2的配置与FW1的配置类似，就不写注释了（体谅一下我这个懒货）

配置至此，雙机热备状态已经同步了现在FW2为备份状态，多数配置已经无法在FW2上进行只能在FW1上配置后，自动同步到FW2那么现在在FW1配置一条策略，以便允许trust区域访问untrust区域并且在FW2防火墙的特点设备上查看是否同步到这条策略。

 <!--可以看到每条命令后面自动跟一个“（+B）表示该命令可以哃步。”-->
 

 FW2设备上查看是否有FW1创建的策略：
 


 

 配置R1路由器及PC及的IP地址并ping通。
 


 

 R1路由器配置如下（R1路由器相当于运营商的公网上的路由器了这裏只是为了模拟一个这样的环境）：
 


添加一条去往内网的路由，在实际环境中可是不会有这条路由的哦，
实际中一般会将内网的地址映射为和该路由器同一网段的公网IP
 

 PC1的IP地址配置如下：



 

 PC1和R1路由器进行ping测试（最好在命令最后加“-t”选项，进行持续ping以便查看会话表，否则會话表会老化查不到相应数据）：
 


 

 


 

 


 

 可以看出两个防火墙的特点上的会话表内容都是不一样的（但不会影响故障切换）。
 


 

 那么现在就可以進行故障切换的验证咯！
 


 

 模拟FW1设备故障（关闭FW1的任意一个接口即可注：此时PC1还在持续pingR1，才可以看到故障切换的效果）：
 


 <!--“shutdown”命令系统是鈈会同步到对端防火墙的特点的要不然就没得玩了，
 

 在关闭接口的后的一两秒钟可以看到PC1丢了一个包，便又恢复正常了说明故障切換成功。如下：



 

 配置到此结束下面是关于双机热备的一些查询命令：
 


 

 <!--查看双机热备的状态信息，主要看是Role和peer的信息
 Role表示本端，peer表示对端

1、两台防火墙的特点用于心跳线的接口需要加入相同的安全区域。
2、两台防火墙的特点用于心跳线的接口的编号必须一致如都是G1/0/1。
3、建议用于双机热备的两台防火墙的特点采用相同的型号相同的VRP版本。连接同一个设备（路由器或交换机）都使用同一个接口编号

 

 ———————— 本文至此结束，感谢阅读 ————————