防火墙——双机热备理论讲解

小乔

双机热备基本概念

防火墙（FW）部署在网络出口位置时，如果发生故障会影响到整网业务

为了提升网络的可靠性，部署两台FW组成双机热备（只能是两台，不可多不可少）

这两台FW的设备硬件型号、单板类型、数量都要相同

如图所示：

                               
登录/注册后可看大图

双机热备部署方案主备备份模式——路由规划简单

两台设备一主一备，正常情况下业务流量由主设备处理，当主设备故障时，业务流量平滑切换到备用设备进行处理，业务不中断

负载分担模式——路由规划复杂

两台设备互为主备，正常情况下两台设备共同分担整网的业务流量，当其中一台故障时，另外一台承担全部业务流量。

双机热备相关协议心跳线基本概念：

两台FW之间通过一条独立的链路连接，进行信息同步---此链路称为心跳线

心跳线五种状态：

       前两种是正常状态，后三种是异常状态

Running	正常运行，能够发送报文
Ready	正常运行，此接口为备用备份通道，当前未使用
Down	心跳接口的物理状态与协议状态都为Down
Invalid	未指定心跳接口的IP地址，心跳口工作在二层
Negotiation failed	本端和对端协商失败。有可能是因为本端和对端设备的软件版本不一致、某端配置错误、对端设备的心跳接口状态为Down、HRP源或目的端口号被修改、或者底层链路不通等原因导致。

心跳线传递信息：

HRP心跳链路探测报文	检测对端设备的心跳口能否正常接收本端设备的报文 (确定是否有心跳口可以用)
HRP一致性检查报文	检测两台FW的关键配置是否一致
HRP Hello报文(心跳报文)	周期1s，互发心跳报文检测对端是否存活
HRP数据报文	用于两台FW同步配置命令和状态信息
VGMP报文	确定本端和对端设备当前VGMP组状态是否稳定 周期1s，(是否需要进行故障切换)

心跳接口注意事项：

1.MGMT接口（G0/0/0）口不能作为心跳接口

2.两台FW心跳接口必须加入相同的安全区域。

3.配置了VRRP Cirtual-mac enable命令的接口不能作为心跳接口VGMP

4.两台FW的心跳接口类型、接口编号、链路协议类型必须相同

        如使用Eth-Trunk接口为心跳线，那Eth-Trunk的成员接口也要相同

        如果使用Vlan接口作为心跳口，实际收发报文的二层物理接口也必须相同

5.接口MTU值小于1500的接口不能作为心跳接口。

        配置和表项备份报文的最大长度为1500字节，且报文不支持分片。

        如果心跳接口MTU值小于1500，会导致报文发送失败。

6.如果FW上配置了虚拟系统，心跳接口不能是虚拟系统的接口，必须是根系统的接口。

        虚拟系统的配置命令和表项也能通过规划在根系统的心跳接口备份到对端设备。

7.心跳接口可以为二层（一般防火墙工作在二层是会有此情况），也可以为三层（一般防火墙工作在三层）

---

VGMP基本概念：

       VGMP协议是华为私有协议，定义了VGMP组，FW基于VGMP组实现主备状态管理。

       每台FW都有一个VGMP组，用户不能删除这个VGMP组，也不能创建其他VGMP组。

VGMP四种状态：

Initialize	初始状态
Load-balance	自身VGMP组优先级等于对端时，设备VGMP组状态为此
Active	自身VGMP组优先级高于对端时，设备VGMP组状态为此 设备没有收到对端的VGMP报文时，设备也为此状态
Standby	自身VGMP组优先级低于对端时，设备VGMP组状态为此

优先级：

当Active出现故障后优先级会减2

中低端：（USG6000、NGFW Module）

       Active设备优先级为45000，Standby设备优先级为44998。

高端：

       VGMP初始优先级=45000+1000*接口板上的子卡个数+2*业务板上的CPU个数

工作原理：

与VRRP联动（二层）——VGMP统一控制VRRP备份组状态，保持状态一致

VRRP是虚拟路由冗余协议，具体细节看VRRP协议讲解

在不使用VGMP的情况下：

                               
登录/注册后可看大图

FW1和FW2正常运行，1.1.1.1访问2.2.2.2的路径

去的路径——LSW1→FW1→LSW2

回的路径——LSW2→FW1→LSW1

                               
登录/注册后可看大图

当FW1的下行接口出现故障后，1.1.1.1访问2.2.2.2的路径

       去的路径——LSW1→FW2→LSW2

       回的路径——LSW2→FW1→FW2→LSW1

造成来回路径不一致的问题，当回的报文经过FW1，其会话表没有相关表项，造成业务丢失

(虽然HRP可以来解决表项同步的问题，不过HRP报文承载在VGMP报文中传输的)

解决来回路径不一致（备份组状态不）的方一致法：

1.使用VRRP，配置VRRP备份组跟踪上下行接口

2.使用VGMP，统一管理VRRP备份组（即FW1对于多个备份组是同一状态，都主或都备）

方法1虽然可以解决来回路径不一致的问题，但是他无法解决会话表、命令同步的问题

会话表、命令同步需要使用HRP协议，而HRP的管理协议是封装在VGMP的Data中的

所以使用VGMP来解决VRRP的缺点是最合适的

VGMP组状态与VRRP组状态之间的关系:

配置：vrrp vrid 备份组 virtual-ip 虚拟网关地址 active/standby  

                        active/stanbdy为VGMP状态  

1.当VGMP组状态为active时，VRRP备份组的状态都是Master。

2.当VGMP组状态为standby时，VRRP备份组的状态都是Backup。

3.当VGMP组状态为load-balance时，VRRP备份组状态由VRRP备份组的配置决定。

---

与动态路由联动（三层）——VGMP组控制动态路由的开销

                               
登录/注册后可看大图

VGMP状态与动态路由开销的关系:

       hrp standby-device     敲此命令的设备为备用设备，VGMP状态为Standby

1.VGMP组状态为active时，FW按照OSPF/OSPFv3/BGP路由的配置正常发布路由。

2.VGMP组状态为standby时，FW会按照如下方法调整OSPF、OSPFv3发布路由的开销值和BGP发布路由的MED值

       将OSPF发布的路由开销调整为65500

       将OSPFV3发布的路由开销调整为65500

       将用户配置的BGP MED值基础上增加100作为BGP发布路由时的MED值

3.VGMP组状态为load-balance时，FW默认按照OSPF/OSPFv3/BGP路由的配置正常发布路由。

VGMP报文：

只有一种VGMP报文，为VGMP Hello报文，周期1s发送

组播VGMP报文（与VRRP联动）

                               
登录/注册后可看大图

VRRP报文变化：VRRP报文在VRRP协议中有讲解

1.Type字段有所改变

新增2取值

       Type=1——代表标准的VRRP报文

       Type=2——代表修改后的VRRP报文

2.删除优先级字段，新增Type2字段

     1代表报文封装为心跳探测报文——不封装VGMP报文头

     5代表报文封装为HRP一致性检查报文——不封装VGMP报文头

     2代表VRRP报文才会进一步封装VGMP报文头，并根据VGMP中的vType字段来继续划分

3.Virtual Rtr ID固定取值为0

4.去除IP Address字段

VGMP报文：

1.vType：当VRRP报文中的Type2字段为2时，此字段才生效

     HRP Hello报文

     HRP数据报文——会进一步封装HRP报文头部

     VGMP报文（VGMP Hello报文）

2.vPriority：

     代表VGMP优先级

单播VGMP报文（与动态路由联动）

                               
登录/注册后可看大图

---

HRP基本概念：

华为热备协议，一般承载在VGMP报文上进行传输。

负责将主防火墙的关键配置和会话表状态等数据向备份防火墙同步

HRP数据备份方式：

自动备份 (默认开)	开启自动备份后，当主用设备配置了一条可备份的命令或产生了可备份的会话表状态时，会直接备份到备用设备上 备份注意事项：                                 登录/注册后可看大图
批量备份 (默认关)	需要手动敲备份命令进行数据备份，备份内容同自动备份
快速备份 (默认关)	不备份配置命令，只备份会话表状态 开启快速备份后会自动将主设备的状态信息表项快速备份到备用设备 备份注意事项：                                 登录/注册后可看大图

HRP可备份内容：

可备份配置:

策略： 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等

对象： 包括邮件地址组、签名、安全配置文件（反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等）

网络： 包括新建逻辑接口、安全区域、DNS、IPSEC、SSL VPN、TSM联动等

系统： 包括管理员配置和日志配置等

可备份状态信息:

会话表、SeverMap表、IP监控表、分片缓存表、GTP表、黑名单、PAT方式端口映射表、NO-PAT方式地址映射表

HRP报文：

报文类型：

HRP Hello:             互发心跳报文检测对端是否存活。周期1s，5s收不到认为故障

HRP一致性检查:   检测两台FW的关键配置是否一致

HRP心跳链路探测: 检测对端设备的心跳口是否可用

HRP数据报文：    同步数据

                               
登录/注册后可看大图

报文格式：心跳口为三层为例（二层就是取消UDP头部和VGMP扩展头部）

                心跳线指定了Remote地址，采用单播的UDP方式需要放行策略

        如果没有，是直连，不需要指定Remote地址，采用组播224.0.0.18发送组播地址

管理面HRP报文——不需要封装HRP头部——指定备份数据类型

HRP Hello

                               
登录/注册后可看大图

HRP心跳链路探测、HRP一致性检查

                               
登录/注册后可看大图

数据面HRP报文——需要封装HRP头部进行数据同步——进行数据同步

HRP数据报文

                               
登录/注册后可看大图

以上内容仅供参考，如有不对请指正

goblingy

谢谢分享

youyou

aifeifei