防火墙—双机热备

大家好，欢迎来到IT知识分享网。

技术背景

随着移动办公、网上购物、即时通讯、互联网金融、互联网教育等业务蓬勃发展，网络承载的业务越来越多，越来越重要。于是在做网络架构设计时，通常会在网络的关键位置部署两台网络设备，以提升网络的可靠性

防火墙双机部署挑战

•传统的网络设备（如路由器、三层交换机），只需要在两台设备上做好路由的备份就可以保证业务的可靠性

•但防火墙是状态检测设备，基于会话匹配来完成报文转发，所以当防火墙双机部署时还需要考虑两台防火墙之间的会话等状态信息的备份

双机热备部署方案

1、主备备份

正常情况下仅由主用设备处理业务，备用设备空闲

当主用设备接口、链路或整机故障时，备用设备切换为主用设备，接替主用设备处理业务

2、负载分担

也可以称为“互为主备”，即两台设备同时处理业务

当其中一台设备发生故障时，另外一台设备会立即承担其业务，保证原来需要通过这台设备转发的业务不中断

热备协议

•VRRP：实现设备冗余，保持网络通信的连续性和可靠性

•VGRP：实现对VRRP备份组的统一管理，保证多个VRRP备份组状态的一致性

•HRP：实现防火墙双机之间动态状态数据和关键配置命令的备份

注：VGMP（VRRP Group Management Protocol）VRRP组管理协议

HRP（Huawei Redundancy Protocol）华为热备协议

心跳口与心跳链路探测报文

•两台防火墙之间备份的数据是通过心跳口发送和接收的，通过心跳链路（备份通道）传输的

•心跳口必须是状态独立且具有IP地址的接口（物理口或Eth-Trunk口）

•负责HRP心跳报文、HRP数据报文、HRP一致性检查报文和VGMP报文的传输

心跳接口五种状态

1、invalid：未指定心跳口的IP地址或心跳口工作在二层

2、peerdown：本端正常，但是收不到对端心跳探测报文

3、down：心跳接口的物理状态与协议状态均为down

4、ready：正常运行，此接口为备用备份通道，当前未使用

5、running：正常运行