当前位置：首页 > news >正文

防火墙双机热备---VRRP,VGMP,HRP(超详细)

news 2026/2/10 13:38:50

双机热备技术-----VRRP，VGMP，HRP三个组成

注：与路由器VRRP有所不同，路由器是通过控制开销值控制数据包流通方向

防火墙双机热备：

1.主备备份模式

双机热备最大的特点就是防火墙提供了一条专门的备份通道（心跳线）用于防火墙之间传输备份会话表，Server-map表等重要信息和配置。并且心跳线也为防火墙提供协商通道。

1.主用设备---会处理业务和流量，并将设备上的会话表等信息以及配置信息通过心跳线实时同步给备用通道

2.备用设备---不会处理业务流量，只是通过心跳线，接收来自于主用设备的状态信息以及配置信息

一旦主用设备发生故障，会通过心跳线重新协商主备状态，如果进行切换，同时，业务流量也需要被上下行设备的路由信息引导到新的主用设备上，否则流量还是无法通讯

2.负载分担模式

在该情境下，两台防火墙均为主用设备（不同的pc），都需要建立会话，都需要处理业务流量，同时两台防火墙又都相互作为对方的备用设备，接收对方的配置和会话。

FW2为1.0的主设备，FW3为2.0的主，且两个防火墙互相备份

总结：双机热备为了提供网络的可靠性，避免网络的单点故障

VRRP和VGMP

回顾路由器vrrp：VRRP（虚拟路由冗余协议）_vrrp协议-CSDN博客

为何创建两个VRRP?

在双机热备场景中，因为需要上下行流量的统一切换，故需要创建两个VRRP组，分别加入上行接口和下行接口。从而控制上下行设备的流量控制转向。---且两个不同的VRRP组的Active设备必须为同一个防火墙。

切换原理：FW2会向配置了VRRP组的接口发送免费ARP报文，其中携带了备份组的IP和MAC，好让交换机或者路由器改变MAC表或者路由表，从而达到切换线路的目的

VRRP备份组之间是相互独立的，当一台设备出现多个VRRP备份组时，VRRP备份组之间的状态时无法同步的。

VGMP解决VRRP问题

VGMP----VRRP组管理协议---实现对VRRP备份的统一管理，保证多个VRRP组状态的一致性

如何实现一致性？

将防火墙上所有的VRRP备份组都加入到同一个VGMP组中，由VGMP组来集中监控并管理所有的VRRP备份组状态。如果VGMP检测到其中一个VRRP备份组状态发生变化，则VGMP会控制组中所有VRRP组统一进行状态切换，保证一致性。

VGMP存在状态和优先级两个属性。并且有三条运行原则

VGMP的状态决定了组内VRRP备份组的状态，也决定了防火墙的主备状态

VGMP组的状态是由两个防火墙的VGNP组通过比较优先级来决定的

优先级高的为Active,低的为Standby

VGMP组会根据组内VRRP备份组的状态变化来更新自己的优先级

每个VRRP备份组的状态切换为初始化状态，VGMP组的优先级降低2

VGMP实现过程

当FW1接口发生故障时，VGMP组控制VRRP备份组状态统一切换过程

1.FW1G1/0/3接口故障，FW1上的VRRP备份组2发生状态切换（由主----初始化）

2.FW1的VGMP组感知到这一变化后，会降低自身的优先级，然后与FW2的VGMP组比较优先级，重新协商主备状态

3.协商后，FW1的VGMP状态变为Standby,FW2的VGMP组状态变为Active

4.同时，由于VGMP组的状态决定了组内的VRRP备份组状态，所有FW1和FW2身上各自的VRRP备份组1和备份组2都会进行状态切换

5.FW2成为Active状态，并从上下游分别发送免费ARP报文，更新设备的MAC地址表

VGMP报文结构

在防火墙中，优先级信息会通过VGMP报文传递，是对VRRP报文进行修改和扩展

1.标准的VRRP报文的“TYPE”字段恒定为1，而VGMP增加了2；

在VGMP 中，1代表标准的VRRP报文，2代表VGMP报文

2.在标准的VGMP报文中，“virtual Rtr ID",携带的是VRRP备份组的组ID，即VRID。

在VGMP中，恒定为0

3.去掉了VRRP的IP地址字段

4.标准VRRP报文的优先级字段，在VGMP中被修改为”TYPE2"字段

TYPE2=1,则报文为心跳链路探测报文

                TYPE2=5,则报文为一致性检查报文。 ----检查双机热备状态下，两台防火墙的是否配置了相同的策略

                TYPE2=2,VRRP报文才会进一步封装VGMP报文头。----该报文才能被认为是真正的VGMP报文。

                        会根据VGMP中的“vType”字段继续被分为三种不同的报文

VGMP组需要携带上VGMP组优先级信息，才可以代替VRRP进行管理

类型(mode) --- 代表报文是请求报文，还是应答报文

VGMP-ID --- 代表VGMP组为Active还是Standby组

优先级 ---代表VGMP组的优先级

在双机热备中，除了VRRP标准报文以外，其他所有报文的发送接收，都是基于心跳线完成的

标准的VRRP协议是一个跨四层封装协议，即没有传输层封装，直接IP封装。

而VGMP继承了VRRP的特点，但是也增加了UDP进行封装的模式。

IP协议封装 --- 组播报文---只能在心跳线上传输

数据链路层+ IP协议封装+ VRRP协议+ VGMP协议+ VGMP数据

不能跨网段传输，不受安全策略控制（安全策略就对单播有效）

UDP封装 --- 单播报文

数据链路层+IP协议封装+ UDP封装+ VRRP协议+ VGMP协议+ VGMP数据

只要路由可达，就可以跨越网段传输，但是收到安全策略控制。

端口号=18514

VGMP工作过程

VGMP组缺省情况

每台防火墙提供两个VGMP组，默认情况下，Active组的优先级为65001，状态为Active；Atandby组优先级为65000，状态为Standby。

主备备份双机热备状态形成过程

接口故障过程

上图表示的是主用设备的接口的发生过程变化情况，而当主用设备发生故障，主用设备的VGMP组将不会发送HRP心跳报文。如果备用设备的VGMP组连续三次收不到，则认定对端故障，从而将自身切换为主用状态。

当原主用设备故障恢复后，如果配置了抢占功能，那么原主重新成为主用设备，如果没有配置，则原主保持在备份状态。----缺省情况下，主动抢占功能开启，抢占延迟时间为60秒。

接口故障恢复

负载分担双机热备状态形成过程

接口故障

VGMP总结

1. 故障监控 --- VGMP组能够监控VRRP备份组状态变化。

2. 状态切换 --- VGMP组感知到VRRP备份组状态变化后，会调整自己的优先级，并与对端的VGMP组重新协商主备状态

3. 流量引导 --- 两个VGMP组主备状态建立或切换后，会强制组内的VRRP备份组统一进行状态切换，然后由状态为Active的VRRP备份组发送免费的ARP报文来引导流量

仅仅适用于防火墙上行或下行设备为交换机的场景

VGMP特殊场景

防火墙连接路由器场景

故障监控

VGMP组使用的故障监控方式，是直连监控接口状态。 --- 就是直接将接口加入到VGMP组中，当 VGMP组中的接口故障，VGMP可以直接感知到变化，从而降低自己的优先级。

如果是负载分担方式的双机热备，则需要在每个业务接口上执行特殊命令，将业务接口分别加入到 Active和Standby组中。

流量引导

VGMP的流量引导功能，将流量自动引导到主用设备---手工将备用设备所在链路的OSPF开销值改大。VGMP具备根据状态自动调整OSPF的cost数值。 --- 启用流量引导功能后，如果防火墙上存在状态为 Active的VGMP组，则防火墙会正常对外发布路由；如果防火墙上VGMP组状态为Standby，则防火墙在发布路由时，将Cost增加65500

防火墙透明接入，连接交换机场景

故障监控

防火墙接口出现在二层，没有IP地址。故障监控方式为通过VLAN监控接口状态。--- 将二层业务接口加入VLAN，VGMP监控VLAN。当VGMP中的接口故障时，VGMP组会通过VLAN感知到接口状态变化，从而降低自身优先级

流量引导

当VGMP组状态为Active时，组内的VLAN能够转发流量。当VGMP组状态为Standby时，组内 VLAN被禁用，不能转发流量。

防火墙透明接入，连接路由器场景

故障监控和流量引导与上一个相同，该组网只支持负载分担方式的双机热备，不支持主备备份场景。---原因：如果工作在主备备份，那么备份设备的VLAN会被禁用，导致上下行路由器无法通讯，无法建立OSPF邻居

VGMP组监控技术

VGMP可以监控自己本身的接口---物理接口，VRRP接口等。

但是VGMP还可以监控远端接口。 --- VGMP监控远端接口的方式，只适用于防火墙业务接口工作在三层时；因为此时接口才能存在IP地址，才可以与远端设备发送IP-link或BFD的探测报文。

总结

每当VGMP组监控的一个接口故障时，无论是直接监控还是简介监控，无论监控的是本地还是远端，VGMP优先级都是降低2。

只有主用设备才会将流量引导到本设备上，备用设备则是想尽办法拒绝流量引导到本设备。

HRP（双机热备协议）协议

HRP数据报文、HRP心跳报文、HRP一致性检查报文。

HRP协议功能

动态数据备份---实时备份防火墙的会话表，Server-map表，黑白名单，nat

关键配置命名备份---display;reset;debugging不支持备份；网络基本配置如接口地址和路由不能够备份，这些要在双机热备建立前配置完成。

HRP概述

在主备组网中，由主设备将状态数据和配置命名同步给备份设备

而在负载分担组网中，状态数据双方均会想对端同步。但是配置命令，不可以。---原因，如果允许两台主用设备之间相互配置命令，可能会造成两台设备命名相互冲突。--引入了“配置主设备”和“配置从设备”。---在负载分担组网中，发送备份配置命令的防火墙为配置主设备（HRP_M）,接收配置命令的防火墙成为配置从设备(HRP_S)---在负载分担组网中，谁最先建立双机热备状态的防火墙会成为配置主设备；即最先启动双机热备功能的

HRP备份方式

1.自动备份 --- 默认开启的，能够自动实时备份配置命令和周期性备份状态信息。

        主用设备每执行一次可备份命令，该命令都会立即被同步到备用设备。注意：对于这些可备份命令，备用设备不能配置，只能等到主用设备的同步。

        对于不可备份命令---分别配置

        对于状态信息，周期性备份(部分状态信息)。

2.手工批量备份 --- 需要管理员手工触发的，每执行一次手工批量备份命令，主用设备就会立即同步一次配置命令和状态信息。

3.快速备份 --- 仅适用于负载分担场景的，用来应对报文来回路径不一致的场景。

        主要为了保证状态信息的及时同步，快速备份功能仅仅备份状态信息，是为了弥补自动备份的时差问题。

        如果启动快速备份功能，主设备将实时进行状态信息备份。

心跳链路探测报文

心跳口必须是状态独立且独立具有IP地址的接口，且该接口不要参与到其他协议的工作过程中，以免产生不必要的影响。

HRP一致性检查报文

该报文是用于检测双机热备状态下两台防火墙的双机热备配置是否一致，以及策略配置是否相同的