双机热备技术

一、双机热备概述

防火墙一般用作内网到外网的出口，是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网——当一台防火墙出现故障时，业务流量能平滑地切换到备份防火墙上，保证流量不中断，使内外网用户交互时完全感知不到曾经出现过网络故障。

二、双机热备基本原理

1、双机热备协议架构

（1）VRRP

<1>作用

① 负责单个接口的故障检测和流量引导。每个VRRP备份组拥有一个 虚拟IP地址 ，作为网络的网关地址；
②在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量。

<2>. VRRP报文

① VRRP报文用来将主用设备的优先级和状态通告给备用设备。
② VRRP报文承载在IP报文之上，为组播报文（组播地址为224.0.0.18），协议号为112。
③Priority：
主用设备在备份组中的优先级。
Priority是决定双机中哪台设备为主用设备的关键。
0-255 ，默认是100 越打越优先：如果优先级一致，比IP地址，越大越优先

<3>. VRRP 状态机

加入VRRP备份组的接口有三种状态（Initialize状态、Standby状态、Active状态），只有处于主用状态的设备才可响应ARP请求，转发业务报文。并且发送VRRP报文，主动联系备用设备。

<4>.VRRP状态切换

①链路正常时：
•虚拟IP地址在状态为Active的设备接口上生效。
•PC请求网关地址的ARP时，只有状态为Active的设备会应答ARP。
•业务流量被引导到状态为Active的设备接口上进行转发。

②当Active设备出现接口、链路或整机故障时：
·Standby设备接口上的VRRP备份组状态将切换到Active ，发送免费ARP。
·交换机上的MAC表刷新，出接口指向备用设备。
·PC发出的业务流量被引导到备用设备接口上进行转发。

<5>.VRRP的不足

当防火墙上下行业务端口上都配置了VRRP备份组时，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况。

（2）VGMP

将系统中所有的VRRP备份组集中管理，控制状态统一切换，保证出现故障时上下行流量能同步切换到备用防火墙。

<1>VGMP 报文

① VRRP封装：此时VGMP报文也是组播报文。这是最初的VGMP报文封装格式。
②UDP封装：此时VGMP报文是单播报文。在原有的IP报文头之上增加了UDP头和VGMP扩展头，VGMP报文内部的格式没有变化。

<2>VGMP 状态机

VGMP管理组的主备状态决定了双机热备组网中防火墙设备的主备状态，因此VGMP管理组的状态也可以看做是防火墙设备的状态。

<3>VGMP状态切换

①因接口或链路故障引起的切换；
②因整机或心跳链路故障引起的切换；
③抢占流程：故障恢复后的切换流程。

<4>故障检测方式

①检测VRRP备份组状态 ：用于防火墙业务接口为三层接口，业务接口连接二层交换机场景。
②直接检测单个物理接口状态：由于三层设备无法处理VRRP组播报文，所以当防火墙业务接口为三层接口，业务接口连接三层设备（路由器）时使用此方式。
③检测透明模式下VLAN接口状态：由于防火墙业务接口为二层接口，无法配置VRRP，所以采用此方式。
④检测IP-LINK逻辑链路的状态：用于检测非直连链路的可达性。
⑤检测BFD逻辑链路的状态：用于检测非直连链路的可达性。

<5>流量引导手段

①虚拟IP地址方式：用于防火墙三层业务接口连接二层交换机组网。
②路由COST调整方式：用于防火墙三层业务接口连接路由器，主备备份组网。
③动态路由收敛方式：用于防火墙三层业务接口连接路由器，路由器组网，负载分担组网。
④VLAN启用和禁用方式：用于防火墙业务接口工作在透明模式的组网中。

（3）HRP

负责双机之间的数据同步。

<1>HRP报文封装方式

①VRRP封装
②UDP封装

<2> HRP数据备份范围

能够备份配置命令：只能在主用设备上配置，备用设备不能配置。
①可以备份的主用设备状态：

<3> HRP数据备份方式

<4>备份通道状态

① running：正常运行。
② ready：正常运行。此接口为备用备份通道，当前未使用。
③ peerdown：本端正常，但是收不到对端的心跳报文。
④ invalid：未指定心跳口的IP地址，心跳口工作在二层。
⑤ down：心跳接口的物理状态与协议状态均为Down。

5、主备备份和负载分担

（1）主备备份和负载分担

①主备备份：指正常情况下仅由主用设备处理业务，备用设备空闲；当主用设备接口、链路或整机故障时，备用设备切换为主用设备，接替主用设备处理业务。

②负载分担：也可以称为“互为主备”，即两台设备同时处理业务。当其中一台设备发生故障时，另外一台设备会立即承担其业务，保证原来需要通过这台设备转发的业务不中断。

三、双机热备故障解决

1.未建立主备状态

(1)可能原因

①未启用HRP功能
②未指定心跳口
③未指定监控对象

（2）建议

检查配置

2.双机热备工作于active/active状态

(1)故障现象

两台防火墙的命令行提示符都有HRP_M前缀。使用display hrp state命令查看双机热备状态，两台防火墙都显示为Active。

(2)可能原因

(3)建议

检查配置，查看日志．

3. VRRP成员接口状态异常

(1)故障现象

①现象1：VRRP成员接口状态为Initialize。
②现象2：同一VRRP备份组内，两台防火墙上相对应的接口状态均为Active。
③ 现象3：VRRP成员接口的附加状态为peerdown。

(2)可能原因

(3)建议

检查配置，查看日志

4.双机热备配置完成后，业务不通

(1)故障现象

①现象1：部分业务不通，或者全部业务不通。
②现象2：部分业务速度慢，或者时断时续

(2)可能原因

(3)建议

检查配置，查看日志

5.主用链路故障后不切换主备状态，导致业务中断

(1)故障现象

防火墙接口或者链路故障，但是未切换主备状态。相关接口上的业务全部中断。

(2)可能原因

①主用防火墙上Active VGMP管理组的优先级降低后，仍然高于备用防火墙上Standby VGMP管理组的优先级。通常是因为备用防火墙上有相同数量的接口故障或者链路故障。
②主用防火墙上Active VGMP管理组的优先级未降低，即故障的接口或链路并没有被VGMP管理组监控。

(3)建议

检查VGMP管理组的优先级

6.主备切换后，业务中断

(1)故障现象

①现象1：部分业务中断或者全部业务中断。
②现象2：部分业务速度慢，或者时断时续。

(2)可能原因

（3）建议

检查VGMP管理组的优先级