华为防火墙双机热备学习心得

通过对华为防火墙双机热备资料和相关脚本的学习，对防火墙双机热备原理有一定的了解，以下是本人学习后的一些心得：

一、什么是双机热备

所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。

二、双机热备涉及的三种协议：

1、VRRP（Virtual Router Redundancy Protocol 虚拟路由器冗余协议），是由RFC2338定义的一种容错协议，通过实现物理设备和逻辑设备的分离，实现在多个出口网关之间进行选路。

2、VGMP（ VRRP Group Management Protocol VRRP组管理协议）是华为公司为防止VRRP状态不一致现象的发生，在VRRP的基础上自主开发出的扩展协议，该协议负责统一管理加入其中的各备份组VRRP的状态。

3、HRP（Huawei Redundancy Protocol 华为冗余协议）是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息。

4、VRRP，VGMP和HRP的相互关系

（1）当VRRP管理组状态变化时，系统将通知HRP状态和配置主/从设备的状态发生相应的变化，从而确保两台防火墙之间配置命令和会话状态信息得到及时备份。同时，VRRP管理组状态也要受HRP状态影响，即VRRP会根据HRP状态切换的结果来调整优先级，并进行VRRP状态切换。

（2）：VRRP管理组报文和HRP模块的报文，都是通过主VRRP的接口进行传输，当VRRP接口接到的报文为VRRP管理组报文时，就交与VGMP模块进行处理；当接到的报文VGMP的数据报文时，则通过VGMP模块与HRP模块的接口转到HRP模块进行处理。

（3）当VRRP备份组状态变化时，由VRRP管理组来决定是否发生VRRP管理组的状态变化，并继而决定是否引起HRP和配置主/从设备的状态变化。

三、HRP协议

1.hrp备份分类：

自动实时备份：当配置主设备输入双机备份的配置命令和形成的动态备份信息时，系统自动将该命令和动态备份信息消息备份到配置从设备。

自动批量备份：当接入配置从设备或配置从设备重新启动时，由配置主设备将所有配置命令和动态备份信息批量备份到配置从设备，配置从设备将执行需要双机备份的配置命令，以实现主从设备的配置同步，批量备份时不允许实时备份。

手动批量同步：配置主设备上可以输入配置同步命令，将配置主设备上的需要双机备份的配置命令和动态备份信息发送到配置从设备。

2、hrp配置命令

hrp enable 启动双机热备份。目前Eudemon防火墙仅支持双机热备份，不支持多机热备份功能。即启动HRP双机热备份功能后，同一VRRP备份组中仅允许加入两台Eudemon防火墙设备。

hrp auto-sync config 启动自动备份，只能在配置主设备上使用hrp auto-sync命令，不能在配置从设备上使用

hrp mirror session enable用于解决负载分担模式下来回路径不一致问题,此模式下必须启用会话快速备份;主备备份模式下,无需启用此功能。

hrp ospf-cost adjust-enable 使能根据HRP状态调整OSPF相关的COST值。

hrp preempt 用来开启VGMP管理组的抢占功能

hrp inferface G x/x/x transfer-only 双机热备防火墙之间使用独立的直连接口，专门用来同步主备间的数据。同时接口配置要带上transfer-only的标志。

hrp mirror packet enable 使能报文搬迁功能

display hrp 显示hrp配置信息

hrp standby-device用于将防火墙的运行角色切换为备用。

四、总结

双机热备功能可以在主防火墙故障的时候，备防火墙接替工作，不影响业务访问。但实现双机热备也是有限制的，比如硬件限制，目前只支持两台设备双机热备，并且设备型号和版本，主备设备接口卡位置、类型和数目都必须相同；如软件限制，主备设备软件版本一直，Bootrom版本一致，还有运行模式一致等；还有和NAT、IPSec结合使用限制等。