將之前先理清需要注意的知識點：

1、注意防火墻冗余時的會話表必須保持一致，這里HRP技術已經做到

2、vrrp是自動開啟搶占的，且是根據優先級進行搶占的

3、免費ARP的作用：告訴交換機的某個IP的mac地址變成了我的這個mac地址

4、HRP ??--HRP進行雙機熱備是在網絡已經完全歐克了，搭建好了才開始進行冗余熱備的；

黑名單和白名單是有老化時間的

5、以前的路由器上必須是：虛擬網關和真實接口IP必須在同一個網段

但是現在在防火墻是可以這樣干的，虛擬網關綁定的真實IP可以不在一個網段

6、用戶有一個mac地址緩存表

7、安全策略只是抓取數據層面的數據包

不會抓取控制層面的數據包，所以安全策略不會攔截路由信息的傳遞，只會對數據包進行一個匹配攔截；

本章節具體知識點：

1、防火墻的可靠性

--1、如果防護墻需要做冗余，那么此時就不能單純的像路由器那樣切換網關歸屬，因為防護墻還有許多會話表之類的狀態信息，所以我們的防火墻的冗余需要用到雙機熱備技術；

因為防火墻上不僅需要同步配置信息，還需要同步狀態信息（會話表等），所以，防火墻不能像路由器那樣單純的靠動態協議來實現切換，需要用到雙機熱備技術。

1，雙機 --- 目前雙機熱備技術僅支持兩臺防火墻的互備

2，熱備 --- 兩臺設備共同運行，在一臺設備出現故障的情況下，另一臺設備可以立即替代原設備

（也存在冷備的概念，僅工作一臺設備，備份一臺設備，備份設備僅同步配置，并不工作，只有在主設備出現故障時，再由管理員替換工作，冷備可能會造成較長時間的業務中斷：所謂冷備就是主備模式）

---所謂雙機熱備就是做防火墻冗余的時候，除開切換網關的歸屬之外，他還會將主設備的狀態信息進行傳遞給對方

VRRP?--- 虛擬路由器冗余技術??(就是那個冗余網關用到的技術，當然，只要是IP都可以進行冗余)

2、VGMP?--- vrrp?Group?Management?Protocol?--- HUAWI的私有協議

在同一個VGMP組內的vrrp他們的狀態會強制性保持一樣；如果組內的一個vrrp變成了備份，那么所有的vrrp都會變成備份；

為什么要用到VGMP

講VGMP之前，我們先來看看這個圖，通過這個圖進行理解

配置：1、上半截是公網

2、下半截是私網

3、防火墻是邊界

下面我們來做，為下面網關冗余；

解釋：

上面都是一些基礎的網關冗余配置

拓展：我們會發現下面和上面的網段不是同一個網段；所以我們的路由器必須要配置路由，來到達下面的網段；這里的話，我們都做網關冗余了，所以我們就直接寫兩條路由來到達下面的網段；

問題就會出現：當你寫了兩條路由到達下面的網段之后；那么數據包回來的時候就會任意隨機找一條路由去往下面那個網段，正常我們的兩個防火墻連接的鏈路如果沒出問題的話；那么這兩個路由確實都是可以到達我們的下面的網段的；

但是我們都做網關冗余了，說明我們的兩個防火墻就很可能會出現問題；

那么如果左邊這個防護墻出現問題了，那么我們的vrrp主就會轉到右邊去，那么我們就必須滿足右邊的防火墻也必須能夠通信，這里說明我們的路由器必須要有兩條路由；

好，問題來了；如果我們的路由有兩條之后，我們的回來的包很可能就會走錯，所以我們必須把

---最終我們就出現了上面也要做vrrp冗余；

---上面那個vrrp如果嘎調之后，下面的vrrp肯定也不能用了，因為端口地址轉換不了了；

或者下面的vrrp嘎調之后，所有外面回來的數據流量肯定也不能通過這個防火墻回去了；所以兩個vrrp必須保持同時都是主或者同時都不是主；

3、主備的形成場景

--1，FW1被設定為主設備 --- FW1中的VGMP的active組被激活，并且將上下兩個VRRP組拉入到VGMP的active組中，并且狀態都是ACTIVE

--2，FE2被設定為備設備 --- FW2中的VGMP的standby組被激活，并且將上下兩個vrrp組拉入到VGMP的standby組中，并且狀態都是standby

（VGMP組中存在優先級的概念，ACTIVE組的默認優先級是65001，standby組默認的優先級為65000，并且，在VGMP中，所有的主都被成為active，所有的備成為standby）

--3，主設備上下兩個VRRP組的接口將發送免費ARP報文

VGMP組里面有防火墻上的兩個vrrp

4、FW1接口故障的切換場景

1，假設FW1下的接口發生故障，接口的狀態會從active狀態切換到initialize狀態（接口故障的一個過渡狀態）??---接口出故障，從active變成initialize；

2，VGMP組感知到接口狀態變化，會降低自身的優先級（每一個接口發生故障，則優先級會降低2。）???????????

3，FW1會向FW2發送一個狀態變更的請求報文，這個報文中會包含降低后的優先級；

4，FW2收到請求報文后，發現自身的優先級高于對方的優先級，則會將自己standby組的狀態從standby切換為active狀態

5，FW2的VGMP組狀態發生變化，則組中的VRRP組的狀態同步發生變化，都從standby切換到active

6，FW2回復FW1應答報文，表示允許切換

7，FW1收到應答報文后，將自身ACTIVE組的狀態從ACTIVE切換到standby狀態，并且，其中的VRRP組同步將狀態切換到standby，不包含故障接口的狀態，依舊是initialize狀態 ，FW2上下兩個VRRP組將發送免費ARP報文，讓交換機切換MAC地址表，之后所有的流量將從FW2通過。

8、HRP ?---華為冗余協議，私有；可以同步防火墻上的狀態和配置信息；這個協議的防火墻配置成冗余的時候自帶的協議

--1、配置信息 --可以同步虛擬的IP，安全策略，nat策略等等；

--2、狀態信息 ??---會話表，server map表，黑白名單等；

--3、HRP實現的前提條件：

1、兩個防火墻必須中間有一條連接鏈路，專門用來傳遞配置和狀態信息；但是 不會用來傳遞路由信息；

2、這條鏈路必須是三層鏈路，必須要配置IP

3、這條鏈路正常如果是直連的，則不受安全策略的影響，但是如果是沒直連的則需要配置安全策略；

--4、HRP會周期的發送心跳報文用來保活，1s發送一次，最長等待時間3s；如果從設備3s內還沒有收到對方的HRP心跳報文的話，則會認為對方出現故障，自己會升為主；

--5、HRP的三種備份方式

1、自動備份：瞬間自動備份配置信息，狀態信息等10s后才會進行備份

2、手工備份，由管理管理員觸發，可以立刻同步

3、快速備份--該備份方式只能通過負載分擔的場景，且不能同步配置信息，只能同步狀態信息，但是這里同步狀態信息是快速同步

總結：從這里可以發現我們的防火墻冗余之后的信息同步其實都是通過HRP冗余協議來完成的；但是我們其中還用到了VGMP協議來完成兩個vrrp的狀態同時切換

9、防火墻vrrp各場景過程分析

--1，主備形成場景

--2，主備故障切換場景 --- 接口故障

--3，主備故障切換場景 --- 整機故障

整機故障可以通過保活機制來進行切換，主設備發生故障，則不會發送HRP心跳報文，備設備在超時時間內沒有接收到主設備的保活包，則將會進行狀態切換；

備設備如果出現問題不會進行任何操作，因為本來就是主在工作，且主如果壞了還會和備進行商量，如果備壞了，商量肯定不會成功

--4，原主設備故障恢復的場景

根據有沒有開啟搶占分為兩種不同的情況

1，如果沒有開啟搶占 --- 原主設備繼續以備設備的身份工作

2，如果開啟了搶占??--則一旦接口恢復就會延遲60s搶回來，因為擔心接口恢復是短時的；需要進行60s的等待驗證

--5，負載分擔場景

負載分擔其實就是讓兩個設備都運行，那么就會在兩個設備上面都配置4個vrrp；兩個上兩個下；

其中一個上一個下為一個VGMP組；

且左邊的讓一個VGMP組運行，讓一個VGMP組備份右邊；

右邊也讓一個VGMP組運行，讓一個VGMP組備份左邊；

這樣兩邊的設備都會運行了；

注意中間的心跳線也要兩根；

且上面的公網虛擬IP也要兩個了

下面的虛擬私網IP也要兩個

--6，負載分擔接口故障場景

雙機熱備配置

如果勾選了主動搶占，則代表開啟搶占模式，默認開啟60S搶占延遲

（搶占延時主要是為了應對一些接口可能出現反復震蕩的情況）

hello報文周期就是保活報文的發送周期，默認是1S，可以修改，但是，需要兩邊同時修改，否則可能導致對接不上

注意：1，虛擬mac地址勾選可以讓切換對用戶全程無感知

2，如果虛擬IP地址和接口IP地址不再同一個網段，則配置時必須配置子網掩碼

實驗：