经典防火墙的操作指导书

2.7 双机热备

2.7.1 双机简介

在当前的组网应用中，用户对网络可靠性的要求越来越高，在很多组网中都需要提供一台冗余设备进行备份，如下图所示：

目前的防火墙解决方案中提供两种双机热备的方式：1）基于纯VRRP的备份；2）基于HRP（Huawei Redundancy Protocol华为公司冗余协议）的备份，以下简要介绍一下这两种双机备份

2.7.2 基于纯VRRP的备份

在这种双机热备的方式，两台防火墙通过VRRP协议来监视彼此的状态，在备用防火墙检测到主防火墙Down的时候，便会把自己变成组，不过由于没有添加额外的协议和处理，这种方式不能备份状态数据。因此发生状态切换的时候已有的会话表项会丢失导致连接中断，这种方式还有存在一个因为由于状态防火墙而导致的问题，因为状态防火墙，会建立会话表并要求后续报文在命中会话表的基础上才能透过防火墙，这就意味着，来去的报文都必须通过同一个防火墙，这就要求在双机热备的环境中防火墙的所有接口（针对同一应用的所有接口）上的VRRP都应该处于同一状态，要么都是主、要么都是备。但是VRRP协议本身不能保证状态的一致性，这样在状态失序的时候便会影响到我们的应用。目前规避的办法是在配置VRRP的时候保证一台上的VRRP的优先级高于另外一台，并使能抢占，这样在可以规避状态不一致的问题。在实际应用中，这种双机备份方式简单，防火墙的系统负载小，可以应用于一些对连接保持要求不高的环境。

2.7.3 基于HRP的备份

为了解决纯VRRP的双机备份方案中的不足（不能进行状态备份、不能维护VRRP的状态一致性），推出了基于HRP的解决方案，该方案采用VRRP协议检测接口状态、用VGMP（VRRP Group Management Protocol——VRRP组管理协议）协议来维护VRRP状态的一致性，并用HRP协议来进行防火墙状态数据的实时备份。其配置步骤如下：