华为防火墙主备备份及负载分担功能在业务接口工作在三层时形成和切换过程

背景

为了提升网络可靠性，避免单点故障的危险，需要在网络关键节点处部署两台防火墙设备。

防火墙业务接口工作在三层接口

场景

上下行连接交换机

主备备份双机热备状态形成过程

1. 双机热备启用之后，FW1的Active组的状态会由Initialize切换成Active，FW2的Standby组的状态由Initialize切换成Standby。（实验环境下，启用双机热备后VGMP状态机两者都切换至Standby）

2. 防火墙A的VRRP备份组都加入了Active组，且Active组状态为Active，所以防火墙A的VRRP备份组1和备份组2的状态都为Active。同理，防火墙B的两个备份组状态都为Standby。

3. 防火墙A的VRRP备份组1和2分别向上下行交换机发送免费ARP报文，将VRRP备份组的虚拟MAC地址通知至交换机。

4. 上下行交换机的MAC表项分别记录虚拟MAC地址与端口G1/0/1和G1/0/3的对应关系，这样当上下行的业务报文到达交换机后，交换机会将报文转发至防火墙A上，所以防火墙A成为主用，防火墙B成为备用。

5. 同时防火墙A的Active组还会通过心跳线定时向防火墙B发送HRP心跳报文。

主备备份双机热备故障后状态切换

1. 当主用设备G1/0/3接口故障后，防火墙A的VRRP备份组2的状态变成Initialize。

2. 防火墙A的Active组感知这一变化后，将自身的优先级降低2，并将自身状态切换成Active To Standby。

3. 防火墙A的Active组会向对端发送VGMP请求报文，请求将状态切换成Standby。

   扫描二维码关注公众号，回复： 11652967 查看本文章

4. 防火墙B的Standby组收到防火墙A的Active组的VGMP请求报文后，比较VGMP优先级，65000高于64999，因此防火墙B的Standby组会将自身状态切换成Active。

5. 防火墙B的Standby组会向对端返回VGMP应答报文，允许对端进行状态切换。

6. 防火墙B的Standby组会强制组内VRRP备份组1和2将状态切换成Active。

7. 防火墙B的VRRP备份组1和2分别向上下行交换机发送免费ARP报文，更新MAC转发表。

8. 防火墙A的Active组收到对端的VGMP确认报文后，会将自身状态切换成Standby。

9. 防火墙A的Active组会强制组内的VRRP备份组将状态切换成Standby，故障接口除外。

10. 上下行交换机收到防火墙B的免费ARP报文后更新MAC表项，记录虚拟MAC地址与防火墙B接口的对应关系。这样当上下行的业务报文到达交换机后，交换机会将报文转发至防火墙B上，所以防火墙B成为主用，防火墙A成为备用。

11. 主备状态切换完成后新的主用设备防火墙B会定时向新的备用设备防火墙A发送HRP心跳报文。

负载分担双机热备状态形成过程

1. 防火墙A的VRRP备份组1和3加入了Active组，即备份组状态也为Active，备份组2和4加入了Standby组，即备份组状态也为Standby。同理，防火墙B的VRRP备份组1和3为Standby组，2和4为Active组。
2. 防火墙A 的VRRP备份组1和3分别向上下行交换机发送免费ARP报文。防火墙B的VRRP备份组2和4分别向上下行交换机发送免费ARP报文。
3. 下行交换机的MAC表项会记录VRRP备份组1的虚拟MAC地址与防火墙A接口的对应关系，备份组2的虚拟MAC地址与防火墙B接口的对应关系。上行交换机与此同理。这样，两个防火墙都会转发业务报文，形成双主，完成负载分担。
4. 负载分担形成后，防火墙A的Active组会定期向防火墙B的Standby组发送HRP心跳报文，防火墙B的Active组会定期向防火墙A的Standby组发送HRP心跳报文。

负载分担双机热备故障后状态切换

两台防火墙形成负载分担方式的双机热备后，如果其中一台防火墙的接口故障，那么他们讲切换成主备备份状态。

1. 当防火墙A的G1/0/1的接口故障后，VRRP备份组1和2的状态都会变成Initialize。
2. 防火墙A的Active组和Standby组的优先级都会降低2，变为64999和64998。经过VGMP协商后，防火墙A的Active组的状态切换为Standby，防火墙B的Standby组的状态切换为Active。
3. 防火墙A的Active组和防火墙B的Standby组会强制组内备份组进行状态切换。
4. 防火墙B的VRRP备份组1和3分别向上下行交换机发送免费ARP报文，更新MAC转发表。
5. 上下行交换机对MAC转发表进行修改，至此，防火墙A成为备用设备，防火墙B成为主用设备，负载分担状态变成主备备份状态。

上下行连接路由器

主备备份双机热备状态形成过程

1. 主用防火墙A正常向外发布路由，备用设备防火墙B会在上下行设备发布路由时将Cost值增加65500。
2. 对于RouterA而言，通过防火墙A去往外部的OSPF COST值为1+1+1=3，通过防火墙B去往外部的OSPF COST值为1+65500+1+1=65004，路由器选择Cost值小的路径转发报文，即通过主用防火墙转发。

主备备份双机热备故障后状态切换

1. 当防火墙A的业务接口故障后，VGMP组状态切换，防火墙B为主用设备，防火墙A为备用设备，防火墙B正常发布路由，防火墙A发布路由时增加65500。
2. 路由器选择Cost值小的路径转发。

负载分担双机热备状态形成过程

防火墙接口加入VGMP管理组，确保防火墙至上下行路由器的Cost值一致。

上行连接路由器，下行连接交换机

主备备份双机热备状态形成及故障切换过程

1. 下行接的是交换机，防火墙配置VRRP，主防火墙的业务口加入到VRRP，并且加入到VGMP的ACTIVE组，备防火墙的业务口加入到VRRP，并且加入到VGMP的STANDBY组。
2. 上游设备是路由器，主防火墙要将连接路由器的接口放到VGMP的ACTIVE组中进行监控，而备防火墙要将连接路由器的接口放到VGMP的STANDBY组中，进行监控。备防火墙会将链路COST值设置成65500，为了将流量引导到主防火墙。
3. 当链路故障，优先级-2，或者是通过心跳判断，都会引起的主备切换。重新被置成VGMP STANDBY状态的防火墙，将自动修改链路COST值为65500，完成流量引导，引导流量到新的主防火墙。并且新的主防火墙还会将VGMP的成员，监控的下游VRRP组状态设定成ACTIVE，发免费ARP，也完成下游流量的引导，保证上下游流量的所经过的防火墙保持一致，否则由于会话检测的机制，会引起流量中断。

负载分担双机热备状态形成过程

1. 接交换机的接口分别放到两个VRRP组和VGMP组中，一个防火墙一个VGMP组是Active状态，另一个VGMP组状态是Standby状态。另一个防火墙同它相反。
2. 上游将接入路由的接口也是分别放入到VGMP的Active组和Standby组，并且确保两个防火墙连接路由器的接口Cost值初始设置都一致。（配了双VGMP组后，hrp ospf cost adjust-enable自动失效）确保流量分别走两个防火墙。