原理Huawei社のファイアウォールVRRPホット・スタンバイ構成と

まず、2つのホットスタンバイは何ですか？
このプロトコルホットスタンバイ契約--VRRPを使用してHuawei社のように、合計、ホットスタンバイ技術の様々な多くを提供することを目的とした7X24時間の中断のないサービスをより多くのホットスタンバイは何もいわゆるません。

Huawei社のホットスタンバイホットスタンバイと大きなファイアウォール場合、二つ以上のファイアウォール、ファイアウォール2は、相互に協力を展開することで、ロードバランシングを実現。

Huawei社ホットスタンバイファイアウォールには、次の2つのモードがあります。

• ホットスタンバイモード：データを転送するための1時間だけ1つのファイアウォール、他のファイアウォールは、前方ませんが、ファイアウォールがダウンし、現在の仕事の後、バックアップのファイアウォールは、転送データの仕事を引き継ぐ際に、セッションテーブルとサーバー・マップ・テーブルを同期します。
• ロードバランシングモード：お互いに同じ時間、ファイアウォール、複数の順方向データ、およびバックアップは、各ファイアウォールの両方のマスタデバイスがスペアです。ファイアウォール間の同期セッションテーブルとサーバー・マップ・テーブル。

二つ、VRRP概念
VRRP（仮想ルータ冗長プロトコル、仮想ルータ冗長プロトコル）は、障害ゲートウェイルーティングプロトコルの単一点に対処するために使用されます。VRRPは、ルータ内のアプリケーションゲートウェイの冗長性を提供することができ、ファイアウォールは、ホットスタンバイを行うために使用することができます。

VRRP関連の用語の紹介：

• VRRPルータ：ルータVRRPプロトコルを実行しています。
• バックアップからなるアクティブルータとスタンバイルータグループの複数のクライアントのバックアップグループ仮想ゲートウェイ：によって仮想ルータ。
• VRID：一意バックアップグループを識別するために使用される仮想ルータ識別子、。
• 仮想IPアドレス：クライアントに提供するゲートウェイアドレス、だけでなく、すべてのVRRP仮想ルータの設定に割り当てられたIPアドレス、ARP応答機器のIPアドレスを提供する唯一のマスター。
• 仮想MACアドレス：VRRP VRIDのためのMACアドレス時にゲートウェイによってARPプロトコル解析におけるクライアントのMACアドレスを生成し、アクティブルータはMACアドレスを提供します。
• IPアドレスの所有者：仮想ルータのIPアドレスは、物理インターフェイスメンバの実際のIPアドレスとして設定されている場合、そのメンバーは、IPアドレスの所有者と呼ばれています。
• 優先順位：各VRRPマスターデバイスとバックアップデバイスのルータの優先度の選挙でVRRPルータを識別するための優先順位。
• プリエンプションモード：（現在のアクティブルータを含む）他のルータよりもスタンバイルータのバックアップグループ優先順位が高い場合プリエンプションモードでは、それはすぐに新しいアクティブルータになります。
• 非プリエンプティブモード：（現在のアクティブルータを含む）他のルータは、次の公正な選挙（例えば、リブートされるまで、アクティブルータになることができないよりノンプリエンプティブモードにおいて、スタンバイルータバックアップグループであれば、より高い優先順位など）。

第三に、VRRPの二つの役割

VRRPモードでの作業ルータ、二つの役割、すなわち、バックアップルータとルータをマスタがあります。

• マスタルータ：通常、マスターの責任とルータはARP応答パケットの転送、およびデフォルトのマスタールーター広告他のルータへのすべての1秒現在の状態情報を提供します。
• バックアップルータ：マスタルータに障害が発生したときにバックアップルータマスタールータは、通常の状況下でパケットを転送提供していないで、すべてのバックアップルータ最も優先順位の高いルータがパケット転送の仕事を引き継ぐ、新しいマスタルータとなります確保するためのサービスが中断されていません。

第四に、VRRPの選択プロセス
は以下のようにVRRP選挙マスタルータとバックアッププロセスである：
第一に、高い選挙優先デバイスがマスタ、同一の優先順位は、インターフェースIPアドレスのサイズを比較し、IPアドレス（大きな値）が大きいデバイスになりますマスタルータとバックアップルータ、他のグループは、バックアップルータになりますとなります。
。
手動でIPアドレスの所有者（優先度= 255）、またはVRRP状態の切り替えにルータを設定しないかぎり、ルータの優先順位が最も高いが、また状態から状態のバックアップへの移行を習得する必要がある場合でも、必ず最初に経験バックアップの状態です。遷移状態のちょっとこの場合は、バックアップのステータス。
。
VRRP 0から255、0予約されている優先順位の範囲のインターフェイス100のデフォルトの優先度は、優先度255は、IPアドレスの所有者のために予約され、IPアドレスは設定の優先順位、デフォルトの優先順位を持っている必要はありません255です。
。
五、3つのVRRP状態

次のようにVRRPは、3つの状態が定義されています。

• Initalizeステータス：VRRPの状態で構成ちょうどその時、インタフェースインタフェースの障害やシャットダウンも状態になりますと、この状態では、何のVRRPパケットが、何もしません。
• マスターステータス：選挙は、定期的にマスタルータがこの状態でデータパケットを転送するなり、デバイスの現在の状態は、VRRPアドバタイズメントを送信し、またはインタフェースがデバイスの後に無効にされたときダウン直後に初期状態に切り替わります。
• バックアップのステータス：ルータは、状態は任意のデータパケットを転送しない、だけ受け取ることになりますマスターが適切かどうかをマスターワークを検出するために、VRRPパケットを送信し、また、マスタデバイスを同期スタンバイ状態に現在の選挙装置ステータスに関する情報。

六、VRRPの状態を経てVGMP統合管理は、
（LinuxはkeepalivedのVRRPプロトコルも使用される）ネットワークVRRPにおけるデバイス、および他の状況で使用用い、以下に示す理由が存在する同じではない。

上図から分かるように、通常PCマスタ・バックアップ・グループ1（FW1）転送を介して外部のネットワークデバイス宛のパケット、パケット転送装置のマスタVRRPグループ2（FW1）によって外部ネットワークを返すが、場合FW1 G1 / 0/0インタフェース障害が発生し、バックアップグループ1は、マスタ装置とFW2グループ1としてバックアップこの故障を検出することができます。PCがそのままバックアップグループマスタデバイス（FW2）1、およびVRRPグループ2の状態によって転送されたデータ・パケットを開始する（FWL G1は/ 0/1インタフェース通常動作）が発生し、外部ネットワークからの戻りトラフィックはまだバックアップマスタデバイスグループ2（FWL転送）、明らかに、インターフェースG1 FW1 / 0/0障害ので、パケットは、フォワード続行できません。
。
この現象の理由は、各グループで一貫性のあるバックアップデバイスの状態を確認するために、VRRPバックアップグループの一元管理を実現するためにVGMP（VRRPグループ管理プロトコル）を使用する必要があるように、2つのVRRPグループは、独立して動作することです。（FWLとFW2）グループのすべてのバックアップ（バックアップバックアップグループ1及びグループ2）バックアップグループ内の変化を検出すると、統合管理VGMPグループに加えて、デバイス上のVGMP（バックアップグループ1）インタフェース（インターフェースが初期化状態に入る）、グループマイナス2、アクティブおよびスタンバイグループの再ネゴシエーションVGMP基VGMP自体の優先順位。活性基は、状態スイッチ（バックアップグループバックアップグループ2 FW2 1とマスタ装置となり）統一された他のすべてのバックアップグループ（バックアップグループ1及びバックアップグループ2）を選出しました。

VGMPを異なるバックアップグループ内の機器の状態を統一するために使用される、として単に理解することができます。

次のようにVGMPに動作します。

• 状態VGMP基（マスタとバックアップなど）はもはやVRRPパケット選挙によるものであるが、直接VGMP統合管理することによって、その装置の役割であり、VRRPステータスを決定します。
• 優先度を比較することによって決定状態VGMPグループは、最高の優先度は、優先度の低いVGMPグループがスタンバイになる、アクティブVGMP基となっています。
• デフォルトでは、優先順位VGMPグループは45,000でした。
• 自動的にバックアップグループの状態は、状態を初期化となるが検出されると、優先順位が自動的に減少VGMP群2である、VRRPバックアップグループのグループの優先順位ステータスを調整に従ってVGMP。
• ハートビート経由VGMP交渉VGMPステータス情報。

添加後VRRPマスタとバックアップの状態の識別からVGMP基は、アクティブおよびスタンバイとなります。
1、VGMPパケットのカプセル化
VGMPパケットを送信することによって、ハートビートによってVGMP VGMP交渉状態情報、。二つの形式以下VGMPパケット：

図ネットワーク内の左側の上図、心拍（G1 / 0/0）及び心拍の端部が直接スイッチャを介して接続された、または接続されている場合、マルチキャストパケットが属しますパケット、カプセル化されたパケットは、マルチキャストパケットがレイヤ3デバイスなぜなら、パケットようにすることができず、（もちろん、このような状況は稀である）UDPヘッダの情報、及び注意深い層デバイスによって接続されたジャンパーを運びません余分なパッケージUDPメッセージヘッダを追加して、この時点で送信されたメッセージは、ユニキャストに属します。

パケットが属するコマンドで指定されたインターフェイスによって送信されたパッケージのどのようなタイプ。

[USG6000V1]hrp interface GigabitEthernet 1/0/0       <!--eNSP模拟器中不支持该配置-->
[USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1
<!--hrp命令用来指定用于心跳链路的接口编号，
1.1.1.1是心跳线对端接口的IP地址，该地址要求路由可达，
带remote参数的命令将封装UDP，并发送单播报文不带remote参数将发送组播报文-->

VGMPその他の考慮事項の設定について：

• VGMPを加えた後、ハートビートバックアップの効果は、ステータス情報（セッションテーブル、およびサーバー・マップ・テーブル）とVGMPネゴシエーション状態が含まれています。
• Huawei社は、（パラメータなどのリモートVGMPパケットで）ユニキャストトラフィックを禁止している（たとえば、引数なしでリモートVGMPパケットとして）、デフォルトでは、マルチキャストトラフィックを解放するので、リモートパラメータ設定ならば、また地域とのハートビートを設定する必要がありますファイアウォール回線インタフェース領域間のセキュリティポリシーを設定します。
• 構成されたVRRP仮想MACハートビートインターフェイスポートとして使用することはできません可能。
• ハートビート・インターフェース界面層た場合、レイヤ2インターフェイスの設定はしない直接ことができるが、レイヤ2インターフェイスVLANを加え、心拍VLANインターフェイスに配置されています。
• eNSPointシミュレータは、インタフェースが心拍との間に接続されている場合でも、リモート・パラメータも設定する必要があり、または設定することができません。

2、ホットスタンバイバックアップ

ホットスタンバイバックアップ方法は、以下の3つが含まれています。

• 自动备份：该模式下，和双机热备有关的配置只能在主用设备上配置，并自动同步到备用设备中，主用设备自动将状态信息同步到备用设备中。
• 手工批量备份：该模式下，主用设备上所有的配置命令和状态信息，只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主设备和备用设备配置不同步，需要立即进行同步的场景。
• 快速备份：该模式下，不同步配置命令，只同步状态信息，在负载均衡方式的双机热备环境中，该默认必须启用，以快速更新状态信息。

各个模式的配置命令如下：

（1）开启双机热备功能：

[USG6000V1]hrp enable    
HRP_S[USG6000V1]       <!--开启双机热备功能后，命令提示符发生变化-->

（2）配置自动备份模式：

HRP_M[USG6000V1]hrp auto-sync 
HRP_M[USG6000V1]security-policy  (+B)
 <!--开启双机热备后，执行可以同步的命令会有（+B）的提示-->

（3）配置手工批量备份模式：

HRP_M<USG6000V1>hrp sync [ config | connection-status ]   
       <!--
 在用户模式下执行该命令，其中config参数表示手工同步命令配置，
 connection-status参数表示手工同步状态信息。
              -->

（4）配置快速备份模式：

HRP_S[USG6000V1]hrp mirror session enable 
HRP_M[USG6000V1]      <!--配置快速备份模式后，开头会变成HRP_M.....-->

3、关于上游或下游设备的选路问题
当双机热备的设备上游或下游是交换机时，是通过VRRP检测接口或设备的状态，但当上游或下游设备是路由器时，VRRP无法正常运行（VRRP依靠组播实现故障切换）。华为防火墙的做法是监控其接口状态，并配置OSPF实现流量切换，通过直接将接口加入VGMP组中，当接口故障时（即使是对端设备故障，本端接口的物理特性也将关闭）VGMP会感知接口状态变化，从而降低VGMP组的优先级，从Active状态切换至standby状态。而之前的standby组将提升为active状态，而处于standby的VGMP组在发布OSPF路由时，会自动将cost值增加65500，通过OSPF的自动收敛，最终将流量引导至active组设备中。
七、配置实例
环境如下（别看上面啰嗦了那么一堆概念，但真正配置起来，简单的很，但是若要排错，还是要理解透彻它的工作原理）：

声明：该环境不以实际环境为目的，目的是为了介绍防火墙的双机热备，所以这是一个简化环境。

需求如下：

LSW1和LSW2是二层交换机，FW1、FW2、LSW1、LSW2组成双机热备网络，正常情况下，PC1发起的访问R1的流量通过FW1转发，当FW1出现故障时，在PC1不做任何调整的前提下，可以自动通过FW2转发。
开始配置：
FW1配置如下：

<USG6000V1>sys      <!--进入系统视图-->
<!--以下是在配置相应接口IP-->
[USG6000V1]in g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.101 24
[USG6000V1-GigabitEthernet1/0/0]in g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.1 24
[USG6000V1-GigabitEthernet1/0/1]in g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 192.168.1.101 24
[USG6000V1-GigabitEthernet1/0/2]quit
<!--以下是在将接口添加至相应区域-->
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add in g1/0/2
[USG6000V1-zone-trust]firewall zone dmz
[USG6000V1-zone-dmz]add in g1/0/1
[USG6000V1-zone-dmz]firewall zone untrust
[USG6000V1-zone-untrust]add in g1/0/0
[USG6000V1-zone-untrust]quit
<!--以下是设置一个策略，放行本地到dmz区域的流量，以便使VGMP报文通过-->
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name permit_heat
[USG6000V1-policy-security-rule-permit_heat]source-zone local
[USG6000V1-policy-security-rule-permit_heat]destination-zone dmz
[USG6000V1-policy-security-rule-permit_heat]action permit 
[USG6000V1-policy-security-rule-permit_heat]quit
[USG6000V1-policy-security]quit
<!--其实在配置完双机热备再配置该策略也可以，但是为了保险起见，就先配置上这个策略-->
 <!--以下是在配置VRRP备份组-->
[USG6000V1]in g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active
[USG6000V1-GigabitEthernet1/0/0]in g1/0/2
[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip  192.168.1.100 active
[USG6000V1-GigabitEthernet1/0/2]quit

 [USG6000V1]hrp in g1/0/1 remote 172.16.1.2    <!--配置心跳接口，指定对端设备-->
[USG6000V1]hrp enable    <!--启用双机热备-->
HRP_S[USG6000V1]hrp auto-sync <!--配置备份方式为自动备份-->

至此，FW1的配置暂时就完成了。开始配置FW2，FW2的配置与FW1的配置类似，就不写注释了
FW2配置如下：

<USG6000V1>sys
[USG6000V1]in g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 10.1.1.102 24
[USG6000V1-GigabitEthernet1/0/0]in g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip add 172.16.1.2 24
[USG6000V1-GigabitEthernet1/0/1]in g1/0/2
[USG6000V1-GigabitEthernet1/0/2]ip add 192.168.1.102 24
[USG6000V1-GigabitEthernet1/0/2]quit
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add in g1/0/2
[USG6000V1-zone-trust]firewall zone untrust
[USG6000V1-zone-untrust]add in g1/0/0
[USG6000V1-zone-untrust]firewall zone dmz
[USG6000V1-zone-dmz]add in g1/0/1
[USG6000V1-zone-dmz]quit
[USG6000V1]security-policy 
[USG6000V1-policy-security]rule name permit_heat
[USG6000V1-policy-security-rule-permit_heat]source-zone local
[USG6000V1-policy-security-rule-permit_heat]destination-zone dmz
[USG6000V1-policy-security-rule-permit_heat]action permit
[USG6000V1-policy-security-rule-permit_heat]quit
[USG6000V1-policy-security]quit
[USG6000V1]in g1/0/0
[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby 
[USG6000V1-GigabitEthernet1/0/0]in g1/0/2
[USG6000V1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip  192.168.1.100 standby 
[USG6000V1-GigabitEthernet1/0/2]quit
[USG6000V1]hrp in g1/0/1 remote 172.16.1.1
[USG6000V1]hrp enable
HRP_S[USG6000V1]hrp auto-sync

配置至此，双机热备状态已经同步了，现在FW2为备份状态，多数配置已经无法在FW2上进行，只能在FW1上配置后，自动同步到FW2，那么现在在FW1配置一条策略，以便允许trust区域访问untrust区域，并且在FW2防火墙设备上查看是否同步到这条策略。
FW1配置如下：

<!--可以看到每条命令后面自动跟一个“（+B），表示该命令可以同步。”-->
HRP_M[USG6000V1]security-policy  (+B)
HRP_M[USG6000V1-policy-security]rule name test1 (+B)
HRP_M[USG6000V1-policy-security-rule-test1]source-zone trust  (+B)
HRP_M[USG6000V1-policy-security-rule-test1]destination-zone untrust  (+B)
HRP_M[USG6000V1-policy-security-rule-test1]action permit  (+B)
HRP_M[USG6000V1-policy-security-rule-test1]quit
HRP_M[USG6000V1-policy-security]quit

FW2设备上查看是否有FW1创建的策略：

HRP_S[USG6000V1]security-policy         <!--抱歉，备份设备已经进不去安全策略模式了-->
 Error: The device is in HRP standby state, so this command can not be executed.
 HRP_S[USG6000V1]dis current-configuration  <!--别担心，还可以查看当前所有策略嘛-->
         ...................... <!--省略部分内容-->
security-policy
 rule name permit_heat
  source-zone local
  destination-zone dmz
  action permit
 rule name test1        <!--可以看到刚才创建的名为test1策略已经同步过来了-->
  source-zone trust
  destination-zone untrust
  action permit

配置R1路由器及PC及的IP地址，并ping通。

R1路由器配置如下（R1路由器相当于运营商的公网上的路由器了，这里只是为了模拟一个这样的环境）：

<Huawei>sys
[Huawei]in g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]ip route-static 192.168.1.0 24 10.1.1.100     
           <!--
添加一条去往内网的路由，在实际环境中，可是不会有这条路由的哦，
实际中一般会将内网的地址映射为和该路由器同一网段的公网IP。
                  -->

PC1的IP地址配置网关为虚拟IP，PC1的IP地址配置网关为虚拟IP，PC1的IP地址配置网关为虚拟IP
PC1和R1路由器进行ping测试（最好在命令最后加“-t”选项，进行持续ping，以便查看会话表，否则会话表会老化，查不到相应数据）：

在FW1查看会话表：

HRP_M[USG6000V1]dis firewall session table 
 Current Total Sessions : 24
 icmp  ×××: public --> public  192.168.1.1:17547 --> 10.1.1.1:2048
 icmp  ×××: public --> public  192.168.1.1:18059 --> 10.1.1.1:2048
 icmp  ×××: public --> public  192.168.1.1:14987 --> 10.1.1.1:2048

在FW2查看会话表：

HRP_S[USG6000V1]dis firew se ta
 Current Total Sessions : 26
 icmp  ×××: public --> public  Remote 192.168.1.1:9099 --> 10.1.1.1:2048
 icmp  ×××: public --> public  Remote 192.168.1.1:9611 --> 10.1.1.1:2048
 icmp  ×××: public --> public  Remote 192.168.1.1:10891 --> 10.1.1.1:2048
 icmp  ×××: public --> public  Remote 192.168.1.1:12171 --> 10.1.1.1:2048

可以看出两个防火墙上的会话表内容都是不一样的（但不会影响故障切换）。
那么现在就可以进行故障切换的验证咯！

模拟FW1设备故障（关闭FW1的任意一个接口即可，注：此时PC1还在持续pingR1，才可以看到故障切换的效果）：

HRP_M[USG6000V1]in g1/0/0 (+B)
HRP_M[USG6000V1-GigabitEthernet1/0/0]shutdown
 <!--“shutdown”命令系统是不会同步到对端防火墙的，要不然就没得玩了，
 你看它后面都没有 (+B)-->

クロージング・インターフェース後または2秒で、PC1は、順番に成功したフェイルオーバーを示し、正常に戻り、失われたパケットを見ることができます。次のように：

設定この目的のために、いくつかのクエリコマンドステートフルフェイルオーバーの下に：

 <!--查看双机热备的状态信息，主要看是Role和peer的信息，
 Role表示本端，peer表示对端。
 Running priority表示本端的优先级，peer表示对端的优先级。
 -->
HRP_S[USG6000V1]display hrp state     
 Role: standby, peer: active (should be "active-standby")
 Running priority: 44998, peer: 45000
                      ......................        <!--省略部分内容-->

HRP_S[USG6000V1]dis hrp interface           <!--查看心跳接口状态-->     
             GigabitEthernet1/0/1 : running

八、要約

図1に示すように、ハートビート2つのファイアウォールのためのインタフェースは、同じセキュリティゾーンの添加を必要とします。
G1 / 0/1であるように2、番号2つのファイアウォールのためのインターフェースは、一貫した心拍なければなりません。
図3に示すように、両方のステートフル・ファイアウォールのために推奨されているが、同じタイプ、VRPの同じバージョンを使用して調製しました。同じデバイス（ルータまたはスイッチ）に接続すると、同じインタフェースIDを使用します。
ホットスタンバイグループ壊れた機器は、新しいデバイスを購入することができます4は、コンフィギュレーション時に、ホットスタンバイグループを追加し、そのデバイスが壊れていたVGMPがActiveに配置され、今もバックアップグループがありますデバイスがアクティブ状態にあり、また、それ以外の場合は交渉することができない、アクティブ状態を設定する必要があり、新しい機器を購入しました。構成は、FW1が構成アクティブ状態になった後、上記のように、その後デバイスはFW1、FW2ケースアクティブ状態にスタンバイ状態ダウンし、次いで、この時間は、所望にFW3再結合バックアップグループを購入します設定する際にアクティブとして設定されなければなりません。このコマンドのようです：VRRPのVRID 1仮想IP 192.168.1.100アクティブ。しかし、欠陥があり、それは新しいFW3がアクティブ状態になって購入、設定されているが、唯一のアクティブなバックアップデバイスはデバイスを同期するので、FW2にセッションテーブルにあっ同期されていない、アクティブデバイスがバックアップデバイスに同期されていませんFW3を設定する際の状態、従って、再使用または最初FW2のVRRP VRID 1仮想IP 192.168.1.100アクティブこのコマンドは、元の状態にアクティブ状態、及び、直接FW3は、スタンバイ状態、セッションとして構成しますテーブルが正常に同期させることができます（FW2セキュリティポリシーがオーバー同期どのようにFW3を、私は、任意のは、どのように同期のセキュリティポリシーを知っていれば知っている、だけでなく、コメントに書くしたくない）、バックアップFW3を追加する前に、私は手動で構成関連のセキュリティポリシー。