雙機熱備的系統要求

硬體要求

組成雙機熱備的兩臺 FW的型號必須相同，安裝的單板型別、數量以及單板安裝的位置必須相同。對於 USG6680E和 USG6712E/6716E，要求組成雙機熱備的兩臺同型號裝置的BomID Version匹配，即BomID Version為000、001、002的裝置不能與BomID Verison為003及其之後的同型號裝置組建雙機熱備環境，其中，BomID Version可透過 display version檢視。

軟體要求

組成雙機熱備的兩臺 FW的系統軟體版本、系統補丁版本、動態載入的元件包、特徵庫版本、HASH選擇CPU模式以及HASH因子都必須相同。

實際上，在系統軟體版本升級或回退的過程中，兩臺 FW可以暫時執行不同版本的系統軟體。

License要求

雙機熱備功能自身不需要License。但對於其他需要License的功能，如IPS、反病毒等功能，組成雙機熱備的兩臺 FW需要分別申請和載入License，兩臺 FW之間不能共享License。兩臺 FW的License控制項種類、資源數量、升級服務到期時間都要相同。

心跳線

雙機熱備組網中，心跳線是兩臺 FW互動訊息瞭解對端狀態以及備份配置命令和各種表項的通道。心跳線兩端的介面通常被稱之為 “心跳介面”。

心跳線主要傳遞如下訊息：

心跳報文（Hello報文）：兩臺 FW透過定期（預設週期為1秒）互相傳送心跳報文檢測對端裝置是否存活。
VGMP報文：瞭解對端裝置的VGMP組的狀態，確定本端和對端裝置當前狀態是否穩定，是否要進行故障切換。
配置和表項備份報文：用於兩臺 FW同步配置命令和狀態資訊。
心跳鏈路探測報文：用於檢測對端裝置的心跳口能否正常接收本端裝置的報文，確定是否有心跳介面可以使用。
配置一致性檢查報文：用於檢測兩臺 FW的關鍵配置是否一致，如安全策略、NAT等。

上述報文均不受 FW的安全策略控制。因此，不需要針對這些報文配置安全策略。

心跳線和心跳介面的配置建議

心跳介面的連線方式可以是直連，也可以透過交換機或路由器連線。建議將組成雙機熱備的兩臺 FW安裝在同一個機架或者相鄰的機架上，心跳介面使用網線或者光纖直連。
對於其他未提供專門HA介面的機型，建議規劃專門的介面作為心跳介面，該介面只用來傳送心跳報文、備份報文等雙機熱備功能相關的報文，不要將業務報文引導到該介面上轉發。同時，建議將多個乙太網介面繫結成Eth-Trunk介面，使用Eth-Trunk作為心跳介面。這樣既提高了鏈路的可靠性，又可以增加備份通道的頻寬。

建議至少配置2個心跳介面。一個心跳介面作為主用，另一個心跳介面作為備份。

心跳線和心跳介面的配置注意事項

MGMT介面（ MEth0/0/0）不能作為心跳介面。
配置了 vrrp virtual-mac enable命令的介面不能用作心跳介面。
兩臺 FW心跳介面的型別、介面編號、鏈路協議型別必須相同。如果使用Eth-Trunk介面作為心跳介面， Eth-Trunk介面的成員介面也要相同。如果使用VLAN介面（VLANIF）作為心跳介面，實際收發報文的二層物理介面也必須相同。
兩臺 FW心跳介面必須加入相同的安全區域。

如果 FW上配置了虛擬系統，心跳介面不能是虛擬系統的介面，必須是根系統的介面。虛擬系統的配置命令和表項也能透過規劃在根系統的心跳介面備份到對端裝置。

雙機熱備工作模式

1、主備備份模式：兩臺裝置一主一備。正常情況下業務流量由主用裝置處理。當主用裝置故障時，備用裝置接替主用裝置處理業務流量，保證業務不中斷。

2、負載分擔模式：兩臺裝置互為主備。正常情況下兩臺裝置共同分擔整網的業務流量。當其中一臺裝置故障時，另外一臺裝置會承擔其業務，保證原本透過該裝置轉發的業務不中斷。

3、映象模式：兩臺裝置的配置相同。映象模式是實現主備備份雙機熱備的一種特殊技術手段，主要用於DCN 和雲管理場景中。\\映象方式不支援VRRP

VGMP組協議

為了保證所有VRRP備份組切換的一致性，在VRRP的基礎上進行了擴充套件，推出了VGMP（VRRP組管理協議）來彌補此侷限。

雙機熱備協議框架

VGMP組優先順序是不可配置的。裝置正常啟動後，會根據裝置的硬體配置自動生成一個VGMP組優先順序，我們將這個優先順序稱之為初始優先順序。當裝置發生故障時，VGMP組優先順序會降低。

VGMP：保證VRRP主備切換一致性；---利用VRRP協議的擴充套件報文來實現

HRP：用於雙機之間的配置命令和連線狀態資訊的同步； ---利用VRRP協議的擴充套件報文來實現

VRRP：虛擬路由冗餘協議；

==============================

路由器中VRRP的組網

==============================================

VGMP監控主備狀態的方式：

1、對VRRP組進行監控

適用於上下行都是交換機組網場景：

vrrp vrid 1 virtual-ip xxxx active

vrrp vrid 1 virtual-ip xxxx standby

2、對直連線口狀態進行監控；

hrp track interface GX/X/X

主備裝置的確定方式：

a、手動指定備裝置 hrp standby-device

b、系統計算主機名的ASII碼計算小的是主裝置

適用於上下行都是路由器組網，如果是間接故障，使用hrp track ip-link

3、對VLAN減進行監控

hrp tack vlan X

主備裝置的確定方式：

a、手動指定備裝置 hrp standby-device

b、系統計算主機名的ASII碼計算小的是主裝置

防火牆工作的二層模式下使用。
4、如果上行路由器或者下行交換機，可以使用vrrp vrid 1 virtual-ip xxxx active 和hrp track interface XXX 來結合使用。

練習拓撲

1、防火牆、路由器基礎配置、防火牆介面加入對應區域等略；

2、配置vrrp並指定主備

[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 active \\在FW1上配置，指定主

[USG6000V1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.1.254 standby \\在FW1上配置，指定備

3、兩端防火牆分別配置心跳

[USG6000V1]hrp interface Eth-Trunk 1 remote 1.1.1.2

[USG6000V1]hrp enable

HRP_M[USG6000V1]dis hrp state

2021-04-29 06:45:44.040

Role: active, peer: standby

Running priority: 45000, peer: 45000

Backup channel usage: 0.00%

Stable time: 0 days, 0 hours, 0 minutes

Last state change information: 2021-04-29 6:45:39 HRP link changes to up.

4、SW1上配置vlan1 的IP地址，並配置預設路由

[Huawei]int Vlanif 1

[Huawei-Vlanif1]ip add 10.1.1.1 24

[Huawei]ip route-static 0.0.0.0 0 10.1.1.254

5、AR1、FW1、FW2上配置OSPF，並把G 1/0/0配置為靜默介面，心跳介面不需配置OSPF

6、在AR1上會學到一條10.1.1.0網段的路由---可並不是等價路由

AR1到10.1.1.0網段的路由，看起來都走FW1沒有什麼影響，來回路徑是一致的

我們檢視下這條路由，是因為備牆在執行OSPF時候會把 metric值被設定為最大

7、當FW1的G 1/0/1介面down掉

HRP_M[USG6000V1]int g 1/0/1 (+B)

HRP_M[USG6000V1-GigabitEthernet1/0/1]shutdown

FW的主備不會切換，

HRP_M[USG6000V1-GigabitEthernet1/0/1]dis vrrp brief

2021-04-29 07:47:55.720

Total:1 Master:1 Backup:0 Non-active:0

VRID State Interface Type Virtual IP

----------------------------------------------------------------

1 Master GE1/0/0 Vgmp 10.1.1.254

但是AR1的路由會切換到備牆FW2上，會出現來回路由不一致的情況

8、如何解決?======防火牆track 下聯介面

HRP_M[USG6000V1]hrp track interface GigabitEthernet 1/0/1

HRP_S[USG6000V1]hrp track interface GigabitEthernet 1/0/1

再看防火牆的主備狀態，已經進行了倒換

AR1來回路徑一致。

防火牆的雙機熱備1：主備、負載方式