双机热备原因:
当防火墙(FW)被部署于网络出口处时,一旦出现故障,将致使全网业务受到影响。为有效提升网络运行的可靠性,可通过部署两台防火墙构建双机热备架构,且需严格限定为两台设备。同时,这两台防火墙在设备硬件型号、单板类型以及单板数量方面,均须保持完全一致 ,以此确保双机热备系统的稳定性与兼容性,保障网络业务的持续、稳定运行。
概念名词
心跳线;两台防火墙之间通过一条独立的链路连接,进行信息同步的路线。
心跳线五种状态:
Running:设备处于正常运行状态,能够正常发送报文,业务传输功能正常启用。
Ready:设备处于正常运行状态,但该接口作为备用备份通道,当前未参与业务传输,处于闲置待命状态。
Down:心跳接口的物理连接状态与协议工作状态均为失效(Down),意味着心跳链路无法正常通信,可能影响设备间状态同步和业务切换。
Invalid:表示未为心跳接口指定 IP 地址,且心跳接口工作在数据链路层(二层)模式。在这种配置下,接口无法通过三层协议进行正常的心跳检测与通信,存在运行隐患。
Negotiation failed:该状态表明本端设备与对端设备的协商过程未能成功。可能引发协商失败的原因较为复杂,需要进一步分析。
此外心跳接口配置还需要一些注意规范:
心跳接口配置注意事项
接口类型限制:
MGMT 接口(G0/0/0)禁止用作心跳接口。
若防火墙配置了虚拟系统,心跳接口必须归属于根系统,不得为虚拟系统接口。如此设置,虚拟系统的配置命令与表项才能通过根系统心跳接口备份至对端设备。
接口参数一致性:
两台防火墙的心跳接口需满足以下条件:接口类型、接口编号、链路协议类型必须完全相同。
当采用 Eth-Trunk 接口作为心跳线时,其成员接口也应保持一致;
若使用 Vlan 接口作为心跳口,实际负责收发报文的二层物理接口同样需要相同。
两台防火墙的心跳接口必须加入相同的安全区域,以保障数据传输的安全性与稳定性。
MTU 值要求:
由于配置和表项备份报文的最大长度固定为 1500 字节,且不支持分片处理,因此 MTU 值小于 1500 的接口不能作为心跳接口,否则将导致报文发送失败。
工作模式说明:
心跳接口的工作模式可根据防火墙部署场景灵活选择,既可以是二层模式(通常适用于防火墙工作在二层的场景),也可以是三层模式(常见于防火墙工作在三层的环境) 。
VGMP
VGMP(VRRP Group Management Protocol)协议作为华为自主研发的私有协议,通过定义 VGMP 组,为防火墙(FW)的主备状态管理提供了有效的解决方案。在这一体系下,每台防火墙均配备且仅配备一个 VGMP 组。该 VGMP 组属于系统默认配置,用户既无法对其执行删除操作,也无权另行创建其他 VGMP 组,以此确保防火墙主备管理机制的规范性和稳定性 。
HRP
主要负责将防火墙的关键配置和会话表状态里面的数据进行备份,可备份内容包括安全策略,对象,网络,系统,和一些重要的表,大体如下:
总结
简单介绍入门双机热备需要认识到的基本协议等,之后会制作配置的实战流程。