文章目录
-
-
- 一、高可靠解决方案
- 二、双击热备技术原理
-
- 1、核心组件与工作原理
-
- [1.1、 VRRP(Virtual Router Redundancy Protocol)------虚拟网关冗余协议](#1.1、 VRRP(Virtual Router Redundancy Protocol)——虚拟网关冗余协议)
- [1.2、VGMP(VRRP Group Management Protocol)------华为专有组管理协议(关键!)](#1.2、VGMP(VRRP Group Management Protocol)——华为专有组管理协议(关键!))
- [1.3、HRP(Huawei Redundancy Protocol)------华为冗余协议(核心同步机制)](#1.3、HRP(Huawei Redundancy Protocol)——华为冗余协议(核心同步机制))
- [1.4、心跳链路(Heartbeat Link)------状态检测与数据同步通道](#1.4、心跳链路(Heartbeat Link)——状态检测与数据同步通道)
- 2、工作模式
- 3、故障切换流程(以主设备宕机为例)
- 4、常见问题与优化建议
- 三、实验
-
一、高可靠解决方案
1、防火墙高可靠性技术背景
随着企业信息化程度加深,网络中断带来的损失日益严重。防火墙作为网络边界的关键安全设备,一旦出现单点故障,将导致整个网络通信中断或安全防护失效。因此,传统单机部署模式已无法满足关键业务对连续性的要求。
在此背景下,华为提出了高可靠性(High Availability, HA)解决方案,通过双机热备或多机集群的方式,实现:
- 故障秒级检测与切换
- 会话状态实时同步
- 配置一致性管理
- 业务流量无感知中断
| 应用场景 | 说明 |
|---|---|
| 数据中心出口 | 防火墙部署在数据中心对外连接的边界位置,保障核心业务系统的安全接入与高可用性 |
| 企业广域网边界 | 位于企业总部与分支机构互联的网络边缘,保护内部网络免受外部攻击,确保链路冗余和业务连续 |
| 金融行业核心网络 | 应用于银行、证券等对系统稳定性要求极高的行业,满足合规性要求并实现故障秒级切换 |
2、防火墙高可靠性技术架构
华为防火墙的高可靠性架构基于 HRP(Huawei Redundancy Protocol,华为冗余协议) + VRRP(Virtual Router Redundancy Protocol)+ 心跳链路 + 状态同步机制 构建,形成主备或主主工作模式。
2.1、核心组件说明
| 组件 | 功能 |
|---|---|
| HRP | 华为专有冗余协议,用于两台防火墙之间配置、连接状态、会话表项的同步 |
| VRRP | 实现虚拟网关IP,对外提供一个逻辑网关地址,主设备故障时由备设备接管 |
| 心跳接口(Heartbeat Interface) | 专用物理接口,用于传输心跳报文、HRP数据同步 |
| VGMP(VRRP Group Management Protocol) | 控制整体设备主备状态,比VRRP更高级,协调多个VRRP组统一切换 |
二、双击热备技术原理
华为双机热备通过在两台相同型号的防火墙上部署冗余协议,使其中一台作为主用设备(Active) 负责处理所有业务流量,另一台作为备用设备(Standby) 实时同步主设备的状态信息。当主设备出现故障时,备用设备立即接管业务,对外表现为"同一逻辑设备",从而保障网络连续性。
1、核心组件与工作原理
1.1、 VRRP(Virtual Router Redundancy Protocol)------虚拟网关冗余协议
- 功能:为内外网接口提供一个虚拟IP地址(VIP),作为终端或上游设备的默认网关。
- 工作方式:
- 主设备上 VRRP 处于
Master状态; - 备设备上 VRRP 处于
Backup状态; - 故障发生时,备机升为 Master,接管 VIP 并发送免费 ARP 更新邻居 MAC 表。
- 主设备上 VRRP 处于
⚠️ 缺点:标准 VRRP 只能监控本接口状态,无法感知整机健康状况(如CPU过载),因此需结合 VGMP 使用。
1.2、VGMP(VRRP Group Management Protocol)------华为专有组管理协议(关键!)
- 为什么需要 VGMP?
- 标准 VRRP 是"单点"判断,可能导致主备角色分裂(例如内网口down但外网口up);
- VGMP 统一管理多个 VRRP 组,实现设备级主备控制。
- 工作机制:
- 每台防火墙运行一个 VGMP 管理进程;
- 根据接口状态、系统负载、心跳是否正常等动态计算本端优先级;
- 通过心跳链路交换 Hello 报文,协商谁为主、谁为备;
- 当主设备故障(如断电、接口down、心跳超时),VGMP 触发整体角色切换。
| 状态 | 含义 |
|---|---|
| Active | 当前为主设备,控制所有VRRP组 |
| Standby | 当前为备设备,监听心跳和状态变化 |
python
# 启用VGMP后,无需手动设置每个VRRP的master/backup,由系统统一控制
hrp enable
hrp interface GigabitEthernet1/0/6 remote 192.168.10.2✅ 优势:避免"脑裂"、保证一致性、支持链路联动(track)
1.3、HRP(Huawei Redundancy Protocol)------华为冗余协议(核心同步机制)
- 定义:华为私有协议,用于在双机之间同步配置、连接状态、会话表项等关键数据。
- 传输通道:专用心跳接口(推荐独立物理口)
- 同步内容包括:
| 同步项 | 是否实时同步 | 说明 |
|---|---|---|
| 安全策略 | 初始同步 | 配置变更时自动同步到对端 |
| NAT 转换表 | 实时同步 | 保证地址转换连续性 |
| 会话表(Session) | 实时增量同步 | TCP/UDP 连接状态镜像 |
| Server-map 表 | 实时同步 | 如FTP、H.323等需要开放临时通道的协议 |
| 用户在线信息 | 可选同步 | 如SSL VPN用户登录状态 |
| 动态路由状态 | 可选同步 | 若启用OSPF/BGP等 |
🔄 同步方式:
- 批量同步:首次启动或主备倒换后全量同步;
- 实时同步:新增/删除会话时通过 HRP 实时推送;
1.4、心跳链路(Heartbeat Link)------状态检测与数据同步通道
-
作用:
- 传输 VGMP 的 Hello 报文(默认每秒一次);
- 承载 HRP 的配置与会话同步数据;
- 检测对端设备存活状态。
-
配置建议:
- 至少配置一条心跳链路;
- 推荐使用独立千兆光口,避免与业务共用;
- 支持多心跳链路冗余(提升可靠性);
-
故障判定条件:
- 连续 3次 未收到对端心跳报文 → 判定为"对端故障"
- 触发本地 VGMP 升级为主设备
🔁 切换时间:通常 < 1 秒(取决于应用层重传机制)
2、工作模式
2.1、主备备份模式(Active/Standby)
- 最常用模式,适用于绝大多数企业场景;
- 主设备处理全部流量,备设备空闲待命;
- 所有会话实时同步至备机;
- 故障切换后,原有连接可继续通信(TCP不会断开);
✅ 优点:简单稳定、安全性高
❌ 缺点:资源利用率低(备机不转发)
2.2、负载分担模式(Active/Active)
- 两台设备同时处于 Active 状态;
- 分别承担不同业务流的处理任务;
- 每台设备既是某VRRP组的Master,又是另一组的Backup;
- 需要上下行设备支持策略路由或智能选路;
✅ 优点:充分利用硬件资源
❌ 缺点:配置复杂,容易引发环路或脑裂
3、故障切换流程(以主设备宕机为例)
- 心跳中断:备机连续3秒未收到主机心跳;
- VGMP判断:本地优先级高于对端 → 发起角色升级;
- 接管VRRP:将相关VRRP组从 Backup 升为 Master;
- 发送免费ARP:通知上下游交换机更新MAC地址对应的新出口;
- 开始转发:利用已同步的会话表处理返回流量;
- 业务恢复:用户正在使用的网页、视频会议等长连接几乎无感知中断。
📌 注:新建连接不受影响,已有连接因会话存在而得以保持。
4、常见问题与优化建议
| 问题 | 原因 | 解决方案 |
|---|---|---|
| 脑裂(Split-Brain) | 心跳中断但两端都认为自己是主 | 配置多心跳链路 + track 关键接口 |
| 切换延迟高 | HRP同步慢或网络拥塞 | 使用专用高速心跳链路 |
| 会话不同步导致断网 | HRP未启用或配置错误 | 检查 hrp mirror session enable |
| 免费ARP未生效 | 下游交换机老化时间长 | 配置交换机快速刷新ARP/MAC |
三、实验
1、拓扑图
2、配置双机热备
3、配置安全策略
4、验证
5、模拟故障------关闭G1/0/1接口
6、查看高可靠状态
7、验证
8、激活G1/0/1接口
9、验证
