为什么要在防火墙上配置双机热备技术呢？

相信大家都知道，为了提高可靠性，避免单点故障

肯定有聪明的小伙伴会想到那为什么不直接多配置两台防火墙，然后再将他们进行线路冗余，不就完成备份了吗？

答案是不可以这样，如果是路由器，这样做当然是没什么问题，但是这是防火墙，不仅要同步配置信息，而且还要同步状态信息，所以不能像路由器那样单纯的靠动态协议来实现切换，需要用到双机热备技术。

1.双机概论：目前双机热备仅支持两台防火墙设备。

2.热备概论：两台设备共同运行，在一台设备出现故障的情况下，另外一台设备可以立即替代原设备。

不仅有热备概念，还存在冷备概论。

冷备的概念：仅工作一台设备，备份一台设备，备份设备仅同步配置，并不工作，只有主设备出现故障时，再由管理员替换工作，冷备可能会造成较长时间的业务中断。

双机热备三剑客：VRRP、VGMP、HRP

VRRP   ---   虚拟路由冗余协议

VRRP在一个组内可以存在多台3层设备，存在一个master和多个backup

正常产生一个虚拟IP（可以为真实接口ip）和一个虚拟MAC

默认每1s来检测一次master是否活动   224.0.0.18  TTL=1   hold time 3s

选举规则：先优先级，默认100，大优；再接口ip地址大优；

特点：切换速度快；可以使网关的IP和MAC地址不用变化；网关的切换对主机是透明的；

可以实施上行链路追踪

在网关冗余技术中，ICMP重定向是失效的；故当上行链路DOWN时，网关将不会切换；

可以定义上行链路追踪-----该配置必须在抢占开启的情况下生效，且两台设备间的优先级差值小于下调值； 若本地存在多条上行或下行链路，建议上行链路追踪配置时的下调值之和大于优先级差值----所有上行链路全down时，才让备份设备抢占；下行链路大部分down时，可以让备份设备抢占；

VGMP ---  vrrp Group Management Protocol   （华为私有协议）

为什么会有这个？

因为VRRP彼此是独立的，所以，一个VRRP组进行切换不会其他组同步切换，而在防火墙的双机热备场景下，上下有俩个VRRP组，需要同步切换，使用传统的上行链路监控，比肩复杂，因为要监控所有的接口。所以，设计了VGMP协议，和VRRP组进行统一的切换管理。

来VGMP是怎么玩的：

首先，在一个VGMP组中，有active组和standby俩个组。每个组里面有两个状态，一个active状态，一个standby状态。

HRP:华为冗余协议

可以同步防火墙的状态和配置信息

配置信息：策略，NAT,认证，服务等等

状态信息：会话表，server-map ,黑白名单等

but!!!    HRP不能同步基本的接口和路由信息

主备的形成场景

这就是主备的形成。

在接口出现故障时，它是怎么处理的呢？

FW1接口故障的切换场景

主备故障切换场景 --- 整机故障

  

负载分担场景

注意：抢占模式中，默认开启60s抢占延迟

不设置立马抢占的原因是为了防止接口动荡，一会没问题，一会有问题这种情况