雙機熱備技術研究

甘肅 段曉東

隨著移動辦公、網上購物、即時通信、網絡金融、網絡教育等業務的蓬勃發展，網絡承載的業務越來越多，越來越重要。所以如何保證網絡的不間斷傳輸成為網絡發展過程中亟待解決的一個重要問題。

一般小型的企事業單位由于經費有限，一部防火墻通常部署在網絡出口處，內外網之間的所有數據都會通過防火墻轉發。如果這部防火墻出現故障，會導致內外網之間的所有業務全部中斷，所以在網絡關鍵位置上如果只使用一臺關鍵設備的話，無論其可靠性有多高，單位都必然要承受單點故障而導致網絡中斷的巨大風險。

所以在設計網絡基礎架構時，充分利用在網絡關鍵位置部署兩臺（雙機）或多臺設備，可以切實提高網絡的可靠性與安全性。這樣當一臺防火墻出現技術故障時，流量會無縫通過另外一臺備份防火墻所在的鏈路轉發，保障了內外網之間的業務順暢運行。應當如何解決兩臺防火墻互為備份的問題，保證已經建立的業務不會中斷呢？

防火墻雙機熱備原理

防火墻雙機熱備的最大特點在于提供一條專門的備份通道（俗稱心跳線），用于協商兩臺設備之間的主從關系，即誰是主設備，誰是備份設備，以及備份會話，Server-map 等重要的狀態信息和配置信息。

雙機熱備功能啟動后，兩臺防火墻會根據管理員的配置分別稱為主用設備和備用設備。成為主用設備的防火墻會處理業務，并將設備的會話、Server-map 表等主要狀態信息以及配置信息通過備份通道實時同步到備用防火墻。而備用防火墻不會處理業務，只是通過備份通道接收來自主用設備的狀態信息和配置信息。

而當主用設備發生故障時，兩臺防火墻利用心跳通道交換報文，重新協商主備狀態。備用設備成為新的主用設備，處理業務，而先前的主用設備協商成為備用設備，不再處理業務。這時業務數據仍然能夠順利匹配到會話而被正常轉發，避免了網絡業務的中斷。

如果不采用這種主備備份方式的雙機熱備。也可以采用負載分擔的方式來進行雙機熱備，在這種情形下，兩臺設備均為主用設備，都處理業務，同時雙方又都相互作為對方的備用設備，接受對方備份的會話配置信息。當其中一臺防火墻出現故障后，另外一臺防火墻則會處理全部業務，后續報文能夠在其中一臺防火墻上匹配到會話從而正常轉發，避免了網絡業務的中斷。

防火墻雙機配置過程

防火墻業務工作在三層，連接交換機；防火墻業務工作在三層，連接路由器；防火墻業務工作在第二層，連接交換機；防火墻業務工作在第二層，連接路由器。此時，只要按照所接設備，比如工作在第三層，上行按照交換機進行部署，下行按照路由器組網部署即可。

其次，根據網絡流量的大小，確定采用主備備份還是雙機熱備。如果防火墻業務工作在三層，并且連接交換機，則主備備份和負載分擔都支持；如果工作在三層，連接路由器，兩種方式同樣也支持；而如果工作在二層，連接交換機，則只支持主備備份。同樣，工作于二層，連接路由器，僅對負載分擔備份支持。

圖1 雙機熱備的連接方式

在確定了配置方式后，要確定兩臺防火墻的產品型號和硬件配置必須一致，包括：業務板、主控板、接口板的位置、類型和數目；同時兩臺防火墻的軟件版本和Bootroom版本必須一致；兩臺防火墻配置文件最好均為初始的配置文件。

如果防火墻的業務工作在三層，需要為各個業務接口配置IP 地址，IP 地址必須固定，而不能采用自動獲取的方式。如果防火墻業務工作在二層，則需要將業務接口轉換成二層接口后，加入同一個VLAN。

另外，主備設備和備用設備必須采用相同的業務接口和心跳口，比如主用設備選擇GigabitEthernet1/0/1作為業務接口，選擇GigabitEthernet1/0/5 作為心跳口，那么備用設備也必須采用同樣的選擇。

對安全區域而言，無論是業務接口還是心跳接口，對應接口必須加入到相同的安全區域。

路由的配置，如果業務接口工作在三層連接交換機，只需配置防火墻的靜態路由；如果防火墻的業務接口工作在三層連接路由器，還需配置OSPF；如果防火墻的業務接口工作在二層，就不需要在防火墻上配置路由。對到達防火墻的OSPF 報文，在上/下行業務接口所在的安全區域與Local 區域配置安全策略，允許協議類型為OSPF 的報文通過。

配置VGMP 監控接口。當防火墻工作于三層交換機時，需要在接口配置VRRP 備份組。在主備備份方式下，需要在主用設備的業務接口配置一個VRRP 備份組，然后將這個VRRP 備份組加入Active 組；在備用設備上的業務接口配置同一個VRRP備份組，然后將其加入到Standby 組。在負載分擔方式下，每臺設備的業務接口配置兩個VRRP 備份組，并分別加入Active 組合Standby組。兩臺設備上的同一個VRRP 備份組需要加入不同的VGMP 組，即一個加入Active，一個加入Standby組。

當防火墻工作在三層連接路由器時，需要在接口上配置VGMP 直接監控接口。在主備方式下，主用設備的業務接口加入Active 組，備用設備的業務接口加入Standby。另外還需要配置VGMP 狀態自動調整OSPFCost值。在負載分擔方式下，兩臺設備的業務接口同時加入Active 組合Standby 組。

當防火墻業務工作于二層的主備備份方式下，需要將主用設備的業務接口都加入到同一個VLAN，然后將這個VLAN 加入Avtive 組；而備用設備也執行對等的操作。

當防火墻業務工作在二層的負載分擔方式下時，需要將每臺備用設備的業務接口都加入到同一個VLAN，然后將這個VLAN 同時加入到Active 和Standby 組。

當防火墻需要監控遠端接口時，需要配置VGMP 監控遠端接口，此時只需選擇IPLink 或者BFD 監控的一種即可。

配置心跳接口。一般情況下，兩臺防火墻的心跳接口直接相連就可以了，無需配置remote 參數。但如果心跳接口通過三層設備相連或者使用業務接口作為心跳口，這時就要配置remote 參數了，指定對端接口的地址（hrp track GiabitEthernet1/0/5 remote 10.1.1.2）。

啟用雙機熱備。以上配置完成后，只要執行“hrp enable”命令，就啟用了雙機熱備功能。配置正確的情況下，雙機熱備狀態就能夠成功建立，并且分別在兩臺防火墻上出現HRP_A 和HRP_S。此時，自動備份功能默認處于開啟狀態。如果主備設備之間配置不同步，需要手工批量備份。如果是負載分擔組網，還需開啟快速會話備份功能。

配置的最后驗證。如果防火墻的命令提示符是HRP_A 標識，標識次防火墻是主用設備。如果命令行上有HRP_S 標識，標識此防火墻是備用設備。下一步檢驗關鍵配置，主要有：

兩臺防火墻的軟件型號和軟件版本是否一致（display version），板卡類型和安裝位置是否一致（display device），兩臺防火墻是否使用相同的心跳口（display hrp interface）。

最后業務工作在第三層，重點檢查兩臺防火墻是否都加入到了正確的VGMP組（display hrp state），是否正確運行了OSPF 協議（檢查方法：display ospf）。如果防火墻連接了路由器，則還需檢查OSPF Cost 值得功能(檢查方法：display currentconfiguration|include hrp ospf-cost)。

驗證是否能夠正常切換。在主用設備接口視圖下，執行命令shutdown，如果主用設備此業務接口的狀態變為Down，備用設備的標記由HRP_S 變為HRP_A，且業務正常轉發，說明主備機切換成功。

在主用設備接口上執行命令“undo shutdown”，主用設備經過很低的延遲后，主用設備的標記由HRP_S 變為了HRP_A，并且業務正常轉發，說明故障恢復搶占成功。

在主用設備上執行命令reboot，如果備用設備由HRP_S 變為HRP_A，并且業務正常轉發，說明主備機切換成功。主用設備重啟完成后，重新正常工作。主用設備的標記由HRPS_變為HRP_A，備用設備的標記由HRP_A 變為HRP_S，并且業務正常轉發，說明故障恢復時搶占成功。為了更好的理解雙備份的工作模式，提供如圖1（來源于華為技術支持網站）。而在我們的方案中只用到了前面兩種連接方式，并沒有使用到旁掛部署。

總結

雙機備份系統通過對系統中的關鍵部件進行冗余，提供網絡的安全性和穩定性。具有切換時間靈活、自動探測硬件錯誤、自動切換、自動修復的性能，在一些企事業單位是完全可以推廣使用的。