防火墙双机热备

防火墙双机热备

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断

心跳线

双机热备组网中，心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”

• 心跳报文（Hello报文）：两台FW通过定期（默认周期为1秒）互相发送心跳报文检测对端设备是否存活
• VGMP报文：了解对端设备的VGMP组的状态，确定本端和对端设备当前状态是否稳定，是否要进行故障切换
• 配置和表项备份报文：用于两台FW同步配置命令和状态信息
• 心跳链路探测报文：用于检测对端设备的心跳口能否正常接收本端设备的报文，确定是否有心跳接口可以使用
• 配置一致性检查报文：用于检测两台FW的关键配置是否一致，如安全策略、NAT等

上述报文均不受FW的安全策略控制，不需要针对这些报文配置安全策略

心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接

规划专门的接口作为心跳接口，该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文，不将业务报文引导到该接口上转发。可将多个以太网接口绑定成Eth-Trunk接口，使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性，又可以增加备份通道的带宽

配置了vrrp virtual-mac enable命令的接口不能用作心跳接口

支持主备备份和负载分担模式两种运行模式

基于VRRP的双机热备

FW的VRRP备份组状态则不是由VRRP优先级大小决定,FW启用双机热备功能后，VRRP优先级固定为120

vrrp vrid virtual-router-id virtual-ip virtual