对于网络访问要求不是太高的企业来说，通常只部署一台防火墙提供各种服务，企业可以接受短暂的网络中断。但是，对于网络访问要求比较高的企业来说，网络出现中断的情况是不能接受的，这时会使用多个运营商的线路以及两台或多台防火墙来实现冗余备份，当一台设备或者一个运营商线路出现故障时，可以切换到另外一台设备的运营商线路不间断持续提供服务。

早期网络设计中，对于路由器或者防火墙来说，考虑冗余设计的不多，通常组网的方式是使用一条链路配置一台路由器或者防火墙作为出口，所有业务将通过这个出口，当这台设备或者链路出现故障时就会导致所有业务无法访问。

为避免这些问题，可以使用双机热备技术。在生产环境中可以配置两台防火墙（主备模式），防火墙之间使用心跳线连接，主防火墙转发数据，备用防火墙处于不转发状态，当主防火墙发生故障时就切换到备用防火墙提供服务，这是比较常用的主备模式。那么现在有一个问题，如果备用防火墙不转发就非常浪费，此时可以使用负载分担的双机热备模式，两台防火墙都转发数据，互为备份，这样不仅实现了冗余备份，还提高了防火墙的使用率。

虚拟路由冗余协议（Virtual Router Redundancy Protocol，VRRP）是一种路由容错协议。在生产环境中，可以把两台或多台路由器创建为一个VRRP组，VRRP组生成一个虚拟IP地址，客户端使用虚拟IP作为网关地址。VRRP组中只有一台路由器处于活动（Active）状态，处于Active状态的路由器可以转发下一跳数据报文；其他设备处于备用（Standby）状态，处于Standby状态的路由器不能转发数据报文，Active设备周期性向VRRP组中Standby设备发送Hello数据报文通知其自己的状态以及优先级。Active状态的路由器出现故障的时候，Standby状态的路由器会自动接替下一跳转发工作，从而保证网络不会出现中断的情况。VRRP组管理协议（VRRP Group Management Protocol，VGMP）是用于管理VRRP组的协议。VGMP通过统一控制来实现对多个VRRP组的管理，确保VRRP状态的一致性。

当两台主备防火墙两台设备状态一致时，主防火墙所有接口处于活动转发状态，备防火墙所有接口处于备用状态。两台防火墙VRRP状态一致的情况下，报文转发正常进行，当两台防火墙VRRP状态不一致的情况下，就可能存在问题。比如主防火墙与Trust区域相连的接口为备用状态，但与Untrust区域相连的接口为活动状态，此时由于防火墙上没有相应数据流的会话表项，在没有其他数据报文过滤规则允许通过的情况下，防火墙将丢弃该数据报文，导致会话中断。为保证VRRP状态的一致性，防火墙使用VGMP来解决这个问题，将多个VRRP备份组都加入一个VRRP管理组，由管理组统一管理所有VRRP备份组。VGMP通过统一控制VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态保持一致。

当防火墙VGMP为Active状态时，组内所有VRRP备份组的状态统一为Active状态，所有数据报文都将从该防火墙上通过，该防火墙成为主防火墙。另外一台防火墙VGMP为Standby状态，该防火墙成为备用防火墙。同时，VGMP通过定期发送HELLO报文来检测状态，VGMP HELLO报文发送周期默认为1秒，当Standby状态的防火墙3个HELLO报文周期没有收到对端发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态。

如需对防火墙双机热备有进一步的了解，请联系蓝盟IT外包获取免费咨询。

文/上海蓝盟   IT外包专家

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 从IT外包的角度，看上海SMB市场的产业变化

• 分享到：