防火墙双机热备之VRRP与VGMP
一、VRRP基础
当我们的主机配置了一个网关(路由器),主机想访问外部网络时,就会先将报文发送给网关,再由网关传递给外部网络,正常情况下,主机可以完全信赖网关的工作,但是如果出现了单点网关故障呢?主机与外部就会中断。
这时候会容易想到,那么我们配置多个网关不就可以解决问题吗,但是一般情况下,主机不能配置动态路由,只会配置一个默认的网关。
若主机配置AR1为默认网关,当AR1故障时,流量无法被自动引导到AR2,只有手动更改主机的默认网关才能解决问题,此时主机访问外网的流量已经中断了一段时间,且当主机数量过多,手动配置也显得不切实际。
为了解决单网关故障问题,VRRP由此诞生,它保证了当主机的下一跳路由器出现故障时,备份路由器将自动代替出现故障的路由器完成对报文的转发任务,从而保持网络通信的连续性和可靠性。
如上图,将两个路由器的下行接口划分为一个VRRP备份组,VRRP备份组相当于一个虚拟的路由器,有着自己的虚拟IP地址和虚拟MAC地址(00-00-5E-00-01-{VRID},VRID为VRRP备份组的ID)此时主机可以将默认网关设置为VRRP备份组的虚拟IP地址,在主机看来,是通过虚拟路由器与互联网通信。
VRRP的三种状态:Initialize、Master、Backup。
Initialize:初始化状态,当设备状态为Initialize,该设备处于不可用状态,设备不会对VRRP通告报文做任何处理,通常设备启动时或者设备检测到故障时会进入该状态。
Master:活动状态,状态为Master的设备成为Master设备,Master设备拥有VRRP备份组的虚拟IP地址以及虚拟MAC地址,Master设备收到目的IP地址是虚拟地址的ARP请求时会响应请求。
Backup:备份状态,状态为Backup的设备成为Backup设备,Backup设备不会响应目的IP地址为虚拟IP地址的ARP请求。
VRRP备份组中的多个路由器会根据管理员设置的VRRP备份组优先级确认自身的设备状态,优先级最高的为Master设备,其余设备为Backup设备,当Master设备正常工作时,通过Master设备与外界通信,Master设备故障,其余Backup设备会选出一台新的Master设备代替转发报文的工作。
二、VRRP工作原理
在VRRP 的实现中,除了优先级和主备状态以外,VRRP 中还定义了一些其他的概念:
(1)虚拟路由器
VRRP 将多台物理设备看成逻辑上的一台虚拟路由器。一台虚拟路由器由两部分信息进行标识:虚拟路由器ID(VRID)和所关联的虚拟IP 地址。
VRID 的配置范围为1~255,配置在同一备份组中的VRID 必须一致。
(2)消息通告间隔(Advertisement_Interval)
消息通告间隔指的是Master 发送两个VRRP 通告消息中间的间隔,默认为1s。关联到同一虚拟路由器的VRRP 路由器上配置的消息通告间隔必须一致,如果不一致,VRRP 认为是关联到不同的虚拟路由器。
(3)抢占模式(Preemption Mode)
在VRRP中,只有Master才能发送VRRP通告消息。Backup 路由器在接收到Master 发送的VRRP通告消息后,会比较自身的优先级和Master 通告消息中的优先级大小。
如果抢占模式开启,而且自己的优先级比当前Master 路由器的优先级要高,就会将自己的状态修改为Master,并向外通告VRRP通告消息。如果抢占模式关闭,Backup路由器即使发现自己的优先级比当前Master 路由器的优先级高,也不会将自己的状态修改为Master。
默认情况下,抢占模式是开启的。
(4)延迟时间(Delay Time)
在开启了VRRP 抢占功能的网络中,如果网络非常繁忙,会出现Master正常工作但是Backup却收不到通告消息的情况。这种情况下可以配置抢占延迟时间,使Backup不会立即成为Master,减少网络振荡。
默认情况下,延迟时间的值为0。
(5)Master 故障间隔(Master_Down_Interval)
路由器处于Backup状态时,如果在Master故障间隔时间内收不到Master发送的VRRP通告报文,则认为Master出现故障,Backup切换状态为Master,向外发布VRRP通告消息报文。
Master故障间隔的时间是3倍的消息通告间隔再加上延迟时间:(3×Advertisement_Interval)+Delay Time。
(6)报文验证。
VRRP 支持3 种验证方式:不验证、纯文本密码验证和MD5 验证。
不验证:此验证方式表示VRRP 报文不需要验证。
纯文本密码验证:此验证方式表示VRRP 报文需要进行验证,验证时使用纯文
MD5 验证:此验证方式表示VRRP 报文使用MD5 加密数据进行验证。
现在来简述一下VRRP实现原理:
1、管理员在路由器上配置完VRRP备份组以及优先级,路由器短暂进入Initialize状态。
2、设备收到接口UP的消息后,会切换为Backup状态,等待定时器超时。
3、优先级越高,定时器时长越短,率先将VRRP备份组状态切换为Master的路由器将成为Master设备。
4、周期性(默认1s)地向VRRP备份组中其余地Backup设备发送VRRP报文(消息通告间隔(Advertisement_Interval))通告自己的Master状态和优先级。
5、Master设备会发送免费的ARP报文,将VRRP备份组的虚拟MAC以及虚拟IP地址通知给连接的交换机
6、内网PC将网关设置为VRRP备份组的虚拟IP地址,当内网PC访问互联网,首先会广播ARP报文,请求虚拟IP地址对应的虚拟MAC地址,此时只有Master设备会回应此ARP报文。
7、PC使用虚拟MAC地址作为目的MAC地址封装报文发送给交换机,交换机根据MAC地址表将报文发送给Master设备(如AR1)。
8.1、当Master设备(AR1)发生故障或者所在下行接口故障,无法发送VRRP报文通知Backup设备(AR2),Backup设备在定时器超时仍收不到Master设备发送的VRRP报文,则认为其故障,将自身状态切换为Master。
8.2、第二种情况,Master设备主动放弃Master地位,比如退出了VRRP备份组,会立即发送优先级为0的VRRP报文,使Backup设备快速切换成Master设备。
9、新的Master会发送免费的ARP报文,刷新交换机的MAC地址表(主要是新接口问题)。
10、内网PC将报文发送给交换机后,交换机查看MAC地址表,将报文通过G0/0/2接口发送给AR2。
11、此时完成了流量方向的切换,整个过程对用户是透明的。
12、若此时AR1恢复正常,优先级高于AR2,且配置了抢占模式,则会在抢占定时器超时后将状态切换为Master,重新成为Master设备,如果没配置抢占模式,则不变。
三、VGMP基础
上述VRRP是在网关的下行接口运行的,如果上下行接口同时运行VRRP协议,又会如何?即多个VRRP状态备份组的状态不一致问题。
1、两台路由器下行接口加入VRRP备份组1,上行接口加入到VRRP备份组2,且R_A为VRRP备份组1,VRRP备份组2的Master,内外网将通过R_A转发报文。
2、若此时R_A的G0/0/0接口故障,VRRP备份组1发生状态切换,R_A的VRRP备份组1状态切换为Initialize,R_B的VRRP备份组1状态切换为Master,即R_B成为了VRRP备份组1的Master。
3、R_B发送免费的ARP报文告知下行交换机SW1,刷新MAC地址表,主要是接口更改为G0/0/2。
4、内网PC1访问外部PC5,将通过R_B转发,到达PC5。
5、问题来了,R_A与SW2链路是正常的,VRRP备份组2状态是不变的,R_A还是VRRP备份组2的Master设备,PC5发给PC1的回包还是发送给R_A,但是R_A下行接口故障,因此R_A丢弃回程报文,导致业务中断。
可知,VRRP备份组之间相互独立,它们的状态无法同步,为了解决这个问题,华为防火墙引入了VGMP技术,VGMP定义了VGMP组,统一管理VRRP备份组,保证多个VRRP备份组状态一致性。每台防火墙只有一个VGMP组,用户不能删除这个组,也不能创建其他的VGMP组,将防火墙上的所有VRRP备份组加入到这个VGMP组,统一管理,如果VGMP组检测到其中一个VRRP状态发生变化,VGMP组会控制所有VRRP备份组统一进行状态切换,保证各VRRP备份组状态的一致性。
VGMP组优先级不可配置,是自动生成的,对于USG6000E初始优先级与CPU数量有关,单CPU初始优先级为45000;双CPU为45002。
VGMP组四种状态:
1、initialize:双机热备功能未启用时VGMP组的状态。
2、load-balance:设备自身的VGMP组优先级等于对端设备的VGMP组优先级时,设备的VGMP组状态为load-balance。
3、active:设备自身的VGMP组优先级大于对端设备的VGMP组优先级时,设备的VGMP组状态为active。
4、standby:设备自身的VGMP组优先级小于对端设备的VGMP组优先级时,设备的VGMP组状态为standby。
双机热备要求两台设备的硬件型号、单板的类型和数量都要相同。因此,正常情况下两台设备的VGMP组优先级是相等的,VGMP组状态为load-balance。如果某一台设备发生了故障,该设备的VGMP组优先级会降低。故障设备的VGMP组优先级小于无故障设备的VGMP组优先级,故障设备的VGMP组状态会变成standby,无故障设备的VGMP组状态会变成active。
在华为防火墙上,VRRP优先级是不可配置的,华为防火墙启动双机热备功能后,VRRP优先级固定为120。接口发生故障时,接口的VRRP备份组状态为Initialize,接口无故障时,接口VRRP备份组状态由VGMP组的状态决定:
当VGMP组状态为active,VRRP备份组状态都是active;
当VGMP组状态为standby,VRRP备份组状态都是Backup;
当VGMP组状态为load-balance,VRRP备份组状态由VRRO备份组的配置决定,命令如下
vrrp vrid _________ virtual-ip ___________ { active | standby }
四、基于VRRP的主备备份双机热备
vrrp vrid _________ virtual-ip ___________ [ ip-mask | ip-mask-length] { active | standby }
①将接口加入到VRRP备份组,同时指定虚拟IP地址以及掩码,虚拟IP地址可以和所在接口的实际IP地址处于同一网段,也可以不同,处于不同网段则必须配置虚拟IP地址的掩码。
②通过active、standby将VRRP备份组的状态设置为active或者standby。
//配置VRRP备份组1
[FW1]interface g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.0.0.1 active
//配置VRRP备份组2
[FW1-GigabitEthernet1/0/0]interface g1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.0.1.1 active
//配置心跳接口
[FW1-GigabitEthernet1/0/1]interface g1/0/2
[FW1-GigabitEthernet1/0/2]hrp interface g1/0/2 remote 10.10.0.2
//划分区域
[FW1]firewall zone name dmz
[FW1-zone-dmz]add interface g1/0/2
//开启双机热备
[FW1]hrp enable
[FW2]interface g1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.0.0.1 standby
[FW2-GigabitEthernet1/0/0]interface g1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.0.1.1 standby
[FW2-GigabitEthernet1/0/1]interface g1/0/2
[FW2-GigabitEthernet1/0/2]hrp interface g1/0/2 remote 10.10.0.1
[FW2]firewall zone name dmz
[FW2-zone-dmz]add interface g1/0/2
[FW2]hrp enable
HRP_M[FW1]display hrp state verbose
2024-01-02 09:16:59.040
Role: active, peer: standby
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 2 minutes
Last state change information: 2024-01-02 9:14:41 HRP link changes to up.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet1/0/0 vrrp vrid 1: active
GigabitEthernet1/0/1 vrrp vrid 2: active
ospf-cost: +0
ospfv3-cost: +0
bgp-cost: +0HRP_S[FW2]display hrp state verbose
2024-01-02 09:14:48.510
Role: standby, peer: active
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 0 minutes
Last state change information: 2024-01-02 9:14:41 HRP core state changed, old_s
tate = abnormal(active), new_state = normal, local_priority = 45000, peer_priori
ty = 45000.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet1/0/0 vrrp vrid 1: standby
GigabitEthernet1/0/1 vrrp vrid 2: standby
ospf-cost: +65500
ospfv3-cost: +65500
bgp-cost: +100可看出,FW1为主用防火墙(Role:active),FW2为备用防火墙(Role:standby)两台防火墙优先级均为45000,FW1的VRRP备份组1、2均为active,FW2的VRRP备份组1、2均为standby。
可查看vrrp备份组的情况:
HRP_M[FW1]display vrrp
2024-01-02 09:22:28.450
GigabitEthernet1/0/0 | Virtual Router 1
State : Master
Virtual IP : 10.0.0.1
Master IP : 10.0.0.2
PriorityRun : 120
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : vgmp-vrrp
Backup-forward : disabled
Create time : 2024-01-02 08:31:05
Last change time : 2024-01-02 08:41:08
GigabitEthernet1/0/1 | Virtual Router 2
State : Master
Virtual IP : 10.0.1.1
Master IP : 10.0.1.2
PriorityRun : 120
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Config type : vgmp-vrrp
Backup-forward : disabled
Create time : 2024-01-02 08:31:44
Last change time : 2024-01-02 08:41:08
HRP_S[FW2]display vrrp
2024-01-02 09:22:44.820
GigabitEthernet1/0/0 | Virtual Router 1
State : Backup
Virtual IP : 10.0.0.1
Master IP : 10.0.0.2
PriorityRun : 120
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : vgmp-vrrp
Backup-forward : disabled
Create time : 2024-01-02 09:04:20
Last change time : 2024-01-02 09:14:41
GigabitEthernet1/0/1 | Virtual Router 2
State : Backup
Virtual IP : 10.0.1.1
Master IP : 10.0.1.2
PriorityRun : 120
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Config type : vgmp-vrrp
Backup-forward : disabled
Create time : 2024-01-02 09:04:20
Last change time : 2024-01-02 09:14:41
再补充一点配置:
//安全策略以及区域
HRP_M[FW1]firewall zone trust
HRP_M[FW1-zone-trust]add interface g1/0/0 (+B)
HRP_M[FW1]firewall zone untrust
HRP_M[FW1-zone-untrust]add interface g1/0/1 (+B)
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name policy1 (+B)
HRP_M[FW1-policy-security-rule-policy1]source-zone trust (+B)
HRP_M[FW1-policy-security-rule-policy1]destination-zone untrust (+B)
HRP_M[FW1-policy-security-rule-policy1]source-address 10.0.0.0 24 (+B)
HRP_M[FW1-policy-security-rule-policy1]service icmp (+B)
HRP_M[FW1-policy-security-rule-policy1]action permit (+B)
//默认路由
HRP_M[FW1]ip route-static 0.0.0.0 0 10.0.1.4
[R1]ip route-static 0.0.0.0 0 10.0.1.1
[AR5]ip route-static 0.0.0.0 0 1.1.1.2
[AR5]ip route-static 0.0.0.0 0 1.1.2.1 preference 100
当FW1故障时,可以查看两台防火墙的状态。
HRP_M[FW1-GigabitEthernet1/0/1]shutdown
HRP_M[FW1-GigabitEthernet1/0/1]q
HRP_S[FW1]
HRP_S[FW1]display hrp state verbose
2024-01-02 09:48:55.180
Role: standby, peer: active (should be "active-standby")
Running priority: 44998, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 1 minutes
Last state change information: 2024-01-02 9:47:40 HRP core state changed, old_s
tate = normal, new_state = abnormal(standby), local_priority = 44998, peer_prior
ity = 45000.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet1/0/0 vrrp vrid 1: standby (should be "active")
GigabitEthernet1/0/1 vrrp vrid 2: Initialize
ospf-cost: +65500 (should be "+0")
ospfv3-cost: +65500 (should be "+0")
bgp-cost: +100 (should be "+0")
HRP_M[FW2]display hrp state verbose
2024-01-02 09:48:42.310
Role: active, peer: standby (should be "standby-active")
Running priority: 45000, peer: 44998
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 1 minutes
Last state change information: 2024-01-02 9:47:41 HRP core state changed, old_s
tate = normal, new_state = abnormal(active), local_priority = 45000, peer_priori
ty = 44998.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet1/0/0 vrrp vrid 1: active (should be "standby")
GigabitEthernet1/0/1 vrrp vrid 2: active (should be "standby")
ospf-cost: +0 (should be "+65500")
ospfv3-cost: +0 (should be "+65500")
bgp-cost: +0 (should be "+100")
HRP_M[FW2]
HRP_M[FW2]补充配置:
[R2]ip route-static 0.0.0.0 0 10.0.1.1
[R2]ip route-static 1.1.1.0 24 2.2.2.2
HRP_M[FW2]ip route-static 0.0.0.0 0 10.0.1.5
主要是学习主备备份方式双机热备状态形成过程以及切换过程:
1、启动双机热备后,两台防火墙短暂处于standby状态,且向对端发送VGMP报文,告知自己的优先级以及状态,都发现优先级相等,均将状态切换为load-balance。
2、FW1的VRRP备份组都被配置为actIve,因此,FW1的VRRP备份组1、2状态均为Master,同理可得,FW2的VRRP备份组1、2均为Backup。
3、FW1的VRRP备份组1、2分别向下行、上下交换机发送免费的ARP报文。
4、交换机记录到MAC地址表,当上下行报文到达交换机后,交换机会将报文转发到FW1,FW1为主用,FW2为备用。
5、FW1和FW2通过心跳线定时互相通告VGMP报文。
6、FW1的上行接口发生故障,FW1的VRRP备份组2状态变为Initialize,FW1的VGMP组状态变为standby,FW2的VGMP组状态变为active,再对它们各自的VRRP进行调整,FW1的VRRP备份组2状态调整为backup,FW2的VRRP备份组1、2均调整为Master。
7、FW2发送免费的ARP报文到上下行交换机,刷新对应的MAC地址表。
五、基于VRRP的负载分担双机热备
要做到两台防火墙工作在负载分担,需要两台防火墙状态都为active,需要四个VRRP备份组。
对于FW1来说VRRP备份组1、2状态为active,备份组3、4是standby,FW2反之,正常情况下,两台防火墙的状态均为load-balance,VRRP备份组的运行状态由配置决定,FW1的VRRP备份组1、2运行状态为Master,备份组3、4运行状态为backup,FW2的VRRP备份组3、4运行状态为Master,备份组1、2运行状态为backup。
[FW1-GigabitEthernet1/0/0]display this
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.0.0.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.0.0.1 active
vrrp vrid 3 virtual-ip 10.0.0.4 standby
#
[FW1-GigabitEthernet1/0/1]display this
2024-01-03 05:59:33.210
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.0.1.2 255.255.255.0
vrrp vrid 2 virtual-ip 10.0.1.1 active
vrrp vrid 4 virtual-ip 10.0.1.10 standby
#
return
[FW2-GigabitEthernet1/0/0]display this
2024-01-03 06:00:18.260
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.0.0.3 255.255.255.0
vrrp vrid 1 virtual-ip 10.0.0.1 standby
vrrp vrid 3 virtual-ip 10.0.0.4 active
#
return
[FW2-GigabitEthernet1/0/1]display this
2024-01-03 06:01:07.820
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.0.1.3 255.255.255.0
vrrp vrid 2 virtual-ip 10.0.1.1 standby
vrrp vrid 4 virtual-ip 10.0.1.10 active
#
return[FW1-GigabitEthernet1/0/2]hrp interface g1/0/2 remote 10.10.0.2
[FW2-GigabitEthernet1/0/2]hrp interface g1/0/2 remote 10.10.0.1
[FW1]hrp enable
[FW2]hrp enableHRP_M[FW1]display hrp state verbose
2024-01-03 06:04:45.690
Role: active, peer: active
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 0 minutes
Last state change information: 2024-01-03 6:04:05 HRP link changes to up.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet1/0/0 vrrp vrid 1: active
GigabitEthernet1/0/1 vrrp vrid 2: active
GigabitEthernet1/0/0 vrrp vrid 3: standby
GigabitEthernet1/0/1 vrrp vrid 4: standby
ospf-cost: +0
ospfv3-cost: +0
bgp-cost: +0
HRP_S[FW2]display hrp state verbose
2024-01-03 06:05:21.190
Role: active, peer: active
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 1 minutes
Last state change information: 2024-01-03 6:04:03 HRP link changes to up.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet1/0/0 vrrp vrid 1: standby
GigabitEthernet1/0/1 vrrp vrid 2: standby
GigabitEthernet1/0/0 vrrp vrid 3: active
GigabitEthernet1/0/1 vrrp vrid 4: active
ospf-cost: +0
ospfv3-cost: +0
bgp-cost: +0两台防火墙的Role均为active,即均为主用防火墙,优先级相等,FW1上的VRRP备份组1、2状态为active,VRRP备份组3、4状态为standby;FW2反之。
负载分担状态形成过程:
1、启动双机热备后,两台防火墙短暂处于standby状态,且向对端发送VGMP报文,告知自己的优先级以及状态,都发现优先级相等,均将状态切换为load-balance。
2、FW1的VRRP备份组1、2都被配置为actIve,因此,FW1的VRRP备份组1、2状态均为Master,FW1的VRRP备份组3、4都被配置为standby,因此,FW1的VRRP备份组3、4状态均为Backup,同理可得,FW2的VRRP备份组1、2均为Backup,VRRP备份组3、4均为Master。
3、FW1的VRRP备份组1、2分别向下行、上下交换机发送免费的ARP报文。FW2的VRRP备份组3、4分别向下行、上下交换机发送免费的ARP报文。
4、下行交换机将VRRP备份组1、3的虚拟MAC地址以及接口对应关系记录到MAC地址表,上行交换机将VRRP备份组2、4的虚拟MAC地址以及接口对应关系记录到MAC地址表。
5、FW1和FW2通过心跳线定时互相通告VGMP报文。
6、当FW1故障时,测试。
参考资料:防火墙和VPN技术与实践——李学昭