双机热备篇 VGMP招式详解

上篇我们详细介绍了VGMP组如何通过VRRP备份组来实现接口故障监控、设备状态切换以及上下行流量引导。我们还发现VGMP与VRRP的配合只适用于防火墙连接二层设备的组网。那么当防火墙连接路由器或防火墙透明接入网络（业务接口工作在二层）时，VGMP组是使用什么招式来应对的呢？本篇强叔将为您揭秘VGMP组的其余保留招式~

1  防火墙连接路由器时的VGMP招式

        如下图所示，两台防火墙上下行业务接口工作在三层，连接路由器。防火墙与路由器之间运行OSPF协议。由于上下行不是二层交换机，所以VGMP组无法使用VRRP备份组。这时VGMP组使用的故障监控招式是直接监控接口状态。方法是直接将接口加入VGMP组。当VGMP组中的接口故障时，VGMP组会直接感知到接口状态变化，从而降低自身的优先级。

VGMP组直接监控接口状态的配置步骤如下（以主备备份方式的双机热备为例）：

FW1的配置	FW2的配置
interface GigabitEthernet 1/0/1  ip address 10.1.1.2 255.255.255.0  hrp track active  //将接口GE1/0/1加入Active组。	interface GigabitEthernet 1/0/1  ip address 10.1.2.2 255.255.255.0  hrp track standby //将接口GE1/0/1加入Standby组。
interface GigabitEthernet 1/0/3  ip address 10.2.1.2 255.255.255.0  hrp track active  //将接口GE1/0/3加入Active组。	interface GigabitEthernet 1/0/3  ip address 10.2.2.2 255.255.255.0  hrp track standby //将接口GE1/0/3加入Standby组。
hrp interface GigabitEthernet 1/0/2  //指定心跳口 hrp enable      //启用双机热备功能	hrp interface GigabitEthernet 1/0/2  //指定心跳口 hrp enable      //启用双机热备功能

说明：如果是负载分担方式的双机热备，则需要在每个业务接口上执行hrp track active和hrp track standby，将业务接口分别加入Active组和Standby组。

【强叔问答】看到这里好奇的小伙伴们或许会问：不是将接口加入VGMP组，使VGMP组监控接口状态吗？为什么命令行是hrp track而不是vgmp track呢？这是因为上节讲到VGMP和HRP的报文都是由VRRP头和VGMP头封装的，区别只在于HRP报文还需要再封装一个HRP报文头。所以当初开发者设计命令时就统一使用了hrp这个参数，并流传至今。

        如上图所示，配置完成后，FW1的VGMP组状态为Active，FW1成为主用设备；FW2的VGMP组状态为Standby，FW2成为备用设备。在双机热备的第一篇中讲到，如果我们希望PC1访问PC2的流量通过FW1转发，那么我们就需要手工将FW2所在链路（R1―>FW2―>R2）的OSPF Cost值调大。但是如果上下行的路由器R1或R2我们不方便或不能配置时怎么办呢？这就需要用到防火墙VGMP组的流量引导功能，将流量自动引导到主用设备上来。这种组网采用的VGMP流量引导招式为通过自动调整Cost值实现流量引导，即防火墙会根据VGMP组的状态自动调整OSPF的Cost值（命令为hrp ospf-cost adjust-enable）。启用此功能后，如果防火墙上存在状态为Active的VGMP组，则防火墙会正常对外发布路由；如果防火墙上的VGMP组状态都为Standby，则防火墙会在发布路由时将Cost值增加65500（此为缺省值，可调整）。

说明：如果是负载分担组网，由于两台防火墙上都存在状态为Active的VGMP组，所以都会正常对外发布路由。

如上图所示，主用FW1（VGMP组状态为Active）会正常对外发布路由，备用设备FW2（VGMP组状态为Standby）会在对上下行设备发布路由时将Cost值增加65500。这样在R1上来看，通过FW1去往PC2的OSPF Cost值为1+1+1=3，通过FW2去往PC2的OSPF Cost值为65501+1+1=65503。因为路由器在转发流量时会选择开销（Cost值）更小的路径（R1―>FW1―>R2），所以内网PC1访问外网PC2的流量会通过主用设备FW1转发。

如下图所示，当FW1的业务接口故障后，两台防火墙的VGMP组会进行状态切换，具体切换过程请参见上篇的“主用设备接口故障后的状态切换过程”。状态切换后，FW2的VGMP组状态切换成Active，FW2成为主用设备；FW1的VGMP组状态切换成Standby，FW1成为备用设备。这时FW2正常对外发布路由，FW1发布的路由Cost值增加65500。而在R1上来看，通过FW1去往PC2的路径不通（因为接口故障），通过FW2去往PC2的路径可达且Cost值为3.，所以内网PC1访问外网PC2的流量会通过新的主用设备FW2转发。

2  防火墙透明接入，连接交换机时的VGMP招式

如下图所示，两台防火墙上下行业务接口都工作在二层，连接交换机。由于防火墙的业务接口工作在二层，没有IP地址，所以VGMP组无法使用VRRP备份组或者直接监控接口的状态。这时VGMP组使用的故障监控招式是通过VLAN监控接口状态。方法是将二层业务接口加入VLAN，VGMP组监控VLAN。当VGMP组中的接口故障时，VGMP组会通过VLAN感知到其中接口状态变化，从而降低自身的优先级。

VGMP组通过VLAN监控接口状态的配置步骤如下：

FW1的配置	FW2的配置
vlan 2  port GigabitEthernet 1/0/1 port GigabitEthernet 1/0/3    //将二层业务接口加入VLAN2。  hrp track active  //将VLAN2加入Active组，由Active组监控VLAN2。	vlan 2  port GigabitEthernet 1/0/1 port GigabitEthernet 1/0/3    //将二层业务接口加入VLAN2。  hrp track standby  //将VLAN2加入Active组，由Standby组监控VLAN2。
hrp interface GigabitEthernet 1/0/2  //指定心跳口 hrp enable      //启用双机热备功能	hrp interface GigabitEthernet 1/0/2  //指定心跳口 hrp enable      //启用双机热备功能

如上图所示，配置完成后，FW1的VGMP组状态为Active，FW1成为主用设备；FW2的VGMP组状态为Standby，FW2成为备用设备。由于防火墙的业务接口工作在二层，防火墙本身不能运行OSPF协议，因此VGMP组无法通过控制OSPF Cost值的变化来引导上下行流量。这时VGMP可以通过控制VLAN是否转发流量的招式来保证流量引导到主用设备上。当VGMP组状态为Active时，组内的VLAN能够转发流量；当VGMP组状态为Standby时，组内的VLAN被禁用，不能转发流量。VGMP控制VLAN是否转发流量不需要单独配置，只需要按照上表将VLAN加入VGMP组即可。

如上图所示，主用设备FW1（VGMP组状态为Active）上的VLAN被启用，能够转发流量。备用设备FW2（VGMP组状态为Standby）上的VLAN被禁用，不能转发流量。因此PC1访问PC2的流量都从主用设备FW1转发。

如下图所示，当FW1的业务接口故障后，两台防火墙的VGMP组会进行状态切换，具体切换过程请参见上篇的“主用设备接口故障后的状态切换过程”。当FW1的VGMP组状态由Active切换到Standby时，组内VLAN中的所有非故障接口都会Down然后Up一次。这会导致上下行交换机更新自身MAC转发表，将目的MAC地址改成与端口Eth0/0/2的映射，从而将流量引导到FW2上。这时由于FW2的VGMP组状态已经由Standby切换成Active，所以FW2的VLAN2能够正常转发流量。

说明：当防火墙的业务接口工作在二层，连接二层设备时，不支持负载分担方式的双机热备。因为如果工作于负载分担方式，则两台设备上的VLAN都被启用，都能够转发流量，整个网络就会形成环路。