在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受因单点故障而导致的网络中断的风险。

防火墙一般用作内网到外网的出口，是业务关键路径上的设备，为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网。

双机热备组网的建立和运行需要解决以下五个关键问题：

1.设备的主备状态是如何决定的

2.如何监控并发现接口或者设备故障

3.发现故障后，如何保证设备的主备状态切换

4.正常情况和故障后，流量是如何引导的

5.如何进行信息同步，保证主备切换后业务不中断

以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP共同配合解决的。

首先，VRRP自然不需要多说，我相信大家都非常清楚，这是一个公有的网关冗余技术，可以在两台设备之间形成虚拟IP地址，建立主备的冗余关系，但是传统的VRRP在安全领域有一个不可忽略的问题，就是当防火墙上下行业务端口上都配置了VRRP备份组的时候，这两个VRRP备份组是独立运行的，可能出现上下行两个VRRP备份组状态不一致的情况。

我们来看下面这个图

这是最基本的一个防火墙双机热备的连接拓扑，防火墙的业务接口工作在三层，上下行连接交换机，防火墙的上行接口和下行接口分别运行了两个独立的VRRP组，FW1为主设备，FW2为备设备，正常情况下，流量会在FW1上进行往返（也就是沿着蓝色箭头的方向走），现在假设FW1的下行接口故障，因此运行在下行接口的VRRP组会检测到这个问题，从而引发主备切换， FW2的下行接口会成为主接口，上行流量会从FW2转发出去，访问外部网络，但是因为上下行的VRRP组是独立运行的，所以对于上行接口而言，主设备依然还在FW1上，因此外部网络返回的流量依然会转发到FW1上，这样就造成了网络不通，这个问题，传统的VRRP是无法解决的，因此，华为在VRRP的基础之上，开发了VGMP协议。

VGMP的基本功能是集中管理和监控VRRP备份组，控制VRRP备份组的统一切换，将一组VRRP备份组组成一个VGMP管理组，由VGMP管理组控制所有VRRP备份组同步倒换，保证所有VRRP备份组状态一致，VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。

比如上面这个图，我们可以将FW1的上下行接口的VRRP放入一个VGMP组，这样一来，VRRP的主备状态就不由VRRP本身来决定，而是由VGMP的主备状态来决定，并且，只要VGMP组中的一个VRRP发生切换，另外一个VRRP也会强制进行切换，有了VGMP的帮助，我们再来看看刚才的情况，当FW1的下行接口故障的时候，下行口的VRRP切换，因为VGMP的作用，上行口尽管没有故障，但是VRRP也发生了切换，这样，上下行接口的VRRP的主接口就全部都在FW2了，那么往返流量自然也就从FW2进行转发了。

由于VRRP封装的VGMP报文是组播报文，不能跨越三层传输设备，因此在双机热备组网的时候，要求两台设备的心跳线要么是直连的，要么是通过二层交换机来进行互联，不能通过三层设备互联，当防火墙上下行设备是路由器的时候，要求两台防火墙之间必须有直连的接口作为备份通道，因此，USG6600开发了另外一种VGMP报文封装格式—UDP封装（端口为64580，源端口是64512/64513），此时VGMP报文是单播报文，在原有的IP报文头上之上增加了UDP头和VGMP扩展头，VGMP报文内部的格式没有变化。

小伙伴们看到这里，是不是以为流量全部都从FW2转发就大功告成了呢？哈哈，大家高兴的有点早了，我们在上一篇介绍防火墙的技术文章中，强调了防火墙是需要记录数据的状态的，而数据的状态在防火墙中，是以会话表的形式体现的，之前流量全部从FW1进行转发，会话表全部都在FW1上，而现在流量切换到FW2上转发，那么会话表呢？我们如何将FW1的会话表备份到FW2呢？下面有请HRP协议闪亮登场！HRP协议的主要作用，就是在主备防火墙之间备份会话表，这样，主墙的会话表通过心跳线（也就是上图中FW1和FW2之间的那条线）及时备份了，有了VRRP，VGMP，HRP三大协议的帮助，防火墙就能完美的实现双机热备啦。

今天的学习就到这里，在下一篇文章中，我们再进一步跟大家学习几种典型的双机热备的组网，以及需要注意的问题。