VGMP（VRRP组管理协议）和HRP（华为冗余技术）

1、VGMP

VGMP（VRRP Group Management Protocol）：VRRP组管理协议，是华为开发的一种私有协议，主要用于实现对多个VRRP组进行统一管理的功能

概述：VGMP协议是在VRRP协议的基础上开发的，其最主要的主要作用是集中管理VRRP备份组，控制VRRP状态的统一切换。在传统的VRRP协议中，VRRP组是相互独立的，一个VRRP组的切换不会导致其他VRRP组进行同步切换。而在防火墙的双机热备场景中，防火墙上下有各有一个VRRP组，需要同步切换，而传统的上行链路监控比较复杂，因此设计了VGMP协议来对VRRP进行统一的切换管理，确保网络中的流量能够正确的路由和转发。

主要特点：

1. 统一管理：VGMP协议将所有VRRP备份组加入到一个VGMP组中，由VGMP组来监控并管理所有的VRRP备份组状态
2. 状态同步：如果VGMP组检测到其中一个VGMP备份组的状态变化，则VGMP组会控制组中所有的VRRP备份组统一进行状态切换，保证各VRRP备份组状态的一致性
3. 主备状态：VGMP管理组的主备状态决定了双机热备组网中防火墙设备的主备状态和所有VRRP备份组的主备状态

        防火墙在部署了VGMP协议后，防火墙中会有两个VGMP组，分别是Active组和Standby组，每个VGMP组都有Active和Standby状态，防火墙上的VRRP主接口都会加入Active组，而备份接口则加入Standby组。当VGMP的组状态发生变化时，其中的所有VRRP接口也会跟随VGMP的状态变化。

• Active组：优先级65001，初始状态为Active
• Standby组：优先级65000，初始状态为Standby

当Active组中的接口出现故障时，每出现一个故障接口，则优先级 -2 

查看命令：

基本命令：

防火墙主备场景：FW1为主防火墙，FW2为备防火墙

流程：

        当FW1为主防火墙，FW2为备防火墙时，内网流量在正常情况下需要走FW1路径，在FW1出现故障时，才会走FW2路径。所以在两个VRRP组中FW1上的g0/0/1和g0/0/2都为主接口（Master），而FW2上的g0/0/1和g0/0/2都为备接口（Backup），即FW1中的Active组含有它的g0/0/0和g0/0/1，FW2中的Standby组含有它的g0/0/0和g0/0/1

        初始状态下，FW1的Active组状态为Active，优先级为65001；FW2的Standby组状态为Standby，优先级为65000。FW1成为主防火墙，发送免费ARP报文告知自己的MAC地址

        当FW1上的g0/0/0或g0/0/1接口发生故障时（接口状态由Master变为Initialize），接口每故障一个，优先级减2。FW1的Active组优先级减为64999，优先级低于FW2的Standby组优先级，在FW1发送一个状态变更的请求报文后，FW2发现自己优先级高后，会把Standby组的Standby状态切换成Active状态并发送应答报文，表示允许切换，FW1收到该报文后，将自己的Active组的Active状态切换为Standby状态。FW2在成为主防火墙后，会向上以及向下发送一个免费ARP，告诉交换机切换MAC地址表的地址为FW2地址。      

        因为VGMP组的状态控制组中VRRP接口的状态，所以FW1的Active组中所有接口变为备份接口，而FW2中的Standby组中所有接口变为主接口。至此完成路线的转换，从而保障网络通信

主备的形成场景：管理员确定主备设备

1. FW1被设定为主设备，FW1中的VGMP的Active组被激活，并且将上下两个VRRP组拉 入到VGMP的Active组中，并且状态都是Active
2. FE2被设定为备设备，FW2中的VGMP的standby组被激活，并且将上下两个VRRP组拉入 到VGMP的Standby组中，并且状态都是Standby 
3. 主设备上下两个VRRP组的接口将发送免费ARP报文

FW1接口故障的切换过程：

1. 假设FW1下的接口发生故障，接口的状态会从Active状态切换到Initialize状态（接口故障的一个过渡状态）
2. FW1中的VGMP Active组感知到接口状态变化，降低自身的优先级
3. FW1会向FW2发送一个状态变更的请求报文，这个报文中会包含降低后的优先级
4. FW2收到请求报文后，发现自身的优先级高于对方的优先级，则会将自己Standby组的状态从Standby切换为Active状态
5. FW2的VGMP组状态发生变化，则组中的VRRP组的状态同步发生变化，都从Standby切换到Active
6. FW2回复FW1应答报文，表示允许切换
7. FW1收到应答报文后，将自身ACTIVE组的状态从ACTIVE切换到Standby状态，并且，其中的VRRP组同步将状态切换到standby，不包含故障接口的状态，依旧是Initialize状态
8. FW2上下两个VRRP组将发送免费ARP报文，让交换机切换MAC地址表，之后所有的流量将从FW2通过

2、HRP

HRP华为冗余技术：是华为开发的一种冗余技术，旨在提高网络设备的可靠性和可用性。该技术通过在网络设备之间建立冗余备份关系，确保在主设备出现故障时，备份设备能够迅速接管业务，从而保障网络的连续性和稳定性

使用要求：使用HRP进行双机热备时，必须在两台热备设备之间拥有一条链路（心跳线），用来同步信息，并且这条链路必须是三层链路，这条链路在进行数据传递时，不受安全策略的影响，但是两台设备必须都将接口设置一个安全区域，不能是None，会导致启动双机热备不识别心跳线。

注意：如果心跳线是直连的，则不受安全策略的影响，但是如果中间有中继设备，即非直连场景，则需要配置安全策略

VGMP协议的报文也是通过心跳线来进行传输

HRP会周期性的发送心跳报文，只有主设备会发送，周期时间默认为1S，如果备设备在三个周期时间内，即默认3秒内没有收到对方的心跳报文，则认定对方出现故障将以自身为主设备

在防火墙之间使用HRP协议可以同步防火墙的配置信息和状态信息

配置信息：

状态信息：

注意：HRP不同同步基本的接口和路由信息

HRP的三种备份方式：

1. 自动备份：自动备份配置和状态信息，但是配置信息会立即自动备份，而状态信息无法立即备份，只能通过短暂的延迟之后，再进行备份（10S左右）
2. 手工备份：由网络管理员手工触发，可以立即同步配置和状态信息
3. 快速备份：该备份方式仅针对负载分担的场景，且无法同步配置信息，仅能同步状态信息，并且可以立即同步状态信息

总结：VGMP协议可以实现多设备之间的切换来保障网络的稳定性，而HRP协议可以保障主备设备之间的信息备份，保证网络的通畅。它们都是基于VRRP协议的，所以使用它们时，VRRP的报文将不再去监听关注，而是监听关注它们的报文。

将VRRP、VGMP和HRP三种协议搭配使用可完成防火墙的双击热备