上篇我们在学习了VRRP的实现原理，以及如何通过VGMP解决VRRP问题后，提出了两个问题。第一个问题是“两台防火墙的VGMP组是如何传递VGMP的优先级信息的？”。答案是防火墙的VGMP组通过备份通道（心跳线），利用VGMP报文来传递优先级信息。第二个问题是“两台防火墙的VGMP组的状态协商和切换过程，以及报文交互过程到底是怎样的呢？”，我们还没有给出答案。

在本篇中，强叔将通过图解的方式完整地给出各种情况下，两台防火墙的VGMP组的状态协商和切换过程，以及报文交互过程，保证您有看大片儿的感觉~

1  防火墙VGMP组的缺省情况

在欣赏大片儿前，我们首先来了解下背景知识，也就是防火墙VGMP组的缺省情况。

如下图所示，每台防火墙提供两个VGMP组：Active组和Standby组。缺省情况下，Active组的优先级为65001，状态为Active；Standby组的优先级为65000，状态为Standby。主备备份情况下，主用设备启用Active组，所有成员（例如VRRP备份组）加入Active组；备用设备启用Standby组，所有成员加入Standby组。负载分担情况下，两台设备都启用Active组和Standby组，每台设备上的所有成员分别加入Active组和Standby组。FW1的Active组和FW2的Standby组形成一组“主备”，FW2的Active组和FW1的Standby组形成一组“主备”，两台防火墙互为“主备”，形成负载分担。

以上讲的是中低端防火墙USG2000/5000/6000系列的情况，由于高端防火墙存在接口板和业务板，所以高端防火墙的缺省优先级与中低端防火墙是不同的：

高端防火墙Master组的缺省优先级=45001+1000×（业务板个数＋接口板个数）。

Slave组的缺省优先级=45000+1000×（业务板个数＋接口板个数）。

说明：这里说明的高端防火墙优先级算法以USG9000系列V1R3版本为例。而本篇的双机热备配置和状态切换过程以中低防火墙的USG2000/5000/6000系列为例。

2  主备备份双机热备状态形成过程

主备备份方式的双机热备是目前较常用的双机方式，配置和理解也比较简单，因此我们先从主备备份双机热备状态形成的过程来看。

为了让大家能够真实地感受到VRRP和VGMP在防火墙上的存在，我们下面会先给出防火墙主备备份双机热备的配置，然后描述配置完成后双机热备状态形成的过程。

为了实现主备备份方式的双机热备，我们需要在FW1上启用Active组，并将FW1上的VRRP备份组都加入Active组；在FW2上启用Standby组，并将FW2上的VRRP备份组都加入Standby组。实现此操作的命令为vrrp vrid virtual-router-id virtual-ip virtual-address [ ip-mask | ip-mask-length ] {active | standby }。这条命令看似简单，但功能很强大，一条命令配置下去两件事轻松搞定：

l 由于是在接口视图下执行这条命令，所示实际上是将接口加入了VRRP备份组，同时指定了虚拟IP地址和掩码。

当接口的IP地址与VRRP备份组的虚拟IP地址不在同一网段时，必须配置虚拟IP地址的掩码。

l “active | standby”参数是将VRRP备份组加入Active或Standby组。

结合下面的图来给出我们建立主备方式双机热备的具体配置，如下表所示：

各种VGMP报文和HRP报文都是通过心跳口发送的，心跳口可以说是双机热备的“命脉”，要点多多，务必关注：

l 两台设备的心跳口必须加入相同的安全区域。

l 两台设备的心跳口的接口类型和编号必须相同。例如主用设备的心跳接口为GigabitEthernet 1/0/2，那么备用设备的心跳接口也必须为GigabitEthernet 1/0/2。

l 配置心跳口时如果不添加remote参数，则两台设备的心跳口需要直接相连或通过二层交换机相连，并且不需要配置安全策略。如果配置心跳口时添加remote参数（例如hrp interface GigabitEthernet 1/0/2 remote 10.1.1.2），那么两台设备的心跳口可以通过路由器相连，但是需要配置安全策略。因为不添加remote参数时，心跳口发送的报文是用VRRP报文封装的，是一种组播报文。组播报文不能跨越网段传输，且不受安全策略控制。添加remote参数后，从心跳口发送的各种报文将封装成UDP报文。UDP报文是一种单播报文，只要路由可达就可以跨越网段传输，但需要受到安全策略控制。安全策略的配置方法是允许报文在local区域与心跳口所在安全区域间双向通过。

如上图所示，配置完成后，主备备份方式的双机热备状态形成过程如下（图中序号与下文序号一致）：

1)    双机热备启用之后，FW1的Active组的状态会由Initialize切换成Active，FW2的Standby组的状态由Initialize切换成Standby。

2)    由于FW1的VRRP备份组都加入了Active组，而Active组的初始状态为Active，所以FW1的VRRP备份组1和VRRP备份组2的状态都为Active。同理FW2的VRRP备份组1和VRRP备份组2的状态都为Standby。

3)    这时FW1的VRRP备份组1和2会分别向上行和下行交换机发送免费ARP报文，将VRRP备份组的虚拟MAC地址通知给他们。其中00-00-5E-00-01-01是VRRP备份组1的虚拟MAC地址，00-00-5E-00-01-02是VRRP备份组2的虚拟MAC地址。

4)    上下行的交换机的MAC表项会分别记录虚拟MAC地址与端口Eth0/0/1的对应关系。这样当上下行的业务报文到达交换机后，交换机会将报文转发到FW1上，所以FW1成为了主用设备，FW2成为了备用设备。

5)    同时FW1的Active组还会通过心跳线定时向FW2的Standby组发送HRP心跳报文。

3      主用设备接口故障后的状态切换过程

两台防火墙形成主备备份状态后，如果主用设备的接口故障，那么两台防火墙会发生主备状态切换，具体过程如下：

1)    如下图所示，当主用设备的接口GE1/0/1故障后，FW1的VRRP备份组1的状态变成Initialize。

2)    FW1的Active组会感知到这一变化，将自身的优先级降低2（一个接口故障优先级降低2），并将自身状态切换成Active To Standby（图中简写为A To S）。Active To Standby是一种短暂的中间状态，用户是不可见的。

3)    FW1的Active组会向对端发送VGMP请求报文，请求将状态切换成Standby。VGMP请求报文是一种VGMP报文，携带本端VGMP组调整后的优先级64999。

4)    如下图所示，FW2的Standby组收到FW1的Active组的VGMP请求报文后，将会与对端比较VGMP优先级。经过比较后发现本端的优先级65000高于对端的64999，因此FW2的Standby组会将自身状态切换成Active。

5)    FW2的Standby组会向对端返回VGMP应答报文，允许对端进行状态切换。

6)    与此同时FW2的Standby组会强制组内的VRRP备份组1和2也将状态切换成Active。

7)    FW2的VRRP备份组1和2会分别向下行和上行交换机发送免费ARP报文，更新他们的MAC转发表。

8)    如下图所示，FW1的Active组收到对端的VGMP确认报文后，会将自身状态切换成Standby。

9)    FW1的Active组会强制组内的VRRP备份组将状态切换成Standby。由于VRRP备份组1内的接口故障，所以VRRP备份组1的状态为Initialize不变，只有VRRP备份组2的状态切换成Standby。

10)  与此同时，上下行交换机收到FW2的免费ARP报文后会更新MAC表项，记录虚拟MAC地址与端口Eth0/0/2的对应关系。这样当上下行的业务流量到达交换机后，交换机会将流量转发到FW2上。至此两台防火墙的主备状态切换完成，FW2成为新的主用设备，FW1成为新的备用设备。

11)  主备状态切换完成后，新的主用设备FW2会定时向新的备用设备FW1发送心跳报文。

4  主用设备整机故障后的状态切换过程

当主用设备整机故障后，主用设备的VGMP组将不会再发送HRP心跳报文。这时如果备用设备的VGMP组连续三次收不到主用设备的HRP心跳报文，那么他就会认定对端的VGMP组故障，从而将自身切换到主用状态。

5  原主用设备故障恢复后的状态切换过程（抢占）

当原主用设备的故障恢复后，如果配置了抢占功能，那么原主用设备将重新抢占成为主用设备，具体过程如下文所示。如果没有配置抢占功能，则原主用设备依旧保持备份状态。

1)    如下图所示，原主用设备的接口GE1/0/1故障恢复后，VRRP备份组1的状态由Initialize切换成Standby。

2)    FW1的Active组感知到这一变化后，会将自身的优先级升高2（一个接口故障恢复优先级升高2），升高到65001。FW1的Active组会与对端比较VGMP优先级，对端的优先级信息是从对端发送的HRP心跳报文中获取的。经过比较后发现本端的优先级65001高于对端的65000。这时如果配置了抢占功能，则会启动抢占延时。抢占延时结束后，FW1的Active组会将状态由Active To Standby切换成Standby To Active（图中简写为S To A）。Standby To Active是一种短暂的中间状态，用户是不可见的。

3)    FW1的Active组会向对端发送VGMP请求报文，请求将状态切换成Active。VGMP请求报文是一种VGMP报文，携带本端VGMP组调整后的优先级65001。

4)    如下图所示，FW2的Standby组收到FW1的Active组的VGMP请求报文后，将会与对端比较VGMP优先级。经过比较后发现本端的优先级65000低于对端的65001，因此FW2的Standby组会将自身状态切换成Standby。

5)    FW2的Standby组会向对端返回VGMP应答报文，允许对端将状态切换成Active。

6)    与此同时FW2的Standby组会强制组内的VRRP备份组1和2也将状态切换成Standby。

7)    如下图所示，FW1的Active组收到对端的VGMP确认报文后，会将自身状态切换成Active。

8)    FW1的Active组会强制组内的VRRP备份组1和2也将状态切换成Active。

9)    FW1的VRRP备份组1和2会分别向下行和上行交换机发送免费ARP报文，更新他们的MAC转发表。上下行交换机收到免费ARP报文后会更新MAC表项，记录虚拟MAC地址与端口Eth0/0/1的对应关系。这样当上下行的业务报文到达交换机后，交换机会将报文转发到FW1上。至此两台防火墙的主备状态切换完成，FW1重新抢占成为主用设备，而FW2重新成为备用设备。

10)  主备状态切换完成后，主用设备FW1会定时向备用设备FW2发送心跳报文。