VRRP、VGMP 和 HRP 之间有什么区别？这篇文章给你答案！

你好，这里是网络技术联盟站。

作为USG防火墙最重要的功能之一，双机热备极大地提高了设备的可靠性，当主用设备发生故障时，备用设备可以立即接管受影响的业务，从而显着减少业务中断的持续时间。

VRRP、VGMP 和 HRP 之间有什么区别？

与路由和交换技术一样，防火墙中的VRRP也是Virtual Routing Redundancy Protocol的缩写。它主要通过两个或多个设备协商一个虚拟IP地址，用作与其他设备通信的地址。它通过在 VRRP 组中的周期性检测来感知转发设备的故障，以便在转发设备发生故障时及时切换。由于虚拟地址用于与其他外部设备进行通信，因此这种切换对其他设备是透明的。

图片来源于华为云社区

VGMP（VRRP Group Management Protocol）是华为的专有协议，它定义了一个VGMP组，FW基于VGMP组 实现设备主备状态管理。VGMP的目的是解决设备上存在多个VRRP备份组时，每个备份组的主备状态切换不一致的问题。

实际上，VGMP消息是VRRP消息的修改版本：

图 1. VGMP 数据包与 VRRP 数据包

如上图所示，可以看到报文类型字段为2时为VGMP报文，为1时为VRRP报文。在本文中，我不会详细介绍VGMP消息。

HRP报文实际上是一个VGMP报文，承载在VGMP报文的Data区，HRP的作用主要是实现备份会话表等状态信息和关键配置的作用。

VRRP、VGMP和HRP的比较

VRRP

创建虚拟IP和MAC，实现与其他设备的不间断连接

VGMP

统一管理设备上多个VRRP备份组的切换，解决多个VRRP备份组切换不一致导致的业务中断

HRP

备份会话表等状态信息和关键配置

防火墙能否只配置 VRRP 而不启用 VGMP 或 HRP？

答案是否。

如果没有VGMP支持或配置，防火墙将无法启用VRRP，这是防火墙的特性造成的。

众所周知，防火墙目前是根据第一个包检测为正常流量创建会话表，而后续流量通过匹配会话表进行转发。当启用VRRP时，假设我们不需要HRP，当前VRRP上的会话表主防火墙不会同步到备用防火墙。

当主防火墙发生故障时，业务切换到备用防火墙。但是没有对应的会话表条目。结果，所有会话都将被中断。

一方面，大规模的业务切换会给防火墙设备带来突发的业务检测影响，消耗大量的设备资源。

另一方面，这种切换与重启和重新建立会话基本相同，对服务切换毫无意义。

因此，VRRP配置必须使用HRP和VGMP 。

服务活动设备和配置活动设备必须相同吗？

不可以。

一般来说，服务活跃设备是指当前正在转发业务流量的设备，而配置活跃设备是指管理员可以修改配置的设备。

在主备双机热备模式和镜像热备模式组网中，业务主设备为配置主设备，业务备设备为配置备设备。但是，在负载均衡双机热备模式下，服务主用设备和配置主用设备可以是不同的设备。

在负载均衡双机热备模式网络中，两台FW根据以下原则协商主备配置设备：

• 活动和备用配置设备由主机名 ( sysname )的 ASCII 码的顺序决定，具有较小 ASCII 代码顺序的设备成为配置活动设备，具有较高 ASCII 代码顺序的设备成为配置备用设备。例如，两个 FW 的主机名分别为FW_A和FW_B；FW_A成为配置活动设备，FW_B成为配置备用设备；
• 当两台FW的主机名（sysnames）相同时，配置主备设备由双机热备功能开启时的时钟决定。时钟较小的设备成为配置主设备，而时钟较大的设备成为配置备份。

在负载均衡热备模式网络中，由于两台设备都参与业务流量转发，所以两台设备都是业务活跃设备。