防火墙HRP（热备路由协议）技术详解

防火墙 HRP（Hot Standby Routing Protocol，热备路由协议）的核心是主备设备状态实时同步 + 故障快速切换，确保主设备故障时，备设备能无缝接管业务，实现业务不中断，本质是双机热备的 “状态同步与切换大脑”。

一、HRP 核心工作机制

1. 角色选举：主备设备分工

两台防火墙通过 HRP 协商，自动选举一台为主设备（Active），另一台为备设备（Standby）。

• 选举依据优先比较设备优先级（手动配置，数值越大越优先）；优先级相同则比较接口 IP 地址（越大越优先）。
• 主备职责主设备承担所有业务转发（如数据包过滤、NAT 转换），备设备仅同步主设备状态，不转发业务流量（故障切换前）。

2. 状态实时同步：核心保障 “无缝切换”

HRP 的关键是让备设备与主设备保持 “状态一致”，切换后无需重新建立连接，同步内容包括：

• 会话表主设备上的 TCP/UDP 会话（如用户访问网站的连接、VPN 隧道），实时同步到备设备，确保切换后连接不中断。
• 配置信息防火墙的安全策略、NAT 规则、ACL、VPN 配置等，通过 “配置同步” 机制保持主备一致（支持自动 / 手动同步）。
• ARP 表 / 路由表主设备的 ARP 缓存、动态路由信息（如 OSPF/ BGP 路由）同步到备设备，避免切换后地址解析或路由丢失。

会话表同步方式：

• 实时增量同步主设备新增 / 删除会话时，立即向备设备发送同步报文（仅同步变化部分，减少带宽占用）。
• 批量全量同步备设备启动或断开重连后，主设备一次性推送所有会话表，快速恢复一致性。

3. 故障检测：毫秒级感知异常

HRP 通过两种方式检测主设备故障，确保快速发现问题：

• 心跳链路检测主备设备通过专用心跳接口（或业务接口复用）周期性发送心跳报文（默认间隔 1 秒），备设备未收到心跳（超时时间默认 3 秒），则判定主设备故障。
• 接口状态联动主设备的业务接口（如外网口、内网口）故障时，会主动通过 HRP 通知备设备，触发切换（无需等待心跳超时，更快响应）。

4. 故障切换：无缝接管业务

当检测到主设备故障（如断电、接口故障、系统崩溃），HRP 立即触发切换流程：

1. 备设备升级为新主设备，立即启用业务转发（继承原主设备的 IP 地址、会话表、配置）。
2. 新主设备通过 ARP 广播 / 免费 ARP，通知网关、终端等网络设备 “更新 MAC-IP 映射”（告知设备新的转发节点）。
3. 业务流量自动切换到新主设备，全程耗时通常在 1 秒内（毫秒级），用户无感知（如网页浏览、视频通话不中断）。

二、HRP 与普通双机热备的区别

三、关键注意事项

1. 心跳链路可靠性建议配置两条独立心跳链路（如专用光纤 + 业务接口复用），避免心跳链路故障导致误切换。
2. 会话同步限制HRP 仅同步 TCP/UDP 会话，部分特殊协议（如 ICMP、FTP 主动模式）需配合应用层网关（ALG）才能完整同步，确保切换后正常使用。
3. 负载分担扩展部分高端防火墙支持 HRP 负载分担模式（主主模式），两台设备同时转发业务（分担流量），故障时另一台接管全部业务，兼顾性能与可靠性。

四、HRP 具体配置

1. 主设备配置（Active）

# 进入系统视图
system-view

# 启用HRP功能
hrp enable

# 配置HRP组（可选，默认0）
hrp group 0

# 设置设备优先级（数值越高越优先，默认100）
hrp priority 150

# 配置主用心跳接口
hrp interface GigabitEthernet0/0/1 remote 10.1.1.2

# （可选）配置备用心跳接口（提高可靠性）
hrp interface GigabitEthernet0/0/2 remote 10.1.2.2

# 将心跳接口加入安全区域（如DMZ）
[FW1-zone-dmz] add interface GigabitEthernet0/0/1
[FW1-zone-dmz] add interface GigabitEthernet0/0/2

# 启用会话表同步（最关键）
hrp mirror session enable

# 启用配置同步
hrp mirror config enable

# （可选）启用快速备份（优化大数据量同步）
hrp fast-backup enable
hrp fast-backup interval 5  # 间隔5秒

# 监控上行接口（如外网口）状态，故障时触发切换
hrp track interface GigabitEthernet0/0/3

# （可选）配置抢占功能（主设备恢复后重新抢占）
hrp preempt enable
hrp preempt delay 30  # 延迟30秒，避免频繁切换

# 保存配置
commit
save

注意：心跳接口不能是 MGMT 接口、配置了 VRRP 虚拟 MAC 的接口或 MTU<1500 的接口

2. 备设备配置（Standby）

# 进入系统视图
system-view

# 启用HRP功能
hrp enable

# 配置HRP组（与主设备一致）
hrp group 0

# 明确设置为备设备角色
hrp role standby

# 心跳接口配置（与主设备完全一致）
hrp interface GigabitEthernet0/0/1 remote 10.1.1.1
hrp interface GigabitEthernet0/0/2 remote 10.1.2.1

# 将心跳接口加入安全区域
[FW2-zone-dmz] add interface GigabitEthernet0/0/1
[FW2-zone-dmz] add interface GigabitEthernet0/0/2

# 启用配置同步（备设备接收主设备配置）
hrp standby config enable

# 启用会话同步
hrp mirror session enable

# 保存配置
commit
save

3. 验证配置

# 查看HRP状态（主设备显示HRP_M，备设备显示HRP_S）
display hrp state

# 检查心跳接口状态（running为主用，ready为备用）
display hrp interface

# 验证会话同步（主设备新建会话，备设备应立即同步）
display hrp session

# 检查配置一致性
hrp configuration check acl  # 检查ACL配置一致性
# 或手动比较关键配置

4. 负载分担扩展配置

# 主设备配置
hrp device-role primary

# 备设备配置
hrp device-role secondary

此模式下两台设备同时处理流量，互为备份，提高性能。

五、总结

HRP 的核心价值是通过状态同步 + 快速切换，保障防火墙双机热备的业务连续性，其工作逻辑可简化为：主备协商→状态同步→故障检测→无缝切换，最终实现 “主设备故障不影响业务，用户无感知” 的目标，是企业网络高可用部署的核心协议之一。