华为将这个组网方式作为一种热备的方式,但是这种方式的热备却没有使用到vrrp,也就是虚拟网关,虚拟网关仅仅出现在上下联设备是交换机的情况下,这种情况下的热备仅仅使用到hrp,也就是使用hrp协议对两台防火墙设备的状态,配置信息进行同步。
在ensp中的usg6000,中没有将接口加入到active或者standy组当中的命令,当我们使用hrp配置了远端hrp设备,两台防火墙就会进行相关状态和配置的同步,这个叫自动备份,是自动开启的。
这个拓扑上的热备,仅仅只有几句关键配置:
hrp enable
hrp interface xxx remote xxx
hrp track interface xxx
当防火墙的两端配置相关命令之后,会因为优先级默认相同而处于一种负载均衡的状态,也就是都是处于active的状态,然后使用接口跟踪之后,会去跟踪防火墙上的接口状态,如果接口出现了故障,那么其hrp上的优先级就会出现降低,从而使得另一台设备作为主要的转发设备。
但是我感觉这个接口跟踪十分的鸡肋,因为 这种布置场景,路由器与防火墙之间使用的肯定是动态路由协议,像ospf能够自动的选择最优的路径进行转发,如果防火墙单单进行接口的跟踪,我觉得没有多大的用处,因为如果防火墙上的某个接口出现了故障,如果这个接口是转发端口,那么发送给这个防火墙的数据作一次数据的转发即可,因为是边缘转发设备,所以在一定程度上可以起到流量的缓冲作用,如果是内部的接口故障,那么下联的路由器也会感知到这个接口故障,从而将数据发送到其他路径上。
我个人感觉作用其实不是很大。
2、本身是透明传输模式,上下联连接交换机其实这个拓扑模式和上面的还是类似,它还是需要在两个防火墙之间设置一个心跳线,然后去跟踪对应的vlan,跟踪接口也行吧,其实都很鸡肋。
像上面的模式,vrrp,虚拟网关的身影已经消失了。防火墙在上面的拓扑中最主要的问题就是状态无法统一,因为数据包的转发路径不一,很可能导致回包的时候,因为没有相应的会话,而导致数据包的丢失,所以hrp的引入就十分的关键,至于其他的接口跟踪,或者vlan跟踪,它只是一种去判断防火墙是否能够正常转发数据的机制,如果不能转发就需要将数据转发的任务转交给其他设备,这种转发状态的检测可以是检测本机的接口,vlan,也可以是间接检测其他设备的接口是否正常工作。
