概述:防火墙支持双机热备是标配,所以,大部分防火墙厂商都支持双机热备功能,区别在于实现技术不同。
尽管实现技术不同,但是,大部分都是围绕高可靠的常见协议VRRP做文章,或者即使不用VRRP,也是借鉴VRRP的思想,
本文描述不同厂商的实现思路和配置方法。
1、华为USG6600系列防火墙。
实现思路:VRRP + VGMP + HRP,实现主备防火墙。
原理说明:VRRP作为单方面的上行或者下行的基本协议,VGMP是对VRRP的更高层次的集合体,可以确保FW1在上下行两个方向上的VRRP状态保持相同,即都是主墙,或者都是备墙。HRP传递的是心跳报文,以及会话信息。问题是:主备墙的切换是在哪里实现的呢?
2、华三F5020防火墙
实现思路:冗余组,里面包含冗余接口组,冗余接口组里面分别是主备墙的两个端口,实现主备防火墙。
原理说明:
3、飞塔防火墙
实现思路:未知,
原理说明:未知,通过web界面配置。
4、360防火墙
实现思路:arp响应,只在主墙上。
原理说明:精简的VRRP协议,只由主墙提供ARP回应。
限制条件:要求互联设备必须是二层互通的。