简介：VGMP（VRRP组管理协议）用来实现VRRP备份组的统一管理，以保证设备在各个备份组中的状态一致性。VGMP通过在设备（FW-1和FW-2）上将所有的备份组（备份组1和备份组2）加入一个VGMP组中进行统一管理，一旦检测到某个备份组（备份组1）中的状态变化（如接口进入Initialize状态），VGMP组将自身优先级减2，并重新协商VGMP的Active组和Standby组。选举出的Active组将所有的其他备份组（备份组1和备份组2）统一进行状态切换（备份组1和备份组2中的FW-2将成为Master设备）。

VGMP组的状态决定了VRRP备份组的状态，即设备的角色（如Master和Backup）不再通过VRRP报文选举，而是直接通过VGMP统一管理；VGMP组的状态通过比较优先级决定，优先级高的VGMP组将成为Active，优先级低的VGMP组将成为Standby；默认情况下，VGMP组的优先级为45000；VGMP根据组内VRRP备份组的状态自动调整优先级，一旦检测到备份组的状态变成Initialize状态，VGMP组的优先级会自动减2。

本文主要介绍华为防火墙使用VGMP协议配置虚拟IP的过程。详细内容参考下文。

一、登陆防火墙

二、登陆配置视图

三、集团的网络拓扑图

需求说明：集团两台防火墙FW的业务接口都工作在三层，上下行分别连接交换机。上行交换机S5735连接路透器AR6300后接入Internet，运营商为企业分配的IP地址为1.1.1.1。下行分别接入核心交换机S7706后连接公司Trust办公域，另一接口接入交换机S5735连接公司的DMZ服务器域。现在配置两台FW以双机热备的方式工作。正常情况下，FW-1为Master状态，FW-2为Backup状态，流量通过FW-1转发。当FW-1出现故障时，流量通过FW_2转发，保证业务不中断。

四、VGMP协议的配置过程

1、开启双击热备功能

#FW-1防火墙的配置

[FW-1]hrp enable

HRP_S[FW-1] //FW-1的配置命令提示符出现变化

#FW-2防火墙的配置

[FW-2]hrp enable

HRP_S[FW-2] //FW-2的配置命令提示符出现变化

2、配置自动备份模式

#FW-1防火墙的配置

HRP_S[FW-1]hrp auto-sync //FW-1配置自动备份

#FW-2防火墙的配置

HRP_S[FW-2] hrp auto-sync //FW-2配置自动备份

3、配置VRRP备份组

#在Trust域配置VRRP备份组2

#FW-1防火墙的配置

[FW-1] interface XGigabitEthernet 0/0/0

[FW-1-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 active

[FW-1-XGigabitEthernet0/0/0] quit

#FW_2防火墙的配置

[FW-2] interface XGigabitEthernet 0/0/0

[FW-2-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 standby

[FW-2-XGigabitEthernet0/0/0] quit

备注：在接口XGigabitEthernet 0/0/0下配置虚拟IP地址172.17.1.1。

#在DMZ域配置VRRP备份组3

#FW-1防火墙的配置

[FW-1] interface GigabitEthernet 0/0/1

[FW-1-GigabitEthernet0/0/1] vrrp vrid 3 virtual-ip 172.16.1.1 active

[FW-1-GigabitEthernet0/0/1] quit

#FW-2防火墙的配置

[FW-2] interface GigabitEthernet 0/0/1

[FW-2-GigabitEthernet0/0/1] vrrp vrid 3 virtual-ip 172.16.1.1 standby

[FW-2-GigabitEthernet0/0/1] quit

备注：在接口GigabitEthernet 0/0/1下配置虚拟IP地址172.16.1.1。

#在Untrust域配置VRRP备份组4

#FW-1防火墙的配置

[FW-1] interface GigabitEthernet 0/0/0

[FW-1-GigabitEthernet0/0/0] vrrp vrid 4 virtual-ip 1.1.1.1 24 active

[FW-1-GigabitEthernet0/0/0] quit

#FW-2防火墙的配置

[FW-2] interface GigabitEthernet 0/0/0

[FW-2-GigabitEthernet0/0/0] vrrp vrid 4 virtual-ip 1.1.1.1 24 standby

[FW-2-GigabitEthernet0/0/0] quit

备注：在接口GigabitEthernet 0/0/0下配置虚拟IP地址1.1.1.1。

4、指定心跳口并启用双机热备功能

#FW-1防火墙的配置

[FW-1] hrp interface XGigabitEthernet 0/0/1 remote 10.10.0.2

[FW-1] hrp enable

#FW-2防火墙的配置

[FW-2] hrp interface XGigabitEthernet 0/0/1 remote 10.10.0.1

[FW-2] hrp enable

五、配置检查及验证

1、查看双机热备的状态信息

执行指令display hrp state

2、查看心跳接口状态

执行指令display hrp interface

3、查看VRRP组内所有接口的状态

执行指令display vrrp

4、查看VRRP组内某一接口的状态

执行指令display vrrp interface XGigabitEthernet 0/0/0

5、检查当前VGMP组的状态

执行指令display hrp state verbose

6、查看VGMP组的优先级和状态

执行指令display hrp state

说明事项：

（1）、Running priority: 44996, peer: 44995：本端和对端的VGMP组优先级。“Running priority”表示本端VGMP组优先级。“peer”表示对端VGMP组优先级。

（2）、Last state change information：本端VGMP组最后一次状态切换的相关信息。old_state是VGMP组的历史状态。new_state是VGMP组的当前状态。old_state和new_state可能有如下取值：

•initial：表示VGMP组状态为initialize。

•normal：表示VGMP组状态为load-balance。

•abnormal(standby)：表示VGMP组状态为standby。

•abnormal(active)：表示VGMP组状态为active。