防火墙双机热备

VRRP技术介绍

传统组网中，只有一台防火墙部署在出口，当防火墙出现故障后，内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断，通讯可靠性无法保证。

双机热备份技术的出现改变了可靠性难以保证的尴尬状态，通过在网络出口位置部署两台或多台网关设备，保证了内部网络于外部网络之间的通讯畅通。

为了避免路由器传统组网所引起的单点故障的发生，通常情况可以采用多条链路的保护机制，依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题，因此推出了另一种保护机制VRRP（虚拟路由冗余协议）来进行。采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况下的链路保护。

VRRP（Virtual Router Redundancy Protocol）是一种基本的容错协议。

备份组：同一个广播域的一组路由器组织成一个虚拟路由器，备份组中的所有路由器一起，共同提供一个虚拟IP地址，作为内部网络的网关地址。
主（Master）路由器：在同一个备份组中的多个路由器中，只有一台处于活动状态，只有主路由器能转发以虚拟IP地址作为下一跳的报文。
备份（Backup）路由器：在同一个备份组中的多个路由器中，除主路由器外，其他路由器均为备份路由器，处于备份状态。

主路由器通过组播方式定期向备份路由器发送通告报文（HELLO），备份路由器则负责监听通告报文，以此来确定其状态。由于VRRP HELLO报文为组播报文，所以要求备份组中的各路由器通过二层设备相连，即启用VRRP时上下行设备必须具有二层交换功能，否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足，则不能使用VRRP。

VRRP在防火墙应用中存在的缺陷

VRRP在防火墙应用中存在的缺陷一

传统VRRP方式无法实现主备用防火墙状态的一致性

如上图：当PC1访问PC2 正常情况下通过Master（上面的）防火墙将数据包转发出去，回包也是通过Master回包。当10.100.10.2这个网段的网络出现故障或者down掉了，此时PC1访问PC2就走Backup（下面的）服务器，但回包不一定会按照原路返回，当PC2把包回给上面的防火墙，由于上面链路故障，就会出现丢包的情况

VRRP在防火墙应用中存在的缺陷二

传统VRRP方式无法实现主、备用防火墙会话表项的一致性

如图所示，假设USG A和USG B的VRRP状态一致，即USG A的所有接口均为主用状态，USG B的所有接口均为备用状态。
此时，Trust区域的PC1访问Untrust区域的PC2，报文的转发路线为(1)-(2)-(3)-(4)。USG A转发访问报文时，动态生成会话表项。当PC2的返回报文经过(4)-(3)到达USG A时，由于能够命中会话表项，才能再经过(2)-(1)到达PC1，顺利返回。同理，当PC2和DMZ区域的Server也能互访。
假设USG A和USG B的VRRP状态不一致，例如，当USG B与Trust区域相连的接口为备用状态，但与Untrust区域的接口为主用状态，则PC1的报文通过USG A设备到达PC2后，在USG A上动态生成会话表项。PC2的返回报文通过路线(4)-(9)返回。此时由于USG B上没有相应数据流的会话表项，在没有其他报文过滤规则允许通过的情况下，USG B将丢弃该报文，导致会话中断。

问题产生的原因：报文的转发机制不同。如何解决上面的问题呢？？？？