【防火墙技术连载41】强叔侃墙双机热备篇你所不知道的HRP
强叔在前几篇中讲解了双机热备的核心VGMP。在介绍VGMP报文结构时我们看到了几种HRP协议定义的报文，本期强叔就要为大家解析HRP协议和这几种HRP报文。有的小伙伴儿们会说：“HRP不就是负责双机的数据备份嘛。有什么难度？”其实HRP在备份时还是大有文章的，现在强叔就为大家揭秘这些HRP鲜为人知的细节。
1为什么需要HRP？
11备份配置命令
防火墙通过执行命令（通过Web配置实际上也是在执行命令）来实现用户所需的各种功能。如果备用设备切换为主用设备前，配置命令没有备份到备用设备，则备用设备无法实现主用设备的相关功能，从而导致业务中断。如下图所示，主用设备FW1上配置了允许内网用户访问外网的安全策略。如果主用设备FW1上配置的安全策略没有备份到备用设备FW2上，那么当主备状态切换后，新的主用设备FW2将不会允许内网用户访问外网（因为防火墙缺省情况下禁止所有报文通过）。
12备份会话
防火墙属于状态检测防火墙，对于每一个动态生成的连接，都有一个会话表项与之对应。主用设备处理业务过程中创建了很多动态会话表项；而备用设备没有报文经过，因此没有创建会话表项。如果备用设
f备切换为主用设备前，会话表项没有备份到备用设备，则会导致后续业务报文无法匹配会话表，从而导致业务中断。如下图所示，主用设备FW1上创建了PC1访问PC2的会话（源地址为101110，目的地址为2001110），PC1与PC2之间的后续报文会按照此会话转发。如果主用设备FW1上的会话不能备份到备用设备FW2上，那么当主备状态切换后，PC1访问PC2的后续报文在FW2上匹配不到会话。这样就会导致PC1访问PC2的业务中断。
因此为了实现主用设备出现故障时备用设备能平滑地接替工作，必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了HRP（HuaweiRedu
da
cyProtocol）协议，实现防火墙双机之间动态状态数据和关键配置命令的备份。如下图所示，主用设备FW1上配置了允许内网用户访问外网的安全策略，所以FW1会允许内网PC1访问外网PC2的报文通过，并且会建立会话。由于在FW1和FW2上都使用了HRP协议（配置了双机热备中的HRP功能），因此主用设备FW1上配置的安全策略和创建的会话都会备份到备用设备FW2上。这样当主备状态切换后，由于备用设备上已经存在允许内网用户访问外网的安全策略以及PC1访问PC2的会话，所以PC1访问PC2业务报文不会被禁止或中断。
f2HRP是如何实r