为什么使用双机热备技术？

对于网络需求不是太高的小中型网络架构，通常部署一台防火墙提供各种服务，可以接受短暂的网络中断。但是，对于网络需求高的小中大型网络架构，网络出现中断的情况是不能接受的，一般会使用多个运营商的线路以及两台或以上防火墙来实现冗余备份，当一台设备或者一个运营商线路出现故障时，可以切换到另外一台设备的运营商线路不间断持续提供服务。

在生产环境中可以配置两台防火墙（主备模式），防火墙之间使用心跳线连接，主防火墙转发数据，备用防火墙处于不转发状态，当主防火墙发生故障时就切换到备用防火墙提供服务，这是比较常用的主备模式。如果备用防火墙不转发就非常浪费，此时可以使用负载分担的双机热备模式，两台防火墙都转发数据，互为备份，这样不仅实现了冗余备份，还提高了防火墙的使用率。

什么是VRRP？

虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP），是一种路由容错协议。在生产环境中，可以把两台或多台路由器创建为一个VRRP组，VRRP组生成一个虚拟IP地址，客户端使用虚拟IP作为网关地址。VRRP组中只有一台路由器处于活动（Active）状态，处于Active状态的路由器可以转发下一跳数据报文；其他设备处于备用（Standby）状态，处于Standby状态的路由器不能转发数据报文，Active设备周期性向VRRP组中Standby设备发送Hello数据报文通知其自己的状态以及优先级。Active状态的路由器出现故障的时候，Standby状态的路由器会自动接替下一跳转发工作，从而保证网络不会出现中断的情况。

什么是VGRP？

VRRP组管理协议（VRRP Group Management Protocol，VGMP），用于管理VRRP组的协议，将多个VRRP备份组都加入一个VRRP管理组，由管理组统一管理所有VRRP备份组。VGMP通过统一控制VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态保持一致。

当防火墙A的VGMP为Active状态时，所有数据报文都将从该防火墙上通过，则防火墙A成为主防火墙。防火墙B的VGMP为Standby状态，防火墙B成为备用防火墙，VGMP通过定期发送HELLO报文来检测状态，VGMP HELLO报文发送周期默认为1秒，当防火墙B的Standby状态为3个HELLO报文周期没有收到对端防火墙A发送的HELLO报文时，会认为对端防火墙A出现故障，从而将自己切换到Active状态。