防火墙一般用作内网到外网的出口，是业务关键路径上的设备，为了防止因一台设备故障而导致的业务中断，要求防火墙必须提供更高的可靠性，此时需要使用防火墙双机热备组网。那么，防火墙双热设备组网如何工作的呢？下面河姆渡小编以华为防火墙双机热备组网的应用，简单的为您介绍一下。
　　
　　首先，我们要知道双机热备组网的建立和运行需要解决以下五个关键问题：
　　
　　1.设备的主备状态是如何决定的
　　
　　2.如何监控并发现接口或者设备故障
　　
　　3.发现故障后，如何保证设备的主备状态切换
　　
　　4.正常情况和故障后，流量是如何引导的
　　
　　5.如何进行信息同步，保证主备切换后业务不中断
　　
　　以上问题都是由双机热备特性涉及的三大协议VRRP VGMP HRP共同配合解决的。那么，华为防火墙双机热备组网可以是业务接口工作在三层，上下行连接交换机。这种组网既可以用于主备模式，也可以用于负载分担模式，拓扑如下图所示：
　　
　　
　　在FWA和FWB的下行接口上配置VRRP备份组1，虚拟IP地址为10.1.1.1/24，虚拟MAC地址为00-00-5E-00-01-01，同理，FWA和FWB的上行接口也配置VRRP备份组2，FWA的状态为Active，FWB的状态为Standby。
　　
　　网络正常时，内网的PC对虚拟网关地址10.1.1.1发送ARP请求，交换机广播此ARP请求，但是只有Active设备才会响应，也就是说，只有FWA的g1/0/1口会应答，此ARP应答抵达交换机的时候，交换机会记录虚拟MAC地址和本地接口e0/0/1的对应关系，形成MAC地址表转发条目，当PC产生数据流量的时候，PC用虚拟MAC地址封装数据的目的MAC地址字段，那么交换机收到该数据流量的时候，会按照MAC地址表，将该数据转发给FWA，由FWA进行转发，这时网络在正常的情况下出现了故障。
　　
　　
　　我们假设FWA的上行接口g1/0/3故障，g1/0/3故障会导致FWA的上行接口的VRRP组发生切换，而我们在上一次的建策百科中，跟大家讲解了VGMP协议，还记得吗？只要属于同一个VGMP组，只要一个VRRP组切换了，其他VRRP组也会跟着变化，因此，FWA的下行VRRP组也随之转变为Standby，而FWB此时就变成Active设备了，而FWB一旦变成Active设备之后，会立刻发送免费ARP，来更新上下游交换机的MAC地址表，将虚拟MAC地址和e0/0/2口对应。因此，此时下游的PC产生的数据流量，就会被FWB转发了，从而实现了主备状态下的双机热备的切换负载分担模式，拓扑如下图所示：
　　
　　
　　我们将FWA的g1/0/1口分别配置进入两个VRRP组，其中g1/0/1口在VRRP组1内为Active，组2内为Standby，将FWB的g1/0/1口也配置两个VRRP组，其中g1/0/1口在组1内为Standby，在组2内Active，同理，FWA和FWB的上行接口g1/0/3口也这么配置，这样一来，内网有的PC将网关指向组1的虚拟IP地址10.1.1.1，而有的PC将网关指向组2的虚拟IP地址10.1.1.2，从而实现了数据流量的负载分担，而当网络发生故障的时候，假设FWA发生故障，无论是FWA的上行口发生故障，还是下行口发生故障，VGMP组都会切换成Standby，而此时FWB将成为Active设备，FWB也会产生免费ARP，来更新上下游交换机的MAC地址表，从而将流量引导至FWB转发，而此时，FWA和FWB之间的模式也由负担分担模式退化至主备模式。