Eudemon防火墻雙機(jī)熱備配置指導(dǎo)書(shū)

1、華為產(chǎn)品維護(hù)資料防火墻雙機(jī)熱備配置指導(dǎo)書(shū)防火墻雙機(jī)熱備配置指導(dǎo)書(shū)目 錄聲明i技術(shù)支持i防火墻雙機(jī)熱備配置指導(dǎo)書(shū)11 防火墻雙機(jī)熱備配置指導(dǎo)書(shū)11.1 傳統(tǒng)維護(hù)鏈路穩(wěn)定性的方法11.2 引入雙機(jī)熱備的必要性21.3 防火墻雙機(jī)熱備的基本工作原理41.4 防火墻雙機(jī)熱備的基本配置141.5 雙機(jī)熱備的各種組網(wǎng)方案以及有缺點(diǎn)301.6 雙機(jī)熱備的缺陷和技術(shù)發(fā)展371.7 雙機(jī)熱備的應(yīng)用案例38i防火墻雙機(jī)熱備配置指導(dǎo)書(shū)1 防火墻雙機(jī)熱備配置指導(dǎo)書(shū)在當(dāng)前的組網(wǎng)應(yīng)用中，用戶(hù)對(duì)網(wǎng)絡(luò)可靠性的要求越來(lái)越高，特別是在一些重點(diǎn)的業(yè)務(wù)入口或接入點(diǎn)上需要保證網(wǎng)絡(luò)的不間斷運(yùn)行。象企業(yè)的internet接入點(diǎn)，銀行的數(shù)據(jù)

2、庫(kù)服務(wù)器等，對(duì)于這樣一些重要的業(yè)務(wù)點(diǎn)如何保證網(wǎng)絡(luò)的不間斷傳輸，成為必須解決的一個(gè)問(wèn)題。在這種業(yè)務(wù)點(diǎn)上如果只使用一臺(tái)設(shè)備的話(huà)，無(wú)論其可靠性多高，系統(tǒng)都必然要承受因單點(diǎn)故障而導(dǎo)致網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)。而防火墻正是作為內(nèi)外網(wǎng)的一個(gè)接入點(diǎn)上，為了防止一臺(tái)設(shè)備出現(xiàn)故障導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷，故此如何維護(hù)網(wǎng)絡(luò)穩(wěn)定性是急需解決的問(wèn)題。1.1 傳統(tǒng)維護(hù)鏈路穩(wěn)定性的方法圖1 傳統(tǒng)鏈路組網(wǎng)方式傳統(tǒng)的組網(wǎng)方式下當(dāng)鏈路中斷后，就會(huì)導(dǎo)致業(yè)務(wù)中斷，也就是我們俗稱(chēng)的單點(diǎn)故障，如上圖所示，當(dāng)路由器出現(xiàn)單點(diǎn)故障后，整個(gè)鏈路就會(huì)中斷，這樣對(duì)于重要的業(yè)務(wù)點(diǎn)如：電信，銀行等部門(mén)就會(huì)帶來(lái)巨大的影響和損失。為了避免由于單點(diǎn)故障而導(dǎo)致的業(yè)務(wù)中斷，從而

3、形成多條鏈路的保護(hù)機(jī)制，如下圖所示。 圖2 采用多條鏈路的鏈路保護(hù)機(jī)制采用多條鏈路的保護(hù)機(jī)制，依靠動(dòng)態(tài)路由協(xié)議進(jìn)行鏈路切換。但這種路由協(xié)議來(lái)進(jìn)行切換保護(hù)的方式存在一定的局限性，當(dāng)不能使用動(dòng)態(tài)路由協(xié)議時(shí)，仍然會(huì)導(dǎo)致鏈路中斷的問(wèn)題。例如：如上圖所示，如果內(nèi)部網(wǎng)絡(luò)直接連到路由器上，由于pc機(jī)上無(wú)法執(zhí)行動(dòng)態(tài)路由只能使用靜態(tài)路由方式，從而指定pc下一跳的固定的路由器接口，當(dāng)鏈路中斷后，無(wú)法實(shí)現(xiàn)鏈路切換。因此推出了另一種保護(hù)機(jī)制vrrp（虛擬路由冗余協(xié)議）來(lái)進(jìn)行。圖3 采用vrrp進(jìn)行鏈路保護(hù)機(jī)制采用vrrp的鏈路保護(hù)機(jī)制比依賴(lài)動(dòng)態(tài)路由協(xié)議的廣播報(bào)文來(lái)進(jìn)行鏈路切換的時(shí)間更短，同時(shí)彌補(bǔ)了不能使用動(dòng)態(tài)路由情況

4、下的鏈路保護(hù)。這種保護(hù)的機(jī)制是：vrrp將局域網(wǎng)的一組路由器組織成一個(gè)虛擬路由器，稱(chēng)之為一個(gè)備份組。其中僅有一臺(tái)設(shè)備處于活動(dòng)狀態(tài)（master）并承擔(dān)報(bào)文轉(zhuǎn)發(fā)任務(wù)，其余設(shè)備都處于備份狀態(tài)，并隨時(shí)按照優(yōu)先級(jí)高低做好接替任務(wù)的準(zhǔn)備。如上圖所示，內(nèi)部網(wǎng)絡(luò)設(shè)備只需將網(wǎng)關(guān)執(zhí)行虛擬ip，而不需要指向固定的接口，依靠vrrp協(xié)議進(jìn)行鏈路切換。1.2 引入雙機(jī)熱備的必要性1. 為什么要引入雙機(jī)熱備雖然存在這么兩種鏈路保護(hù)的機(jī)制，為什么防火墻還要提出雙機(jī)熱備呢？（1）報(bào)文的轉(zhuǎn)發(fā)機(jī)制不同。對(duì)于路由器來(lái)說(shuō)，業(yè)務(wù)中的每個(gè)數(shù)據(jù)包都會(huì)逐包轉(zhuǎn)發(fā)，即每個(gè)報(bào)文都會(huì)查路由表當(dāng)匹配上后才進(jìn)行轉(zhuǎn)發(fā)，當(dāng)鏈路切換后，后續(xù)報(bào)文不會(huì)受到影響

5、，繼續(xù)進(jìn)行轉(zhuǎn)發(fā)。而由于eudemon是狀態(tài)防火墻，只會(huì)對(duì)業(yè)務(wù)中首包進(jìn)行檢查，如果首包允許通過(guò)會(huì)建立一條五元組的會(huì)話(huà)連接，只有命中該會(huì)話(huà)表項(xiàng)的后續(xù)報(bào)文（包括返回報(bào)文）才能夠通過(guò)eudemon防火墻，如果鏈路切換后，后續(xù)報(bào)文找不到正確的表項(xiàng)，會(huì)導(dǎo)致業(yè)務(wù)中斷。其實(shí)對(duì)于路由器當(dāng)配置nat后也會(huì)存在同樣的問(wèn)題，因?yàn)樵谶M(jìn)行nat后會(huì)形成一個(gè)nat轉(zhuǎn)換后的表項(xiàng)。（2） vrrp在防火墻應(yīng)用的缺陷每個(gè)備份組的vrrp是單獨(dú)工作的，并且每個(gè)vrrp狀態(tài)相對(duì)獨(dú)立，因此無(wú)法保證同一防火墻上各接口的vrrp狀態(tài)都為主用或都為備用 。2. 什么是雙機(jī)熱備雙機(jī)熱備，所謂雙機(jī)熱備其實(shí)是雙機(jī)狀態(tài)備份，當(dāng)兩臺(tái)防火墻，在確定主從

6、防火墻后，由主防火墻進(jìn)行業(yè)務(wù)的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時(shí)主防火墻會(huì)定時(shí)向從防火墻發(fā)送狀態(tài)信息和需要備份的信息，當(dāng)主防火墻出現(xiàn)故障后，從防火墻會(huì)及時(shí)接替主防火墻上的業(yè)務(wù)運(yùn)行。狀態(tài)備份最主要的優(yōu)點(diǎn)，是可以保護(hù)當(dāng)前業(yè)務(wù)不會(huì)中斷，例如語(yǔ)音電話(huà)，如果防火墻不具備狀態(tài)熱備功能，倒換后，當(dāng)前正在通的電話(huà)會(huì)中斷，只有重新?lián)艽?，而具備狀態(tài)熱備功能后，就不存在這個(gè)問(wèn)題。 圖4 雙機(jī)熱備基本組網(wǎng)3. 如何實(shí)現(xiàn)雙機(jī)熱備 圖5 雙機(jī)熱備實(shí)現(xiàn)組網(wǎng)圖實(shí)現(xiàn)雙機(jī)熱備的基本步驟：（1）在接口上配置vrrp（虛擬路由器冗余協(xié)議）備份組，來(lái)發(fā)現(xiàn)防火墻的故障情況；（2）將vrrp備份組加入到vgmp（ vrrp組管理協(xié)議）中，

7、以實(shí)現(xiàn)對(duì)vrrp管理組的統(tǒng)一管理；（3）使能hrp（華為冗余協(xié)議），實(shí)現(xiàn)雙機(jī)情況下的信息備份。兩臺(tái)防火墻形成雙機(jī)熱備，兩臺(tái)防火墻之間通過(guò)vrrp的hello報(bào)文協(xié)商主備關(guān)系，根據(jù)vgmp的優(yōu)先級(jí)和接口的ip從而確定防火墻的master和slave關(guān)系，并且master防火墻會(huì)通過(guò)hrp協(xié)議定時(shí)向slave傳送備份信息（命令行備份信息和動(dòng)態(tài)備份信息），當(dāng)master防火墻出現(xiàn)故障時(shí)，主備關(guān)系發(fā)生轉(zhuǎn)換，業(yè)務(wù)會(huì)平滑切換，不會(huì)影響這個(gè)業(yè)務(wù)的進(jìn)行。4. 雙機(jī)熱備的注意點(diǎn)（1）對(duì)于雙機(jī)熱備目前只支持兩臺(tái)設(shè)置進(jìn)行備份，不支持多臺(tái)設(shè)備進(jìn)行備份。但對(duì)于只使用vrrp的組網(wǎng)可以支持多臺(tái)設(shè)備進(jìn)行冗余備份；（2）由于

8、雙機(jī)熱備中具有備份機(jī)制可以備份動(dòng)態(tài)信息和命令，因此要求進(jìn)行雙機(jī)熱備的兩臺(tái)設(shè)備板卡的位置，以及接口卡的類(lèi)型都要求相同，否則會(huì)出現(xiàn)主防火墻備份過(guò)去的信息，與從防火墻根本就無(wú)法進(jìn)行搭配使用，如出現(xiàn)主備狀態(tài)切換就會(huì)導(dǎo)致業(yè)務(wù)出問(wèn)題。（3）進(jìn)行雙機(jī)熱備的兩臺(tái)防火墻中的配置文件最好為初始配置或保證兩臺(tái)設(shè)備配置相同，以免由于先前的配置而導(dǎo)致業(yè)務(wù)問(wèn)題。1.3 防火墻雙機(jī)熱備的基本工作原理防火墻雙機(jī)熱備包含以下三種協(xié)議：采用vrrp（virtual router redundancy protocol 虛擬路由器冗余協(xié)議）來(lái)發(fā)現(xiàn)防火墻的故障情況；采用vgmp（ vrrp group management prot

9、ocol vrrp組管理協(xié)議）對(duì)vrrp備份組進(jìn)行管理；采用hrp（huawei redundancy protocol 華為公司冗余協(xié)議）來(lái)進(jìn)行防火墻的動(dòng)態(tài)狀態(tài)數(shù)據(jù)的實(shí)時(shí)備份。首先我們對(duì)這三個(gè)協(xié)議在雙機(jī)熱備中起的作用，以及如何工作，進(jìn)行簡(jiǎn)要描述。1. vrrp（virtual router redundancy protocol） 虛擬路由器冗余協(xié)議（1）什么是vrrpvrrp（virtual router redundancy protocol）作為一種容錯(cuò)協(xié)議，適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等），通過(guò)一組路由設(shè)備共用一個(gè)虛擬的ip來(lái)達(dá)到提供一個(gè)虛擬網(wǎng)關(guān)的目的 。 （2）vrrp如

10、何起作用在vrrp中有這個(gè)幾個(gè)概念需要注意： vrrp組: 是指配置了相同vrrp id具備相同虛擬地址工作在同一個(gè)以太網(wǎng)廣播域（注：由于vlan技術(shù)能夠隔離以太網(wǎng)的廣播域，因此屬于同一個(gè)vrrp組的設(shè)備應(yīng)該屬于同一個(gè)vlan，而不僅僅是物理上連接到同一個(gè)以太網(wǎng)）的一組路由器，由兩個(gè)或兩個(gè)以上的路由設(shè)備組成，vrrp組中有且僅有一臺(tái)設(shè)備處于活動(dòng)狀態(tài)（master）并承擔(dān)報(bào)文轉(zhuǎn)發(fā)任務(wù)，其余設(shè)備都處于備份狀態(tài)，并隨時(shí)按照優(yōu)先級(jí)高低做好接替任務(wù)的準(zhǔn)備。 vrrp id，是用來(lái)標(biāo)識(shí)路由器屬于哪個(gè)vrrp組的id，在同一個(gè)以太網(wǎng)廣播域具備相同的vrrp id的設(shè)備屬于同一個(gè)vrrp組，用戶(hù)應(yīng)該保證屬于同

11、一vrrp的設(shè)備其虛擬ip地址的設(shè)置（注：同一vrrp的虛擬ip地址可以是一個(gè)或多個(gè)，但是必須保證vrrp組內(nèi)成員虛擬ip的設(shè)置一致）相同。 虛擬ip地址：配置vrrp備份組的時(shí)候需要指定其虛擬地址，是vrrp組成員共用的ip地址用于給網(wǎng)絡(luò)中的主機(jī)/路由器指定下一跳。該虛擬ip地址可以是接口地址，也可以是同一個(gè)vrrp組中接口的同網(wǎng)段的ip地址。 虛擬mac地址：是vrrp根據(jù)vrrp id生成的mac地址，同一個(gè)vrrp組其生成的虛擬mac地址必定相同。虛擬mac地址為：0000-5e00-01xx，xx為16進(jìn)制的vrrp的id號(hào)。 vrrp組成員優(yōu)先級(jí)，每個(gè)vrrp組成員都具備一個(gè)成員優(yōu)

12、先級(jí)，從1到255。vrrp組根據(jù)成員優(yōu)先級(jí)的高低來(lái)確定備份組成員的主從狀態(tài)。由備份組中優(yōu)先級(jí)最高的成員將成為master。 在vrrp中的成員應(yīng)注意的幾種狀態(tài)：vrrp成員狀態(tài)一般有三種：initialize(初始化狀態(tài))，表示配置了vrrp的相應(yīng)接口沒(méi)有up；master(主狀態(tài))，表示該成員工作在轉(zhuǎn)發(fā)報(bào)文的狀態(tài)，處于該狀態(tài)下的vrrp成員具有虛擬ip地址以及相應(yīng)虛擬mac地址，并轉(zhuǎn)發(fā)以虛擬ip地址為下一跳的ip報(bào)文，并定時(shí)發(fā)送通告報(bào)文，通知slave狀態(tài)的設(shè)備保持偵聽(tīng)；slave(從狀態(tài))表示該成員工作在偵聽(tīng)狀態(tài)，處于該狀態(tài)下的成員偵聽(tīng)主設(shè)備的通告報(bào)文，如果在連續(xù)幾個(gè)通告報(bào)文的時(shí)間內(nèi)都沒(méi)

13、有收到通告報(bào)文則把自己變成主設(shè)備并轉(zhuǎn)發(fā)報(bào)文 。vrrp的工作原理：vrrp的工作機(jī)制是把幾個(gè)路由器組成一個(gè)虛擬路由器（vrrp組），提供統(tǒng)一的虛擬ip地址以及虛擬mac地址在組成的虛擬路由器的設(shè)備中，通過(guò)由優(yōu)先級(jí)等方式選舉出主防火墻，只有主防火墻才會(huì)接收并轉(zhuǎn)發(fā)以虛擬ip地址為下一跳的報(bào)文，備用設(shè)備則處于監(jiān)控狀態(tài)，用于保證有且只有一個(gè)設(shè)備處于主用并轉(zhuǎn)發(fā)用戶(hù)報(bào)文用戶(hù)配置以虛擬地址為下一跳，這樣在vrrp組中只要有一個(gè)設(shè)備的vrrp狀態(tài)為主用，就可以保持鏈接不中斷。vrrp的狀態(tài)切換原理：vrrp中成員有兩個(gè)狀態(tài)master和slave，處于master狀態(tài)的設(shè)備會(huì)定時(shí)發(fā)送組播通告報(bào)文，狀態(tài)為sla

14、ve的設(shè)備處于監(jiān)測(cè)狀態(tài)，其收到master的通告報(bào)文后會(huì)更新其監(jiān)測(cè)定時(shí)器；如果狀態(tài)為slave的設(shè)備在三個(gè)通告周期內(nèi)都沒(méi)有收到master的通告報(bào)文則把自己變成master并發(fā)送通告報(bào)文，并發(fā)送一個(gè)免費(fèi)arp報(bào)文用于更新三層交換機(jī)的arp表；如果狀態(tài)為master的設(shè)備收到了另一個(gè)master的通告報(bào)文，表明發(fā)生了搶占此時(shí)取報(bào)文的優(yōu)先級(jí)和自己的優(yōu)先級(jí)比較，決定是否變成slave設(shè)備，如果vrrp配置為搶占方式，它收到報(bào)文時(shí)會(huì)比較報(bào)文的優(yōu)先級(jí)和自己的優(yōu)先級(jí)，一旦發(fā)現(xiàn)自己的優(yōu)先級(jí)比當(dāng)前的報(bào)文中vrrp的優(yōu)先級(jí)高，則不會(huì)更新監(jiān)測(cè)定時(shí)器，這樣超時(shí)后便會(huì)發(fā)送通告報(bào)文搶占成為master； （3）vrrp

15、應(yīng)用舉例圖6 vrrp協(xié)議的應(yīng)用routea/routeb/routec屬于同一個(gè)vrrp組，它們具備相同的虛擬ip地址10.110.10.1，局域網(wǎng)內(nèi)部的用戶(hù)設(shè)置該虛擬ip地址為默認(rèn)的網(wǎng)關(guān)。開(kāi)始的時(shí)候routea是該vrrp組的主設(shè)備，該設(shè)備擁有虛擬ip地址轉(zhuǎn)發(fā)ip報(bào)文并定時(shí)（通常是一秒）發(fā)送vrrp通告報(bào)文，routeb和routec是從設(shè)備并偵聽(tīng)routea的通告報(bào)文。如果routea因?yàn)槟撤N原因?qū)е略O(shè)備故障，或者是routea到內(nèi)部網(wǎng)絡(luò)的鏈路故障，導(dǎo)致routeb和routec收不到vrrp通告報(bào)文，如果從設(shè)備在連續(xù)三個(gè)通告報(bào)文的時(shí)間間隔中都沒(méi)有收到vrrp組設(shè)備的vrrp通告報(bào)文，則

16、routeb和routec會(huì)競(jìng)爭(zhēng)成為主，競(jìng)爭(zhēng)的標(biāo)準(zhǔn)根據(jù)優(yōu)先級(jí)或者接口ip的范圍，最終有一臺(tái)設(shè)備成為新的vrrp主設(shè)備并轉(zhuǎn)發(fā)報(bào)文，從而保障業(yè)務(wù)正常運(yùn)行。（4）vrrp應(yīng)用的局限性 每個(gè)備份組的vrrp是單獨(dú)工作的，并且每個(gè)vrrp狀態(tài)相對(duì)獨(dú)立，因此無(wú)法保證同一防火墻上各接口的vrrp狀態(tài)都為主用或都為備用，也就是說(shuō)在一臺(tái)設(shè)備上的兩個(gè)接口下的vrrp可能出現(xiàn)不同步的情況，即主備狀態(tài)交互，從而導(dǎo)致業(yè)務(wù)中斷。 由于eudemon是狀態(tài)防火墻，當(dāng)首包通過(guò)檢測(cè)后，會(huì)在安全區(qū)域之間形成動(dòng)態(tài)的會(huì)話(huà)表項(xiàng)，后續(xù)報(bào)文只有命中該會(huì)話(huà)表項(xiàng)的后續(xù)報(bào)文（包括返回報(bào)文）才能夠通過(guò)eudemon防火墻，這就要求某會(huì)話(huà)的進(jìn)路徑、

17、出路徑必須一致，但是對(duì)于vrrp如果發(fā)生切換后，主防火墻上的生成的表項(xiàng)不會(huì)備份到備防火墻上，因此如果發(fā)生狀態(tài)切換會(huì)導(dǎo)致業(yè)務(wù)中斷。 （5）vrrp的配置命令 配置備份組的虛擬ip地址 vrrp vrid virtual-ip x.x.x.x 說(shuō)明：x.x.x.x需與接口ip同網(wǎng)段或者為接口地址 配置備份組的優(yōu)先級(jí) vrrp vrid priority 說(shuō)明：如果虛擬ip地址為接口的ip地址時(shí)，默認(rèn)優(yōu)先級(jí)為255 配置備份組的搶占方式和延遲時(shí)間 vrrp vrid preempt-mode timer delay 說(shuō)明：該命令是vrrp的搶占命令，當(dāng)配置延遲時(shí)間時(shí)，是為了避免出現(xiàn)誤操作，而導(dǎo)致的頻

18、繁狀態(tài)切換，即當(dāng)在延遲時(shí)間內(nèi)糾正誤操作如誤拔掉接口網(wǎng)線(xiàn)等，不會(huì)出現(xiàn)狀態(tài)的切換。 配置備份組的認(rèn)證方式和認(rèn)證字 vrrp authentication-mode simple/md5 string說(shuō)明：該命令主要是對(duì)備份組中的組播報(bào)文進(jìn)行認(rèn)證的處理，以保證各個(gè)虛擬路由之間傳送的組播報(bào)文不會(huì)因?yàn)榉欠▓?bào)文，而出現(xiàn)狀態(tài)混亂的問(wèn)題。 配置備份組的定時(shí)器 vrrp vrid timer advertise 說(shuō)明：設(shè)置備份組中組播報(bào)文的發(fā)送間隔，默認(rèn)值為1秒。 配置監(jiān)視指定接口 vrrp vrid track ethernet reduced 說(shuō)明：接口監(jiān)視命令，其目的是同一臺(tái)設(shè)備上的各個(gè)vrrp組能夠統(tǒng)一

19、變化狀態(tài)。當(dāng)監(jiān)控的接口down掉后，該監(jiān)控方會(huì)根據(jù)設(shè)置的reduced參數(shù)值來(lái)降低自身的vrrp優(yōu)先級(jí)，已達(dá)到vrrp的同時(shí)變化。2. vgmp（ vrrp group management protocol vrrp組管理協(xié)議） （1）采用vgmp的作用由于vrrp存在，工作和狀態(tài)都獨(dú)立的情況，為了更好的避免不能使同一防火墻上各接口的vrrp狀態(tài)都為主用或都為備用的情況，開(kāi)發(fā)了對(duì)vrrp備份組進(jìn)行統(tǒng)一管理的協(xié)議vgmp協(xié)議。vgmp的作用：確保各vrrp備份組之間通路狀態(tài)一致性，并且由管理組統(tǒng)一管理各獨(dú)立運(yùn)行的vrrp備份組，從而實(shí)現(xiàn)各備份組之間的互通。以防止可能導(dǎo)致的vrrp狀態(tài)不一致現(xiàn)象

20、的發(fā)生。從而實(shí)現(xiàn)對(duì)多個(gè)vrrp備份組（虛擬路由器）的狀態(tài)一致性管理、搶占管理和通道管理等功能。注意：vgmp不支持vrrp備份組虛擬ip為接口ip的管理。（2）vgmp功能介紹 狀態(tài)一致性管理各vrrp備份組的主/備狀態(tài)變化都需要通知其所屬的vrrp管理組，由vrrp管理組決定是否允許vrrp備份組進(jìn)行主/備狀態(tài)切換。 搶占管理 無(wú)論各vrrp備份組內(nèi)eudemon防火墻設(shè)備是否使能了搶占功能，搶占行為發(fā)生與否必須由vrrp管理組統(tǒng)一決定。 通道管理 所謂通道管理，是為了提供傳輸vgmp報(bào)文、vgmp相關(guān)承載報(bào)文、vrrp狀態(tài)報(bào)文的可靠通路而提出的，這是相對(duì)正常業(yè)務(wù)流的業(yè)務(wù)通道而言的。 （3）

21、vgmp的成員屬性vrrp管理組成員屬性分為data和transfer-only兩種，data表示數(shù)據(jù)通道，transfer-only表示該通道不參與狀態(tài)切換，即在配有transfer-only屬性的接口上，如果接口down了，不會(huì)影響vrrp管理組的優(yōu)先級(jí)變化。在vrrp管理組的模式下，vrrp管理組成員的狀態(tài)保持一致，其狀態(tài)遷移需要通知其所屬的vrrp管理組，并受vrrp管理組狀態(tài)控制。（4）vgmp狀態(tài)切換原理vrrp管理組在收到vrrp成員的狀態(tài)改變消息的時(shí)候需要通知vrrp管理組進(jìn)行預(yù)處理，vrrp管理組收到消息后會(huì)根據(jù)，vgmp的狀態(tài)，vgmp管理組中vrrp的狀態(tài)以及狀態(tài)改變消息

22、決定是否需要改變狀態(tài)。vgmp由master狀態(tài)slave狀態(tài)的過(guò)程：管理組狀態(tài)為master，當(dāng)進(jìn)行狀態(tài)切換時(shí)遍歷組內(nèi)所有的vrrp如果有狀態(tài)為master的則將其狀態(tài)轉(zhuǎn)換為slave。并通過(guò)可用的數(shù)據(jù)通道通知對(duì)方管理組狀態(tài)改變masterslave，用于觸發(fā)快速切換。 （5）vgmp應(yīng)用舉例圖7 vgmp協(xié)議的應(yīng)用在該組網(wǎng)中，eudemona中有三個(gè)接口，并且每個(gè)接口上配置一條vrrp備份組，并將這三條vrrp備份組加入一個(gè)vrrp管理組1中，當(dāng)eudemona發(fā)生故障或接口出現(xiàn)故障時(shí)，vrrp會(huì)向vgmp發(fā)送狀態(tài)切換消息，當(dāng)vrrp管理組1 確認(rèn)后，遍歷組內(nèi)所有vrrp成員將狀態(tài)由mas

23、ter轉(zhuǎn)變?yōu)閟lave，同時(shí)通知eudemonb進(jìn)行狀態(tài)切換。（6）vgmp的注意事項(xiàng)（參考上圖） 兩個(gè)防火墻上的接口和安全區(qū)域的連接必須嚴(yán)格一一對(duì)應(yīng)，包括接口插槽、類(lèi)型、編號(hào)、相關(guān)配置等（ip地址除外）。 兩個(gè)防火墻上的備份組編號(hào)、構(gòu)成必須完全一樣。這就是說(shuō)eudemona上的a1接口隸屬備份組1，a2接口隸屬備份組2，a3接口隸屬備份組3；則eudemonb上的b1、b2和b3接口也必須分別隸屬備份組1、2和3。 兩個(gè)防火墻上的管理組編號(hào)、構(gòu)成必須完全一樣。這就是說(shuō)eudemona上的管理組包括備份組1、2和3，則eudemonb上的同樣編號(hào)的管理組也必須包含備份組1、2和3。 同一防火墻

24、（例如eudemona）上，一個(gè)物理接口可以隸屬多個(gè)vrrp備份組。一個(gè)備份組中能包含多個(gè)物理接口，對(duì)應(yīng)多個(gè)虛擬ip地址。同一vrrp管理組可以包含多個(gè)備份組，但是相同備份組不能隸屬多個(gè)vrrp管理組。 vgmp優(yōu)先級(jí)的遞減算法：vgmp的優(yōu)先級(jí)vgmp的優(yōu)先級(jí)/16；當(dāng)配置有vrrp成員的接口，出現(xiàn)故障時(shí)，vgmp的優(yōu)先級(jí)按照上述算法進(jìn)行遞減，故此vgmp的優(yōu)先級(jí)不可設(shè)置過(guò)高，以免在正常情況下，主防火墻的vgmp的優(yōu)先級(jí)遞減后仍然比從防火墻的優(yōu)先級(jí)高，而不會(huì)發(fā)生搶占，從而導(dǎo)致業(yè)務(wù)中斷。（7）vgmp的配置 配置vrrp管理組 vrrp group 說(shuō)明：在防火墻中最多可以配置16個(gè)管理組。

25、使能vrrp管理組功能 vrrp enable 說(shuō)明：只有使能了vrrp管理組后，vrrp管理組才能起作用。 配置向vrrp管理組添加備份組 add interface ethernet 接口 vrrp vrid data transfer-only 說(shuō)明：通過(guò)配置data參數(shù)來(lái)標(biāo)識(shí)指定路徑為數(shù)據(jù)通道，并且該通道狀態(tài)將影響 vrrp管理組的狀態(tài)變化。當(dāng)配置transfer-only參數(shù)則表明該數(shù)據(jù)通道的狀態(tài)將不會(huì)影響vrrp管理組的狀態(tài) 配置vrrp管理組優(yōu)先級(jí) vrrp priorty plus using-vrrppriority 說(shuō)明：plus參數(shù)的功能是為了增加vrrp的優(yōu)先級(jí)，usi

26、ng-vrrppriority參數(shù)的作用是vrrp管理組的優(yōu)先級(jí)使用vrrp的優(yōu)先級(jí)，如果有多個(gè)vrrp備份組時(shí)，采用除含有transfer-only屬性的接口下的vrrp的優(yōu)先級(jí)外的所有vrrp優(yōu)先級(jí)的和除以所有vrrp的個(gè)數(shù)，即是vgmp的優(yōu)先級(jí)。 配置vrrp管理組搶占功能 vrrp preempt delay /自動(dòng)搶占命令 說(shuō)明：該命令會(huì)定時(shí)比對(duì)兩臺(tái)防火墻之間發(fā)送的報(bào)文中的優(yōu)先級(jí)，當(dāng)發(fā)現(xiàn)對(duì)端發(fā)過(guò)來(lái)的報(bào)文優(yōu)先級(jí)低時(shí)，會(huì)自動(dòng)啟動(dòng)搶占功能。delay參數(shù)主要是說(shuō)明延遲搶占的秒數(shù)。 vrrp manual-preempt /手工搶占命令 說(shuō)明：當(dāng)執(zhí)行該命令后，系統(tǒng)會(huì)發(fā)送一個(gè)消息報(bào)文到對(duì)端進(jìn)行

27、優(yōu)先級(jí)的比較，如果優(yōu)先級(jí)高于對(duì)端，發(fā)送消息給vrrp和hrp進(jìn)行狀態(tài)切換；否則不進(jìn)行搶占功能。 配置vrrp管理組hello報(bào)文發(fā)送間隔 vrrp timer hello 說(shuō)明：發(fā)送vrrp管理組的hello間隔的時(shí)間，單位為毫秒。 配置vrrp管理組的報(bào)文群發(fā)標(biāo)志 vrrp group-send 說(shuō)明：該命令主要在master端起作用，通過(guò)vgmp中配置的所有數(shù)據(jù)通道進(jìn)行hello報(bào)文的發(fā)送。 觸發(fā)接口進(jìn)行updown操作triggerdown interface ethernet 說(shuō)明：該命令的作用主要是避免上下行的設(shè)備arp表項(xiàng)出錯(cuò)，而設(shè)置的命令。以促使接口updown操作，來(lái)刷新上下行

28、設(shè)備的arp表項(xiàng)。3. hrp（huawei redundancy protocol 華為公司冗余協(xié)議）（1）什么是hrp hrp協(xié)議是承載在vgmp報(bào)文上進(jìn)行傳輸?shù)?，在master和backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話(huà)表狀態(tài)信息。 （2）hrp起什么作用 圖8 hrp協(xié)議應(yīng)用該圖為雙機(jī)熱備的基本組網(wǎng)圖，前面也說(shuō)到了eudemon防火墻是狀態(tài)防火墻，對(duì)于每一個(gè)動(dòng)態(tài)生成的會(huì)話(huà)連接，eudemon防火墻上都有一個(gè)會(huì)話(huà)表項(xiàng)與之對(duì)應(yīng)。如果eudemona防火墻（master）出現(xiàn)故障或相關(guān)鏈路出現(xiàn)問(wèn)題，eudemonb防火墻（backup）將會(huì)切換狀態(tài)而變成新的master，并開(kāi)始承擔(dān)傳輸

29、任務(wù)。如果狀態(tài)切換前，會(huì)話(huà)表項(xiàng)和配置命令沒(méi)有備份到eudemonb，則先前經(jīng)過(guò)eudemona的所有會(huì)話(huà)都會(huì)因?yàn)闊o(wú)法命中eudemonb的會(huì)話(huà)表而斷鏈，導(dǎo)致業(yè)務(wù)中斷，從而影響業(yè)務(wù)正常進(jìn)行。這種eudemon設(shè)備的狀態(tài)切換是失敗的。為了實(shí)現(xiàn)master防火墻出現(xiàn)故障時(shí)能由backup防火墻平滑地接替工作，需要在master和backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話(huà)表狀態(tài)信息 ，這就是產(chǎn)生hrp協(xié)議的重要性 （3）hrp的備份分類(lèi)自動(dòng)實(shí)時(shí)備份：當(dāng)配置主設(shè)備輸入雙機(jī)備份的配置命令和形成的動(dòng)態(tài)備份信息時(shí)，系統(tǒng)自動(dòng)將該命令和動(dòng)態(tài)備份信息消息備份到配置從設(shè)備。自動(dòng)批量備份：當(dāng)接入配置從設(shè)備或配置從

30、設(shè)備重新啟動(dòng)時(shí)，由配置主設(shè)備將所有配置命令和動(dòng)態(tài)備份信息批量備份到配置從設(shè)備，配置從設(shè)備將執(zhí)行需要雙機(jī)備份的配置命令，以實(shí)現(xiàn)主從設(shè)備的配置同步，批量備份時(shí)不允許實(shí)時(shí)備份。手動(dòng)批量同步：配置主設(shè)備上可以輸入配置同步命令，將配置主設(shè)備上的需要雙機(jī)備份的配置命令和動(dòng)態(tài)備份信息發(fā)送到配置從設(shè)備。（4）配置主從設(shè)備的引入及其條件hrp也有自己的主備狀態(tài)，我們對(duì)配置了hrp的設(shè)備稱(chēng)之為配置主設(shè)備和配置從設(shè)備。hrp為什么會(huì)分為配置主從設(shè)備呢？原因在于我們說(shuō)的雙機(jī)熱備實(shí)現(xiàn)的是主設(shè)備向從設(shè)備進(jìn)行備份的處理過(guò)程，不是雙向進(jìn)行互備的過(guò)程，因此需要確定設(shè)備配置的主從關(guān)系，實(shí)現(xiàn)主設(shè)備向從設(shè)備進(jìn)行動(dòng)態(tài)信息和命令行的備份

31、。hrp的主從配置的引入是由于負(fù)載分擔(dān)方式。在負(fù)載分擔(dān)模式下每一臺(tái)設(shè)備上會(huì)配置兩個(gè)vrrp管理組1、2，并且這兩個(gè)管理組1為主，2為備，而對(duì)應(yīng)的另一臺(tái)設(shè)備的兩個(gè)vrrp管理組1、2，則互為備主關(guān)系，1為備，2為主，網(wǎng)絡(luò)中存在兩臺(tái)master防火墻。為了避免備份時(shí)混亂，eudemon防火墻中引入了配置主設(shè)備、配置從設(shè)備概念。(5) hrp能夠備份的信息防火墻應(yīng)用狀態(tài)的可靠性備份： 防火墻生成的會(huì)話(huà)表表項(xiàng) 動(dòng)態(tài)黑名單表項(xiàng) servermap表項(xiàng) no-pat表項(xiàng)防火墻配置命令的備份： acl包過(guò)濾命令的配置 攻擊防范命令的配置 地址綁定命令的配置 黑名單命令的啟用以及手工添加黑名單用戶(hù)和對(duì)黑名單命

32、令的刪除操作 日志命令 nat命令的配置 統(tǒng)計(jì)命令的配置 域的命令的配置，包括新域的設(shè)定，域內(nèi)添加的接口和優(yōu)先級(jí)的設(shè)置 aspf（應(yīng)用層包過(guò)濾防火墻）的命令配置 清除會(huì)話(huà)表項(xiàng)命令（reset firewall session table)和清除配置的命令（undo xxx）注意：（1）在批處理手工備份時(shí)，對(duì)于undo和reset命令是無(wú)法進(jìn)行備份的。 （2）除以上可以備份的命令外，其他命令都不能備份，如路由命令（靜態(tài)和動(dòng)態(tài)）（6）hrp配置命令 使能雙機(jī)熱備份功能 hrp enable 說(shuō)明：目前eudemon防火墻上僅支持雙機(jī)熱備份，不支持多機(jī)熱備份功能。即啟動(dòng)hrp雙機(jī)熱備份功能后，同一v

33、rrp備份組中僅允許加入兩臺(tái)eudemon防火墻設(shè)備。 使能自動(dòng)實(shí)時(shí)備份 hrp auto-sync config | connect-status 說(shuō)明：只能在配置主設(shè)備上使用hrp auto-sync命令，不能在配置從設(shè)備上使用 配置手工批量備份 hrp sync config | connect-status 說(shuō)明：手工批量同步過(guò)程與自動(dòng)實(shí)時(shí)備份開(kāi)關(guān)無(wú)關(guān)，自動(dòng)實(shí)時(shí)備份開(kāi)關(guān)的狀態(tài)不會(huì)影響手工批量同步過(guò)程。采用手動(dòng)批量備份方式，undo和reset命令將無(wú)法得到備份。 允許備防火墻承擔(dān)業(yè)務(wù)hrp permit-backforeward說(shuō)明：該命令主要應(yīng)用與防火墻的上下行配置有路由器時(shí)，當(dāng)發(fā)生

34、路由混亂時(shí)，能夠允許正常的表項(xiàng)通過(guò)備防火墻進(jìn)行轉(zhuǎn)發(fā)。4. vrrp，vgmp和hrp的相互關(guān)系 圖9 雙機(jī)熱備各協(xié)議之間的關(guān)系圖 當(dāng)vrrp管理組狀態(tài)變化時(shí)，系統(tǒng)將通知hrp狀態(tài)和配置主/從設(shè)備的狀態(tài)發(fā)生相應(yīng)的變化，從而確保兩臺(tái)防火墻之間配置命令和會(huì)話(huà)狀態(tài)信息得到及時(shí)備份。同時(shí)，vrrp管理組狀態(tài)也要受hrp狀態(tài)影響，即vrrp會(huì)根據(jù)hrp狀態(tài)切換的結(jié)果來(lái)調(diào)整優(yōu)先級(jí)，并進(jìn)行vrrp狀態(tài)切換。 vrrp管理組報(bào)文和hrp模塊的報(bào)文，都是通過(guò)主vrrp的接口進(jìn)行傳輸，當(dāng)vrrp接口接到的報(bào)文為vrrp管理組報(bào)文時(shí)，就交與vgmp模塊進(jìn)行處理；當(dāng)接到的報(bào)文vgmp的數(shù)據(jù)報(bào)文時(shí)，則通過(guò)vgmp模塊與h

35、rp模塊的接口轉(zhuǎn)到hrp模塊進(jìn)行處理。 當(dāng)vrrp備份組狀態(tài)變化時(shí)，由vrrp管理組來(lái)決定是否發(fā)生vrrp管理組的狀態(tài)變化，并繼而決定是否引起hrp和配置主/從設(shè)備的狀態(tài)變化 1.4 防火墻雙機(jī)熱備的基本配置以上是對(duì)防火墻雙機(jī)熱備概念的基本介紹，現(xiàn)通過(guò)例子對(duì)雙機(jī)熱備的應(yīng)用進(jìn)行說(shuō)明。雙機(jī)熱備主要應(yīng)用的形式有三種：路由模式下的雙機(jī)熱備，混合模式下的雙機(jī)熱備，路由模式下雙機(jī)熱備的負(fù)載分擔(dān)。 5. 路由模式下雙機(jī)熱備的基本組網(wǎng) 圖10 路由模式下雙機(jī)熱備基本組網(wǎng)該組網(wǎng)圖是路由模式下一個(gè)簡(jiǎn)單的雙機(jī)熱備組網(wǎng)圖，防火墻的上下行設(shè)備采用二層交換機(jī)進(jìn)行連接，以下是防火墻的配置：防火墻fwa的配置：fwaint

36、eth 0/0/0 fwa-ethernet0/0/0ip address 192.168.10.1 255.255.255.0 # 在接口eth0/0/0下配置vrrp備份組1，注意虛擬ip可以和接口地址同網(wǎng)段也可以和接口地址不同網(wǎng)段都可以。 fwa-ethernet0/0/0vrrp vrid 1 virtual-ip 192.168.10.4 fwa-ethernet0/0/0interface ethernet 0/0/1 fwa-ethernet0/0/1ip address 192.168.3.1 255.255.255.0# 在接口eth0/0/1下配置vrrp備份組2 fwa-

37、ethernet0/0/1vrrp vrid 2 virtual-ip 192.168.3.4 fwa-ethernet0/0/1quit fwaint eth 2/0/0 fwa-ethernet0/0/0ip address 162.105.10.1 255.255.0.0# 在接口eth2/0/0下配置vrrp備份組3 ，該條虛擬路由的目的主要是用來(lái)傳輸雙機(jī)熱備的控制信息和hrp的備份信息，不用來(lái)進(jìn)行傳輸業(yè)務(wù)，以保障雙機(jī)熱備狀態(tài)正常。 fwa-ethernet0/0/0vrrp vrid 3 virtual-ip 162.105.10.3# 創(chuàng)建vrrp管理組1，并添加虛擬路由 fwav

38、rrp-group 1 # 在vgmp組中將虛擬路由加入，并且vgmp會(huì)按照配置的范圍進(jìn)行自動(dòng)排序，如下面的配置當(dāng)執(zhí)行display current可以看到 add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only 為第一條，vrrp1和vrrp2分別為1、2條。 fwa-vrrpgroup-1add interface ethernet 0/0/0 vrrp vrid 1 data fwa-vrrpgroup-1add interface ethernet 0/0/1 vrrp vrid 2 data fwa-vrrpgroup-

39、1add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only /*使能vrrp管理組 */ fwa-vrrpgroup-1vrrp enable # 啟用vrrp管理組的自動(dòng)搶占功能，搶占延時(shí)采用默認(rèn)時(shí)間為0秒 */ fwa-vrrpgroup-1vrrp preedom #當(dāng)防火墻不配置vgmp的優(yōu)先級(jí)時(shí)，默認(rèn)優(yōu)先級(jí)為100。當(dāng)配置優(yōu)先級(jí)應(yīng)注意vgmp優(yōu)先級(jí)的遞減算法：遞減后的優(yōu)先級(jí)優(yōu)先級(jí)優(yōu)先級(jí)/16，當(dāng)主防火墻出故障時(shí)，遞減后的優(yōu)先級(jí)應(yīng)比slave防火墻的優(yōu)先級(jí)低，才可進(jìn)行主備狀態(tài)切換，否則出故障的防火墻仍然為主狀態(tài)，從而導(dǎo)致業(yè)務(wù)

40、會(huì)中斷。例如以下配置遞減后的優(yōu)先級(jí)為105105/1698，因此slave防火墻應(yīng)比該優(yōu)先級(jí)大。如果遞減后的優(yōu)先級(jí)與從防火墻的優(yōu)先級(jí)相同，通過(guò)主通道的ip地址的大小來(lái)判斷誰(shuí)為主防火墻，但需要說(shuō)明的是當(dāng)主防火墻優(yōu)先級(jí)降低后，最好比從防火墻的優(yōu)先級(jí)低。 fwa -vrrpgroup-1vrrp priority 105 fwa-vrrpgroup-1quit # 使能hrp功能 fwahrp enable防火墻fwb的配置： rtbint eth 0/0/0 rtb-ethernet0/0/0ip address 192.168.10.2 255.255.255.0 rtb-ethernet0/0

41、/0vrrp vrid 1 virtual-ip 192.168.10.4 rtb-ethernet0/0/0int eth 0/0/1 rtb-ethernet0/0/1ip address 192.168.3.2 255.255.255.0 rtb-ethernet0/0/1vrrp vrid 2 virtual-ip 192.168.3.4 rtbint eth 2/0/0 rtb-ethernet0/0/0ip address 162.105.10.2 255.255.0.0 rtb-ethernet0/0/0vrrp vrid 3 vir 162.105.10.3 rtbvrrp-g

42、roup 1 rtb-vrrpgroup-1add int ethernet 0/0/0 vrrp vrid 1 data rtb-vrrpgroup-1add int ethernet 0/0/1 vrrp vrid 2 data rtb-vrrpgroup-1add int ethernet 2/0/0 vrrp vrid 3 data transfer-only rtb-vrrpgroup-1vrrp enable rtb-vrrpgroup-1vrrp preedom rtb-vrrpgroup-1quit rtbhrp enablepc1的網(wǎng)關(guān)是192.168.10.4，服務(wù)器的網(wǎng)關(guān)

43、是192.168.3.4當(dāng)防火墻配置好后需要注意的地方：在防火墻上執(zhí)行display vrrpgroup verbose，查看vgmp的狀態(tài)是否正確，接口下的vrrp是否已經(jīng)up，如果是down狀態(tài)說(shuō)明接口協(xié)議層有問(wèn)題，檢查接口；如果兩臺(tái)防火墻接口都是peerdown狀態(tài)，說(shuō)明vrrp的協(xié)商報(bào)文沒(méi)有聯(lián)通，查看兩臺(tái)防火墻的vrrp虛擬ip是否相同等。6. 混合模式下雙機(jī)熱備的基本組網(wǎng) 圖11 混合模式下雙機(jī)熱備基本組網(wǎng)該組網(wǎng)是混合模式下一個(gè)簡(jiǎn)單的雙機(jī)組網(wǎng)圖，防火墻的上下行采用二層交換機(jī)，并且與交換機(jī)連接的接口上采用透明模式。以下是防火墻的配置：防火墻fwa的配置： # 設(shè)置防火墻工作模式為混合模

44、式fwa firewall mode compositefwa interface e2/0/0fwa -ethernet2/0/0 ip address 162.105.10.1 255.255.0.0# 在接口eth2/0/0下配置vrrp備份組1的虛擬ip fwa -ethernet2/0/0 vrrp vrid 1 virtual-ip 162.105.10.3#在接口eth2/0/0下的vrrp備份組中配置接口監(jiān)視命令，從而起到對(duì)未配置vrrp的接口的狀態(tài)進(jìn)行監(jiān)控。fwa -ethernet2/0/0 vrrp vrid 1 track interface ethernet 0/0/

45、0fwa -ethernet2/0/0 vrrp vrid 1 track interface ethernet 0/0/1將接口加入域中fwa firewall zone trustfwa -zone-trust add interface e0/0/0fwa firewall zone untrustfwa -zone-trust add interface e0/0/1創(chuàng)建自定義域hrp，并將接口1/0/0添加到該域中fwa firewall zone name hrpfwa -zone-hrp add interface e1/0/0使能hrp功能fwa hrp enable創(chuàng)建vrr

46、p管理組，最多可以創(chuàng)建16個(gè)vgmp組fwa vrrp group 1添加vrrp備份組，data參數(shù)表示該通道作為數(shù)據(jù)通道，傳送vrrp，vgmp的信息，如果即選擇data參數(shù)又選擇transfer-only參數(shù)，表示該通道作為數(shù)據(jù)通道，但該接口的狀態(tài)變化不影響vgmp的優(yōu)先級(jí)變化fwa -vrrp-group1 add interface ethernet2/0/0 vrrp vrid 1 data使能vgmp搶占功能fwa -vrrp-group1 vrrp preedem使能vgmp功能，只有執(zhí)行該命令后，vgmp功能才能起作用fwa -vrrp-group1 vrrp enablev

47、gmp的優(yōu)先級(jí)使用vrrp的優(yōu)先級(jí)，將添加的到vrrp管理組中的vrrp備份組的優(yōu)先級(jí)相加后除去添加的vrrp備份組的個(gè)數(shù)。但需要注意累積的vrrp優(yōu)先級(jí)不應(yīng)包含含有transfer-only參數(shù)的vrrp的優(yōu)先級(jí)。當(dāng)使用vrrp的優(yōu)先級(jí)作為vgmp的優(yōu)先級(jí)后，接口下vrrp的命令就可以使用了。如track命令等，否則無(wú)法使用。fwa -vrrp-group1 vrrp priority using-vrrppriorty防火墻fwb的配置：fwb firewall mode compositefwb interface e2/0/0fwb -ethernet2/0/0 ip address

48、162.105.10.2 255.255.0.0fwb -ethernet2/0/0 vrrp vrid 1 virtual-ip 162.105.10.3fwb firewall zone trustfwb -zone-trust add interface e0/0/0fwb firewall zone untrustfwb -zone-trust add interface e0/0/1fwb firewall zone name hrpfwb -zone-hrp add interface e1/0/0fwb hrp enablefwb vrrp group 1fwb -vrrp-gr

49、oup1 add interface ethernet2/0/0 vrrp vrid 1 datafwb -vrrp-group1 vrrp preedemfwb -vrrp-group1 vrrp enablefwb -vrrp-group1 vrrp priority using-vrrppriorty7. 路由模式下雙機(jī)熱備的負(fù)載分擔(dān)基本組網(wǎng)圖13 路由模式下雙機(jī)熱備的負(fù)載分擔(dān)基本組網(wǎng)防火墻雙機(jī)熱負(fù)載分擔(dān)在雙機(jī)熱備中是一種比較繁瑣的配置，其原理是在防火墻上配置兩個(gè)vgmp組，并且這兩個(gè)管理組的狀態(tài)相互交錯(cuò)，如上圖在eudemona中管理組1的狀態(tài)為master，管理組2的狀態(tài)為slave

50、；eudemonb中管理組1的狀態(tài)為slave，管理組2的狀態(tài)為master。當(dāng)從trust域來(lái)的業(yè)務(wù)當(dāng)網(wǎng)關(guān)指向備份組1的虛擬ip時(shí)，則通過(guò)eudemona來(lái)轉(zhuǎn)發(fā)，當(dāng)網(wǎng)關(guān)執(zhí)行備份組3的虛擬ip時(shí)，則由eudemonb來(lái)轉(zhuǎn)發(fā)，從而實(shí)行業(yè)務(wù)的分流。eudemona的配置： eudemonint eth 0/0/0 eudemon-ethernet0/0/0ip address 192.168.10.1 255.255.255.0 # 在接口eth0/0/0下配置vrrp備份組1，3，注意虛擬ip需要和接口地址同一網(wǎng)段，在同一接口下可以配置16個(gè)備份組 eudemon-ethernet0/0/0vr

51、rp vrid 1 virtual-ip 192.168.10.4 eudemon-ethernet0/0/0vrrp vrid 3 virtual-ip 192.168.10.5 eudemon-ethernet0/0/0interface ethernet 0/0/1 eudemon-ethernet0/0/1ip address 192.168.3.1 255.255.255.0 # 在接口eth0/0/1下配置vrrp備份組2，4 eudemon-ethernet0/0/1vrrp vrid 2 virtual-ip 192.168.3.4 eudemon-ethernet0/0/1v

52、rrp vrid 4 virtual-ip 192.168.3.5 eudemon-ethernet0/0/1quit eudemonint eth 2/0/0 eudemon-ethernet2/0/0ip address 162.105.10.1 255.255.0.0 # 創(chuàng)建vrrp管理組1，將所有的vrrp備份組添加到管理組中進(jìn)行統(tǒng)一管理 eudemonvrrp-group 1 # 在vgmp組中將虛擬路由加入，并且vgmp會(huì)按照配置的范圍進(jìn)行自動(dòng)排序，如下面的配置當(dāng)執(zhí)行display current可以看到 add interface ethernet 2/0/0 vrrp vri

53、d 3 data transfer-only 為第一條，vrrp1和vrrp2分別為1、2條。 eudemon-vrrpgroup-1add interface ethernet 0/0/0 vrrp vrid 1 data eudemon-vrrpgroup-1add interface ethernet 0/0/1 vrrp vrid 2 data 使能vrrp管理組，只有使能了vgmp，才能對(duì)vrrp進(jìn)行統(tǒng)一管理 eudemon-vrrpgroup-1vrrp enable # 啟用vrrp管理組的自動(dòng)搶占功能，搶占延時(shí)采用默認(rèn)時(shí)間為0秒 eudemon-vrrpgroup-1vrrp preedom 當(dāng)防火墻不配置vgmp的優(yōu)先級(jí)時(shí)，默認(rèn)優(yōu)先級(jí)為100。當(dāng)配置優(yōu)先級(jí)應(yīng)注意vgmp優(yōu)先級(jí)的遞減算法：遞減后的優(yōu)先級(jí)優(yōu)先級(jí)優(yōu)先級(jí)/16，當(dāng)主防火墻出故障時(shí)，遞減后的優(yōu)先級(jí)應(yīng)比slave防火墻的優(yōu)先級(jí)低，才可進(jìn)行主備狀態(tài)切換，否則出故障的防火墻仍然為主狀態(tài)，從而導(dǎo)致業(yè)務(wù)會(huì)中斷。例如以下配置遞減后的優(yōu)先級(jí)為105105/1698，