H3C設(shè)備VRRP配置手冊(cè)

1、VRRP簡介vrrp（virtualrouterredundancyprotocol,虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議。通常，一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由（如下圖所示，10.100.10.1）,這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過缺省H由發(fā)往路由器router,從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器出現(xiàn)故障時(shí)，本網(wǎng)段內(nèi)所有以此路由器為缺省路由下一跳的主機(jī)將斷掉與外部的通信。LAN_nHc&t1Host2Host3圖2/局戒網(wǎng)組網(wǎng)方案vrrp就是為解決上述問題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計(jì)。我們結(jié)合下圖來看一下vrrp的實(shí)現(xiàn)原理。vrr

2、p將局域網(wǎng)的一組路由器（包括一個(gè)master即活動(dòng)路由器和若干個(gè)backup即備份路由器）組織成一個(gè)虛擬路由器，稱之為一個(gè)備份組。MasWJOO.W,2,一小10.10(5,10.3BacklJP/；朝國機(jī)10,100,101HHost110-00.10.11010010.1LANQDHost3圖2-2VRRP組網(wǎng)示皂國這個(gè)虛擬的路由器擁有自己的ip地址10.100.10.1（這個(gè)ip地址可以和備份組內(nèi)的某個(gè)路由器的接口地址相同），備份組內(nèi)的路由器也有自己的ip地址（如master的ip地址為10.100.10.2,backup的ip地址為10.100.10.3）。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛

3、擬路由器的ip地址10.100.10.1,而并不知道具體的master路由器的ip地址10.100.10.2以及backup路由器的ip地址10.100.10.3,它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的ip地址10.100.10.1。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個(gè)虛擬的路由器來與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的master路由器出現(xiàn)故障，backup路由器將會(huì)通過選舉策略選出一個(gè)新的master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。關(guān)于vrrp協(xié)議的詳細(xì)信息，可以參考rfc2338H3CH3CSecPathF100-C相關(guān)內(nèi)容：報(bào)價(jià)|

4、參數(shù)|圖片|論壇|評(píng)測VRRP配置vrrp的基本配置包括：1添加或刪除虛擬ip地址2設(shè)置備份組的優(yōu)先級(jí)3設(shè)置備份組的搶占方式和延遲時(shí)間vrrp的高級(jí)配置包括：1設(shè)置備份組的認(rèn)證方式和認(rèn)證字2設(shè)置備份組的定時(shí)器3設(shè)置監(jiān)視指定接口4設(shè)置虛擬ip地址是否可以使用ping命令ping通5設(shè)置檢查vrrp報(bào)文的ttl域2.2.1添加或刪除虛擬ip地址將一個(gè)本網(wǎng)段的ip地址指定給到一個(gè)虛擬路由器(也稱為一個(gè)備份組)，或?qū)⒁粋€(gè)指定到一個(gè)備份組虛擬ip地址從虛擬地址列表中刪除。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。表2-1濡加/刪除虛擬IP地址操作命令Jill11IPl±:iivrrpvrid廿廿"

5、/。:1IT)viiuabip4除力B擬司undovrrpvrid冶J-/oi，m一£'virtudlip典由冶備份組號(hào)virtual-router-id范圍從1到255,虛擬地址可以是備份組所在網(wǎng)段中未被分配的ip地址，也可以是屬于備份組某接口的ip地址。對(duì)于后者，稱擁有這個(gè)接口ip地址的防火墻為一個(gè)地址擁有者(ipaddressowner)。當(dāng)指定第一個(gè)ip地址到一個(gè)備份組時(shí)，系統(tǒng)會(huì)創(chuàng)建這個(gè)備份組，以后再指定虛擬ip地址到這個(gè)備份組時(shí)，系統(tǒng)僅僅將這個(gè)地址添加到這個(gè)備份組的虛擬ip地址列表中。防火墻的一個(gè)接口可以同時(shí)加入到14個(gè)備份組中。而一個(gè)備份組最多可以配置16個(gè)虛擬i

6、p地址。在對(duì)一個(gè)備份組進(jìn)行其它配置之前，必須先通過指定一個(gè)虛擬ip地址的命令將這個(gè)備份組創(chuàng)建起來。備份組中最后一個(gè)虛擬ip地址被刪除后，這個(gè)備份組也將同時(shí)被刪除掉。也就是這個(gè)接口上不再有這個(gè)備份組，這個(gè)備份組的所有配置都不再有效。2.2.2 設(shè)置備份組的優(yōu)先級(jí)vrrp中根據(jù)優(yōu)先級(jí)來確定參與備份組的每臺(tái)防火墻的地位，備份組中優(yōu)先級(jí)最高的防火墻將成為master。優(yōu)先級(jí)的取彳I范圍為0到255（數(shù)值越大表明優(yōu)先級(jí)越高），但是可配置的范圍最小值是1,最大值是254。優(yōu)先級(jí)0為系統(tǒng)保留給特殊用途來使用，255則是系統(tǒng)保留給ip地址擁有者。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。S2-2設(shè)置下第組的位先吸操作命令量

7、置備份組的優(yōu)先德vrrpvrifipriorityphorfty-va/u&快U為軟省如undovrrp喇idijE汨口"況4mJ口priority缺省情況下，優(yōu)先級(jí)為100。對(duì)于所有vrrp組成員，存在配置優(yōu)先級(jí)和運(yùn)行優(yōu)先級(jí)兩種優(yōu)先級(jí)，配置優(yōu)先級(jí)即用vrrpvrid配置的優(yōu)先級(jí)，非ip擁有者的運(yùn)行優(yōu)先級(jí)與配置優(yōu)先級(jí)是相同的；ip擁有者的運(yùn)行優(yōu)先級(jí)是不可配置的,始終為255o2.2.3 設(shè)置備份組的搶占方式和延遲時(shí)間在非搶占方式下，一旦備份組中的某臺(tái)防火墻成為master,只要它沒有出現(xiàn)故障，其它路由器即使隨后被配置更高的優(yōu)先級(jí)，也不會(huì)成為master。如果防火墻設(shè)置為搶占方

8、式，它一旦發(fā)現(xiàn)自己的優(yōu)先級(jí)比當(dāng)前的master的優(yōu)先級(jí)高，就會(huì)成為master,相應(yīng)地，原來的master將會(huì)變成backup。在設(shè)置搶占的同時(shí)，還可以設(shè)置延遲時(shí)間。這樣可以使得backup延遲一段時(shí)間成為master。其目的在性能不夠穩(wěn)定的網(wǎng)絡(luò)中，backup可能因?yàn)榫W(wǎng)絡(luò)堵塞而無法正常收到master的報(bào)文，使用vrrpvrid命令配置了搶占延遲時(shí)間后，可以避免因網(wǎng)絡(luò)的短暫故障而導(dǎo)致的備份組內(nèi)防火墻的狀態(tài)頻繁轉(zhuǎn)換。延遲的時(shí)間以秒計(jì)，范圍為0255。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。表2-3設(shè)置和取消需卷組的搶占方式和延遲時(shí)間授作A即P設(shè)丁缶份組的搶占方式和鋌退時(shí)間爐耳vbidrtual-rautG

9、r-lDpreompt-modotimerUMt,;加電阻清皆例H的搶占方式undovrrpvridV7,:u于匚。曰1JDpreempt-mode缺省方式是搶占方式，延遲時(shí)間為0秒。取消搶占方式，則延遲時(shí)間就會(huì)自動(dòng)變?yōu)?秒。2.2.4 設(shè)置認(rèn)證方式及認(rèn)證字vrrp提供了兩種認(rèn)證方式，分別是：simple:簡單字符認(rèn)證。md5：md5認(rèn)證。在一個(gè)安全的網(wǎng)絡(luò)中，可以采用缺省值，則防火墻對(duì)要發(fā)送的vrrp報(bào)文不進(jìn)行任何認(rèn)證處理，而收到vrrp報(bào)文的防火墻也不進(jìn)行任何認(rèn)證。在一個(gè)有可能受到安全威脅的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為simple,則發(fā)送vrrp報(bào)文的防火墻就會(huì)將認(rèn)證字填入到vrrp報(bào)文中，

10、而收到的vrrp報(bào)文的防火墻會(huì)將收到的vrrp報(bào)文中的認(rèn)證字和本地配置的認(rèn)證字進(jìn)行比較，相同則認(rèn)為是真實(shí)的、合法的vrrp報(bào)文，否則認(rèn)為是一個(gè)非法的報(bào)文，將其丟棄。這種情況下，應(yīng)當(dāng)設(shè)置長度為不超過8個(gè)字符的認(rèn)證字。在一個(gè)非常不安全的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為md§則防火墻就會(huì)利用authenticationheader提供的認(rèn)證方式和md5算法來對(duì)vrrp報(bào)文進(jìn)行認(rèn)證。如果以明文形式輸入，長度為18個(gè)字符，如：1234567;如果以密文形式輸入，長度必須為24,并且必須是密文形式，如：_(tt8fM5sq=Aq'maf41!對(duì)于沒有通過認(rèn)證的報(bào)文將做丟棄處理，并會(huì)向網(wǎng)管發(fā)送

11、陷阱報(bào)文。表24設(shè)益認(rèn)證方式和認(rèn)證字操作印青4W認(rèn)行。式和認(rèn)加vnpaullifhimtioTrinodeind5K&y|simpleke?恢n為玳甫值undovrrpauthentication-rnade缺省認(rèn)證方式為不進(jìn)行認(rèn)證。一個(gè)接口上的備份組要設(shè)置相同的認(rèn)證方式和認(rèn)證字。2.2.5 設(shè)置vrrp的定時(shí)器vrrp備份組中的master防火墻通過定時(shí)(adver-interval)發(fā)送vrrp報(bào)文來向組內(nèi)的防火墻通知自己工作正常。如果backup超過一定時(shí)間(master-down-interval)沒有收到master發(fā)送來的vrrp報(bào)文，則認(rèn)為它已經(jīng)無法正常工作。同時(shí)就會(huì)將自

12、己的狀態(tài)轉(zhuǎn)變?yōu)閙aster。用戶可以通過設(shè)置定時(shí)器的命令來調(diào)整master發(fā)送vrrp報(bào)文的間隔時(shí)間(adver-interval)。而backup的master-down-interval的間隔時(shí)間大約是adver-interval的3倍。如果網(wǎng)絡(luò)流量過大或者不同的防火墻上的定時(shí)器差異等因素，會(huì)導(dǎo)致master-down-interval異常到時(shí)而導(dǎo)致狀態(tài)轉(zhuǎn)換。對(duì)于這種情況，可以通過將adver-interval的間隔時(shí)間延長和設(shè)置延遲時(shí)間的辦法來解決。adver-interval的時(shí)間單位是秒。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。質(zhì)2-5設(shè)置,VRRP定時(shí)于操作人人設(shè)置VRRP定vrrpvri&a

13、mp;wite;用T*meradvertise恢為鉞省值undovrrpvrid歷小，加-rou2-£tinneradvertise缺省情況下，adver-interval的值是1秒，取值范圍為12552.2.6 設(shè)置監(jiān)視指定接口能，而且在防火墻的其它接口不可用時(shí)，也可以使用備份功能。具體做法是通過設(shè)置監(jiān)視某個(gè)接口的命令來實(shí)現(xiàn)。當(dāng)被監(jiān)視的接口down時(shí)，這個(gè)接口的防火墻的運(yùn)行優(yōu)先級(jí)會(huì)自動(dòng)降低一個(gè)數(shù)額(priority-reduced),于是就會(huì)導(dǎo)致備份組內(nèi)其它防火墻的運(yùn)行優(yōu)先級(jí)高于這個(gè)防火墻的運(yùn)行優(yōu)先級(jí)，從而使得其它運(yùn)行優(yōu)先級(jí)高的防火墻轉(zhuǎn)變?yōu)閙aster,達(dá)到對(duì)這個(gè)接口監(jiān)視的目的。請(qǐng)

14、在接口視圖下進(jìn)行下列配置。表2-6設(shè)置和取消監(jiān)視接口操祚命令諛置郵祝指定接Qvnpvrid加什tmck析也右席卬白出孑危oytu口中rodiUTil心必盲Jicod取而監(jiān)圖指定上11undovrrpvridvirtuaf-rGater-iDtrack加消血但numJbM缺省情況下，priority-reduced的值為10。當(dāng)防火墻為ip地址擁有者時(shí)，不允許對(duì)其進(jìn)行監(jiān)視接口的配置。2.2.7 設(shè)置虛擬ip地址是否可以使用ping命令ping通本配置任務(wù)可以使用戶能夠使用ping命令來ping通備份組的虛擬ip地址。根據(jù)vrrp的標(biāo)準(zhǔn)協(xié)議，備份組的虛擬ip地址是無法使用ping命令來ping通的

15、。這時(shí)防火墻連接的用戶無法通過ping命令來判斷一個(gè)ip地址是否被備份組使用。如果用戶將自己的主機(jī)ip配置與備份組的虛擬ip地址相同的ip地址，將會(huì)使本網(wǎng)段的報(bào)文都發(fā)送到用戶的主機(jī)，導(dǎo)致本網(wǎng)段的數(shù)據(jù)不能被正確轉(zhuǎn)發(fā)。使用下面的命令進(jìn)行配置后，用戶將可以使用ping命令ping通備份組的虛擬ip地址。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。表2-7設(shè)定虛心IP地址是否可以使用ping命令ping通猱作命令設(shè)定上HUP地址可以使用口ing的”時(shí)vrrpphig-enble在冊(cè)擬IP地址1nJ一pingh?pingiQundovrrpping-enable缺省情況下，用戶不能使用ping命令ping通備份組的虛擬

16、ip地址此配置需要在備份組建立之前就進(jìn)行設(shè)定。如果防火墻上已經(jīng)建立了備份組，系統(tǒng)將不允許再進(jìn)行此配置。2.2.8 設(shè)置是否需要檢查vrrp報(bào)文的ttl值vrrp協(xié)議規(guī)定vrrp報(bào)文的ttl值只能為255。如果backup檢查到vrrp報(bào)文的ttl值不是255,就會(huì)將此報(bào)文丟棄?？梢允褂孟旅娴拿顏碓O(shè)置取消檢查vrrp報(bào)文的ttl值。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。表2-8設(shè)芭足否取消檢查VRRP報(bào)文的TTL值操作二命令Q7取消玲、VRRP熊iTTL也11f|川。pttl設(shè)置恢U冷VRRP報(bào)文的TTLl；undovrrpun-cliock111缺省情況下，需要檢查vrrp報(bào)文的ttl值H3cH3cS

17、ecPathF100-C相關(guān)內(nèi)容：報(bào)價(jià)|參數(shù)|圖片|論壇|評(píng)測VRRP配置vrrp的基本配置包括：1添加或刪除虛擬ip地址2設(shè)置備份組的優(yōu)先級(jí)3設(shè)置備份組的搶占方式和延遲時(shí)間vrrp的高級(jí)配置包括：1設(shè)置備份組的認(rèn)證方式和認(rèn)證字2設(shè)置備份組的定時(shí)器3設(shè)置監(jiān)視指定接口4設(shè)置虛擬ip地址是否可以使用ping命令ping通5設(shè)置檢查vrrp報(bào)文的ttl域2.2.1 添加或刪除虛擬ip地址將一個(gè)本網(wǎng)段的ip地址指定給到一個(gè)虛擬路由器(也稱為一個(gè)備份組)，或?qū)⒁粋€(gè)指定到一個(gè)備份組虛擬ip地址從虛擬地址列表中刪除。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。表2-1海加/刪除虛擬IP地址操作率抑虛擬廬地址vrrpvrid

18、vtfU-/。姓uabip4除力IUPkundovrrpvridvirtual-ipvirtu&l-address備份組號(hào)virtual-router-id范圍從1到255,虛擬地址可以是備份組所在網(wǎng)段中未被分配的ip地址，也可以是屬于備份組某接口的ip地址。對(duì)于后者，稱擁有這個(gè)接口ip地址的防火墻為一個(gè)地址擁有者(ipaddressowner)。當(dāng)指定第一個(gè)ip地址到一個(gè)備份組時(shí)，系統(tǒng)會(huì)創(chuàng)建這個(gè)備份組，以后再指定虛擬ip地址到這個(gè)備份組時(shí)，系統(tǒng)僅僅將這個(gè)地址添加到這個(gè)備份組的虛擬ip地址列表中。防火墻的一個(gè)接口可以同時(shí)加入到14個(gè)備份組中。而一個(gè)備份組最多可以配置16個(gè)虛擬ip地址。

19、在對(duì)一個(gè)備份組進(jìn)行其它配置之前，必須先通過指定一個(gè)虛擬ip地址的命令將這個(gè)備份組創(chuàng)建起來。備份組中最后一個(gè)虛擬ip地址被刪除后，這個(gè)備份組也將同時(shí)被刪除掉。也就是這個(gè)接口上不再有這個(gè)備份組，這個(gè)備份組的所有配置都不再有效。2.2.2 設(shè)置備份組的優(yōu)先級(jí)vrrp中根據(jù)優(yōu)先級(jí)來確定參與備份組的每臺(tái)防火墻的地位，備份組中優(yōu)先級(jí)最高的防火墻將成為master優(yōu)先級(jí)的取彳I范圍為0到255（數(shù)值越大表明優(yōu)先級(jí)越高），但是可配置的范圍最小值是1,最大值是254。優(yōu)先級(jí)0為系統(tǒng)保留給特殊用途來使用，255則是系統(tǒng)保留給ip地址擁有者。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。S2-2設(shè)置下陰組的優(yōu)先吸操作命令麓置備份組的

20、優(yōu)先改vrrpvrbpriority快U為城省也undovrrpvrid;"和川口機(jī)4白rJ口priaiity缺省情況下，優(yōu)先級(jí)為100。對(duì)于所有vrrp組成員，存在配置優(yōu)先級(jí)和運(yùn)行優(yōu)先級(jí)兩種優(yōu)先級(jí)，配置優(yōu)先級(jí)即用vrrpvrid配置的優(yōu)先級(jí)，非ip擁有者的運(yùn)行優(yōu)先級(jí)與配置優(yōu)先級(jí)是相同的；ip擁有者的運(yùn)行優(yōu)先級(jí)是不可配置的，始終為255o2.2.3 設(shè)置備份組的搶占方式和延遲時(shí)間在非搶占方式下，一旦備份組中的某臺(tái)防火墻成為master,只要它沒有出現(xiàn)故障，其它路由器即使隨后被配置更高的優(yōu)先級(jí)，也不會(huì)成為master。如果防火墻設(shè)置為搶占方式，它一旦發(fā)現(xiàn)自己的優(yōu)先級(jí)比當(dāng)前的master

21、的優(yōu)先級(jí)高，就會(huì)成為master,相應(yīng)地，原來的master將會(huì)變成backup。在設(shè)置搶占的同時(shí)，還可以設(shè)置延遲時(shí)間。這樣可以使得backup延遲一段時(shí)間成為master。其目的在性能不夠穩(wěn)定的網(wǎng)絡(luò)中，backup可能因?yàn)榫W(wǎng)絡(luò)堵塞而無法正常收到master的報(bào)文，使用vrrpvrid命令配置了搶占延遲時(shí)間后，可以避免因網(wǎng)絡(luò)的短暫故障而導(dǎo)致的備份組內(nèi)防火墻的狀態(tài)頻繁轉(zhuǎn)換。延遲的時(shí)間以秒計(jì)，范圍為0255。表2-3設(shè)省加取消備卷組的搶占方式和延遲E4問授作八小即P設(shè)若抬份組的搶占方式和延退時(shí)間L爐耳vbidual-rautor-lDproompt-modGtirr»r3M必六間口白職消

22、皆例H的搶占式undovrrpvrid囚市反preempt-mode缺省方式是搶占方式，延遲時(shí)間為0秒。取消搶占方式，則延遲時(shí)間就會(huì)自動(dòng)變?yōu)?秒。2.2.4 設(shè)置認(rèn)證方式及認(rèn)證字vrrp提供了兩種認(rèn)證方式，分別是：simple:簡單字符認(rèn)證。md5：md5認(rèn)證。在一個(gè)安全的網(wǎng)絡(luò)中，可以采用缺省值，則防火墻對(duì)要發(fā)送的vrrp報(bào)文不進(jìn)行任何認(rèn)證處理，而收到vrrp報(bào)文的防火墻也不進(jìn)行任何認(rèn)證。在一個(gè)有可能受到安全威脅的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為simple,則發(fā)送vrrp報(bào)文的防火墻就會(huì)將認(rèn)證字填入到vrrp報(bào)文中，而收到的vrrp報(bào)文的防火墻會(huì)將收到的vrrp報(bào)文中的認(rèn)證字和本地配置的認(rèn)證字進(jìn)

23、行比較，相同則認(rèn)為是真實(shí)的、合法的vrrp報(bào)文，否則認(rèn)為是一個(gè)非法的報(bào)文，將其丟棄。這種情況下，應(yīng)當(dāng)設(shè)置長度為不超過8個(gè)字符的認(rèn)證字。在一個(gè)非常不安全的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為md§則防火墻就會(huì)利用authenticationheader提供的認(rèn)證方式和md5算法來對(duì)vrrp報(bào)文進(jìn)行認(rèn)證。如果以明文形式輸入，長度為18個(gè)字符，如：1234567;如果以密文形式輸入，長度必須為24,并且必須是密文形式，如：_(tt8fM5sq=Aq'maf41!對(duì)于沒有通過認(rèn)證的報(bào)文將做丟棄處理，并會(huì)向網(wǎng)管發(fā)送陷阱報(bào)文。表24設(shè)益認(rèn)證方式和認(rèn)證字操作印青4W認(rèn)行。式和認(rèn)加vnpaullif

24、himtioTrinodeind5K&y|simpleke?恢n為玳甫值undovrrpauthentication-rnade缺省認(rèn)證方式為不進(jìn)行認(rèn)證。一個(gè)接口上的備份組要設(shè)置相同的認(rèn)證方式和認(rèn)證字。2.2.5 設(shè)置vrrp的定時(shí)器vrrp備份組中的master防火墻通過定時(shí)(adver-interval)發(fā)送vrrp報(bào)文來向組內(nèi)的防火墻通知自己工作正常。如果backup超過一定時(shí)間(master-down-interval)沒有收到master發(fā)送來的vrrp報(bào)文，則認(rèn)為它已經(jīng)無法正常工作。同時(shí)就會(huì)將自己的狀態(tài)轉(zhuǎn)變?yōu)閙aster。用戶可以通過設(shè)置定時(shí)器的命令來調(diào)整master發(fā)送v

25、rrp報(bào)文的間隔時(shí)間(adver-interval)。而backup的master-down-interval的間隔時(shí)間大約是adver-interval的3倍。如果網(wǎng)絡(luò)流量過大或者不同的防火墻上的定時(shí)器差異等因素，會(huì)導(dǎo)致master-down-interval異常到時(shí)而導(dǎo)致狀態(tài)轉(zhuǎn)換。對(duì)于這種情況，可以通過將adver-interval的間隔時(shí)間延長和設(shè)置延遲時(shí)間的辦法來解決。adver-interval的時(shí)間單位是秒。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。質(zhì)2-5設(shè)置,VRRP定時(shí)于操作人人設(shè)置VRRP定vrrpvri&wite;用T*meradvertise恢為鉞省值undovrrpvrid

26、歷小，加-rou2-£tinneradvertise缺省情況下，adver-interval的值是1秒，取值范圍為12552.2.6 設(shè)置監(jiān)視指定接口能，而且在防火墻的其它接口不可用時(shí)，也可以使用備份功能。具體做法是通過設(shè)置監(jiān)視某個(gè)接口的命令來實(shí)現(xiàn)。當(dāng)被監(jiān)視的接口down時(shí)，這個(gè)接口的防火墻的運(yùn)行優(yōu)先級(jí)會(huì)自動(dòng)降低一個(gè)數(shù)額(priority-reduced),于是就會(huì)導(dǎo)致備份組內(nèi)其它防火墻的運(yùn)行優(yōu)先級(jí)高于這個(gè)防火墻的運(yùn)行優(yōu)先級(jí)，從而使得其它運(yùn)行優(yōu)先級(jí)高的防火墻轉(zhuǎn)變?yōu)閙aster,達(dá)到對(duì)這個(gè)接口監(jiān)視的目的。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。表2-6設(shè)置和取消監(jiān)視接口操祚命令諛置郵祝指定接Qvn

27、pvrid加什tmck析也右席卬白出孑危oytu口中rodiUTil心必盲Jicod取而監(jiān)圖指定上11undovrrpvridvirtuaf-rGater-iDtrack加消血但numJbM缺省情況下，priority-reduced的值為10。當(dāng)防火墻為ip地址擁有者時(shí)，不允許對(duì)其進(jìn)行監(jiān)視接口的配置。2.2.7 設(shè)置虛擬ip地址是否可以使用ping命令ping通本配置任務(wù)可以使用戶能夠使用ping命令來ping通備份組的虛擬ip地址。根據(jù)vrrp的標(biāo)準(zhǔn)協(xié)議，備份組的虛擬ip地址是無法使用ping命令來ping通的。這時(shí)防火墻連接的用戶無法通過ping命令來判斷一個(gè)ip地址是否被備份組使用。如

28、果用戶將自己的主機(jī)ip配置與備份組的虛擬ip地址相同的ip地址，將會(huì)使本網(wǎng)段的報(bào)文都發(fā)送到用戶的主機(jī)，導(dǎo)致本網(wǎng)段的數(shù)據(jù)不能被正確轉(zhuǎn)發(fā)。使用下面的命令進(jìn)行配置后，用戶將可以使用ping命令ping通備份組的虛擬ip地址。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。表2-7設(shè)定虛心IP地址是否可以使用ping命令ping通猱作命令設(shè)定上HUP地址可以使用口ing的”時(shí)vrrpphig-enble在冊(cè)擬IP地址1nJ一pingh?pingiQundovrrpping-enable缺省情況下，用戶不能使用ping命令ping通備份組的虛擬ip地址此配置需要在備份組建立之前就進(jìn)行設(shè)定。如果防火墻上已經(jīng)建立了備份組，系統(tǒng)

29、將不允許再進(jìn)行此配置。2.2.8 設(shè)置是否需要檢查vrrp報(bào)文的ttl值vrrp協(xié)議規(guī)定vrrp報(bào)文的ttl值只能為255。如果backup檢查到vrrp報(bào)文的ttl值不是255,就會(huì)將此報(bào)文丟棄?？梢允褂孟旅娴拿顏碓O(shè)置取消檢查vrrp報(bào)文的ttl值。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。表2-8設(shè)置正否引泊檢查VRRP報(bào)文的TTL值操作/一命令Q晉職獷口，YRRPLS4TTL值umcheckttl設(shè)置慨笈口北VRRP報(bào)文TTLitundovnpun-checkttl缺省情況下，需要檢查vrrp報(bào)文的ttl值H3cH3cSecPathF100-C相關(guān)內(nèi)容：報(bào)價(jià)|參數(shù)|圖片|論壇|評(píng)測VRRP典型配置舉

30、例2.4.1 vrrp單備份組舉例1 .組網(wǎng)需求主機(jī)a把secpatha和secpathb組成的vrrp備份組作為自己的缺省網(wǎng)關(guān)，訪問internet上的主機(jī)bvrrp備份組構(gòu)成：備份組號(hào)為1,虛擬ip地址為202.38.160.111,secpatha做master,secpathb做backup,允許搶占。2 .組網(wǎng)圖20323.1：202.38,160.1止旬Ft七3IE102:202,38.16022。23al60,111I202.33.160.3a圖23VRRP翻首部網(wǎng)圖3 .配置步驟配置secpatha:h3c-ethernet1/0/0ipaddress202.38.160.12

31、4h3c-ethernet1/0/0vrrpvrid1virtual-ip202.38.160.111h3c-ethernet1/0/0vrrpvrid1priority120配置secpathb:h3c-ethernet1/0/0ipaddress202.38.160.224備份組配置后不久就可以使用。主機(jī)a可將缺省網(wǎng)關(guān)設(shè)為202.38.160.111正常情況下，secpatha執(zhí)行網(wǎng)關(guān)工作，當(dāng)secpatha關(guān)機(jī)或出現(xiàn)故障，secpathb將接替執(zhí)行網(wǎng)關(guān)工作。設(shè)置搶占方式，目的是當(dāng)secpatha恢復(fù)工作后，能夠繼續(xù)成為master執(zhí)行網(wǎng)關(guān)工作。2.4.2 vrrp監(jiān)視接口舉例1. 組網(wǎng)需

32、求即使secpatha仍然工作，但當(dāng)其連接internet的接口不可用時(shí)，可能希望由secpathb來執(zhí)行網(wǎng)關(guān)工作?？赏ㄟ^配置監(jiān)視接口來實(shí)現(xiàn)上述需求。為了便于說明，設(shè)備份組號(hào)為1，并增加授權(quán)字和計(jì)時(shí)器的配置（在該應(yīng)用中不是必須的）。2. 組網(wǎng)圖如圖2-3。3. 配置步驟配置secpatha：# 創(chuàng)建一個(gè)備份組。h3c-ethernet1/0/0vrrpvrid1virtual-ip202.38.160.111# 設(shè)置備份組的優(yōu)先級(jí)。h3c-ethernet1/0/0vrrpvrid1priority120# 設(shè)置備份組的認(rèn)證字。h3c-ethernet1/0/0vrrpauthenticati

33、on-modemd5vrrppwd# 設(shè)置master發(fā)送vrrp報(bào)文的間隔時(shí)間為5秒。h3c-ethernet1/0/0vrrpvrid1timeradvertise5# 設(shè)置監(jiān)視接口。配置secpathb：# 創(chuàng)建一個(gè)備份組。h3c-ethernet1/0/0vrrpvrid1virtual-ip202.38.160.111# 設(shè)置備份組的認(rèn)證字。h3c-ethernet1/0/0vrrpauthentication-modemd5vrrppwd# 設(shè)置master發(fā)送vrrp報(bào)文的間隔時(shí)間為5秒。h3c-ethernet1/0/0vrrpvrid1timeradvertise5正常情況下，secpatha執(zhí)行網(wǎng)關(guān)工作，當(dāng)secpatha的接口ethernet2/0/0不可用時(shí)，secpatha的優(yōu)先級(jí)降低30，低于secpathb優(yōu)先級(jí)，secpathb將搶占成為master執(zhí)行網(wǎng)關(guān)工作。當(dāng)secpatha的接口ethernet2/0/0恢復(fù)工作后，secpatha能夠繼續(xù)成為master執(zhí)行網(wǎng)關(guān)工作。2.4.3 多備份組舉例1. 組網(wǎng)需求在comware中，允許一臺(tái)防火墻為多