H3C設(shè)備VRRP配置手冊(cè)

1、VRRP 簡(jiǎn)介vrrp（virtual router redundancy protocol，虛擬路由冗余協(xié)議）是一種容錯(cuò)協(xié)議。通常，一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由（如下圖所示，10.100.10.1），這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過(guò)缺省路由發(fā)往路由器router，從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器出現(xiàn)故障時(shí)，本網(wǎng)段內(nèi)所有以此路由器為缺省路由下一跳的主機(jī)將斷掉與外部的通信。        vrrp 就是為解決上述問(wèn)題而提出的，它為具有多播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計(jì)。我們結(jié)合下圖來(lái)看一下vrrp

2、 的實(shí)現(xiàn)原理。vrrp 將局域網(wǎng)的一組路由器（包括一個(gè)master 即活動(dòng)路由器和若干個(gè)backup 即備份路由器）組織成一個(gè)虛擬路由器，稱之為一個(gè)備份組。        這個(gè)虛擬的路由器擁有自己的ip 地址10.100.10.1（這個(gè)ip 地址可以和備份組內(nèi)的某個(gè)路由器的接口地址相同），備份組內(nèi)的路由器也有自己的ip 地址（如master的ip 地址為10.100.10.2，backup 的ip 地址為10.100.10.3）。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的ip 地址10.100.10.1，而并不知道具體的master 路由

3、器的ip 地址10.100.10.2 以及backup 路由器的ip 地址10.100.10.3，它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的ip 地址10.100.10.1。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過(guò)這個(gè)虛擬的路由器來(lái)與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的master 路由器出現(xiàn)故障，backup 路由器將會(huì)通過(guò)選舉策略選出一個(gè)新的master 路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。    關(guān)于vrrp 協(xié)議的詳細(xì)信息，可以參考rfc 2338。    H3C H3C SecPath

4、 F100-C 相關(guān)內(nèi)容：報(bào)價(jià) | 參數(shù) | 圖片 | 論壇 | 評(píng)測(cè)VRRP 配置vrrp 的基本配置包括：    1 添加或刪除虛擬ip 地址    2 設(shè)置備份組的優(yōu)先級(jí)    3 設(shè)置備份組的搶占方式和延遲時(shí)間    vrrp 的高級(jí)配置包括：    1 設(shè)置備份組的認(rèn)證方式和認(rèn)證字    2 設(shè)置備份組的定時(shí)器    3 設(shè)置監(jiān)視指定接口    4

5、 設(shè)置虛擬ip 地址是否可以使用ping 命令ping 通    5 設(shè)置檢查vrrp 報(bào)文的ttl 域    2.2.1 添加或刪除虛擬ip 地址    將一個(gè)本網(wǎng)段的ip 地址指定給到一個(gè)虛擬路由器（也稱為一個(gè)備份組），或?qū)⒁粋€(gè)指定到一個(gè)備份組虛擬ip 地址從虛擬地址列表中刪除。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        備份組號(hào)virtual-router-id 范圍從1 到255，虛擬地址可以是備份組

6、所在網(wǎng)段中未被分配的ip 地址，也可以是屬于備份組某接口的ip 地址。對(duì)于后者，稱擁有這個(gè)接口ip 地址的防火墻為一個(gè)地址擁有者（ip address owner）。當(dāng)指定第一個(gè)ip 地址到一個(gè)備份組時(shí)，系統(tǒng)會(huì)創(chuàng)建這個(gè)備份組，以后再指定虛擬ip 地址到這個(gè)備份組時(shí)，系統(tǒng)僅僅將這個(gè)地址添加到這個(gè)備份組的虛擬ip 地址列表中。防火墻的一個(gè)接口可以同時(shí)加入到14 個(gè)備份組中。而一個(gè)備份組最多可以配置16 個(gè)虛擬ip 地址。在對(duì)一個(gè)備份組進(jìn)行其它配置之前，必須先通過(guò)指定一個(gè)虛擬ip 地址的命令將這個(gè)備份組創(chuàng)建起來(lái)。    備份組中最后一個(gè)虛擬ip 地址被刪除后，這個(gè)備份組

7、也將同時(shí)被刪除掉。也就是這個(gè)接口上不再有這個(gè)備份組，這個(gè)備份組的所有配置都不再有效。    2.2.2 設(shè)置備份組的優(yōu)先級(jí)    vrrp 中根據(jù)優(yōu)先級(jí)來(lái)確定參與備份組的每臺(tái)防火墻的地位，備份組中優(yōu)先級(jí)最高的防火墻將成為master。    優(yōu)先級(jí)的取值范圍為0 到255（數(shù)值越大表明優(yōu)先級(jí)越高），但是可配置的范圍最小值是1，最大值是254。優(yōu)先級(jí)0 為系統(tǒng)保留給特殊用途來(lái)使用，255 則是系統(tǒng)保留給ip 地址擁有者。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。  

8、;      缺省情況下，優(yōu)先級(jí)為100。    對(duì)于所有vrrp 組成員，存在配置優(yōu)先級(jí)和運(yùn)行優(yōu)先級(jí)兩種優(yōu)先級(jí)，配置優(yōu)先級(jí)即用vrrp vrid 配置的優(yōu)先級(jí)，非ip 擁有者的運(yùn)行優(yōu)先級(jí)與配置優(yōu)先級(jí)是相同的；ip擁有者的運(yùn)行優(yōu)先級(jí)是不可配置的，始終為255。    2.2.3 設(shè)置備份組的搶占方式和延遲時(shí)間    在非搶占方式下，一旦備份組中的某臺(tái)防火墻成為master，只要它沒有出現(xiàn)故障，其它路由器即使隨后被配置更高的優(yōu)先級(jí)，也不會(huì)成為master。如果防火墻設(shè)

9、置為搶占方式，它一旦發(fā)現(xiàn)自己的優(yōu)先級(jí)比當(dāng)前的master 的優(yōu)先級(jí)高，就會(huì)成為master，相應(yīng)地，原來(lái)的master 將會(huì)變成backup。    在設(shè)置搶占的同時(shí)，還可以設(shè)置延遲時(shí)間。這樣可以使得backup 延遲一段時(shí)間成為master。其目的在性能不夠穩(wěn)定的網(wǎng)絡(luò)中，backup 可能因?yàn)榫W(wǎng)絡(luò)堵塞而無(wú)法正常收到master 的報(bào)文，使用vrrp vrid 命令配置了搶占延遲時(shí)間后，可以避免因網(wǎng)絡(luò)的短暫故障而導(dǎo)致的備份組內(nèi)防火墻的狀態(tài)頻繁轉(zhuǎn)換。    延遲的時(shí)間以秒計(jì)，范圍為0255。    請(qǐng)?jiān)诮涌?/p>

10、視圖下進(jìn)行下列配置。        缺省方式是搶占方式，延遲時(shí)間為0 秒。    取消搶占方式，則延遲時(shí)間就會(huì)自動(dòng)變?yōu)? 秒。    2.2.4 設(shè)置認(rèn)證方式及認(rèn)證字    vrrp 提供了兩種認(rèn)證方式，分別是：    simple：簡(jiǎn)單字符認(rèn)證。    md5：md5 認(rèn)證。    在一個(gè)安全的網(wǎng)絡(luò)中，可以采用缺省值，則防火墻對(duì)要發(fā)送的vrrp 報(bào)文不進(jìn)行

11、任何認(rèn)證處理，而收到vrrp 報(bào)文的防火墻也不進(jìn)行任何認(rèn)證。    在一個(gè)有可能受到安全威脅的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為simple，則發(fā)送vrrp報(bào)文的防火墻就會(huì)將認(rèn)證字填入到vrrp 報(bào)文中，而收到的vrrp 報(bào)文的防火墻會(huì)將收到的vrrp 報(bào)文中的認(rèn)證字和本地配置的認(rèn)證字進(jìn)行比較，相同則認(rèn)為是真實(shí)的、合法的vrrp 報(bào)文，否則認(rèn)為是一個(gè)非法的報(bào)文，將其丟棄。這種情況下，應(yīng)當(dāng)設(shè)置長(zhǎng)度為不超過(guò)8 個(gè)字符的認(rèn)證字。    在一個(gè)非常不安全的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為md5，則防火墻就會(huì)利用authentication header

12、 提供的認(rèn)證方式和md5 算法來(lái)對(duì)vrrp 報(bào)文進(jìn)行認(rèn)證。如果以明文形式輸入，長(zhǎng)度為18 個(gè)字符，如：1234567；如果以密文形式輸入，長(zhǎng)度必須為24，并且必須是密文形式，如：_(tt8fy5sq=qmaf41!。    對(duì)于沒有通過(guò)認(rèn)證的報(bào)文將做丟棄處理，并會(huì)向網(wǎng)管發(fā)送陷阱報(bào)文。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省認(rèn)證方式為不進(jìn)行認(rèn)證。    一個(gè)接口上的備份組要設(shè)置相同的認(rèn)證方式和認(rèn)證字。  

13、0; 2.2.5 設(shè)置vrrp 的定時(shí)器    vrrp 備份組中的master 防火墻通過(guò)定時(shí)（adver-interval）發(fā)送vrrp 報(bào)文來(lái)向組內(nèi)的防火墻通知自己工作正常。如果backup 超過(guò)一定時(shí)間    （master-down-interval）沒有收到master 發(fā)送來(lái)的vrrp 報(bào)文，則認(rèn)為它已經(jīng)無(wú)法正常工作。同時(shí)就會(huì)將自己的狀態(tài)轉(zhuǎn)變?yōu)閙aster。    用戶可以通過(guò)設(shè)置定時(shí)器的命令來(lái)調(diào)整master 發(fā)送vrrp 報(bào)文的間隔時(shí)間（ adver-interval ） 。而backu

14、p 的master-down-interval 的間隔時(shí)間大約是adver-interval 的3 倍。如果網(wǎng)絡(luò)流量過(guò)大或者不同的防火墻上的定時(shí)器差異等因素，會(huì)導(dǎo)致master-down-interval 異常到時(shí)而導(dǎo)致狀態(tài)轉(zhuǎn)換。對(duì)于這種情況，可以通過(guò)將adver-interval 的間隔時(shí)間延長(zhǎng)和設(shè)置延遲時(shí)間的辦法來(lái)解決。adver-interval 的時(shí)間單位是秒。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省情況下，adver-interval 的值是1 秒，取值范圍為1255。 

15、;   2.2.6 設(shè)置監(jiān)視指定接口    vrrp 監(jiān)視接口功能，更好地?cái)U(kuò)充了備份功能，即不僅在備份組所在的接口出現(xiàn)故障時(shí)提供備份功能，而且在防火墻的其它接口不可用時(shí)，也可以使用備份功能。具體做法是通過(guò)設(shè)置監(jiān)視某個(gè)接口的命令來(lái)實(shí)現(xiàn)。當(dāng)被監(jiān)視的接口down 時(shí)，這個(gè)接口的防火墻的運(yùn)行優(yōu)先級(jí)會(huì)自動(dòng)降低一個(gè)數(shù)額（priority-reduced），于是就會(huì)導(dǎo)致備份組內(nèi)其它防火墻的運(yùn)行優(yōu)先級(jí)高于這個(gè)防火墻的運(yùn)行優(yōu)先級(jí)，從而使得其它運(yùn)行優(yōu)先級(jí)高的防火墻轉(zhuǎn)變?yōu)閙aster，達(dá)到對(duì)這個(gè)接口監(jiān)視的目的。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行

16、下列配置。        缺省情況下，priority-reduced 的值為10。    當(dāng)防火墻為ip 地址擁有者時(shí)，不允許對(duì)其進(jìn)行監(jiān)視接口的配置。    2.2.7 設(shè)置虛擬ip 地址是否可以使用ping 命令ping 通    本配置任務(wù)可以使用戶能夠使用ping 命令來(lái)ping 通備份組的虛擬ip 地址。根據(jù)vrrp 的標(biāo)準(zhǔn)協(xié)議，備份組的虛擬ip 地址是無(wú)法使用ping 命令來(lái)ping 通的。這時(shí)防火墻連接的用戶無(wú)法通過(guò)ping 命令來(lái)

17、判斷一個(gè)ip 地址是否被備份組使用。如果用戶將自己的主機(jī)ip 配置與備份組的虛擬ip 地址相同的ip 地址，將會(huì)使本網(wǎng)段的報(bào)文都發(fā)送到用戶的主機(jī)，導(dǎo)致本網(wǎng)段的數(shù)據(jù)不能被正確轉(zhuǎn)發(fā)。    使用下面的命令進(jìn)行配置后，用戶將可以使用ping 命令ping 通備份組的虛擬ip 地址。    請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。        缺省情況下，用戶不能使用ping 命令ping 通備份組的虛擬ip 地址。    此配置需要在備份組建立之前就進(jìn)行設(shè)定。如

18、果防火墻上已經(jīng)建立了備份組，系統(tǒng)將不允許再進(jìn)行此配置。    2.2.8 設(shè)置是否需要檢查vrrp 報(bào)文的ttl 值    vrrp 協(xié)議規(guī)定vrrp 報(bào)文的ttl 值只能為255。如果backup 檢查到vrrp 報(bào)文的ttl 值不是255，就會(huì)將此報(bào)文丟棄。    可以使用下面的命令來(lái)設(shè)置取消檢查vrrp 報(bào)文的ttl 值。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省情況下，需要檢查vrrp 報(bào)文的t

19、tl 值。    H3C H3C SecPath F100-C 相關(guān)內(nèi)容：報(bào)價(jià) | 參數(shù) | 圖片 | 論壇 | 評(píng)測(cè)VRRP 配置vrrp 的基本配置包括：    1 添加或刪除虛擬ip 地址    2 設(shè)置備份組的優(yōu)先級(jí)    3 設(shè)置備份組的搶占方式和延遲時(shí)間    vrrp 的高級(jí)配置包括：    1 設(shè)置備份組的認(rèn)證方式和認(rèn)證字    2 設(shè)置備份組的定時(shí)器 

20、0;  3 設(shè)置監(jiān)視指定接口    4 設(shè)置虛擬ip 地址是否可以使用ping 命令ping 通    5 設(shè)置檢查vrrp 報(bào)文的ttl 域    2.2.1 添加或刪除虛擬ip 地址    將一個(gè)本網(wǎng)段的ip 地址指定給到一個(gè)虛擬路由器（也稱為一個(gè)備份組），或?qū)⒁粋€(gè)指定到一個(gè)備份組虛擬ip 地址從虛擬地址列表中刪除。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        備份組

21、號(hào)virtual-router-id 范圍從1 到255，虛擬地址可以是備份組所在網(wǎng)段中未被分配的ip 地址，也可以是屬于備份組某接口的ip 地址。對(duì)于后者，稱擁有這個(gè)接口ip 地址的防火墻為一個(gè)地址擁有者（ip address owner）。當(dāng)指定第一個(gè)ip 地址到一個(gè)備份組時(shí)，系統(tǒng)會(huì)創(chuàng)建這個(gè)備份組，以后再指定虛擬ip 地址到這個(gè)備份組時(shí)，系統(tǒng)僅僅將這個(gè)地址添加到這個(gè)備份組的虛擬ip 地址列表中。防火墻的一個(gè)接口可以同時(shí)加入到14 個(gè)備份組中。而一個(gè)備份組最多可以配置16 個(gè)虛擬ip 地址。在對(duì)一個(gè)備份組進(jìn)行其它配置之前，必須先通過(guò)指定一個(gè)虛擬ip 地址的命令將這個(gè)備份組創(chuàng)建起來(lái)。 

22、;   備份組中最后一個(gè)虛擬ip 地址被刪除后，這個(gè)備份組也將同時(shí)被刪除掉。也就是這個(gè)接口上不再有這個(gè)備份組，這個(gè)備份組的所有配置都不再有效。    2.2.2 設(shè)置備份組的優(yōu)先級(jí)    vrrp 中根據(jù)優(yōu)先級(jí)來(lái)確定參與備份組的每臺(tái)防火墻的地位，備份組中優(yōu)先級(jí)最高的防火墻將成為master。    優(yōu)先級(jí)的取值范圍為0 到255（數(shù)值越大表明優(yōu)先級(jí)越高），但是可配置的范圍最小值是1，最大值是254。優(yōu)先級(jí)0 為系統(tǒng)保留給特殊用途來(lái)使用，255 則是系統(tǒng)保留給ip 地址擁有者。 

23、;   請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省情況下，優(yōu)先級(jí)為100。    對(duì)于所有vrrp 組成員，存在配置優(yōu)先級(jí)和運(yùn)行優(yōu)先級(jí)兩種優(yōu)先級(jí)，配置優(yōu)先級(jí)即用vrrp vrid 配置的優(yōu)先級(jí)，非ip 擁有者的運(yùn)行優(yōu)先級(jí)與配置優(yōu)先級(jí)是相同的；ip擁有者的運(yùn)行優(yōu)先級(jí)是不可配置的，始終為255。    2.2.3 設(shè)置備份組的搶占方式和延遲時(shí)間    在非搶占方式下，一旦備份組中的某臺(tái)防火墻成為master，只要它沒有出現(xiàn)故

24、障，其它路由器即使隨后被配置更高的優(yōu)先級(jí)，也不會(huì)成為master。如果防火墻設(shè)置為搶占方式，它一旦發(fā)現(xiàn)自己的優(yōu)先級(jí)比當(dāng)前的master 的優(yōu)先級(jí)高，就會(huì)成為master，相應(yīng)地，原來(lái)的master 將會(huì)變成backup。    在設(shè)置搶占的同時(shí)，還可以設(shè)置延遲時(shí)間。這樣可以使得backup 延遲一段時(shí)間成為master。其目的在性能不夠穩(wěn)定的網(wǎng)絡(luò)中，backup 可能因?yàn)榫W(wǎng)絡(luò)堵塞而無(wú)法正常收到master 的報(bào)文，使用vrrp vrid 命令配置了搶占延遲時(shí)間后，可以避免因網(wǎng)絡(luò)的短暫故障而導(dǎo)致的備份組內(nèi)防火墻的狀態(tài)頻繁轉(zhuǎn)換。    延

25、遲的時(shí)間以秒計(jì)，范圍為0255。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省方式是搶占方式，延遲時(shí)間為0 秒。    取消搶占方式，則延遲時(shí)間就會(huì)自動(dòng)變?yōu)? 秒。    2.2.4 設(shè)置認(rèn)證方式及認(rèn)證字    vrrp 提供了兩種認(rèn)證方式，分別是：    simple：簡(jiǎn)單字符認(rèn)證。    md5：md5 認(rèn)證。   

26、; 在一個(gè)安全的網(wǎng)絡(luò)中，可以采用缺省值，則防火墻對(duì)要發(fā)送的vrrp 報(bào)文不進(jìn)行任何認(rèn)證處理，而收到vrrp 報(bào)文的防火墻也不進(jìn)行任何認(rèn)證。    在一個(gè)有可能受到安全威脅的網(wǎng)絡(luò)中，可以將認(rèn)證方式設(shè)置為simple，則發(fā)送vrrp報(bào)文的防火墻就會(huì)將認(rèn)證字填入到vrrp 報(bào)文中，而收到的vrrp 報(bào)文的防火墻會(huì)將收到的vrrp 報(bào)文中的認(rèn)證字和本地配置的認(rèn)證字進(jìn)行比較，相同則認(rèn)為是真實(shí)的、合法的vrrp 報(bào)文，否則認(rèn)為是一個(gè)非法的報(bào)文，將其丟棄。這種情況下，應(yīng)當(dāng)設(shè)置長(zhǎng)度為不超過(guò)8 個(gè)字符的認(rèn)證字。    在一個(gè)非常不安全的網(wǎng)絡(luò)中，可以將認(rèn)

27、證方式設(shè)置為md5，則防火墻就會(huì)利用authentication header 提供的認(rèn)證方式和md5 算法來(lái)對(duì)vrrp 報(bào)文進(jìn)行認(rèn)證。如果以明文形式輸入，長(zhǎng)度為18 個(gè)字符，如：1234567；如果以密文形式輸入，長(zhǎng)度必須為24，并且必須是密文形式，如：_(tt8fy5sq=qmaf41!。    對(duì)于沒有通過(guò)認(rèn)證的報(bào)文將做丟棄處理，并會(huì)向網(wǎng)管發(fā)送陷阱報(bào)文。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省認(rèn)證方式為不進(jìn)行認(rèn)證。    一

28、個(gè)接口上的備份組要設(shè)置相同的認(rèn)證方式和認(rèn)證字。    2.2.5 設(shè)置vrrp 的定時(shí)器    vrrp 備份組中的master 防火墻通過(guò)定時(shí)（adver-interval）發(fā)送vrrp 報(bào)文來(lái)向組內(nèi)的防火墻通知自己工作正常。如果backup 超過(guò)一定時(shí)間    （master-down-interval）沒有收到master 發(fā)送來(lái)的vrrp 報(bào)文，則認(rèn)為它已經(jīng)無(wú)法正常工作。同時(shí)就會(huì)將自己的狀態(tài)轉(zhuǎn)變?yōu)閙aster。    用戶可以通過(guò)設(shè)置定時(shí)器的命令來(lái)調(diào)整master 發(fā)

29、送vrrp 報(bào)文的間隔時(shí)間（ adver-interval ） 。而backup 的master-down-interval 的間隔時(shí)間大約是adver-interval 的3 倍。如果網(wǎng)絡(luò)流量過(guò)大或者不同的防火墻上的定時(shí)器差異等因素，會(huì)導(dǎo)致master-down-interval 異常到時(shí)而導(dǎo)致狀態(tài)轉(zhuǎn)換。對(duì)于這種情況，可以通過(guò)將adver-interval 的間隔時(shí)間延長(zhǎng)和設(shè)置延遲時(shí)間的辦法來(lái)解決。adver-interval 的時(shí)間單位是秒。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省情況

30、下，adver-interval 的值是1 秒，取值范圍為1255。    2.2.6 設(shè)置監(jiān)視指定接口    vrrp 監(jiān)視接口功能，更好地?cái)U(kuò)充了備份功能，即不僅在備份組所在的接口出現(xiàn)故障時(shí)提供備份功能，而且在防火墻的其它接口不可用時(shí)，也可以使用備份功能。具體做法是通過(guò)設(shè)置監(jiān)視某個(gè)接口的命令來(lái)實(shí)現(xiàn)。當(dāng)被監(jiān)視的接口down 時(shí)，這個(gè)接口的防火墻的運(yùn)行優(yōu)先級(jí)會(huì)自動(dòng)降低一個(gè)數(shù)額（priority-reduced），于是就會(huì)導(dǎo)致備份組內(nèi)其它防火墻的運(yùn)行優(yōu)先級(jí)高于這個(gè)防火墻的運(yùn)行優(yōu)先級(jí)，從而使得其它運(yùn)行優(yōu)先級(jí)高的防火墻轉(zhuǎn)變?yōu)閙aster，達(dá)到

31、對(duì)這個(gè)接口監(jiān)視的目的。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。        缺省情況下，priority-reduced 的值為10。    當(dāng)防火墻為ip 地址擁有者時(shí)，不允許對(duì)其進(jìn)行監(jiān)視接口的配置。    2.2.7 設(shè)置虛擬ip 地址是否可以使用ping 命令ping 通    本配置任務(wù)可以使用戶能夠使用ping 命令來(lái)ping 通備份組的虛擬ip 地址。根據(jù)vrrp 的標(biāo)準(zhǔn)協(xié)議，備份組的虛擬ip 地址是無(wú)法使

32、用ping 命令來(lái)ping 通的。這時(shí)防火墻連接的用戶無(wú)法通過(guò)ping 命令來(lái)判斷一個(gè)ip 地址是否被備份組使用。如果用戶將自己的主機(jī)ip 配置與備份組的虛擬ip 地址相同的ip 地址，將會(huì)使本網(wǎng)段的報(bào)文都發(fā)送到用戶的主機(jī)，導(dǎo)致本網(wǎng)段的數(shù)據(jù)不能被正確轉(zhuǎn)發(fā)。    使用下面的命令進(jìn)行配置后，用戶將可以使用ping 命令ping 通備份組的虛擬ip 地址。    請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。        缺省情況下，用戶不能使用ping 命令ping 通備份組的虛擬ip 地址。

33、    此配置需要在備份組建立之前就進(jìn)行設(shè)定。如果防火墻上已經(jīng)建立了備份組，系統(tǒng)將不允許再進(jìn)行此配置。    2.2.8 設(shè)置是否需要檢查vrrp 報(bào)文的ttl 值    vrrp 協(xié)議規(guī)定vrrp 報(bào)文的ttl 值只能為255。如果backup 檢查到vrrp 報(bào)文的ttl 值不是255，就會(huì)將此報(bào)文丟棄。    可以使用下面的命令來(lái)設(shè)置取消檢查vrrp 報(bào)文的ttl 值。    請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。   

34、     缺省情況下，需要檢查vrrp 報(bào)文的ttl 值。    H3C H3C SecPath F100-C 相關(guān)內(nèi)容：報(bào)價(jià) | 參數(shù) | 圖片 | 論壇 | 評(píng)測(cè)VRRP 典型配置舉例2.4.1 vrrp 單備份組舉例    1. 組網(wǎng)需求    主機(jī)a 把secpatha 和secpathb 組成的vrrp 備份組作為自己的缺省網(wǎng)關(guān)，訪問(wèn)internet 上的主機(jī)b。    vrrp 備份組構(gòu)成：備份組號(hào)為1，虛擬ip 地址為202.38.

35、160.111，secpatha 做master，secpathb 做backup，允許搶占。    2. 組網(wǎng)圖        3. 配置步驟    配置secpatha：    h3c-ethernet1/0/0 ip address 202.38.160.1 24    h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip 202.38.160.111  

36、0; h3c-ethernet1/0/0 vrrp vrid 1 priority 120    配置secpathb：    h3c-ethernet1/0/0 ip address 202.38.160.2 24    h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip 202.38.160.111    備份組配置后不久就可以使用。主機(jī)a 可將缺省網(wǎng)關(guān)設(shè)為202.38.160.111。    正常情況下，sec

37、patha 執(zhí)行網(wǎng)關(guān)工作，當(dāng)secpatha 關(guān)機(jī)或出現(xiàn)故障，secpathb將接替執(zhí)行網(wǎng)關(guān)工作。    設(shè)置搶占方式，目的是當(dāng)secpatha 恢復(fù)工作后，能夠繼續(xù)成為master 執(zhí)行網(wǎng)關(guān)工作。    2.4.2 vrrp 監(jiān)視接口舉例    1. 組網(wǎng)需求    即使secpatha 仍然工作，但當(dāng)其連接internet 的接口不可用時(shí)，可能希望由secpathb 來(lái)執(zhí)行網(wǎng)關(guān)工作?？赏ㄟ^(guò)配置監(jiān)視接口來(lái)實(shí)現(xiàn)上述需求。    為了便于說(shuō)明，設(shè)備

38、份組號(hào)為1，并增加授權(quán)字和計(jì)時(shí)器的配置（在該應(yīng)用中不是必須的）。    2. 組網(wǎng)圖    如圖2-3。    3. 配置步驟    配置secpatha：    # 創(chuàng)建一個(gè)備份組。    h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip 202.38.160.111    # 設(shè)置備份組的優(yōu)先級(jí)。    h3c-ether

39、net1/0/0 vrrp vrid 1 priority 120    # 設(shè)置備份組的認(rèn)證字。    h3c-ethernet1/0/0 vrrp authentication-mode md5 vrrppwd    # 設(shè)置master 發(fā)送vrrp 報(bào)文的間隔時(shí)間為5 秒。    h3c-ethernet1/0/0 vrrp vrid 1 timer advertise 5    # 設(shè)置監(jiān)視接口。    h

40、3c-ethernet1/0/0 vrrp vrid 1 track ethernet2/0/0 reduced 30    配置secpathb：    # 創(chuàng)建一個(gè)備份組。    h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip 202.38.160.111    # 設(shè)置備份組的認(rèn)證字。    h3c-ethernet1/0/0 vrrp authentication-mode md5 vrrppwd

41、0;   # 設(shè)置master 發(fā)送vrrp 報(bào)文的間隔時(shí)間為5 秒。    h3c-ethernet1/0/0 vrrp vrid 1 timer advertise 5    正常情況下，secpatha 執(zhí)行網(wǎng)關(guān)工作，當(dāng)secpatha 的接口ethernet2/0/0 不可用時(shí)，secpatha 的優(yōu)先級(jí)降低30，低于secpathb 優(yōu)先級(jí)，secpathb 將搶占成為master 執(zhí)行網(wǎng)關(guān)工作。    當(dāng)secpatha 的接口ethernet2/0/0 恢復(fù)工作后，sec

42、patha 能夠繼續(xù)成為master執(zhí)行網(wǎng)關(guān)工作。    2.4.3 多備份組舉例    1. 組網(wǎng)需求    在comware 中，允許一臺(tái)防火墻為多個(gè)備份組作備份。    通過(guò)多備份組設(shè)置可以實(shí)現(xiàn)負(fù)荷分擔(dān)。如secpatha 作為備份組1 的master，同時(shí)又兼職備份組2 的backup，而secpathb 正相反，作為備份組2 的master，并兼職備份組1 的backup。一部分主機(jī)使用備份組1 作網(wǎng)關(guān)，另一部分主機(jī)使用備份組2 作為網(wǎng)關(guān)。這樣，以達(dá)到分擔(dān)數(shù)據(jù)流，而又相互備份的目的。    2. 組網(wǎng)圖    如圖2-3。    3. 配置步驟    配置secpatha：    # 創(chuàng)建