【文章內容簡介】 A的接口GE0/0/2，觀察防火墻的主備倒換以及對數(shù)據(jù)包轉發(fā)的影響。第2章 路由模式+負載分擔方式的雙機熱備技術在Eudemon防火墻上的部署 組網(wǎng)及業(yè)務描述路由模式+負載分擔組網(wǎng)方式Eudemon作為安全設備被部署在業(yè)務節(jié)點上。其中上下行設備均是交換機，Eudemon A、Eudemon B采用負載分擔方式組網(wǎng)，且均工作在路由模式下。網(wǎng)絡規(guī)劃如下：，與防火墻的GigabitEthernet 0/0/0接口相連，部署在Trust區(qū)域。 外部網(wǎng)絡與防火墻的GigabitEthernet 0/0/2接口相連，部署在Untrust區(qū)域。 兩臺防火墻的HRP備份通道接口GigabitEthernet 0/0/1部署在DMZ區(qū)域。 兩臺防火墻分別通過交換機連接各個安全區(qū)域。其中，各安全區(qū)域對應的備份組虛擬IP地址如下：；。 ；。 ；。防火墻和PC地址規(guī)劃如下：Eudemon A：GE0/0/0：；GE0/0/1：；GE0/0/2：Eudemon B：GE0/0/0：；GE0/0/1：；GE0/0/2：PC1：~PC2：~實驗要求：完成防火墻雙機熱備配置，使PC1可以ping通PC2，PC2無法ping通PC1。宕掉主用防火墻的一個HRP備份通道接口，主用防火墻管理組優(yōu)先級發(fā)生變化，導致主備倒換。查看主備防火墻倒換對于從PC1發(fā)往PC2的數(shù)據(jù)包的影響。 命令行列表操作版本命令配置VRRP備份組的虛擬IP地址并指定備份組所屬的管理組。VRP vrrp vrid virtualrouterID virtualip virtualaddress [ ipmask | ipmasklength ] { slave | master }使能HRP功能。VRP hrp enable創(chuàng)建備份會話表的通道接口。VRP hrp interface interfacetype interfacenumber transferonly使能配置命令和連接狀態(tài)的自動備份。VRP hrp autosync [ config [ batchbackup ] | connectionstatus ]編寫提示：通過表格的形式列舉實驗中要使用到的主要的，典型的命令行列。可以參考命令行手冊。主要數(shù)通采用。印刷時上段話刪除。 配置流程圖防火墻基本配置配置VRRP備份組配置HRP 配置步驟(1) 基本配置：配置接口的IP地址；將接口分別添加到對應的區(qū)域；配置區(qū)域間包過濾規(guī)則。(2) 配置VRRP備份組并制定備份組所屬的管理組。(3) 創(chuàng)建備份會話表的通道接口并使能HRP功能。(4) 使能配置命令和連接狀態(tài)的自動備份功能。 具體配置及實驗結果驗證 Eudemon A的基本配置：配置主機名Eudemonsystemview[Eudemon]sysname Eudemon A配置接口IP地址[Eudemon A]interface GigabitEthernet 0/0/0[Eudemon A GigabitEthernet0/0/0]ip address 24[Eudemon A GigabitEthernet0/0/0]quit[Eudemon A]interface GigabitEthernet 0/0/1[Eudemon A GigabitEthernet0/0/1]ip address 24[Eudemon A GigabitEthernet0/0/1]quit[Eudemon A]interface GigabitEthernet 0/0/2[Eudemon AEthernet0/0/2]ip address 24[Eudemon AEthernet0/0/2]quit添加接口至對應區(qū)域[Eudemon A]firewall zone trust[Eudemon Azonetrust]add interface GigabitEthernet 0/0/0[Eudemon Azonetrust]quit[Eudemon A]firewall zone dmz[Eudemon Azonedmz]add interface GigabitEthernet 0/0/1[Eudemon Azonedmz]quit[Eudemon A]firewall zone untrust[Eudemon Azoneuntrust]add interface GigabitEthernet 0/0/2[Eudemon Azoneuntrust]quit配置VRRP備份組，并指定備份組所屬的管理組。[Eudemon A]interface GigabitEthernet 0/0/0[Eudemon AGigabitEthernet0/0/0]vrrp vrid 1 virtualip master[Eudemon AGigabitEthernet0/0/0]vrrp vrid 4 virtualip slave[Eudemon A]quit[Eudemon A]interface GigabitEthernet 0/0/1[Eudemon AGigabitEthernet0/0/1]vrrp vrid 2 virtualip master[Eudemon AGigabitEthernet0/0/1]vrrp vrid 5 virtualip slave[Eudemon A]quit[Eudemon A]interface GigabitEthernet 0/0/2[Eudemon AGigabitEthernet0/0/2]vrrp vrid 3 virtualip master[Eudemon AGigabitEthernet0/0/2]vrrp vrid 6 virtualip slave配置local區(qū)域和dmz區(qū)域的域間包過濾規(guī)則，以便VRRP報文、VGMP報文和HRP報文能夠通過心跳接口正常交互。[Eudemon A]acl 2000[Eudemon Aaclbasic2000]rule permit source [Eudemon Aaclbasic2000]quit[Eudemon A]firewall interzone local dmz[Eudemon Ainterzonelocaldmz]packetfilter 2000 inbound[Eudemon Ainterzonelocaldmz]packetfilter 2000 outbound配置trust區(qū)域和untrust區(qū)域的域間包過濾規(guī)則[Eudemon A]acl 2001[Eudemon Aaclbasic2001]rule permit source [Eudemon Aaclbasic2001]quit[Eudemon A]firewall interzone trust untrust[Eudemon Ainterzonetrustuntrust]packetfilter 2001 outbound配置HRP備份通道。[Eudemon A]hrp interface GigabitEthernet 0/0/1 transferonly[Eudemon A]hrp interface GigabitEthernet 0/0/0[Eudemon A]hrp interface GigabitEthernet 0/0/2使能HRP功能[Eudemon A]hrp enable[Eudemon A]hrp autosync Eudemon B的基本配置：配置主機名Eudemonsystemview[Eudemon]sysname Eudemon B配置接口IP地址[Eudemon B]interface GigabitEthernet 0/0/0[Eudemon B GigabitEthernet0/0/0]ip address 24[Eudemon B GigabitEthernet0/0/0]quit[Eudemon B]interface GigabitEthernet 0/0/1[Eudemon B GigabitEthernet0/0/1]ip address 24[Eudemon B GigabitEthernet0/0/1]quit[Eudemon B]interface GigabitEthernet 0/0/2[Eudemon B GigabitEthernet0/0/2]ip address 24[Eudemon B GigabitEthernet0/0/2]quit添加接口至對應區(qū)域[Eudemon B]firewall zone trust[Eudemon Bzonetrust]add interface GigabitEthernet 0/0/0[Eudemon Bzonetrust]quit[Eudemon B]firewall zone dmz[Eudemon Bzonedmz]add interface GigabitEthernet 0/0/1[Eudemon Bzonedmz]quit[Eudemon B]firewall zone untrust[Eudemon Bzoneuntrust]add interface GigabitEthernet 0/0/2[Eudemon Bzoneuntrust]quit配置VRRP備份組，并指定備份組所屬的管理組。[Eudemon B]interface GigabitEthernet 0/0/0[Eudemon BGigabitEthernet0/0/0]vrrp vrid 1 virtualip slave[Eudemon BGigabitEthernet0/0/0]vrrp vrid 4 virtualip master[Eudemon B]quit[Eudemon B]interface GigabitEthernet 0/0/1[Eudemon BGigabitEthernet0/0/1]vrrp vrid 2 virtualip slave[Eudemon BGigabitEthernet0/0/1]vrrp vrid 5 virtualip master[Eudemon B]quit[Eudemon B]interface GigabitEthernet 0/0/2[Eudemon BGigabitEthernet0/0/2]vrrp vrid 3 virtualip slave[Eudemon BGigabitEthernet0/0/2]vrrp vrid 6 virtualip master配置local區(qū)域和dmz區(qū)域的域間包過濾規(guī)則，以便VRRP報文、VGMP報文和HRP報文能夠通過心跳接口正常交互。[Eudemon B]acl 2000[Eudemon Baclbasic2000]rule permit source [Eudemon Baclbasic2000]quit[Eudemon B]firewall interzone local dmz[Eudemon Binterzonelocaldmz]packetfilter 2000 inbound[Eudemon Binterzonelocaldmz]packetfilter 2000 outbound配置HRP備份通道。[Eudemon B]hrp interface GigabitEthernet 0/0/1 transferonly[Eudemon B]hrp interface GigabitEthernet 0/0/0[Eudemon B]hrp interface GigabitEthernet 0/0/2使能HRP功能[Eudemon B]hrp enable[Eudemon B]hrp autosync Switch和PC的基本配置：本實驗中使用的Switch都是二層交換機，不需要任何配置；給PC1和PC2配上IP地址和默認網(wǎng)關，PC1和PC2的網(wǎng)關分別對應VRRP管理組1和VRRP管理組2的虛擬IP地址。 實驗結果驗證實驗結果驗證一：通過命令display vrrp查看VRRP備份組的狀態(tài)。HRP_M[Eudemon A]display vrrp GigabitEthernet0/0/2 | Virtual Router 2 state : Master Virtual IP : PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES