【正文】 什么是出接口就是當我們做 NAT 或 NAT Server 時，報文經(jīng)過 NAT 或 NAT Server 轉(zhuǎn)換后從哪個以太網(wǎng)口出去的接口，就為業(yè)務的出接口，配置的 VRRP ID 應為該接口下的VRRP ID 號。 [Eudemonvrrpgroup1]vrrp priority 105 使能 HRP功能，當使能 HRP功能后會在 [Eudemon]前顯示 HRP_M，從防火墻上會顯示 HRP_S，默認是 自動實時備份。 [Eudemonvrrpgroup1]add interface ether 0/0/0 vrrp vrid 1 data [Eudemonvrrpgroup1]add interface ether 0/0/1 vrrp vrid 2 data ＃使能 VRRP 管理組，只有使能了 VGMP，才能對 VRRP進行統(tǒng)一管理 [Eudemonvrrpgroup1]vrrp enable 啟用 VRRP 管理組的自動搶占功能，搶占延時采用默認時間為 0秒 [Eudemonvrrpgroup1]vrrp preempt [Eudemonvrrpgroup1]quit ＃創(chuàng)建管理組 2 [Eudemon] vrrp group 2 使能 VRRP 管理組 2 [Eudemonvrrpgroup2] vrrp enable [Eudemonvrrpgroup2] vrrp preempt [Eudemonvrrpgroup2] add interface ether 0/0/0 vrrp vrid 3 data [Eudemonvrrpgroup2] add interface ether 0/0/1 vrrp vrid 4 data ＃當防火墻不配置 VGMP 的優(yōu)先級時，默認優(yōu)先級為 100。例如以下配置遞減后的優(yōu)先級為 105－ 105/16＝ 98，因此 slave 防火墻應比該優(yōu)先級大。當從 trust域來的業(yè)務當網(wǎng)關指向備份組 1的虛擬 IP 時，則通過 EudemonA來轉(zhuǎn)發(fā)，當網(wǎng)關執(zhí)行備份組 3 的虛擬 IP 時，則由EudemonB 來轉(zhuǎn)發(fā)，從而實行業(yè)務的分流。但需要注意累積的 VRRP 優(yōu)先級不應包含含有 transferonly 參數(shù)的 VRRP的優(yōu)先級。 [FWA vrrpgroup1]vrrp priority 105 [FWAvrrpgroup1]quit 使能 HRP 功能 [FWA]hrp enable 2. 防火墻 FWB的配置 [RTB]interface ether 0/0/0 [RTBether0/0/0]ip address [RTBether0/0/0]vrrp vrid 1 virtualip [RTBether0/0/0]interface ether 0/0/1 [RTBether0/0/1]ip address Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機熱備 組網(wǎng) 配置 基礎 23 [RTBether0/0/1]vrrp vrid 2 virtualip [RTB]interface ether 2/0/0 [RTBether0/0/0]ip address [RTBether0/0/0]vrrp vrid 3 vir [RTB]vrrpgroup 1 [RTBvrrpgroup1]add interface ether 0/0/0 vrrp vrid 1 data [RTBvrrpgroup1]add interface ether 0/0/1 vrrp vrid 2 data [RTBvrrpgroup1]add interface ether 2/0/0 vrrp vrid 3 data transferonly [RTBvrrpgroup1]vrrp enable [RTBvrrpgroup1]vrrp preempt [RTBvrrpgroup1]quit [RTB]hrp enable PC1 的網(wǎng)關是 ，服務器的網(wǎng)關是 當防火墻配置好后需要注意的地方： 在防火墻上執(zhí)行 display vrrp－ group verbose，查看 VGMP的狀態(tài)是否正確，接口下的 vrrp 是否已經(jīng) up，如果是 down狀態(tài)說明接口協(xié)議層有問題，檢查接口；如果兩臺防火墻接口都是 peerdown 狀態(tài)，說明 VRRP的協(xié)商報文沒有聯(lián)通，查看兩臺防火墻的 vrrp 虛擬 ip是否相同等。 [FWAvrrpgroup1]add interface ether 0/0/0 vrrp vrid 1 data [FWAvrrpgroup1]add interface ether 0/0/1 vrrp vrid 2 data [FWAvrrpgroup1]add interface ether 2/0/0 vrrp vrid 3 data transferonly /*使能 VRRP 管理組 */ [FWAvrrpgroup1]vrrp enable 啟用 VRRP 管理組的自動搶占功能，搶占延時采用默認時間為 0秒 */ [FWAvrrpgroup1]vrrp preempt 當防火墻不配置 VGMP 的優(yōu)先級時，默認優(yōu)先級為 100。 ? 當 VRRP 備份組狀態(tài)變化時，由 VRRP 管理組來決定是否發(fā)生 VRRP管理組的狀態(tài)變化，并繼而決定是否引起 HRP 和配置主 /從設備的狀態(tài)變化 。 ? 允許備防火墻承擔業(yè)務 hrp permitbackforeward 說明：該命令主要應用與防火墻的上下行配置有路由器時，當發(fā)生路由混亂時，能夠允許正常的表項通過備防火墻進行轉(zhuǎn)發(fā)。 ? 使能自動實時備份 hrp autosync { config | connectstatus } Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 5. HRP能夠備份的信息 防火墻應用狀態(tài)的可靠性備份： ? 防火墻生成的會話表表項 ? 動態(tài)黑名單表項 ? ServerMap 表項 ? NoPAT 表項 防火墻配置命令的備份： ? ACL 包過濾命令的配置 ? 攻擊防范命令的配置 ? 地址綁定命令的配置 ? 黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作 ? 日志命令 ? NAT 命令的配置 ? 統(tǒng)計命令的配置 ? 域的命令的配置，包括新域的設定，域內(nèi)添加的接口和優(yōu)先級的設置 ? ASPF（應用層包過濾防火墻）的命令配置 ? 清除會話表項命令（ reset firewall session table)和清除配置的命令（ undo XXX） 注意： ? 在批處理手工備份時，對于 undo和 reset命令是無法進行備份的。 HRP 的主從配置的引入是由于 負載分擔方式 。 自動批量備份：當接入配置從設備或配置從設備重新啟動時，由配置主設備將所有配 置命令和動態(tài)備份信息批量備份到配置從設備，配置從設備將執(zhí)行需要雙機備份的配置命令，以實現(xiàn)主從設備的配置同步，批量備份時不允許實時備份。如果 EudemonA防火墻（ Master）出現(xiàn)故障或相關鏈路出現(xiàn)問題， EudemonB 防火墻（ Backup）將會切換狀態(tài)而變成新的 Master，并開始承擔傳輸任務。以促使接口 updown 操作，來刷新上下行設備的 arp表項。 vrrp manualpreempt //手工搶占命令 說明：當執(zhí)行該命令后，系統(tǒng)會發(fā)送一個消息報文到對端進行優(yōu)先級的比較，如果優(yōu)先級高于對端，發(fā)送消息給 VRRP 和 HRP進行狀態(tài)切換；否則不進行搶占功能。 ? 配置 VRRP 管理組優(yōu)先級 vrrp priorty 1254 [plus 1254 ] [usingvrrppriority] Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 7. VGMP的配置 ? 配置 VRRP 管理組 vrrp group 116 說明：在防火墻中最多可以配置 16 個管理組。 ? 同一防火墻（例如 EudemonA）上，一個物理接口可以隸屬多個 VRRP 備份組。 ? 兩個防火墻上的備份組編號、構(gòu)成必須完全一樣。并通過可用的數(shù)據(jù)通道通知對方管理組狀態(tài)改變 Master?Slave，用于觸發(fā)快速切換。 Eudemon 防火墻雙機熱備概述 19 3. VGMP的成員屬性 VRRP 管理組成員屬性分為 data 和 transferonly 兩種， data 表示數(shù)據(jù)通道，transferonly 表示該通道不參與狀態(tài)切換，即在配有 transferonly 屬性的接口上，如果接口 down 了，不會影響 VRRP 管理組的優(yōu)先級變化。 2. VGMP功能介紹 ? 狀態(tài)一致性管理 各 VRRP 備份組的主 /備狀態(tài)變化都需要通知其所屬的 VRRP 管理組，由 VRRP 管理組決定是否允許 VRRP 備份組進行主 /備狀態(tài)切換。 VGMP 的作用： 確保各 VRRP備份組之間通路狀態(tài)一致性 ，并且 由管理組統(tǒng)一管理各獨立運行的 VRRP備份組，從而實現(xiàn)各備份組之間的互通。 Eudemon 防火墻雙機熱備概述 18 ? 配置備份組的定時器 vrrp vrid 1255 timer advertise 1255 說明：設置備份組中組播報文的發(fā)送間隔，默認值為 1秒。 由于 Eudemon 是狀態(tài)防火墻， 當首包通過檢測后，會在 安全區(qū)域之間 形成動態(tài) 的會話 表項 ， 后續(xù)報文 只有命中該會話表項的后續(xù)報文（包 括返回報文）才能夠通過Eudemon 防火墻，這就要求某會話的進路徑、出路徑必須一致 ，但是對于 VRRP如果發(fā)生切換后，主防火墻上的生成的表項不會備份到備防火墻上，因此如果發(fā)生狀態(tài)切換會導致業(yè)務中斷。 Eudemon 防火墻雙機熱備概述 17 RouteA/RouteB/RouteC 屬于同一個 VRRP 組，它們具備相 同的虛擬 IP 地址，局域網(wǎng)內(nèi)部的用戶設置該虛擬 IP 地址為默認的網(wǎng)關。 3. 在 VRRP中的成員應注意的幾種狀態(tài) VRRP 成員狀態(tài)一般有三種： Initialize(初始化狀態(tài) )，表示配置了 VRRP 的相應接口沒有 UP； Master(主狀態(tài) )，表示該成員工作在轉(zhuǎn)發(fā)報文的狀態(tài)，處于該狀態(tài)下的VRRP 成員具有虛擬 IP 地址以及相應虛擬 MAC 地址，并轉(zhuǎn)發(fā) 以虛擬 IP 地址為下一跳的 IP 報文，并定時發(fā)送通告報文，通知 Slave狀態(tài)的設備保持偵聽； Slave(從狀態(tài) )表示該成員工作在偵聽狀態(tài)，處于該狀態(tài)下的成員偵聽主設備的通告報文，如果Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。虛擬 MAC 地址為： 00005e0001XX，XX 為 16 進制的 VRRP 的 ID 號。 ? VRRP ID，是用來標識路由器屬于哪個 VRRP 組的 ID，在同一個以太網(wǎng)廣播域具備相同的 VRRP ID 的設備屬于同一個 VRRP 組，用戶應該保證屬于同一VRRP 的設備其虛擬 IP 地址的設置（注：同一 VRRP 的虛擬 IP 地址可以是一個或多個，但是必須保證 VRRP組內(nèi)成員虛擬 IP 的設置一致）相同。 首先我們對這三個協(xié)議在雙機熱備中起的作用，以及如何工作，進行簡要描述。 雙機熱備的注意點 ? 對于雙機熱備目前只支持兩臺設置進行備份，不支持多臺設備進行備份。 什么是雙機熱備 雙機熱備 ， 所謂雙機熱備其實是雙機狀態(tài)備份，當兩臺防火墻，在確定主從防火墻后，由主防火墻進行業(yè)務的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時主防火墻會定時向從防火墻發(fā)送狀態(tài)信息和需要備份的信息，當主防火墻出現(xiàn)故障后，從防火墻 會及時接替主防火墻上的業(yè)務運行。而由于 Eudemon 是狀態(tài)防火墻，只會對業(yè)務中首包進行檢查，如果首包允許通過會建立一條五元組的會話連接，只有命中該會話表項的后續(xù)報文（包括返回報文）才能夠通過 Eudemon 防火墻，如果鏈路切換后，后續(xù)報文找不到正確 的表項，會導服務器PC內(nèi)部網(wǎng)絡Ro u te rA1 0 .1 0 0 .1 0 .21 0 .1 0 0 .1 0 .0 /2 4M a s te rRo u te rBBa c k u p1 0 .1 0 0 .1 0 .3Ro u te rC1 0 .1 0 0 .1 0 .4Ba c k u pI nter ne t備份組Vi rt u a l IP Ad d re s s1 0 .1 1 0 .1 0 .1Quidway Eudemon 系列 防火墻 維護手