【正文】 [Eudemon200A] firewall pack defend permit all [Eudemon200A] acl number 2020 [Eudemon200Abasicacl2020] rule permit [Eudemon200Abasicacl2020] quit [Eudemon200A] firewall zone trust [Eudemon200Azonetrust] add interface Ether 0/0/0 E0/0/0 E0/0/1 +[Eudemon200A]+ 。什么是出接口就是當(dāng)我們做 NAT 或 NAT Server 時(shí)，報(bào)文經(jīng)過 NAT 或 NAT Server 轉(zhuǎn)換后從哪個(gè)以太網(wǎng)口出去的接口，就為業(yè)務(wù)的出接口，配置的 VRRP ID 應(yīng)為該接口下的VRRP ID 號(hào)。如果不配置 VRRP 的話，還會(huì)帶來一個(gè)問題就是防火墻在收到對(duì) nat 地址的 ARP請(qǐng)求的時(shí)候無法判斷是否需要回應(yīng) ARP響應(yīng)（特別是在互為備份的組網(wǎng)中），如果主備都回應(yīng) arp響應(yīng)的話首先不能保證 arp 響應(yīng)的 mac 地址的正確性，其次不能保證與防火墻相連的三層交換機(jī)上的 arp 地址轉(zhuǎn)發(fā)表的正確性，所以在雙機(jī)熱備的組網(wǎng)中 nat 的配置一定要在后面加上 vrrp id，對(duì)于 nat server 的配置也是如此。 [Eudemonvrrpgroup1]vrrp priority 105 使能 HRP功能，當(dāng)使能 HRP功能后會(huì)在 [Eudemon]前顯示 HRP_M，從防火墻上會(huì)顯示 HRP_S，默認(rèn)是 自動(dòng)實(shí)時(shí)備份。例如以下配置遞減后的優(yōu)先級(jí)為 105－ 105/16＝ 98，因此 slave 防火墻應(yīng)比該優(yōu)先級(jí)大。 [Eudemonvrrpgroup1]add interface ether 0/0/0 vrrp vrid 1 data [Eudemonvrrpgroup1]add interface ether 0/0/1 vrrp vrid 2 data ＃使能 VRRP 管理組，只有使能了 VGMP，才能對(duì) VRRP進(jìn)行統(tǒng)一管理 [Eudemonvrrpgroup1]vrrp enable 啟用 VRRP 管理組的自動(dòng)搶占功能，搶占延時(shí)采用默認(rèn)時(shí)間為 0秒 [Eudemonvrrpgroup1]vrrp preempt [Eudemonvrrpgroup1]quit ＃創(chuàng)建管理組 2 [Eudemon] vrrp group 2 使能 VRRP 管理組 2 [Eudemonvrrpgroup2] vrrp enable [Eudemonvrrpgroup2] vrrp preempt [Eudemonvrrpgroup2] add interface ether 0/0/0 vrrp vrid 3 data [Eudemonvrrpgroup2] add interface ether 0/0/1 vrrp vrid 4 data ＃當(dāng)防火墻不配置 VGMP 的優(yōu)先級(jí)時(shí)，默認(rèn)優(yōu)先級(jí)為 100。 [Eudemonvrrpgroup1]vrrp priority 105 [Eudemonvrrpgroup1]quit ＃創(chuàng)建管理組 2 [Eudemon] vrrp group 2 使能 VRRP 管理組 2 [Eudemonvrrpgroup2] vrrp enable [Eudemonvrrpgroup2] vrrp preedem [Eudemonvrrpgroup2] add interface ether 0/0/0 vrrp vrid 3 data [Eudemonvrrpgroup2] add interface ether 0/0/1 vrrp vrid 4 data 使能 HRP功能，當(dāng)使能 HRP功能后會(huì)在 [Eudemon]前顯示 HRP_M，從防火墻上會(huì)顯示 HRP_S，默認(rèn)是自動(dòng)實(shí)時(shí)備份。例如以下配置遞減后的優(yōu)先級(jí)為 105－ 105/16＝ 98，因此 slave 防火墻應(yīng)比該優(yōu)先級(jí)大。 [Eudemonvrrpgroup1]add interface ether 0/0/0 vrrp vrid 1 data [Eudemonvrrpgroup1]add interface ether 0/0/1 vrrp vrid 2 data ＃使能 VRRP 管理組，只有使能了 VGMP，才能對(duì) VRRP進(jìn)行統(tǒng)一管理 [Eudemonvrrpgroup1]vrrp enable 啟用 VRRP 管理組的自動(dòng)搶占功能，搶占延時(shí)采用默認(rèn)時(shí)間為 0秒 [Eudemonvrrpgroup1]vrrp preempt ＃當(dāng)防火墻不配置 VGMP 的優(yōu)先級(jí)時(shí)，默認(rèn)優(yōu)先級(jí)為 100。當(dāng)從 trust域來的業(yè)務(wù)當(dāng)網(wǎng)關(guān)指向備份組 1的虛擬 IP 時(shí)，則通過 EudemonA來轉(zhuǎn)發(fā)，當(dāng)網(wǎng)關(guān)執(zhí)行備份組 3 的虛擬 IP 時(shí)，則由EudemonB 來轉(zhuǎn)發(fā)，從而實(shí)行業(yè)務(wù)的分流。如 track 命令等，否則無法使用。但需要注意累積的 VRRP 優(yōu)先級(jí)不應(yīng)包含含有 transferonly 參數(shù)的 VRRP的優(yōu)先級(jí)。以下是防火墻的配置： Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 24 1. 防火墻 FWA的配置 設(shè)置防火墻工作模式為混合模式 [FWA] firewall mode posite [FWA] interface ether 2/0/0 [FWA Ether2/0/0 ]ip address 在接口 eth2/0/0 下配置 vrrp備份組 1 的虛擬 IP [FWA Ether2/0/0] vrrp vrid 1 virtualip 在接口 eth2/0/0 下的 vrrp 備份組中配置接口監(jiān)視命令，從而起到對(duì)未配置 VRRP的接口的狀態(tài)進(jìn)行監(jiān)控。 [FWA vrrpgroup1]vrrp priority 105 [FWAvrrpgroup1]quit 使能 HRP 功能 [FWA]hrp enable 2. 防火墻 FWB的配置 [RTB]interface ether 0/0/0 [RTBether0/0/0]ip address [RTBether0/0/0]vrrp vrid 1 virtualip [RTBether0/0/0]interface ether 0/0/1 [RTBether0/0/1]ip address Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 23 [RTBether0/0/1]vrrp vrid 2 virtualip [RTB]interface ether 2/0/0 [RTBether0/0/0]ip address [RTBether0/0/0]vrrp vrid 3 vir [RTB]vrrpgroup 1 [RTBvrrpgroup1]add interface ether 0/0/0 vrrp vrid 1 data [RTBvrrpgroup1]add interface ether 0/0/1 vrrp vrid 2 data [RTBvrrpgroup1]add interface ether 2/0/0 vrrp vrid 3 data transferonly [RTBvrrpgroup1]vrrp enable [RTBvrrpgroup1]vrrp preempt [RTBvrrpgroup1]quit [RTB]hrp enable PC1 的網(wǎng)關(guān)是 ，服務(wù)器的網(wǎng)關(guān)是 當(dāng)防火墻配置好后需要注意的地方： 在防火墻上執(zhí)行 display vrrp－ group verbose，查看 VGMP的狀態(tài)是否正確，接口下的 vrrp 是否已經(jīng) up，如果是 down狀態(tài)說明接口協(xié)議層有問題，檢查接口；如果兩臺(tái)防火墻接口都是 peerdown 狀態(tài)，說明 VRRP的協(xié)商報(bào)文沒有聯(lián)通，查看兩臺(tái)防火墻的 vrrp 虛擬 ip是否相同等。例如以下配置遞減后的優(yōu)先級(jí)為 105－ 105/16＝ 98，因此 slave 防火墻應(yīng)比該優(yōu)先級(jí)大。 [FWAvrrpgroup1]add interface ether 0/0/0 vrrp vrid 1 data [FWAvrrpgroup1]add interface ether 0/0/1 vrrp vrid 2 data [FWAvrrpgroup1]add interface ether 2/0/0 vrrp vrid 3 data transferonly /*使能 VRRP 管理組 */ [FWAvrrpgroup1]vrrp enable 啟用 VRRP 管理組的自動(dòng)搶占功能，搶占延時(shí)采用默認(rèn)時(shí)間為 0秒 */ [FWAvrrpgroup1]vrrp preempt 當(dāng)防火墻不配置 VGMP 的優(yōu)先級(jí)時(shí)，默認(rèn)優(yōu)先級(jí)為 100。 [FWAether0/0/0]vrrp vrid 1 virtualip [FWAether0/0/0]interface ether 0/0/1 [FWAether0/0/1]ip address 在接口 eth0/0/1 下配置 VRRP 備份組 2 [FWAether0/0/1]vrrp vrid 2 virtualip [FWAether0/0/1]quit Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 22 [FWA]interface ether 2/0/0 [FWAether0/0/0]ip address 在接口 eth2/0/0下配置 VRRP 備份組 3 ，該條虛擬路由的目的主要是用來傳輸雙機(jī)熱備的控制信息和 hrp 的備份信息，不用來進(jìn)行傳輸業(yè)務(wù)，以保障雙機(jī)熱備狀態(tài)正常。 ? 當(dāng) VRRP 備份組狀態(tài)變化時(shí)，由 VRRP 管理組來決定是否發(fā)生 VRRP管理組的狀態(tài)變化，并繼而決定是否引起 HRP 和配置主 /從設(shè)備的狀態(tài)變化 。同時(shí)， VRRP 管理組狀態(tài)也要受 HRP 狀態(tài)影響，即 VRRP 會(huì)根據(jù) HRP狀態(tài)切換的結(jié)果來調(diào)整優(yōu)先級(jí)，并進(jìn)行 VRRP 狀態(tài)切換。 ? 允許備防火墻承擔(dān)業(yè)務(wù) hrp permitbackforeward 說明：該命令主要應(yīng)用與防火墻的上下行配置有路由器時(shí)，當(dāng)發(fā)生路由混亂時(shí)，能夠允許正常的表項(xiàng)通過備防火墻進(jìn)行轉(zhuǎn)發(fā)。 ? 配置手工批量備份 hrp sync { config | connectstatus } 說明 ：手工批量同步過程與自動(dòng)實(shí)時(shí)備份開關(guān)無關(guān)，自動(dòng)實(shí)時(shí)備份開關(guān)的狀態(tài)不會(huì)影響手工批量同步過程。 ? 使能自動(dòng)實(shí)時(shí)備份 hrp autosync { config | connectstatus } 華為產(chǎn)品維護(hù)資料 Eudemon 系列 防火墻 維護(hù)手冊(cè)之四 雙機(jī)熱備組網(wǎng) 錯(cuò)誤 !未找到引用源。 6. HRP配置命令 ? 使能雙機(jī)熱備份功能 hrp enable 說明：目前 Eudemon 防火墻上僅支持雙機(jī)熱備份，不支持多機(jī)熱備份功能。 5. HRP能夠備份的信息 防火墻應(yīng)用狀態(tài)的可靠性備份： ? 防 火墻生成的會(huì)話表表項(xiàng) ? 動(dòng)態(tài)黑名單表項(xiàng) ? ServerMap 表項(xiàng) ? NoPAT 表項(xiàng) 防火墻配置命令的備份： ? ACL 包過濾命令的配置 ? 攻擊防范命令的配置 ? 地址綁定命令的配置 ? 黑名單命令的啟用以及手工添加黑名單用戶和對(duì)黑名單命令的刪除操作 ? 日志命令 ? NAT 命令的配置 ? 統(tǒng)計(jì)命令的配置 ? 域的命令的配置，包括新域的設(shè)定，域內(nèi)添加的接口和優(yōu)先級(jí)的設(shè)置 ? ASPF（應(yīng)用層包過濾防火墻）的命令配置 ? 清除會(huì)話表項(xiàng)命令（ reset firewall session table)和清除配置的命令（ undo XXX） 注意： ? 在批 處理手工備份時(shí)，對(duì)于 undo和 reset命令是無法進(jìn)行備份的。 Eudemon 防火墻雙機(jī)熱備概述 113 防火墻。 HRP 的主從配置的引入是由于 負(fù)載分擔(dān)方式 。 4. 配置主從設(shè)備的引入及其條件 HRP 也有自己的主備狀態(tài)，我們對(duì)配置了 HRP 的設(shè)備稱之為配置主設(shè)備和配置從設(shè)備。