【正文】 21 第 2章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 雙機(jī)熱備主要應(yīng)用的形式有三種： ? 路由模式下的雙機(jī)熱備 ? 混合模式下的雙機(jī)熱備 ? 路由模式下雙機(jī)熱備的負(fù)載分擔(dān) 路由模式下雙機(jī)熱備的基本組網(wǎng) 圖 21 路由模式下雙機(jī)熱備基本組網(wǎng) 該組網(wǎng)圖是路由模式下一個(gè)簡(jiǎn)單的雙機(jī)熱備組網(wǎng)圖，防火墻的上下行 設(shè)備采用二層交換機(jī)進(jìn)行連接，以下是防火墻的配置： 1. 防火墻 FWA的配置 [FWA]interface ether 0/0/0 [FWAether0/0/0]ip address 在接口 eth0/0/0下配置 VRRP 備份組 1，注意虛擬 IP 可以和接口地址同網(wǎng)段也可以和接口地址不同網(wǎng)段都可以。 [FWAether0/0/0]vrrp vrid 3 virtualip 創(chuàng)建 VRRP 管理組 1，并添加虛擬路由 [FWA]vrrpgroup 1 在 VGMP組中將虛擬路由加入，并且 VGMP會(huì)按照配置的范圍進(jìn)行自動(dòng)排序，如下面 的配置當(dāng)執(zhí)行 display current 可以看到 add interface ether 2/0/0 vrrp vrid 3 data transferonly 為第一條， vrrp1和 vrrp2 分別為 2條。當(dāng)配置優(yōu)先級(jí)應(yīng)注意VGMP 優(yōu)先級(jí)的遞減算法：遞減后的優(yōu)先級(jí)＝優(yōu)先級(jí)－優(yōu)先級(jí) /16，當(dāng)主防火墻出故障時(shí) ，遞減后的優(yōu)先級(jí)應(yīng)比 slave 防火墻的優(yōu)先級(jí)低，才可進(jìn)行主備狀態(tài)切換，否則出故障的防火墻仍然為主狀態(tài)，從而導(dǎo)致業(yè)務(wù)會(huì)中斷。如果遞減后的優(yōu)先級(jí)與從防火墻的優(yōu)先級(jí)相同，通過(guò)主通道的 IP 地址的大小來(lái)判斷誰(shuí)為主防火墻，但需要說(shuō)明的是當(dāng)主防火墻優(yōu)先級(jí)降低后，最好比從防火墻的優(yōu)先級(jí)低。 混合模式下雙機(jī)熱 備的基本組網(wǎng) 圖 22 混合模式下雙機(jī)熱備基本組網(wǎng) 該組網(wǎng)是混合模式下一個(gè)簡(jiǎn)單的雙機(jī)組網(wǎng)圖，防火墻的上下行采用二層交換機(jī)，并且與交換機(jī)連接的接口上采用透明模式。 [FWA Ether2/0/0] vrrp vrid 1 track interface Ether 0/0/0 [FWA Ether2/0/0] vrrp vrid 1 track interface Ether 0/0/1 ＃將接口加入域中 [FWA] firewall zone trust [FWA zonetrust] add interface e0/0/0 [FWA] firewall zone untrust [FWA zonetrust] add interface e0/0/1 ＃創(chuàng)建自定義域 hrp，并將接口 1/0/0 添加到該域中 [FWA] firewall zone name hrp [FWA zonehrp] add interface e1/0/0 ＃ 使能 HRP 功能 [FWA] hrp enable ＃創(chuàng)建 VRRP 管理組，最多可以創(chuàng)建 16 個(gè) VGMP組 [FWA] vrrp group 1 ＃添加 VRRP 備份組， data參數(shù)表示該通道作為數(shù)據(jù)通道，傳送 VRRP， VGMP 的信息，如果即選擇 data 參數(shù)又選擇 transferonly 參數(shù)，表示該通道作為數(shù)據(jù)通道，但該接口的狀態(tài)變化不影響 VGMP 的優(yōu)先級(jí)變化 [FWA vrrpgroup1] add interface ether2/0/0 vrrp vrid 1 data ＃使能 VGMP 搶占功能 [FWA vrrpgroup1] vrrp preempt ＃使能 VGMP 功能，只有執(zhí)行該命令后， VGMP 功能才能起作用 [FWA vrrpgroup1] vrrp enable ＃ VGMP 的優(yōu)先級(jí)使用 VRRP 的優(yōu)先級(jí)，將添加的到 VRRP管理組中的 VRRP 備份組的優(yōu)先級(jí)相加后除去添加的 VRRP備份組的個(gè)數(shù)。當(dāng)使用 vrrp的優(yōu)先級(jí)作為Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 25 VGMP 的優(yōu)先級(jí)后，接口下 VRRP的命令就可以使用了。 [FWA vrrpgroup1] vrrp priority usingvrrppriorty 2. 防火墻 FWB的配置 [FWB] firewall mode posite [FWB] interface e2/0/0 [FWB Ether2/0/0 ]ip address [FWB Ether2/0/0] vrrp vrid 1 virtualip [FWB] firewall zone trust [FWB zonetrust] add interface e0/0/0 [FWB] firewall zone untrust [FWB zonetrust] add interface e0/0/1 [FWB] firewall zone name hrp [FWB zonehrp] add interface e1/0/0 [FWB] hrp enable [FWB] vrrp group 1 [FWB vrrpgroup1] add interface ether2/0/0 vrrp vrid 1 data [FWB vrrpgroup1] vrrp preempt [FWB vrrpgroup1] vrrp enable [FWB vrrpgroup1] vrrp priority usingvrrppriorty 路由模式下雙機(jī)熱備的負(fù)載分擔(dān)基本組網(wǎng) 圖 23 路由模式下雙機(jī)熱備的負(fù)載分擔(dān)基本組網(wǎng) E u d e m o n AM a s t e rE u d e m o n BB a c k u pT r u s t 區(qū) 域 U n t r u s t 區(qū) 域備 份 組 2A 1A 2B 2B 1管 理 組 1管 理 組 1備 份 組 4備 份 組 3備 份 組 1管 理 組 2管 理 組 2Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 26 防火墻雙機(jī)熱 負(fù)載分擔(dān)在雙機(jī)熱備中是一種比較繁瑣的配置，其原理是在防火墻上配置兩個(gè) VGMP 組，并且這兩個(gè)管理組的狀態(tài)相互交錯(cuò)，如上圖在 EudemonA 中管理組 1的狀態(tài)為 master，管理組 2 的狀態(tài)為 slave； EudemonB 中管理組 1的狀態(tài)為 slave，管理組 2的狀態(tài)為 master。 1. EudemonA的配置 [Eudemon] interface ether 0/0/0 [Eudemonether0/0/0] ip address 在接口 eth0/0/0下配置 VRRP 備份組 1， 3，注意虛擬 IP 需要和接口地址同一網(wǎng)段，在同一接口下可以配置 16 個(gè)備份組 [Eudemonether0/0/0]vrrp vrid 1 virtualip [Eudemonether0/0/0]vrrp vrid 3 virtualip [Eudemonether0/0/0]interface ether 0/0/1 [Eudemonether0/0/1]ip address 在接口 eth0/0/1 下配置 VRRP 備份組 2， 4 [Eudemonether0/0/1]vrrp vrid 2 virtualip [Eudemonether0/0/1]vrrp vrid 4 virtualip [Eudemonether0/0/1]quit [Eudemon]interface ether 2/0/0 [Eudemonether2/0/0]ip address 創(chuàng)建 VRRP 管理組 1，將所有的 VRRP 備份組添加 到管理組中進(jìn)行統(tǒng)一管理 [Eudemon]vrrpgroup 1 在 VGMP組中將虛擬路由加入，并且 VGMP會(huì)按照配置的范圍進(jìn)行自動(dòng)排序，如下面的配置當(dāng)執(zhí)行 display current 可以看到 add interface ether 2/0/0 vrrp vrid 3 data transferonly 為第一條， vrrp1和 vrrp2 分別為 2條。當(dāng) 配置優(yōu)先級(jí)應(yīng)注意VGMP 優(yōu)先級(jí)的遞減算法：遞減后的優(yōu)先級(jí)＝優(yōu)先級(jí)－優(yōu)先級(jí) /16，當(dāng)主防火墻出故障時(shí)，遞減后的優(yōu)先級(jí)應(yīng)比 slave 防火墻的優(yōu)先級(jí)低，才可進(jìn)行主備狀態(tài)切換，否Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 27 則出故障的防火墻仍然為主狀態(tài)，從而導(dǎo)致業(yè)務(wù)會(huì)中斷。如果遞減后的優(yōu)先級(jí)與從防火墻的優(yōu)先級(jí)相同，通過(guò)主通道的 IP 地址的大小來(lái)判斷誰(shuí)為主防火墻，但需要說(shuō)明的是當(dāng)主防火墻優(yōu)先級(jí)降低后，最好比從防火墻的優(yōu)先級(jí)低。 [Eudemon]hrp enable 2. EudemonB的配置 [Eudemon]interface ether 0/0/0 [Eudemonether0/0/0]ip address 在接口 eth0/0/0下配置 VRRP 備份組 1， 3，注意虛擬 IP 需要和接口地址同一網(wǎng)段，在同一接口下可以配置 16 個(gè)備份組 [Eudemonether0/0/0]vrrp vrid 1 virtualip [Eudemonether0/0/0]vrrp vrid 3 virtualip [Eudemonether0/0/0]interface ether 0/0/1 [Eudemonether0/0/1]ip address 在接口 eth0/0/1 下配置 VRRP 備份組 2， 4 [Eudemonether0/0/1]vrrp vrid 2 virtualip [Eudemonether0/0/1]vrrp vrid 4 virtualip [Eudemonether0/0/1]quit [Eudemon]int eth 2/0/0 [Eudemonether2/0/0]ip address 創(chuàng)建 VRRP 管理組 1，將所有的 VRRP 備份組添加到管理組中進(jìn)行統(tǒng)一管理 [Eudemon]vrrpgroup 1 Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 28 在 VGMP組中將虛擬路由加入，并且 VGMP會(huì)按照配置的范圍進(jìn)行自動(dòng)排序，如下面的配置當(dāng)執(zhí)行 display current 可以看到 add interface ether 2/0/0 vrrp vrid 3 data transferonly 為第一條， vrrp1和 vrrp2 分別為 2條。當(dāng)配置優(yōu)先級(jí)應(yīng)注意VGMP 優(yōu)先級(jí)的遞減算法：遞減后的優(yōu)先級(jí)＝優(yōu)先級(jí)－優(yōu)先級(jí) /16，當(dāng)主防火墻出故障時(shí)，遞減后的優(yōu)先級(jí)應(yīng)比 slave 防火墻的優(yōu)先級(jí)低，才可進(jìn)行 主備狀態(tài)切換，否則出故障的防火墻仍然為主狀態(tài)，從而導(dǎo)致業(yè)務(wù)會(huì)中斷。如果遞減后的優(yōu)先級(jí)與從防火墻的優(yōu)先級(jí)相同，通過(guò)主通道的 IP 地址的大小來(lái)判斷誰(shuí)為主防火墻，但需要說(shuō)明的是當(dāng)主防火墻優(yōu)先級(jí)降低后，最好比從防火墻的優(yōu)先級(jí)低。 [Eudemon]hrp enable Eudemon雙機(jī)熱備配置注意點(diǎn) 1. 雙機(jī)熱備組網(wǎng)中如果配置 NAT address或 NAT Server時(shí)，必須在 NAT address和 NAT Server后添加出接口的 VRRP ID號(hào) (1) 配置的命令 nat address natgroup startip endip vrrp 組 Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ) 29 nat server globle|protoal vrrp 組 (2) 配置 VRRP 組的原因 如果沒(méi)有配置地址池和 nat server 的 vrrp參數(shù)， arp 請(qǐng)求或應(yīng)答中攜帶的 MAC地址是該網(wǎng)口的 MAC，如果配置了 vrrp 參數(shù)，發(fā)送的 arp 就是 VRRP 虛擬 MAC 地址。 (3) 如何配置 NAT address 和 NAT Server 后的 VRRP組 在 NAT address 和 NAT Server 命令后的 VRRP 組應(yīng)為出接口的 VRRP ID。 (4) 配置舉例 在防火墻上啟用