天融信防火墻NGFW4000快速配置手冊

1、天融信防火墻NGFW4000快速配置手冊一、 防火墻的幾種管理方式1 串口管理第一次使用網(wǎng)絡衛(wèi)士防火墻，管理員可以通過 CONSOLE 口以命令行方式進行配置和管理。通過 CONSOLE 口登錄到網(wǎng)絡衛(wèi)士防火墻，可以對防火墻進行一些基本的設(shè)置。用戶在初次使用防火墻時，通常都會登錄到防火墻更改出廠配置（接口、IP 地址等），使在不改變現(xiàn)有網(wǎng)絡結(jié)構(gòu)的情況下將防火墻接入網(wǎng)絡中。這里將詳細介紹如何通過 CONSOLE口連接到網(wǎng)絡衛(wèi)士防火墻： 1）使用一條串口線（包含在出廠配件中），分別連接計算機的串口（這里假設(shè)使用 com1）和防火墻的 CONSOLE 口。 2）選擇 開始 程序 附件 通訊 超級終端

2、，系統(tǒng)提示輸入新建連接的名稱。3）輸入名稱，這里假設(shè)名稱為“TOPSEC”，點擊“確定”后，提示選擇使用的接口（假設(shè)使用 com1）。4）設(shè)置 com1 口的屬性，按照以下參數(shù)進行設(shè)置。 參數(shù)名稱取值每秒位數(shù)：9600數(shù)據(jù)位：8奇偶校驗：無停止位：15）成功連接到防火墻后，超級終端界面會出現(xiàn)輸入用戶名/密碼的提示，如下圖。6）輸入系統(tǒng)默認的用戶名：superman 和密碼：talent，即可登錄到網(wǎng)絡衛(wèi)士防火墻。登錄后，用戶就可使用命令行方式對網(wǎng)絡衛(wèi)士防火墻進行配置管理。2 TELNET管理TELNET管理也是命令行管理方式，要進行TELNET管理，必須進行以下設(shè)置：1) 在串口下用“pf s

3、ervice add name telnet area area_eth0 addressname any”命令添加管理權(quán)限2) 在串口下用“system telnetd start” 命令啟動TELNET管理服務3) 知道管理IP地址，或者用“network interface eth0 ip add 50 mask ”命令添加管理IP地址4) 然后用各種命令行客戶端(如WINDOWS CMD命令行)管理：TELNET 505) 最后輸入用戶名和密碼進行管理命令行如圖：3 SSH管理SSH管理和TELNET基本一至，只不過

4、SSH是加密的，我們用如下步驟管理：1) 在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理權(quán)限2) 在串口下用“system sshd start” 命令啟動TELNET管理服務3) 知道管理IP地址，或者用“network interface eth0 ip add 50 mask ”命令添加管理IP地址4) 然后用各種命令行客戶端(如putty命令行)管理：505) 最后輸入用戶名和密碼進行管理命令行如圖：4 WEB管理1)防火墻在出廠

5、時缺省已經(jīng)配置有WEB界面管理權(quán)限，如果沒有，可用“pf service add name webui area area_eth0 addressname any”命令添加。2)WEB管理服務缺省是啟動的，如果沒有啟動，也可用“system httpd start”命令打開，管理員在管理主機的瀏覽器上輸入防火墻的管理 URL，例如：50，彈出如下的登錄頁面。輸入用戶名密碼后（網(wǎng)絡衛(wèi)士防火墻默認出廠用戶名/密碼為：superman/talent），點擊“提交”，就可以進入管理頁面。5 GUI管理GUI圖形界面管理跟WEB界面一樣，只是，在管理中心中集成了一些

6、安全工具，如監(jiān)控，抓包，跟蹤等1) 安裝管理中心軟件2) 運行管理軟件3) 右擊樹形“TOPSEC管理中心”添加管理IP4) 右擊管理IP地址，選擇“管理”，輸入用戶名和密碼進行管理5) 也可右擊管理IP地址，選擇“安全工具”，進行實時監(jiān)控選擇：安全工具-連接監(jiān)控點擊啟動，在彈出的窗口中增加過濾條件，可用缺省值監(jiān)控所有連接。選中增加的過濾條件，點設(shè)置就可以看到實時的監(jiān)控效果了，如下圖：二、 命令行常用配置(注：用串口、TELNET、SSH方式進入到命令行管理界面，天融信防火墻命令行管理可以完成所有圖形界面管理功能，命令行支持TAB鍵補齊和TAB鍵幫助，命令支持多級操作，可以在系統(tǒng)級，也就是第一

7、級直接輸入完整的命令；也可以進入相應的功能組件級，輸入對應組件命令。具體分級如下表：)系統(tǒng)級 系統(tǒng)級為第一級，提供設(shè)備的基本管理命令。CLI管理員登錄后，直接進入該級，顯示為：TopsecOS#。組件級 組件級為第二級，提供每個安全組件（SE）所獨有的管理命令。在系統(tǒng)級下，TopsecOS # 按 tab鍵，則顯示出安全組件級命令見下表。 類別關(guān)鍵字內(nèi)容說明一級命令名system系統(tǒng)管理目錄network網(wǎng)絡設(shè)置Ha高可用性設(shè)置define網(wǎng)絡對象定義debug調(diào)試log日志設(shè)置authentication認證設(shè)置Snmp簡單網(wǎng)絡管理協(xié)議配置pf包過濾規(guī)則設(shè)置dpi深度報文檢測策略定義fire

8、wall防火墻規(guī)則設(shè)置nat地址轉(zhuǎn)換策略配置Vpn虛擬私有網(wǎng)隧道配置與操作IDS入侵監(jiān)測配置Qos帶寬控制配置AVSE防病毒安全引擎管理設(shè)置save保存配置Show_running查看運行時配之信息Show查看配置helpmode幫助模式設(shè)定exit退出系統(tǒng)1 系統(tǒng)管理命令(SYSTEM)在命令行下一般用SYSTEM命令來管理和查看系統(tǒng)配置：命令功能WEBUI界面操作位置二級命令名Version系統(tǒng)版本信息系統(tǒng)基本信息information當前設(shè)備狀態(tài)信息系統(tǒng)運行狀態(tài)time系統(tǒng)時鐘管理系統(tǒng)系統(tǒng)時間config系統(tǒng)配置管理管理器工具欄“保存設(shè)定”按鈕reboot重新啟動系統(tǒng)系統(tǒng)重啟sshdSS

9、H服務管理命令系統(tǒng)系統(tǒng)服務telnetdTELNET服務管理系統(tǒng)系統(tǒng)服務命令httpdHTTP服務管理命系統(tǒng)系統(tǒng)服務令monitordMONITOR服務管理命令無2 網(wǎng)絡配置命令(NETWORK)命令功能WEBUI界面操作位置interface防火墻接口管理網(wǎng)絡物理接口vlanVlan配置管理網(wǎng)絡VLANroute路由表配置管理網(wǎng)絡靜態(tài)路由Ping驗證網(wǎng)絡連接無3 雙機熱備命令(HA)HA LOCAL 設(shè)置 HA接口的本機地址 HA PEER 設(shè)置 HA接口的對端地址 HA PEER-SERIAL 設(shè)置 HA接口的對端的 licence 序列號 HA NO 復位 HA接口的本機地址/對端地址/

10、對端 licence序列號 HA PRIORITY 設(shè)定 HA 優(yōu)先級是主機優(yōu)先還是備份機優(yōu)先（默認為 backup，即如果同時啟動主機成為活HA SHOW 查看 HA的配置信息 HA ENABLE 啟動 HA HA DISABLE 停用 HA HA CLEAN 清除 HA配置信息 HA SYNC HA同步（從對端機上同步配置/同步配置到對端機上）4 定義對象命令(DEFINE)命令功能WEBUI 操作位置 area區(qū)域?qū)ο蠊芾韺ο?區(qū)域?qū)ο?interface配置防火墻接口對應的區(qū)域?qū)傩詫ο?區(qū)域?qū)ο骽ost主機地址對象管理對象 地址對象 主機對象 range地址范圍對象管理對象地址對象 范

11、圍對象 subnet子網(wǎng)地址對象對象地址對象 子網(wǎng)對象 group_address地址組對象管理對象地址對象 地址組對象 service子定義服務對象管理對象服務對象 自定義服務 group_service服務組對象管理對象服務對象 服務組 schedule時間表對象管理對象 時間對象 server服務器對象管理對象 負載均衡 服務器 virtual_server虛擬服務器對象管理對象 負載均衡 均衡組5 包過濾命令(PF)增加一條服務訪問規(guī)則SERVICE ADD name area addressid | addressname 6 顯示運行配置命令(SHOW_RUNNING)SHOW_R

12、UNNING7 保存配置命令(SAVE)SAVE三、 WEB界面常用配置用瀏覽器或者集中管理中心登錄到WEB管理界面如下：1 系統(tǒng)管理配置在“系統(tǒng)”下，可以顯示或配置系統(tǒng)相關(guān)設(shè)置A) 系統(tǒng) 基本信息顯示系統(tǒng)的型號、版本、功能模塊、接口信息等等：B) 系統(tǒng) 運行狀態(tài)查看系統(tǒng)的運行狀態(tài)，包括CPU、內(nèi)存使用情況和當前連接數(shù)等C) 系統(tǒng) 配置維護上傳或下載配置文件D) 系統(tǒng) 系統(tǒng)服務系統(tǒng)服務在本系統(tǒng)中主要是指監(jiān)控服務、SSH 服務、Telnet服務和 HTTP服務。TOS系統(tǒng)提供了對這些服務的控制（啟動和停止）功能，其具體的操作如下：E) 系統(tǒng) 開放服務添加或查看系統(tǒng)權(quán)限，包括WEB管理、GUI管理

13、、TELNET管理、SSH管理、監(jiān)控等等F) 系統(tǒng) 系統(tǒng)重啟2 網(wǎng)絡接口、路由配置A) 設(shè)置防火墻接口屬性用戶可以對網(wǎng)絡衛(wèi)士防火墻的物理接口的屬性進行設(shè)置，具體步驟如下： 1）在管理界面左側(cè)導航菜單中選擇 網(wǎng)絡 物理接口 ，可以看到防火墻的所有物理接口，如下圖所示，共有三個物理接口：Eth0、Eth1、Eth2。 2）如果要將某端口設(shè)為路由模式，點擊該端口后的路由修改圖標“ ”，彈出“設(shè)定路由”對話框，如下圖所示。 可以為某個端口設(shè)置多個 IP 地址，點擊“添加配置”按鈕，添加接口的 IP 地址。如果選擇“ha-static”,表示雙機熱備的兩臺設(shè)備在進行主從切換時，可以保存原來的地址不變，否

14、則，從墻的地址將被主墻覆蓋。網(wǎng)絡衛(wèi)士防火墻不支持不同的物理接口配置相同的 IP地址或 IP 地址在同一子網(wǎng)內(nèi)。3）如果要將某端口設(shè)交換模式，點擊該端口后的交換修改圖標“ ”，彈出“交換”設(shè)置窗口，如下圖所示。首先，需要確定該接口的類型是“Access”還是“Trunk”。 如果是“Access”接口，則表示該交換接口只屬于一個 VLAN，需要指定所屬的 VLID 號碼，如上圖所示。 如是“Trunk”接口，則設(shè)置參數(shù)界面如下圖所示。上圖參數(shù)說明如下表所示：點擊“提交設(shè)定”則完成接口從路由模式向交換模式的轉(zhuǎn)換。4）點擊“其他”按鈕，可以設(shè)置接口的其他信息，如下圖。B) 設(shè)置路由用戶可以在網(wǎng)絡衛(wèi)士

15、防火墻上設(shè)置策略路由及靜態(tài)路由，具體步驟如下： 1）在左側(cè)導航菜單中選擇 網(wǎng)絡 靜態(tài)路由，可以看到已經(jīng)添加的策略路由表以及系統(tǒng)自動添加的靜態(tài)路由表，如下圖所示。2）設(shè)置策略路由，點擊“添加策略路由”，如下圖所示。其中“網(wǎng)關(guān)”為下一跳路由器的入口地址，“端口”指定了從防火墻設(shè)備的哪一個接口（包括物理接口和 VLAN 虛接口）發(fā)送數(shù)據(jù)包。Metric 為接口躍點數(shù)，默認為 1。如果選擇“NAT 后的源”為“是”，表示策略路由的源地址為 NAT 后的地址，策略路由添加成功后的“標記”一欄顯示為“UGM”。默認為“否”，策略路由添加成功后的“標記”一欄顯示為“U”。 3）設(shè)置完成后，點擊“提交設(shè)定”按

16、鈕，如果添加成功會彈出“添加成功”對話框。點擊“取消返回”則放棄添加，返回上一界面。若要刪除某路由項，點擊該路由項所在行的刪除圖標“ ”進行刪除。 4）移動策略路由。由于策略執(zhí)行為第一匹配原則，則策略的順序與策略的邏輯相關(guān)，在此可以改變添加策略時候的缺省的執(zhí)行順序（按照添加順序排列）。 具體設(shè)置方法為： 在策略路由表中點擊要移動的路由選項（例如要移動策略路由 102）后的“移動”圖標按鈕 ，進入如下界面。在第一個下拉框中選擇參考位置路由，第二個下拉框中則是選擇將當前路由移動到參考路由之前還是之后。例如：要將路由 102 移動到路由 101 之前，則第一個下拉框選擇 ID“101”，第二個下拉框

17、選擇“之前”，點擊“提交設(shè)定”按鈕，則彈出移動成功對話框。點擊“確定”返回路由界面，可以看到路由 102 已經(jīng)移動到了 101 之前，如下圖所示。3 對象配置A) 設(shè)置主機對象選擇 對象 地址對象 主機對象，右側(cè)界面顯示已有的主機對象，如下圖所示。點擊“添加配置”，系統(tǒng)出現(xiàn)添加主機對象屬性的頁面，如下圖所示。B) 設(shè)置范圍對象選擇 對象 地址對象 地址范圍，右側(cè)界面顯示已有的地址范圍對象，如下圖所示。點擊“添加配置”，進入地址范圍對象屬性的頁面，如下圖所示。C) 設(shè)置子網(wǎng)對象選擇 對象 地址對象 子網(wǎng)對象，在右側(cè)頁面內(nèi)顯示已有的子網(wǎng)地址對象，如下圖所示。D) 設(shè)置地址組不同的地址對象可以組合為

18、一個地址組，用作定義策略的目的或源。地址組的支持增強了對象管理的層次性，使管理更加靈活。 設(shè)置地址組對象的步驟如下： 1）選擇 對象 地址對象 地址組，在右側(cè)頁面內(nèi)顯示已有的地址組對象，如下圖所示。2）選擇“添加配置”，系統(tǒng)出現(xiàn)如下圖所示的頁面。E) 自定義服務當預定義的服務中找不到我們需要的服務端口時，我們可以自己定義服務端口：1） 選擇 對象 服務對象 自定義服務，點擊“添加配置”，系統(tǒng)出現(xiàn)如下頁面。2）輸入對象名稱后，設(shè)置協(xié)議類型及端口號范圍。 3）點擊“提交設(shè)定”，完成設(shè)置。F) 設(shè)置區(qū)域?qū)ο笙到y(tǒng)支持區(qū)域的概念，用戶可以根據(jù)實際情況，將網(wǎng)絡劃分為不同的安全域，并根據(jù)其不同的安全需求，定

19、義相應的規(guī)則進行區(qū)域邊界防護。如果不存在可匹配的訪問控制規(guī)則，網(wǎng)絡衛(wèi)士防火墻將根據(jù)目的接口所在區(qū)域的權(quán)限處理該報文。設(shè)置區(qū)域?qū)ο?，具體操作如下： 1）選擇 對象 區(qū)域?qū)ο螅@示已有的區(qū)域?qū)ο?。防火墻出廠配置中缺省區(qū)域?qū)ο鬄?AREA_ETH0，并已和缺省屬性對象 eth0 綁定，而屬性對象 eth0 已和接口eth0 綁定，因此出廠配置中防火墻的物理接口 eth0 已屬于區(qū)域 AREA_ETH0。 2）點擊“添加配置”，增加一個區(qū)域?qū)ο?，如下圖所示。在“對象名稱”部分輸入?yún)^(qū)域?qū)ο竺Q； 在“權(quán)限選擇”部分設(shè)定和該區(qū)域所屬屬性綁定的接口的缺省屬性（允許訪問或禁止訪問）。 在“選擇屬性”部分的左側(cè)

20、文本框中選擇接口，然后點擊 添加該區(qū)域具有的屬性，被選接口將出現(xiàn)在右側(cè)的“被選屬性”文本框中，可以同時選擇一個或多個。 3）設(shè)置完成后，點擊“提交設(shè)定”按鈕，如果添加成功會彈出“添加成功”對話框。 4）點擊“取消返回”則放棄添加，返回上一界面。 5）若要修改區(qū)域?qū)ο蟮脑O(shè)置，點擊該區(qū)域?qū)ο笏谛械男薷膱D標“ ”進行修改。 6）若要刪除區(qū)域?qū)ο?，點擊該區(qū)域?qū)ο笏谛械膭h除圖標“ ”進行刪除。G) 設(shè)置時間對象用戶可以設(shè)置時間對象，以便在訪問控制規(guī)則中引用，從而實現(xiàn)更細粒度的控制。比如，用戶希望針對工作時間和非工作時間設(shè)置不同的訪問控制規(guī)則，引入時間對象的概念很容易解決該類問題。設(shè)置時間對象，具體操

21、作如下： 1） 選擇 對象 時間對象，點擊“添加配置”，系統(tǒng)出現(xiàn)如下頁面。2）依次設(shè)置“對象名稱”、“每周時段”和“每日時段”。 3）最后點擊“提交設(shè)定”，完成對象設(shè)置。新添加的對象將顯示在時間對象列表中，如下圖所示。 4）對已經(jīng)添加的時間對象，可以點擊修改圖標修改其屬性，也可以點擊刪除圖標刪除該對象。4 訪問策略配置用戶可以通過設(shè)置訪問控制規(guī)則實現(xiàn)靈活、強大的三到七層的訪問控制。系統(tǒng)不但可以從區(qū)域、VLAN、地址、用戶、連接、時間等多個層面對數(shù)據(jù)報文進行判別和匹配，而且還可以針對多種應用層協(xié)議進行深度內(nèi)容檢測和過濾。與報文阻斷策略相同，訪問控制規(guī)則也是順序匹配的，但與其不同，訪問控制規(guī)則沒有

22、默認規(guī)則。也就是說，如果沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問）處理該報文。 定義訪問規(guī)則，操作步驟如下： 1） 選擇 防火墻引擎 訪問控制，點擊“添加配置”，進入訪問控制規(guī)則定義界面。表中“ID”為每項規(guī)則的編號，在移動規(guī)則順序時將會使用?！翱刂啤敝械膱D標和 ，分別表示該項規(guī)則是否啟用。 2）定義是否啟用該訪問控制規(guī)則（默認為啟用該規(guī)則），以及訪問權(quán)限。 訪問權(quán)限定義了是否允許訪問由規(guī)則源到規(guī)則目的所指定的服務。 3）定義規(guī)則的源 規(guī)則的源既可以是一個已經(jīng)定義好的 VLAN 或區(qū)域，也可以細化到一個或多個地址對象以及用

23、戶組對象，如下圖所示。圖中“選擇源”右側(cè)的按鈕為正序排列和倒序排列，用戶可以方便的按序查找項目。 另外，用戶還可以選擇相應的服務，即設(shè)置源端口，如下圖所示。 4）定義規(guī)則的目的 規(guī)則的目的既可以是一個已經(jīng)定義好的 VLAN 或區(qū)域，也可以細化到一個或多個地址對象以及用戶組對象，如下圖所示。另外，用戶還可以設(shè)置進行地址轉(zhuǎn)換前的目的地址，如下圖所示。5）定義服務 選擇訪問規(guī)則包含的服務，如果用戶需要制定的服務沒有包含在服務列表中，可以通過 添加自定義服務添加所需服務。如果沒有選擇任何服務，則系統(tǒng)默認為選擇全部服務。6）定義輔助選項 各項參數(shù)說明如下：7）點擊“提交設(shè)定”完成該條訪問控制規(guī)則的設(shè)定。

24、 8）用戶可以點擊 “修改”按鈕，對現(xiàn)有規(guī)則進行編輯。可以點擊 “插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。 8）點擊“清空配置”，可以清除所有的訪問控制規(guī)則，便于重新配置。 9）需要更改規(guī)則的匹配順序時點擊該規(guī)則右側(cè) “移動”按鈕，如下圖所示。用戶可以選擇相應 ID、位置，移動策略。完成后點擊“提交設(shè)定”保存或“取消返回”放棄移動。5 高可用性配置配置網(wǎng)絡衛(wèi)士防火墻雙機熱備的步驟如下： 1）選擇 系統(tǒng) 高可用性，進入高可用性設(shè)置頁面，如下圖所示。 2） 設(shè)置主/從設(shè)備參數(shù)，參數(shù)說明請參見下表。3）點擊“提交設(shè)定”，完成雙機熱備設(shè)置。四、 透明模式配置示例拓補結(jié)構(gòu)：1 用串口管理方式進入命令行用

25、WINDOWS自帶的超級終端或者SecureCRT軟件，使用9600的速率，用串口線連接到防火墻，用戶名是superman，密碼是talent。(具體方法見第一節(jié))，下面是具體配置，加粗顯示的為命令行。2 配置接口屬性將ETH0口配置為交換模式：network interface eth0 switchport配置ETH0口的METRIC值，用于計算雙機熱備的權(quán)值：network interface eth0 ha-metric 100將ETH1口配置為交換模式：network interface eth1 switchport配置ETH1口的METRIC值，用于計算雙機熱備的權(quán)值：netwo

26、rk interface eth1 ha-metric 100配置ETH2口的METRIC值，用于計算雙機熱備的權(quán)值：network interface eth2 ha-metric 100將沒有使用的ETH2口關(guān)閉：network interface eth2 shutdown配置同步接口ETH3的IP地址和HA標記：network interface eth3 ip add mask 52 ha-static label 0配置ETH3口的METRIC值，用于計算雙機熱備的權(quán)值：network interface eth3 ha-metric 1

27、003 配置VLAN添加VLAN1：network vlan add id 1為VLAN1添加IP地址：network interface vlan.0001 ip add 50 mask label 04 配置區(qū)域?qū)傩詫^(qū)域缺省訪問權(quán)限為禁止define area add name area_eth0 attribute eth0 access offdefine area add name area_eth1 attribute eth1 access off5 定義對象定義主機地址對象define host add name 192.16

28、8.1.10 ipaddr 0 macaddr 00:19:21:50:15:1f define host add name 0 ipaddr 0 定義時間對象define schedule add name 上班時間 week 12345 start 08:00 end 18:006 添加系統(tǒng)權(quán)限為ETH0口添加TELNET權(quán)限pf service add name telnet area area_eth0 addressname any7 配置訪問策略允許0在上班時間 訪問0的P

29、ING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal這些服務：firewall policy add action accept srcarea area_eth0 dstarea area_eth1 src 0 dst 0 service PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTe

30、rminal schedule 上班時間 8 配置雙機熱備配置本機同步IPha local 配置對端機器同步IPha peer 啟動雙機熱備功能ha enable注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個地方，一個是同步接口ETH3的IP地址為；另一個是雙機熱備配置中的本機同步IP和對端機器同步IP相反，本機IP為，對端機器IP為，完成配置之后，我們先接好心跳線，將兩臺防火墻的ETH3口連接，然后接上其他接口的網(wǎng)線，到此透明模式的雙機熱備配置完成。五、 路由模式配置示

31、例拓補結(jié)構(gòu)：1 用串口管理方式進入命令行方法同上面的透明模式。2 配置接口屬性配置ETH0口的IP地址：network interface eth0 ip add 50 mask label 0配置ETH0口的METRIC值，用于計算雙機熱備的權(quán)值：network interface eth0 ha-metric 100配置ETH1口的IP地址：network interface eth1 ip add 50 mask label 0配置ETH1口的METRIC值，用于計算雙機熱備的權(quán)值：net

32、work interface eth1 ha-metric 100配置ETH2口的METRIC值，用于計算雙機熱備的權(quán)值：network interface eth2 ha-metric 100將沒有使用的ETH2口關(guān)閉：network interface eth2 shutdown配置同步接口ETH3的IP地址和HA標記：network interface eth3 ip add mask 52 ha-static label 0配置ETH3口的METRIC值，用于計算雙機熱備的權(quán)值：network interface eth3 ha-metric 1003 配置路由配置到1