02.hcie sec和參考1安全hc雙機熱備技術(shù)

1、雙機熱備技Copyright雙機熱備技Copyright .s.學(xué)完本課程后，您將能夠?qū)W完本課程后，您將能夠；Copyright .s.Page雙機熱備基本原雙機熱備基本原雙機熱備組網(wǎng)舉雙機熱備故障解Copyright .s.Page在網(wǎng)絡(luò)關(guān)鍵節(jié)點上，如果只部署一在網(wǎng)絡(luò)關(guān)鍵節(jié)點上，如果只部署一臺設(shè)備，無論其可靠性多高，系統(tǒng)都必然要承受單點故障而導(dǎo)致的網(wǎng)絡(luò)中斷的風險一般用作內(nèi)網(wǎng)的出口，是業(yè)務(wù)關(guān)鍵路徑上的設(shè)備。為了防止因一臺設(shè)故障而導(dǎo)致的業(yè)務(wù)中斷，要機熱備組網(wǎng)必須提供更高的可靠性，此時需要使雙Copyright .s.Page在雙機熱備組網(wǎng)中，當一在雙機熱備組網(wǎng)中，當一保證流量不中斷，使出現(xiàn)故障時

2、，業(yè)務(wù)流量能平滑地切換到備上用戶交互時完全感知不到曾經(jīng)出現(xiàn)過網(wǎng)絡(luò)故障Copyright .s.Page雙機熱備組網(wǎng)的建立和運雙機熱備組網(wǎng)的建立和運行需要解決以下五個關(guān)鍵問題設(shè)備的主備狀態(tài)是如何決定的如并發(fā)現(xiàn)接口或設(shè)備故障發(fā)現(xiàn)故障后，如何保證設(shè)備的主備狀態(tài)切正常情況和故障后，流量是如何引導(dǎo)的如何進行信息同步，保證主備切換后業(yè)務(wù)不中斷以上問題都是由雙機熱備特性涉及的三大協(xié)議VRPP、VGMP、HRP共同配合解決的Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備組網(wǎng)舉雙機熱備故障解Copyright .s.PageModuleModuleModuleAPP（

3、ModuleModuleModuleAPP（Copyright .s.Page負責單個接口的故障檢測和流量引導(dǎo)負責單個接口的故障檢測和流量引導(dǎo)。每個VRRP備份組擁有一個虛擬IP地址作為網(wǎng)絡(luò)的網(wǎng)關(guān)地址；在VRRP主備倒換時通過發(fā)送免費ARP來刷新對接設(shè)MAC來引導(dǎo)流量將系統(tǒng)中所有的VRRP備份組集中管理，控制狀切換，保證出現(xiàn)故障時下行流量能同步切換到備負責雙機之間的數(shù)據(jù)同步。Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網(wǎng)舉雙機熱備故障解Copyright .s.PageVRRP在引入了VRRP（VirtualRouterRedundancyProt

4、ocol）。VRRP 臺VRRP在引入了VRRP（VirtualRouterRedundancyProtocol）。VRRP 臺主VirtualIPAddress PC10.100PC默認網(wǎng)關(guān)備Copyright .s.PageVRRPVRRP報文用來將主用設(shè)備的優(yōu)先級和狀態(tài)通告給備用設(shè)備。VRRP報文承載在P上，為組播報文（組播地址為0.1VRRPVRRP報文用來將主用設(shè)備的優(yōu)先級和狀態(tài)通告給備用設(shè)備。VRRP報文承載在P上，為組播報文（組播地址為0.18），協(xié)議號為2。PriorityCopyright .s.PageVRRP加入VRRP備份組的接口有三種狀態(tài)，只VRRP加入VRRP備份組

5、的接口有三種狀態(tài)，只有處于主用狀態(tài)的設(shè)備才可響應(yīng)ARP請求，轉(zhuǎn)業(yè)務(wù)報文。并且發(fā)送VRRP報文，主動聯(lián)系備用設(shè)備。Copyright .s.PageVRRP鏈路正常時虛擬IP地址在狀態(tài)為Active的設(shè)備接口上VRRP鏈路正常時虛擬IP地址在狀態(tài)為Active的設(shè)備接口上生效PC請求網(wǎng)關(guān)地址的ARP時，只有狀態(tài)為Active的設(shè)備會應(yīng)答ARP業(yè)務(wù)流量被引導(dǎo)到狀態(tài)為Active的設(shè)備接口上進行轉(zhuǎn)發(fā)ARP備份VirtualIPAddress PC PC 默認網(wǎng)關(guān)Copyright .s.PageVRRP當Active設(shè)備出現(xiàn)接口、鏈路或整機故障時Active設(shè)備接VRRP當Active設(shè)備出現(xiàn)接口、

6、鏈路或整機故障時Active設(shè)備接口上的VRRP備份組狀態(tài)進入InitializeStandby設(shè)備接口上的VRRP備份組狀態(tài)將切換到Active ，發(fā)送免費ARP交換機上的MACPC發(fā)出的業(yè)務(wù)流量被引導(dǎo)到備用設(shè)備接口上進行轉(zhuǎn)發(fā)免費備份VirtualIPAddress PCPC默認網(wǎng)關(guān)Copyright .s.PageVRRP當上下行業(yè)務(wù)端口上都配置了VRRP備份組時，這兩個VRRP備份組是獨立行的，VRRP當上下行業(yè)務(wù)端口上都配置了VRRP備份組時，這兩個VRRP備份組是獨立行的，可能出現(xiàn)上下行兩個VRRP備份組狀態(tài)不一致的情況例如，主用網(wǎng)去的流量從備用網(wǎng)上內(nèi)網(wǎng)側(cè)的接口故障，VRRP倒換到備

7、用網(wǎng)，因上上轉(zhuǎn)發(fā)。但是側(cè)的VRRP，主用網(wǎng)VRRP仍然是主，因此回程的流量仍然會送到主用網(wǎng)回內(nèi)網(wǎng)，導(dǎo)致業(yè)務(wù)中斷上，但業(yè)務(wù)流量無備份VirtualIPAddress PCPC備份VirtualIPAddress Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網(wǎng)舉雙機熱備故障解Copyright .s.PageCopyright .s.PageCopyright .s.PageVGMP為了解決前面提到的單獨配置VRRP可能遇到的狀態(tài)不一致問題公司在VRRP的VGMP為了解決前面提到的單獨配置VRRP可能遇到的狀態(tài)不一致問題公司在VRRP的礎(chǔ)上開發(fā)了VRR

8、P組管理協(xié)議（VRRP Group Management Protocol），即VGMPVGMP的基本功能是集中管理VRRP備份組，控制VRRP備份組將一組VRRP備份組組成一個VGMP管理組。 由VGMP管理組控制所有VRRP備份組同報文跟對端設(shè)備進行協(xié)商實現(xiàn)主備狀態(tài)切vrrpvridvirtual-router-idvirtual-ipaddressip-mask|ip-mask-length|standbyvrrp6 vrid virtual-router-id virtual-ip FE80:X:X link-local active | standby vrrp6vridvirtua

9、l-router-idvirtual-ipvirtual-Device A VGMPGroupDevice B VGMPGroupVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageVGMPUSG6600 VGMP報文支持2VGMPUSG6600 VGMP報文支持2vType：VGMP報文的類型報文（常用）定義了四種o為HRP報文時，還需要在VGMP報文之上承載Copyright .s.PageVGMPVGMPVGMPVGMPCopyright .s.PageDataIPUDPVGMP(HRP)IPVRRPVGMPCopyright .s.Pa

10、geCopyright .s.PageVGMPVGMP管理組的主備狀態(tài)決定了雙VGMPVGMP管理組的主備狀態(tài)決定了雙機熱備組設(shè)備的主備狀態(tài)，因此VGMP的狀態(tài)也可以看做設(shè)備的狀態(tài)使能HRP功能關(guān)閉HRP功能對端心跳報文超時；接收到的報文中對端優(yōu)先級比本端（對端故障）搶占定時器超時；接收到的報文中對端優(yōu)先級相等，并對端不是Active狀態(tài)（之前兩端同時為Standby狀態(tài)）對端心跳報文超時；接收到的報文中，對端優(yōu)先級比本端低（對端故障）接收到的報文中，對端優(yōu)先級和本端相等，并且對端不是處于Standby狀態(tài)（被搶占，或者之前兩端同時Active狀態(tài)）Copyright .s.PageVGMP兩

11、之間的VGMP狀態(tài)主備倒換的具體交VGMP兩之間的VGMP狀態(tài)主備倒換的具體交互過程及動作分以下三種情況因接口或鏈路故障引起的切VGMP即切換，瞬間完成業(yè)務(wù)流量的倒換。因整機或心跳鏈路故障引起的這種故障發(fā)生時，由于主設(shè)備無法發(fā)送狀態(tài)通知消息到備機，因此只能依靠搶占流o報文）超時才能發(fā)現(xiàn)故障，因此切換時間為故障恢復(fù)后的切換流程，由于備設(shè)備處于正常轉(zhuǎn)發(fā)狀態(tài)，等主機故障恢復(fù)后切換回去，因此基本上不會影響業(yè)Copyright .s.PageVGMP狀態(tài)切換三大原每個VGMP狀態(tài)切換三大原每個接口Down時，VGMP管理組優(yōu)先級降低2，計算公式為VGMP管理組優(yōu)先級=VGMP管理組初始優(yōu)先級-每臺設(shè)備的

12、VGMP管理組初始狀態(tài)由用戶指定（ Active或先級為65001， Standby的優(yōu)先級為65000ActiveVGMP管理組的狀態(tài)決定了該設(shè)備的主備狀態(tài)，也決定了VGMP管理組成員VRRP備份組或接口）的狀態(tài)Copyright .s.Page接口或鏈路故障引起的狀態(tài)切DeviceB DeviceA 進入Initialize狀態(tài)） (2)調(diào)整優(yōu)先級 接口或鏈路故障引起的狀態(tài)切DeviceB DeviceA 進入Initialize狀態(tài)） (2)調(diào)整優(yōu)先級 VRPVRRP(4) VGMP管理組收到請求切換的報文，比較本身的優(yōu) (5)本端優(yōu)先級高，將自己切換到主狀態(tài) (6)控制VGMP管理組中

13、所有成(7)回一個確認報文(8)VGMP VRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageDeviceB VGMPGroup DeviceA VGMPGroup 心跳鏈路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRPVRRPDeviceB VGMPGroup DeviceA VGMPGroup 心跳鏈路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRP

14、VRRPVRRPVRRPOOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP(1)整機故障 (2)(1)心跳鏈路故障(2)(3) (4)切換到主狀態(tài) (5)控制VGMPCopyright .s.Page故障恢復(fù)回切（搶占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延時結(jié)束，VRRP故障恢復(fù)回切（搶占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延時結(jié)束，VRRPVRRPOVRRPVR

15、RPVRRPVRRP(5)收到請求報文，比較本身的優(yōu)先級和報文中攜帶的優(yōu)先級數(shù) (6) (7)流量 (8)發(fā)送確認報文(9) (10控制VGMPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP缺省情況下，VGMP管理組的搶占功能為啟狀態(tài)，搶占延遲時間為60shrpOVRRPVRRPVRRPVRRPVRRPVRRPCopyright .s.Page加入到VGMP管理組中的VRRP備份組中接口的優(yōu)先級還起作用么原始的VRRP協(xié)議中VRRP加入到VGMP管理組中的VRRP備份組中接口的優(yōu)先級還起作用么原始的VRRP協(xié)議中VRRP備份組的接口優(yōu)先級是手

16、工指定的，雙機熱備中功能已經(jīng)失效（保持缺省值100不變），改由VGMP管理組的優(yōu)先級取代了VRRP組中接口優(yōu)先級加入到VGMP管理組中的VRRP備份組的接口主備狀態(tài)是由什么決定原始的VRRP協(xié)議中VRRP備份組的接口的主備狀態(tài)是由接口優(yōu)先級決定的，但管理組下VRRP備份組的接口主備狀態(tài)實際上是由VMP管理組狀態(tài)決定的，所以 VRRP備份組的狀態(tài)機中主備狀態(tài)已經(jīng)沒有實際意義了。VGMP管理組只能通過VRRP備份接口狀態(tài)么No， VGMP提供了多種故障監(jiān)接口狀態(tài)來應(yīng)對復(fù)雜的組網(wǎng)情況，不只是通過VRRP備份Copyright .s.PageCopyright .s.PageCopyright .s.

17、Page各種故障，才能觸發(fā)后續(xù)的業(yè)務(wù)倒換。前面提到的檢測VRRP備份組所在接口故障，只是VGMP眾多故障檢中的一各種故障，才能觸發(fā)后續(xù)的業(yè)務(wù)倒換。前面提到的檢測VRRP備份組所在接口故障，只是VGMP眾多故障檢中的一種。目前雙機熱備中檢測故障的方式有以下檢測VRRP備份組狀態(tài)：用機場景業(yè)務(wù)接口為三層接口，業(yè)務(wù)接口連接二層直接檢測單個物理接口狀態(tài)：由于三層設(shè)備無法處理VRRP組播報文，所以當墻業(yè)務(wù)接口為三層接口，業(yè)務(wù)接口連接三層設(shè)備（路由器）時使用此方式檢測透明模式下VLAN接口狀態(tài)：由VRRP，所以采用此方式業(yè)務(wù)接口為二層接口，無法配檢測IP-LINK邏輯鏈路的狀態(tài)：用于檢測非直檢測BFD邏輯

18、鏈路的狀態(tài)：用于檢測非直連鏈路的可達Copyright .s.Page檢測VRRP備份組當用三層接口連接二層設(shè)檢測VRRP備份組當用三層接口連接二層設(shè)備時，可以在接口下配置VRRP，將VRRP備份組加到VGMP管理組中物理端口故障時，接口下的VRRP備份組狀態(tài)：Active或Standby 物理端口故障恢復(fù)時，接口下的VRRP備份組狀態(tài)：Initialize Active或Standby 組之間的主備切換，進而影響管理組中所有成員同步切換，業(yè)務(wù)流量也隨之進vrrpvridvirtual-router-idvirtual-ipvirtual-addressip-mask|ip-mask-leng

19、thactivestandbyvrrp6vridvirtual-router-idvirtual-ipFE80:X:Xlink-localactive|standbyvrrp6vridvirtual-router-idvirtual-ipvirtual-ipv6-Copyright s.Page直接檢測接口狀當接口連接三層設(shè)備時，可以配直接檢測接口狀當接口連接三層設(shè)備時，可以配置由VGMP管理組鏈路狀態(tài)。當接狀態(tài)變化時，將直接觸發(fā)相關(guān)的VGMP管理組調(diào)整優(yōu)先級并進行主備倒接口視hrptrackactive |standby檢測透明模式下VLAN接口狀當接口為二層接口時（透明模式），可以由VGM

20、P管理組直整個VLAN當VLAN中有任何一個接口狀態(tài)變化時，都會觸發(fā)相關(guān)的VMP并進行主備倒換。VLAN視圖下hrptrackactive |standbyCopyright .s.Page檢測IP-LINK邏輯鏈路狀VGMP可以利用IP-LINK用來探測檢測IP-LINK邏輯鏈路狀VGMP可以利用IP-LINK用來探測可以用來檢測以下幾種故直連或者非直連鏈路的三層可達性。IP-非直連鏈路（中間接有交換機或傳輸設(shè)備），遠端設(shè)備故障在這幾種情況下，有可能本端接口狀態(tài)為UP，但鏈路無法轉(zhuǎn)發(fā)報文?？梢酝ㄟ^管理組系統(tǒng)視圖下IP-LINK鏈路檢測結(jié)果來檢測這種故障hrptrackip-linklink-

21、idactive |standbyCopyright .s.Page檢測BFD鏈路的狀VGMP可以利用BFD用來探檢測BFD鏈路的狀VGMP可以利用BFD用來探測用來檢測以下幾種故直連或者非直連鏈路的三層可達性。 BFD可非直連鏈路（中間接有交換機或傳輸設(shè)備），遠端設(shè)備故障在這幾種情況下，有可能本端接口狀態(tài)為UP，但鏈路無法轉(zhuǎn)發(fā)報文?？梢酝ㄟ^管理組檢測BFD鏈路來發(fā)現(xiàn)這種故障系統(tǒng)視圖下hrptrackbfd-local-discr-valueactive|standbyCopyright .s.PageCopyright .s.PageCopyright .s.Page當VGMP管理組檢測到成

22、員狀態(tài)變化，當VGMP管理組檢測到成員狀態(tài)變化，從而進行主備倒換之后有效地業(yè)務(wù)流量進行引導(dǎo)。VGMP管理組的流量引導(dǎo)功能負責在倒換時進行業(yè)務(wù)流量的引。目前VGMP管理組支持的業(yè)務(wù)流量有如下幾種虛擬IP地址方式：用路由COST調(diào)整方式：用VLAN啟用和禁用方式：用三層業(yè)務(wù)接口連接二層交換機組網(wǎng)三層業(yè)務(wù)接口連接路由器，主備備份組網(wǎng)三層業(yè)務(wù)接口連接路由器，路由器組網(wǎng)，負業(yè)務(wù)接口工作在透明模式的組網(wǎng)Copyright .s.Page虛擬IP地址方與對接的設(shè)備上配置到目的網(wǎng)段的報文，下虛擬IP地址方與對接的設(shè)備上配置到目的網(wǎng)段的報文，下一跳為VRRP備份組的虛IPVRRP狀態(tài)變化時，新的主設(shè)備將發(fā)送免費

23、ARP，刷行上下行設(shè)備的MA將下一跳為虛IP的業(yè)務(wù)報文引導(dǎo)到新的主設(shè)備業(yè)務(wù)接口上。當對接設(shè)備請求虛IP的ARP時，只有主設(shè)備才會進行ARP應(yīng)答，備份VirtualIPAddress PCCopyright .s.Page路由COST調(diào)整方主與對接的設(shè)備上運行OSPF動態(tài)路由協(xié)主設(shè)備業(yè)務(wù)路由COST調(diào)整方主與對接的設(shè)備上運行OSPF動態(tài)路由協(xié)主設(shè)備業(yè)務(wù)配置的路由COST較小，業(yè)務(wù)流量送到主設(shè)備進行轉(zhuǎn)主設(shè)備業(yè)務(wù)板故障或者其它不運行SPF的業(yè)務(wù)端口故障，SPF能自動收斂；VGMP管理組能感知到這種故障，進行主備倒換；狀態(tài)為Standby的VGMP管理組，控制運行OSPF的業(yè)務(wù)鏈路自動升高路COST，

24、觸發(fā)對接設(shè)備路由收斂到備用設(shè)備COSTCOSTCOSTCOST standby-cost standby-costCOSTCOSTCopyright .s.Page動態(tài)路由收主與對接的設(shè)備上運行動態(tài)動態(tài)路由收主與對接的設(shè)備上運行動態(tài)路由協(xié)議一般情況下，主設(shè)備相關(guān)業(yè)務(wù)進行轉(zhuǎn)發(fā)配置的路由COST較小，業(yè)務(wù)流量送到主主設(shè)備業(yè)務(wù)端口故障時，動態(tài)路由自動收斂，業(yè)務(wù)流量送到備用設(shè)備繼續(xù)進行轉(zhuǎn)發(fā)使用動態(tài)路由方式，故障發(fā)生時，不需要VGMP管理組控制流量倒換Copyright .s.PageVLAN啟用和禁用方當工作在二層轉(zhuǎn)發(fā)時，無法通過路由的變化VLAN啟用和禁用方當工作在二層轉(zhuǎn)發(fā)時，無法通過路由的變化來引

25、導(dǎo)上下行設(shè)備的流量。通過用接口down/up的方式來刷新上下行設(shè)備的MAC或促使路由收斂，然后通過能/禁用VLAN轉(zhuǎn)發(fā)功能的方式來保證流量不會發(fā)送到出故障。二層轉(zhuǎn)發(fā)模式下，VLAN和VGMP管理組綁定管理組狀態(tài)為Active：VLAN能轉(zhuǎn)發(fā)報文管理組狀態(tài)為Standby：VLAN被禁用，不能轉(zhuǎn)發(fā)報文管理組切換到Standby時，VLAN內(nèi)所有接口都會downup一次，觸發(fā)上下行刷新MAC或者路由收斂；接口重新up后，由于VLAN被禁用，接口仍然法轉(zhuǎn)發(fā)相關(guān)VLAN的報文VLAN內(nèi)任何一個接口故觸發(fā)VGMP管理組調(diào)整優(yōu)先主備倒備VLAN被禁用 備設(shè)備VLAN被使能，轉(zhuǎn)發(fā)業(yè)務(wù)Copyright .s

26、.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網(wǎng)舉雙機熱備故障解Copyright .s.PageHRP狀態(tài)檢對于每一個會話連接都有一個會話表項與之對應(yīng)，主用HRP狀態(tài)檢對于每一個會話連接都有一個會話表項與之對應(yīng)，主用設(shè)備處理業(yè)備的業(yè)務(wù)流量因為無法匹配會話表而中斷。為了實現(xiàn)主用備用設(shè)備平滑切換，必須用和備用設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息引入了Redundancy Protocol）協(xié)議，實置命令的實時備份雙機之間動態(tài)狀態(tài)數(shù)據(jù)和關(guān)鍵在雙機熱備組網(wǎng)中，指定心跳線作為專門的備份通道，用于備份配置命令和狀態(tài)信Device A VGMPGroup Device B VGMP

27、Group VRRPVRRPVRRPVRRPVRRPVRRP心跳線-備份通VRRPVRRPCopyright .s.PageHRPHRP報文實際上是一種HRPHRP報文實際上是一種VGMP報文，承載在VGMP報文的DATA封裝方式管理面HRP報文兩種封裝VRRP封UDP封管理面HRP報文中會攜帶以下信息：指定自動備份還是批量備份、指定是發(fā)送還是應(yīng)、備份的數(shù)據(jù)類型轉(zhuǎn)發(fā)面HRP同步報文（實時備份報文）也有兩種封VRRP封UDP封Copyright .s.PageHRPdata-flowloghost host-idip-addressip-addressHRPdata-flowloghost ho

28、st-idip-addressip-address port port-number -instance-name data-flowloghost sourceip-addressip-addresssource-portport-numberCopyright Page.安全策略 、NAT策略 、帶寬管理 、認證策略 防范 、地址、服務(wù)、應(yīng)用、用戶、認證服務(wù)器、時間段、URL分類、關(guān)鍵字組、郵件地址組、簽名 、安全配置文件（反防御 、URL過濾、文件過濾 、內(nèi)容過濾 、應(yīng)用行為控制 、郵件過濾）新建邏輯接口、安全區(qū)域、DNS、IPSec、TSM聯(lián)HRP可以備份的主用設(shè)備狀態(tài)N表表表HRP可

29、以備份的主用設(shè)備狀態(tài)N表表表1erface-numberremoteip-address2hrpCopyright .s.PageHRP備份方備份命備份狀態(tài)信配置命（缺省開啟一條可以備份 令 HRP備份方備份命備份狀態(tài)信配置命（缺省開啟一條可以備份 令 hrpauto-config|us（手工觸發(fā)hrpsync configushrpmirrorses Copyright Page.running：正常運行會判斷心跳接口的物理與協(xié)議狀態(tài)。心跳ready：正常運行。此接口為備用備份通道，當前未使用peerdown：本端正常，但是收不到對端的心跳報invalid：未指定心跳口的IP地址，心跳口工作

30、在二層down：心跳接口的物理狀態(tài)與協(xié)議狀態(tài)均為DownCopyright .s.PageVGMreaVGMread狀態(tài)的心跳接口。此動作與對端無關(guān)。Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網(wǎng)舉雙機熱備故障解Copyright .s.PageCopyright .s.PageCopyright .s.Page場主備備負載分Copyright .s.Page場主備備負載分Copyright s.Page.Copyright s.Page. 雙機熱備概雙機熱雙機熱備概雙機熱備基本原雙機熱備故障解Copyright .s.Page三大配置原則在雙機熱

31、備三大配置原則在雙機熱備組網(wǎng)中，在配置其雙機狀態(tài)正常于互為主備的狀態(tài)，所以業(yè)務(wù)性要在兩個設(shè)備上分別配置Copyright .s.Page。 ntCopyright .s.Page雙機熱備與NAT雙機熱備與NAT雙機熱備與IPSecCopyright .s.PageCopyright .sCopyright .s.PageWeb 此場景要配置VRRP虛擬Web 此場景要配置VRRP虛擬IP Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEtherne

32、t1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_A配#hrperfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10

33、.2.0.1vrrpvrid1virtual-ip1.1.1.1255.255.255.0active erfaceGigabitEthernetipaddress10.3.0.1vrrpvrid2virtual-ip10.3.0.3active erfaceGigabitEthernetipaddress10.10.0.1#firewallzonetrust set priority 85erfaceGigabitEthernet1/0/3 firewallzonesetpriorityerfaceGigabitEthernetCLICopyright .sCLICopyright .s.P

34、age#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_B配#hrphrps

35、tandby-erfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10.2.0.2vrrpvrid1virtual-ip1.1.1.1255.255.255.0standby erfaceGigabitEthernetipaddress10.3.0.2vrrpvrid2virtual-ip10.3.0.3standby erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonetrust set priority 85erfaceGigabitEthernet1

36、/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 備用設(shè)備（缺省值，可調(diào)整）Copyright 備用設(shè)備（缺省值，可調(diào)整）Copyright .s.PageWeb 此場景要配接口（HRP Web 此場景要配接口（HRP 2.啟用OSPFCopyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 ospfareanetwork10.2.0.0network10.3.

37、0.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFWA#hrppf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2.0.1255.255.255.0 hrp track active#erface Gig

38、abitEthernet 1/0/3 ipaddress10.3.0.1255.255.255.0 hrp track active#erfaceGigabitEthernetipaddress10.10.0.1255.255.255.0 firewall zonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernetCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceG

39、igabitEthernet1/0/7 ospfareanetwork10.2.1.0network10.3.1.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneFWB#hrphrpstandby-pf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2

40、.1.1255.255.255.0 hrp track standby#erface GigabitEthernet 1/0/3 ipaddress10.3.1.1255.255.255.0 hrp track standby#erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonesetpriority erfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 。N 。NCopyright .s.PageWeb

41、OSPF”此場景要配置VRRP虛Web OSPF”此場景要配置VRRP虛擬IP 此場景要配接口（HRP Copyright .s.PageCLIs15.5.255.255.0PageCLIs15.5.255.255.0Page Copyright #firewallzonetrust set priority 85 Ethernet#firewallzoneuntrust set priority 5Ethernet#firewallzonedmz set priority 50 Ethernet#ospfareanetworknetwork#security-rule name policy

42、_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFW_B的配置#ospfareanetwork10.2.0.0network10.3.0.0#security-rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destinati

43、on-zonedestination-zoneuntrust action permit#hrp mirror seshrp enablehrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.1.1255.255.255.0hrp track active hrptrackstandby#erface GigabitEthernet 1/0/3 address10.3.0.2255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpv

44、rid2virtual-ip10.3.0.4 #erfaceGigabitEthernetFWA#hrpmirrorhrphrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.0.1255.255.255.0hrptrackhrptrack#erface GigabitEthernet 1/0/3 address10.3.0.1255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpvrid2virtual-ip10.3.0.4 #

45、erface GigabitEthernet 1/0/7 address10.10.0.1255.255.255.0#firewallzonetrust set priority 85erfaceGigabitEthernet#firewallzoneuntrust set priority 5erfaceGigabitEthernet#firewallzonedmz set priority 50erfaceGigabitEthernet 接量通過Copyright 接量通過Copyright .s.PageWeb 2.CopyrightWeb 2.Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet1/0/1 firewallzonesetpriorityerfaceGigabitEthernet1/0/7 rule name policy_sec source-zone