华为防火墙 双机热备配置.doc

《华为防火墙 双机热备配置.doc》由会员分享，可在线阅读，更多相关《华为防火墙 双机热备配置.doc（68页珍藏版）》请在咨信网上搜索。

Quidway Eudemon 300/500/1000 配置指南 可靠性分册 表格目录 目 录 1 双机热备份配置 1-1 1.1 简介 1-2 1.1.1 总体概述 1-2 1.1.2 VRRP概述 1-3 1.1.3 VGMP概述 1-4 1.1.4 备份方式分类 1-5 1.1.5 HRP应用 1-9 1.1.6 配置设备的主从划分 1-10 1.1.7 配置命令和状态信息的备份 1-11 1.1.8 双机热备份的组网方式 1-12 1.1.9 报文来回路径不一致的组网 1-13 1.2 配置VRRP备份组 1-18 1.2.1 建立配置任务 1-18 1.2.2 配置未加入VRRP管理组的VRRP备份组 1-18 1.2.3 配置加入VRRP管理组的VRRP备份组 1-19 1.2.4 检查配置结果 1-20 1.3 配置VRRP管理组 1-21 1.3.1 建立配置任务 1-21 1.3.2 配置路由模式下的VRRP管理组 1-22 1.3.3 配置混合模式下的VRRP管理组 1-23 1.3.4 检查配置结果 1-24 1.4 配置双机热备份 1-24 1.4.1 建立配置任务 1-24 1.4.2 配置来回路径一致时的双机热备份 1-25 1.4.3 检查配置结果 1-26 1.5 配置来回路径不一致时的链路可达性检查 1-26 1.5.1 建立配置任务 1-26 1.5.2 检查链路可达性 1-27 1.6 使能来回路径不一致时的会话快速备份和报文搬迁 1-28 1.6.1 建立配置任务 1-28 1.6.2 使能会话快速备份 1-29 1.6.3 使能报文搬迁 1-29 1.7 配置备防火墙上的NAT 1-29 1.7.1 建立配置任务 1-29 1.7.2 配置备防火墙上的NAT 1-30 1.7.3 配置备防火墙上的内部服务器 1-30 1.8 维护 1-31 1.8.1 调试VRRP报文、状态和定时器 1-31 1.8.2 调试VRRP管理组 1-31 1.8.3 调试HRP 1-31 1.8.4 检查两端配置的一致性 1-32 1.8.5 查看IP链路状态 1-32 1.8.6 调试IP链路 1-32 1.8.7 调试HRP配置检查功能 1-33 1.9 配置举例 1-33 1.9.1 配置使用VRRP管理组的主备备份示例 1-33 1.9.2 配置使用VRRP管理组的负载分担示例 1-37 1.9.3 配置混合模式下的使用VRRP管理组的主备备份示例 1-42 1.9.4 配置路由模式下的双机热备份示例 1-45 1.9.5 配置混合模式下的双机热备份示例 1-46 1.9.6 配置OSPF和双机热备份混合组网示例 1-48 1.9.7 配置IP link示例 1-56 1.9.8 配置两端状态一致性检查 1-58 1.9.9 配置会话快速备份 1-60 1.9.10 配置报文搬迁 1-61 文档版本 02 (2007-12-15) 华为技术有限公司 v 插图目录 图1-1 来回路径一致组网图 1-2 图1-2 来回路径不一致组网图 1-2 图1-3 采用缺省路由的组网 1-3 图1-4 采用VRRP的虚拟路由器组网 1-4 图1-5 Eudemon备份的典型组网 1-4 图1-6 Eudemon备份的状态 1-5 图1-7 主备备份组网 1-6 图1-8 负载分担组网（1） 1-7 图1-9 负载分担组网（2） 1-9 图1-10 Eudemon主备备份的典型数据路径 1-10 图1-11 来回路径不一致组网图 1-13 图1-12 H型结构 1-14 图1-13 h型结构 1-15 图1-14 N型结构 1-16 图1-15 |-型结构 1-17 图1-16 使用VRRP管理组的主备备份组网 1-34 图1-17 使用VRRP管理组的负载分担组网 1-38 图1-18 混合模式下的VRRP管理组的主备备份组网图 1-42 图1-19 混合模式下的双机热备分组网图 1-47 图1-20 OSPF和双机热备份混合组网图 1-49 图1-21 采用路由器的双机热备分组网图 1-56 图1-22 配置两端状态一致性检查组网图 1-59 图1-23 配置会话快速备份 1-60 表格目录 表1-1 主备备份方式下各设备的状态 1-6 表1-2 负载分担方式下各设备的状态（1） 1-8 表1-3 负载分担方式下各设备的状态（2） 1-8 表1-4 检查VRRP备份组配置 1-20 表1-5 检查VRRP管理组配置 1-24 表1-6 检查双机热备配置 1-26 表1-7 调试VRRP报文、状态和定时器的相关操作 1-31 表1-8 调试VRRP管理组的相关操作 1-31 表1-9 调试HRP的相关操作 1-31 表1-10 查看IP链路状态 1-32 表1-11 调试IP链路的相关操作 1-32 表1-12 调试HRP配置检查功能的相关操作 1-33 Quidway Eudemon 300/500/1000 配置指南 可靠性分册 1 双机热备份配置 1 双机热备份配置 关于本章 本章描述内容如下表所示。 标题 内容 1.1 简介 介绍双机热备份的基本原理和组网 1.2 配置VRRP备份组 介绍VRRP备份组的配置方法 1.3 配置VRRP管理组 介绍VRRP管理组的配置方法 1.4 配置双机热备份 介绍双机热备份的配置方法 1.5 配置来回路径不一致时的链路可达性检查 介绍来回路径不一致时的链路可达性检查的配置方法 1.6 使能来回路径不一致时的会话快速备份和报文搬迁 介绍来回路径不一致时的会话快速备份和报文搬迁的配置方法 1.7 配置备防火墙上的NAT 介绍备防火墙上的NAT的配置方法 1.8 维护 介绍双机热备份的维护方法 1.9 配置举例 介绍配置举例 1.1 简介 1.1.1 总体概述 网络拓扑结构可以根据报文的来回路径是否一致分为如下两种： l 来回路径一致组网 l 来回路径不一致组网 典型组网图分别如图1-1、图1-2所示。 图1-1 来回路径一致组网图 图1-2 来回路径不一致组网图 上述网络均可以部署Eudemon防火墙的双机热备份功能，保证不会出现因单点故障导致的通话中断。 Eudemon防火墙的双机热备份需要三个协议的支持： l VRRP（Virtual Router Redundancy Protocol）是由RFC2338定义的一种容错协议，通过实现物理设备和逻辑设备的分离，实现在多个出口网关之间进行选路。 l VGMP（VRRP Group Management Protocol）是华为公司为防止VRRP状态不一致现象的发生，在VRRP的基础上自主开发出的扩展协议。该协议负责统一管理加入其中的各备份组VRRP的状态。 l HRP（Huawei Redundancy Protocol）协议用来进行防火墙的动态状态数据的实时备份。 通常，内部网络的主机都配置一条缺省路由，下一跳为出口路由器的接口IP地址。如图1-3所示，IP地址为10.100.10.1/24。 图1-3 采用缺省路由的组网 内外部用户的交互报文全部通过Router A。如果Router A出现故障，内部网络中所有以Router A为缺省路由下一跳的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。 1.1.2 VRRP概述 VRRP正是为了解决上述问题而提出来的。作为一种容错协议，VRRP适用于支持组播或广播的局域网（如以太网等）。 VRRP将局域网的一组路由器构成一个备份组，功能上相当于一台虚拟路由器。局域网内的主机仅仅知道这个虚拟路由器的IP地址，而不知道备份组内的具体设备的IP地址。它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟路由器与其它网络进行通信。 备份组中，仅有一台设备处于活动状态，称为主用设备（Master）；其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备，称为备份设备（Backup）。 图1-4所示为三台路由器组成的备份组。 图1-4 采用VRRP的虚拟路由器组网 VRRP机制将该虚拟路由器动态关联到某承担传输业务的物理路由器上，从而当该物理路由器出现故障时能再次选择新路由器来接替业务传输工作，整个过程对用户来说是完全透明的，这就很好实现了内部网络和外部网络之间不间断通信。 1.1.3 VGMP概述 Eudemon备份的典型组网如图1-5所示。每个安全区域的接口均形成一个VRRP备份组，各VRRP备份组均相对独立，且单独工作。 图1-5 Eudemon备份的典型组网 此时，由于Eudemon是状态防火墙，只检查会话流的首报文，并动态生成会话表项。后续报文（包括返回报文）只有匹配该会话表项才能通过Eudemon。当某会话的进路径和出路径不一致时，后续报文或返回报文将无法匹配防火墙的会话表项，导致报文被丢弃。如图1-6所示，返回报文通过路径（5）～（9）到达Eudemon B后将会被丢弃。 图1-6 Eudemon备份的状态 传统VRRP机制中，由于各VRRP备份组相对独立，无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用，即传统VRRP方式将无法实现Eudemon防火墙VRRP状态的一致性。 华为公司为解决上述问题，提出VGMP扩展协议，负责统一管理加入其中的各备份组VRRP状态。借助VGMP机制，可以实现对多个VRRP备份组（虚拟防火墙）的状态一致性管理、抢占管理和通道管理等，保证一台防火墙上的接口同时处于主用或备用状态，实现Eudemon防火墙VRRP状态的一致性。 1.1.4 备份方式分类 主备备份 通过接口、备份组、管理组之间的不同组合，可以实现两台Eudemon防火墙主备备份、负载分担等方式。在选择备份方式时，防火墙根据备份组的数量、各备份组中防火墙的优先级关系来确定采用哪种工作方式。 借助VGMP机制，可以实现主备备份，即每个Eudemon防火墙上都配置相同编号的VRRP管理组，但是优先级不同。如图1-7所示。 图1-7 主备备份组网 A1、A2、A3 Eudemon A的接口 B1、B2、B3 Eudemon B的接口 在图1-7中： l Eudemon A上的VRRP管理组1包含备份组1、2、3，优先级为Level1。 l Eudemon B上的VRRP管理组1也包含备份组1、2、3，优先级为Level2。 由于Level1>Level2，所以Eudemon A作为Master防火墙，Eudemon B作为Backup防火墙。 表1-1 主备备份方式下各设备的状态 防火墙设备 管理组1 成员 优先级 状态 会话量 A 备份组1，2，3 Level1 Master 全部 B 备份组1，2，3 Level2 Backup 0 Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A防火墙（Master）的A1、A2和A3接口，由该防火墙承担全部会话业务。 当Master防火墙出现故障或相关链路故障时，状态发生切换，Backup防火墙变成Master，并开始承担全部会话业务。 负载分担 负载分担方式包括如下两种： l 简化的负载分担（复用原有接口） 所谓负载分担，也可以称为互为主备。每个Eudemon防火墙上分别配置两个不同编号的VRRP管理组，具有不同的优先级，如图1-8所示。 图1-8 负载分担组网（1） A1、A2、A3 Eudemon A的接口 B1、B2、B3 Eudemon B的接口 Eudemon A的VRRP管理组： − VRRP管理组1包含备份组1、2、3，优先级为Level1。 − VRRP管理组2包含备份组4、5、6，优先级为Level2。 − Level1>Level2。 Eudemon B的VRRP管理组： − VRRP管理组1包括备份组1、2、3，优先级为Level3。 − VRRP管理组2包含备份组4、5、6，优先级为Level4。 − Level3<Level4。 其中，Eudemon A和Eudemon B的管理组优先级关系如下： − Level1=Level4。 − Level2=Level3。 Eudemon A是VRRP管理组1协商出的Master，也是管理组2协商出的Backup；同样Eudemon B是VRRP管理组1协商出的Backup，也是管理组2协商出的Master。 表1-2 负载分担方式下各设备的状态（1） 防火墙设备 管理组1 管理组2 成员 优先级 状态 会话量 成员 优先级 状态 会话量 A 备份组1，2，3 Level1 Master 部分 备份组4，5，6 Level2 Backup 0 B 备份组1，2，3 Level3 Backup 0 备份组4，5，6 Level4 Master 部分 由于Eudemon A和Eudemon B的两个VRRP管理组的优先级存在交叉关系，即上文所说的Level1=Level4、Level2=Level3，所以Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A的A1、A2和A3接口，另一部分会话业务发送到Eudemon B防火墙的B1、B2和B3接口，有两台防火墙共同分担话务量。 如果Eudemon B防火墙出现故障，则VRRP管理组2将重新裁决各设备的状态，Eudemon A状态切换为Master，Eudemon B状态切换为Backup。此时Eudemon A防火墙承担全部会话业务。上表的状态则变为： 表1-3 负载分担方式下各设备的状态（2） 防火墙 管理组1 管理组2 成员 优先级 状态 会话量 成员 优先级 状态 会话量 A 备份组1，2，3 Level1 Master 部分 备份组4，5，6 Level2 Master 部分 B 备份组1，2，3 Level3 Backup 0 备份组4，5，6 <Level2 Backup 0 当Eudemon B防火墙恢复正常后，Eudemon B将继续成为管理组2的Master，流量将在两个防火墙之间负载分担。 l 复杂的负载分担（新增负载分担接口） 当Eudemon防火墙的接口速率难以顺畅传输高速业务流时，为了保证一条物理线路上传输顺畅，建议为Eudemon防火墙添加新接口，并基于新接口配置用于负载分担的备份组。如图1-9所示。 图1-9 负载分担组网（2） A1、A2、A3、A4、A5、A6 Eudemon A的接口 B1、B2、B3、B4、B5、B6 Eudemon B的接口 原有备份组为备份组1、2和3。其中： − 备份组1包括Eudemon A的A1接口、Eudemon B的B4接口。 − 备份组2包括Eudemon A的A3接口、Eudemon B的B2接口。 − 备份组3包括Eudemon A的A6接口、Eudemon B的B5接口。 添加三个新的备份组4、5和6。其中： − 备份组4包括Eudemon A的A2接口、Eudemon B的B3接口。 − 备份组5包括Eudemon A的A4接口、Eudemon B的B1接口。 − 备份组6包括Eudemon A的A5接口、Eudemon B的B6接口。 Eudemon A和Eudemon B的管理组和备份组建的关系如下： − 管理组1包含备份组1、2和3。 − 管理组2包含备份组4、5和6。 Eudemon A是VRRP管理组1协商出的Master，也是管理组2协商出的Backup；Eudemon B是VRRP管理组1协商出的Backup，也是管理组2协商出的Master。 1.1.5 HRP应用 Eudemon防火墙是状态防火墙，对于每一个动态生成的会话连接，Eudemon防火墙上都有一个会话表项与之对应。如图1-10所示。 图1-10 Eudemon主备备份的典型数据路径 假设采用主备备份方式，Eudemon A防火墙作为Master设备并承担所有数据传输任务，其上创建了很多动态会话表项；而Eudemon B防火墙由于处于备份状态，没有任何流量经过。 如果Eudemon A出现故障或相关链路出现问题，Eudemon B将会切换状态而变成新的Master，并开始承担传输任务。如果状态切换前，会话表项和配置命令没有备份到Eudemon B，则先前经过Eudemon A的所有会话都会因为无法匹配Eudemon B的会话表而断链，导致业务中断，从而影响业务正常进行。 为了实现Master设备出现故障时能由Backup设备平滑地接替工作，需要在Master和Backup设备之间备份关键配置命令和会话表状态信息。为此，华为公司推出了HRP。 启动HRP双机热备份功能后，如果Master防火墙发生故障，导致VRRP管理组状态改变，VRRP管理组上报该状态到HRP模块，由HRP模块裁决当前是否完成配置命令和会话状态信息的同步备份。如果完成则引起VRRP管理组发生抢占，并进而引起VRRP备份组抢占，从而实现Backup防火墙平滑地接替工作。 1.1.6 配置设备的主从划分 当采用负载分担方式时，网络中存在两台Master设备，用户可能在两台Master设备上输入了很多命令。当其中一台Master设备出现故障时，如何在这两台防火墙之间备份信息、需要备份哪些命令以及备份方向都是需要考虑的问题。 为了避免备份时混乱，Eudemon防火墙中引入了配置主设备、配置从设备概念。发送配置备份内容的防火墙被称为配置主设备，接收配置备份内容的防火墙称为配置从设备。一台防火墙要想成为配置主设备，必须具备如下条件： l 只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。 l 在负载分担方式下，参与双机热备份的两台Eudemon防火墙都是Master，此时则按照VRRP备份组优先级、接口真实IP地址从大到小的顺序选择配置主设备。 除非配置主设备出现故障或者退出VRRP备份组，否则配置主设备与配置从设备之间不进行转换，从而尽力保证了配置主设备的稳定性。 配置设备的主从划分仅仅是在负载分担方式下引入的概念，主备备份方式下不涉及配置设备主从划分。 1.1.7 配置命令和状态信息的备份 防火墙备份的信息 目前，Eudemon防火墙上的双机热备份功能支持配置命令和连接状态信息的备份，可以通过自动备份和手工批量备份两种方式实现。 防火墙备份的信息包括如下两种： l 状态信息 − 防火墙生成的会话表表项 − 动态黑名单表项 − NAT表项 l 配置命令 − ACL包过滤命令 − 攻击防范命令 − 地址绑定命令 − 黑名单命令 包括黑名单的启动命令、手工添加黑名单表项命令 − 日志命令 − NAT命令 − 统计命令 − 区域命令 包括创建安全区域，设置区域优先级以及接口加入安全区域 − ASPF命令 − 清除会话表项的命令 − 清除配置的命令 信息备份方向 状态信息是从备份组中的Master防火墙备份到Backup防火墙。如果进行双机热备份的两台Eudemon防火墙分别是两个备份组的Master，则连接状态会互相备份，由系统决定需要备份的连接状态信息的内容。 配置命令只能进行单向备份。即备份方向只能从配置主防火墙到配置从防火墙，不能反向备份。 自动备份 自动备份方式包括自动实时备份和自动批量备份。分别从如下两方面进行说明： l 配置命令的备份 自动批量备份是指当配置从设备接替工作或重新启动时，由配置主设备将所有配置命令批量备份到配置从设备，配置从设备执行仅需要双机备份的配置命令，从而实现主/备防火墙之间的配置同步。 自动实时备份在自动批量备份后进行。在Eudemon防火墙运行过程中，当配置主设备识别到启动双机热备份的命令时，配置主设备自动将配置命令备份到配置从设备，从而配置从设备运行这些配置命令。 在配置主设备、配置从设备都正常工作的情况下，如果启动自动实时备份功能，则在配置主设备上每输入一条需要双机备份的命令时，此配置命令将被传送给到配置从设备并执行；如果在配置主设备上输入不需要双机备份的命令，则该命令仅在配置主设备上执行，不会被传送到配置从设备。对于在配置从设备上执行的命令，不会被传送到配置主设备。当配置从设备未工作或工作异常时，自动备份无法进行。 l 连接状态的备份 自动批量备份是指当Backup防火墙接替工作或重新启动时，由Master防火墙将所有连接状态信息备份到Backup防火墙，并由Backup防火墙进行状态处理。 自动实时备份在自动批量备份后进行。在Eudemon防火墙运行过程中，当Master防火墙上产生了需要备份的连接状态信息时，Master防火墙自动将连接状态信息备份到Backup防火墙，并由Backup防火墙进行状态处理。 手工批量备份 分别从如下两方面进行说明： l 配置命令的备份 手工批量备份是指当配置主设备、配置从设备都正常工作时，且配置主设备上启动手工批量同步备份功能，则配置主设备将需要双机备份的配置命令批量发送到配置从设备，从而让配置从设备执行这些配置命令。当配置从设备未工作或工作异常时，手工批量备份无法进行。 l 连接状态的备份 手工批量备份是指当Master防火墙、Backup防火墙都正常工作时，且Master防火墙上启动手工批量同步备份功能，则Master防火墙将需要双机备份的连接状态信息批量发送到Backup防火墙，并由Backup防火墙进行状态更新。当Backup防火墙未工作或工作异常时，手工批量备份无法进行。 1.1.8 双机热备份的组网方式 Eudemon的双机热备份，除可以工作在路由模式下外，还可以工作在混合模式下。 混合模式下的双机热备份主要是指Eudemon工作于混合模式下，通过透明模式的接口接收和发送业务报文，用以完成网络应用；通过路由模式的接口传送VRRP、VGMP和HRP报文，用以维护防火墙的主备关系。 混合模式下的双机热备份除能够提供透明模式的无缝接入，对外提供二层交换机（透明模式下的防火墙）业务外，还能保证当主防火墙发生故障后，流量能够转换到备防火墙上，保证业务的连续性。 1.1.9 报文来回路径不一致的组网 如图1-11所示，net1和net4间的用户通信，报文和返回报文的路径分别为Router A-Eudemon A-Router C和Router D-Eudemon B-Router B。 由于Eudemon是状态防火墙，要求网络报文来回路径一致。此时，传统的双机热备份无法保证来回路径不一致组网下的可靠性。 图1-11 来回路径不一致组网图 一般情况下，如果各路由器支持完整的路由协议，则每台路由器上都会有分别到达net1、net2、net3和net4的路由，Eudemon A和Eudemon B也可能同时具有到达各net的路由。 当网络设备接口故障等现象发生时，可能导致某台Eudemon无法获得完整的到达源和目的的路由。 以net1和net4间的数据流为例，以Eudemon A和Eudemon B上是否存在对应的路由表项为划分原则，网络结构可以分为如下几种： l H型结构 双机拥有完整的到达源和目的的路由。 l h型结构 只有一台防火墙拥有完整的到达源和目的的路由，另一台不完整。 l N型结构 两台防火墙都没有完整的到达源和目的的路由。 l |-型结构 只有一台拥有完整的到达源和目的的路由，另一台完全没有。 具体如图1-12、图1-13、图1-14、图1-15所示。 图1-12 H型结构 图1-13 h型结构 图1-14 N型结构 图1-15 |-型结构 当Eudemon A故障后，net1与net4间的报文将通过Eudemon B转发。但如果Eudemon A上的信息没有备份到Eudemon B，Eudemon B会将到达的报文丢弃，导致net1和net4的用户通信中断。 为防止这样的现象出现，可以通过快速备份会话，将Eudemon A上的相应的会话表项快速备份到Eudemon B，使返回报文在对端设备上能够查找到会话表，使报文能够通过该设备。 除此之外，还可以配置报文搬迁，将后续无法命中Eudemon B会话表的TCP后续报文、包过滤丢弃的UDP报文和ICMP报文迅速搬迁到Eudemon A，触发生成会话表后，备份到Eudemon B，从而使返回报文能够顺利通过Eudemon B。 实际应用中，ACL的配置可能相对复杂。手工检查主备防火墙上的ACL配置的一致性容易遗漏。可以配置检查两端配置的一致性，由Eudemon自行比较，并根据比较结果修改防火墙上的配置。 1.2 配置VRRP备份组 1.2.1 建立配置任务 应用环境 当在网络出口处采用两台Eudemon防火墙保护内部网络的安全时，需要配置双机热备份功能。首先则应该配置VRRP备份组。 前置任务 在配置VRRP备份组前，需要完成以下任务： l 配置防火墙的工作模式 l 创建VPN实例（可选） l 配置接口绑定VPN实例（可选） l 配置接口IP地址（可选） l 配置接口加入安全区域 l 当接口属于VPN实例时，需要首先配置接口绑定该VPN实例，再配置接口IP地址。 l 不能配置工作于透明模式下的接口的IP地址。 数据准备 在配置VRRP备份组前，需要准备以下数据： l 接口类型和接口号 l VRRP备份组号 l 备份组的虚拟IP地址 l 子网掩码或子网掩码长度 l VRRP备份组的优先级 l 抢占方式和延迟时间 l 认证方式和认证字 l 备份组中的Master发送VRRP报文的间隔时间 l 被监视的接口类型和接口号 l 优先级降低的数额 l 是否检测VRRP报文的TTL值 1.2.2 配置未加入VRRP管理组的VRRP备份组 当各Eudemon防火墙之间仅需要实现路由通路的备份，而对状态一致性要求不高时，可以只配置未加入VRRP管理组的VRRP备份组。此时无法确保各备份组状态一致性，不建议使用。 配置未加入VRRP管理组的VRRP备份组，需要进行如下操作。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令interface interface-type interface-number，进入接口视图。 步骤 3 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置接口IP地址。 步骤 4 执行命令vrrp vrid virtual-router-ID virtual-ip virtual-address [ network-mask | network-mask-length ] [ preference ]，配置备份组的虚拟IP地址。 虚拟地址可以是备份组所在网段中未被分配的IP地址，也可以是其他网段的IP地址。如果配置为后者，则必须配置子网掩码或子网掩码长度。 需要同时配置接口IP地址，备份组的虚拟IP地址的配置才能生效。 Eudemon防火墙支持VRRP备份组的虚拟IP地址与对应的接口IP地址在同一网段和不在同一网段两种情况，但虚拟IP地址必须和对应接口的下一跳设备的IP地址在同一个网段。 步骤 5 执行命令vrrp vrid virtual-router-ID priority priority-value，配置备份组的优先级。 步骤 6 执行命令vrrp vrid virtual-router-ID preempt-mode [ timer delay interval ]，配置备份组的抢占方式和延迟时间。 步骤 7 执行命令vrrp authentication-mode { md5 | simple } key-string，配置备份组的认证方式和认证字。 一个接口上的备份组要配置相同的认证方式和认证字。 步骤 8 执行命令vrrp vrid virtual-router-ID timer advertise interval，配置备份组的定时器。 网络流量过大或不同的防火墙上的定时器差异等因素，会导致VRRP定时器超时并引起状态切换。对于这种情况，可以通过延长两台防火墙发送通告报文的时间间隔来解决问题。请注意，两台防火墙的时间间隔要配置为相同的数值。 VRRP定时器不能实时更新，如果想让新配置的时间值立即生效，可以通过shut down接口等方式重新进行一次协商即可。 步骤 9 执行命令vrrp vrid virtual-router-ID track interface-type interface-number [ reduced value-reduced ]，设置被监视的接口。 当防火墙为IP地址拥有者时，不允许使用对其进行监视接口的配置。 步骤 10 执行命令vrrp un-check ttl，取消对VRRP报文的TTL值进行检测。 ----结束 1.2.3 配置加入VRRP管理组的VRRP备份组 如果备份组加入VRRP管理组，备份组VRRP状态是否切换必须根据它所属VRRP管理组来裁决确定。 由于VGMP报文不支持分片，请不要在接口上配置MTU，否则，将可能导致防火墙不能正常接收VGMP报文。当主防火墙出现故障时，主备防火墙不能正常切换。 配置加入VRRP管理组的VRRP备份组，需要进行如下操作。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令interface interface-type interface-number，进入接口视图。 步骤 3 执行命令ip address ip-address { mask | mask-length } [ sub ]，配置接口IP地址。 步骤 4 执行命令vrrp vrid virtual-router-ID virtual-ip virtual-address [ mask | mask-length ] [ preference ]，配置备份组的虚拟IP地址。 当虚拟IP地址和某接口实际的IP地址相同时，该接口称为IP地址拥有者。对于Eudemon防火墙，如果采用VRRP管理组进行统一管理时，请确保虚拟IP地址和任何接口的实际IP地址都不相同。 步骤 5 执行命令vrrp vrid virtual-router-ID priority priority-value，配置备份组的优先级。 当防火墙上同时存在加入和未加入VRRP管理组的VRRP备份组时，建议将加入VRRP管理组的备份组优先级配置的较高，这是因为，未加入VRRP管理组的备份组优先级高于VRRP管理组内部各备份组的优先级时，主备倒换时，会扰乱VRRP管理组的状态。 步骤 6 执行命令vrrp authentication-mode { md5 | simple } key-string，配置备份组的认证方式和认证字。 步骤 7 执行命令vrrp vrid virtual-router-ID timer advertise interval，配置备份组的定时器。 ----结束 其他使用注意事项请参见“1.2.2 配置未加入VRRP管理组的VRRP备份组”。 1.2.4 检查配置结果 检查VRRP备份组配置的相关操作如表1-4所示。 表1-4 检查VRRP备份组配置 操作 命令 查看VRRP的状态信息 display vrrp [ interface interface-type interface-number [ virtual-router-ID ] ] 1.3 配置VRRP管理组 1.3.1 建立配置任务 应用环境 当在网络出口处采用两台Eudemon防火墙保护内部网络的安全时，需要配置双机热备份功能。配置完VRRP备份组后，则需要继续配置VRRP管理组，由管理组统一管理各独立运行的VRRP备份组，确保各VRRP备份组之间通路状态一致性，从而实现各备份组之间的互通。 前置任务 在配置VRRP管理组前，需要完成以下任务： l 配置防火墙的工作模式 l 创建VPN实例（可选） l 配置接口绑定VPN实例（可选） l 配置接口IP地址（可选） l 配置接口加入安全区域 l 配置VRRP备份组 l 当接口属于VPN实例时，需要首先配置接口绑定该VPN实例，再配置接口IP地址。 l 不能配置工作于透明模式下的接口的IP地址。 数据准备 在配置VRRP管理组前，需要准备以下数据： l VRRP管理组号 l 接口类型和接口编号 l VRRP备份组号 l VRRP管理组的优先级 l VRRP管理组中各VRRP备份组的优先级增加值 l VRRP管理组抢占方式 l VRRP管理组抢占的延时值 l VRRP管理组中的Master发送Hello报文的间隔时间 l 确认配置VRRP管理组报文群发标志 l VLAN ID号 l 确认允许备机转发业务 请根据实际组网时的防火墙工作模式选择VRRP管理组的配置指导。 1.3.2 配置路由模式下的VRRP管理组 对于Eudemon防火墙，采用VRRP管理组进行统一管理时，请确保虚拟IP地址和任何接口的实际IP地址都不相同。 配置路由模式下的VRRP管理组，需要进行如下操作。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令vrrp group group-identifier，创建VRRP管理组，并进入管理组视图。 步骤 3 执行命令add interface interface-type interface-number vrrp vrid virtual-router-ID [ data [ transfer-only ] | ip-link link-id ] *，配置向VRRP管理组中添加备份组。 加入到VRRP管理组的接口必须之前已经加入VRRP备份组。 步骤 4 执行命令vrrp-group enable，启动VRRP管理组功能。 启动VRRP管理组功能的前提是该VRRP管理组中已有VRRP备份组加入。 步骤 5 执行命令vrrp-group priority priority-value，配置VRRP管理组优先级。 建议用户配置主从防火墙的VRRP管理组优先级差值为5，保证主防火墙发生故障后能够进行主备切换。 步骤 6 执行命令vrrp-group priority plus value-plus，配置VRRP管理组中VRRP备份组的优先级增加值。 步骤 7 执行命令vrrp-group preempt [ delay interval ]，启动VRRP管理组抢占功能。 建议配置VRRP管理组的抢占功能。 如果不配置，防火墙状态改变后，虽然流量能够成功切换到优先级较大的设备上，但对于某些上下行设备均以主备方式组网的情况，则报文的消