双机热备配置Quidway Eudemon 3005001000配置指南可靠性分册.doc

Quidway Eudemon 300/500/1000配置指南 可靠性分册表格目录目 录1 双机热备份配置1-11.1 简介1-21.1.1 总体概述1-21.1.2 VRRP概述1-31.1.3 VGMP概述1-41.1.4 备份方式分类1-51.1.5 HRP应用1-91.1.6 配置设备的主从划分1-101.1.7 配置命令和状态信息的备份1-111.1.8 双机热备份的组网方式1-121.1.9 报文来回路径不一致的组网1-131.2 配置VRRP备份组1-181.2.1 建立配置任务1-181.2.2 配置未加入VRRP管理组的VRRP备份组1-181.2.3 配置加入VRRP管理组的VRRP备份组1-191.2.4 检查配置结果1-201.3 配置VRRP管理组1-211.3.1 建立配置任务1-211.3.2 配置路由模式下的VRRP管理组1-221.3.3 配置混合模式下的VRRP管理组1-231.3.4 检查配置结果1-241.4 配置双机热备份1-241.4.1 建立配置任务1-241.4.2 配置来回路径一致时的双机热备份1-251.4.3 检查配置结果1-261.5 配置来回路径不一致时的链路可达性检查1-261.5.1 建立配置任务1-261.5.2 检查链路可达性1-271.6 使能来回路径不一致时的会话快速备份和报文搬迁1-281.6.1 建立配置任务1-281.6.2 使能会话快速备份1-291.6.3 使能报文搬迁1-291.7 配置备防火墙上的NAT1-291.7.1 建立配置任务1-291.7.2 配置备防火墙上的NAT1-301.7.3 配置备防火墙上的内部服务器1-301.8 维护1-311.8.1 调试VRRP报文、状态和定时器1-311.8.2 调试VRRP管理组1-311.8.3 调试HRP1-311.8.4 检查两端配置的一致性1-321.8.5 查看IP链路状态1-321.8.6 调试IP链路1-321.8.7 调试HRP配置检查功能1-331.9 配置举例1-331.9.1 配置使用VRRP管理组的主备备份示例1-331.9.2 配置使用VRRP管理组的负载分担示例1-371.9.3 配置混合模式下的使用VRRP管理组的主备备份示例1-421.9.4 配置路由模式下的双机热备份示例1-451.9.5 配置混合模式下的双机热备份示例1-461.9.6 配置OSPF和双机热备份混合组网示例1-481.9.7 配置IP link示例1-561.9.8 配置两端状态一致性检查1-581.9.9 配置会话快速备份1-601.9.10 配置报文搬迁1-61文档版本 02 (2007-12-15)华为技术有限公司v插图目录图1-1 来回路径一致组网图1-2图1-2 来回路径不一致组网图1-2图1-3 采用缺省路由的组网1-3图1-4 采用VRRP的虚拟路由器组网1-4图1-5 Eudemon备份的典型组网1-4图1-6 Eudemon备份的状态1-5图1-7 主备备份组网1-6图1-8 负载分担组网（1）1-7图1-9 负载分担组网（2）1-9图1-10 Eudemon主备备份的典型数据路径1-10图1-11 来回路径不一致组网图1-13图1-12 H型结构1-14图1-13 h型结构1-15图1-14 N型结构1-16图1-15 |-型结构1-17图1-16 使用VRRP管理组的主备备份组网1-34图1-17 使用VRRP管理组的负载分担组网1-38图1-18 混合模式下的VRRP管理组的主备备份组网图1-42图1-19 混合模式下的双机热备分组网图1-47图1-20 OSPF和双机热备份混合组网图1-49图1-21 采用路由器的双机热备分组网图1-56图1-22 配置两端状态一致性检查组网图1-59图1-23 配置会话快速备份1-60表格目录表1-1 主备备份方式下各设备的状态1-6表1-2 负载分担方式下各设备的状态（1）1-8表1-3 负载分担方式下各设备的状态（2）1-8表1-4 检查VRRP备份组配置1-20表1-5 检查VRRP管理组配置1-24表1-6 检查双机热备配置1-26表1-7 调试VRRP报文、状态和定时器的相关操作1-31表1-8 调试VRRP管理组的相关操作1-31表1-9 调试HRP的相关操作1-31表1-10 查看IP链路状态1-32表1-11 调试IP链路的相关操作1-32表1-12 调试HRP配置检查功能的相关操作1-33Quidway Eudemon 300/500/1000配置指南 可靠性分册1 双机热备份配置1 双机热备份配置关于本章本章描述内容如下表所示。标题内容1.1 简介介绍双机热备份的基本原理和组网1.2 配置VRRP备份组介绍VRRP备份组的配置方法1.3 配置VRRP管理组介绍VRRP管理组的配置方法1.4 配置双机热备份介绍双机热备份的配置方法1.5 配置来回路径不一致时的链路可达性检查介绍来回路径不一致时的链路可达性检查的配置方法1.6 使能来回路径不一致时的会话快速备份和报文搬迁介绍来回路径不一致时的会话快速备份和报文搬迁的配置方法1.7 配置备防火墙上的NAT介绍备防火墙上的NAT的配置方法1.8 维护介绍双机热备份的维护方法1.9 配置举例介绍配置举例1.1 简介1.1.1 总体概述网络拓扑结构可以根据报文的来回路径是否一致分为如下两种：l 来回路径一致组网l 来回路径不一致组网典型组网图分别如图1-1、图1-2所示。图1-1 来回路径一致组网图图1-2 来回路径不一致组网图上述网络均可以部署Eudemon防火墙的双机热备份功能，保证不会出现因单点故障导致的通话中断。Eudemon防火墙的双机热备份需要三个协议的支持：l VRRP（Virtual Router Redundancy Protocol）是由RFC2338定义的一种容错协议，通过实现物理设备和逻辑设备的分离，实现在多个出口网关之间进行选路。l VGMP（VRRP Group Management Protocol）是华为公司为防止VRRP状态不一致现象的发生，在VRRP的基础上自主开发出的扩展协议。该协议负责统一管理加入其中的各备份组VRRP的状态。l HRP（Huawei Redundancy Protocol）协议用来进行防火墙的动态状态数据的实时备份。通常，内部网络的主机都配置一条缺省路由，下一跳为出口路由器的接口IP地址。如图1-3所示，IP地址为10.100.10.1/24。图1-3 采用缺省路由的组网内外部用户的交互报文全部通过Router A。如果Router A出现故障，内部网络中所有以Router A为缺省路由下一跳的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。1.1.2 VRRP概述VRRP正是为了解决上述问题而提出来的。作为一种容错协议，VRRP适用于支持组播或广播的局域网（如以太网等）。VRRP将局域网的一组路由器构成一个备份组，功能上相当于一台虚拟路由器。局域网内的主机仅仅知道这个虚拟路由器的IP地址，而不知道备份组内的具体设备的IP地址。它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟路由器与其它网络进行通信。备份组中，仅有一台设备处于活动状态，称为主用设备（Master）；其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备，称为备份设备（Backup）。图1-4所示为三台路由器组成的备份组。图1-4 采用VRRP的虚拟路由器组网VRRP机制将该虚拟路由器动态关联到某承担传输业务的物理路由器上，从而当该物理路由器出现故障时能再次选择新路由器来接替业务传输工作，整个过程对用户来说是完全透明的，这就很好实现了内部网络和外部网络之间不间断通信。1.1.3 VGMP概述Eudemon备份的典型组网如图1-5所示。每个安全区域的接口均形成一个VRRP备份组，各VRRP备份组均相对独立，且单独工作。图1-5 Eudemon备份的典型组网此时，由于Eudemon是状态防火墙，只检查会话流的首报文，并动态生成会话表项。后续报文（包括返回报文）只有匹配该会话表项才能通过Eudemon。当某会话的进路径和出路径不一致时，后续报文或返回报文将无法匹配防火墙的会话表项，导致报文被丢弃。如图1-6所示，返回报文通过路径（5）（9）到达Eudemon B后将会被丢弃。图1-6 Eudemon备份的状态传统VRRP机制中，由于各VRRP备份组相对独立，无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用，即传统VRRP方式将无法实现Eudemon防火墙VRRP状态的一致性。华为公司为解决上述问题，提出VGMP扩展协议，负责统一管理加入其中的各备份组VRRP状态。借助VGMP机制，可以实现对多个VRRP备份组（虚拟防火墙）的状态一致性管理、抢占管理和通道管理等，保证一台防火墙上的接口同时处于主用或备用状态，实现Eudemon防火墙VRRP状态的一致性。1.1.4 备份方式分类主备备份通过接口、备份组、管理组之间的不同组合，可以实现两台Eudemon防火墙主备备份、负载分担等方式。在选择备份方式时，防火墙根据备份组的数量、各备份组中防火墙的优先级关系来确定采用哪种工作方式。借助VGMP机制，可以实现主备备份，即每个Eudemon防火墙上都配置相同编号的VRRP管理组，但是优先级不同。如图1-7所示。图1-7 主备备份组网A1、A2、A3Eudemon A的接口B1、B2、B3Eudemon B的接口在图1-7中：l Eudemon A上的VRRP管理组1包含备份组1、2、3，优先级为Level1。l Eudemon B上的VRRP管理组1也包含备份组1、2、3，优先级为Level2。由于Level1Level2，所以Eudemon A作为Master防火墙，Eudemon B作为Backup防火墙。表1-1 主备备份方式下各设备的状态防火墙设备管理组1成员优先级状态会话量A备份组1，2，3Level1Master全部B备份组1，2，3Level2Backup0Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A防火墙（Master）的A1、A2和A3接口，由该防火墙承担全部会话业务。当Master防火墙出现故障或相关链路故障时，状态发生切换，Backup防火墙变成Master，并开始承担全部会话业务。负载分担负载分担方式包括如下两种：l 简化的负载分担（复用原有接口）所谓负载分担，也可以称为互为主备。每个Eudemon防火墙上分别配置两个不同编号的VRRP管理组，具有不同的优先级，如图1-8所示。图1-8 负载分担组网（1）A1、A2、A3Eudemon A的接口B1、B2、B3Eudemon B的接口Eudemon A的VRRP管理组： VRRP管理组1包含备份组1、2、3，优先级为Level1。 VRRP管理组2包含备份组4、5、6，优先级为Level2。 Level1Level2。Eudemon B的VRRP管理组： VRRP管理组1包括备份组1、2、3，优先级为Level3。 VRRP管理组2包含备份组4、5、6，优先级为Level4。 Level3Level4。其中，Eudemon A和Eudemon B的管理组优先级关系如下： Level1=Level4。 Level2=Level3。Eudemon A是VRRP管理组1协商出的Master，也是管理组2协商出的Backup；同样Eudemon B是VRRP管理组1协商出的Backup，也是管理组2协商出的Master。表1-2 负载分担方式下各设备的状态（1）防火墙设备管理组1管理组2成员优先级状态会话量成员优先级状态会话量A备份组1，2，3Level1Master部分备份组4，5，6Level2Backup0B备份组1，2，3Level3Backup0备份组4，5，6Level4Master部分由于Eudemon A和Eudemon B的两个VRRP管理组的优先级存在交叉关系，即上文所说的Level1=Level4、Level2=Level3，所以Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A的A1、A2和A3接口，另一部分会话业务发送到Eudemon B防火墙的B1、B2和B3接口，有两台防火墙共同分担话务量。如果Eudemon B防火墙出现故障，则VRRP管理组2将重新裁决各设备的状态，Eudemon A状态切换为Master，Eudemon B状态切换为Backup。此时Eudemon A防火墙承担全部会话业务。上表的状态则变为：表1-3 负载分担方式下各设备的状态（2）防火墙管理组1管理组2成员优先级状态会话量成员优先级状态会话量A备份组1，2，3Level1Master部分备份组4，5，6Level2Master部分B备份组1，2，3Level3Backup0备份组4，5，6Level2Backup0当Eudemon B防火墙恢复正常后，Eudemon B将继续成为管理组2的Master，流量将在两个防火墙之间负载分担。l 复杂的负载分担（新增负载分担接口）当Eudemon防火墙的接口速率难以顺畅传输高速业务流时，为了保证一条物理线路上传输顺畅，建议为Eudemon防火墙添加新接口，并基于新接口配置用于负载分担的备份组。如图1-9所示。图1-9 负载分担组网（2）A1、A2、A3、A4、A5、A6Eudemon A的接口B1、B2、B3、B4、B5、B6Eudemon B的接口原有备份组为备份组1、2和3。其中： 备份组1包括Eudemon A的A1接口、Eudemon B的B4接口。 备份组2包括Eudemon A的A3接口、Eudemon B的B2接口。 备份组3包括Eudemon A的A6接口、Eudemon B的B5接口。添加三个新的备份组4、5和6。其中： 备份组4包括Eudemon A的A2接口、Eudemon B的B3接口。 备份组5包括Eudemon A的A4接口、Eudemon B的B1接口。 备份组6包括Eudemon A的A5接口、Eudemon B的B6接口。Eudemon A和Eudemon B的管理组和备份组建的关系如下： 管理组1包含备份组1、2和3。 管理组2包含备份组4、5和6。Eudemon A是VRRP管理组1协商出的Master，也是管理组2协商出的Backup；Eudemon B是VRRP管理组1协商出的Backup，也是管理组2协商出的Master。1.1.5 HRP应用Eudemon防火墙是状态防火墙，对于每一个动态生成的会话连接，Eudemon防火墙上都有一个会话表项与之对应。如图1-10所示。图1-10 Eudemon主备备份的典型数据路径假设采用主备备份方式，Eudemon A防火墙作为Master设备并承担所有数据传输任务，其上创建了很多动态会话表项；而Eudemon B防火墙由于处于备份状态，没有任何流量经过。如果Eudemon A出现故障或相关链路出现问题，Eudemon B将会切换状态而变成新的Master，并开始承担传输任务。如果状态切换前，会话表项和配置命令没有备份到Eudemon B，则先前经过Eudemon A的所有会话都会因为无法匹配Eudemon B的会话表而断链，导致业务中断，从而影响业务正常进行。为了实现Master设备出现故障时能由Backup设备平滑地接替工作，需要在Master和Backup设备之间备份关键配置命令和会话表状态信息。为此，华为公司推出了HRP。启动HRP双机热备份功能后，如果Master防火墙发生故障，导致VRRP管理组状态改变，VRRP管理组上报该状态到HRP模块，由HRP模块裁决当前是否完成配置命令和会话状态信息的同步备份。如果完成则引起VRRP管理组发生抢占，并进而引起VRRP备份组抢占，从而实现Backup防火墙平滑地接替工作。1.1.6 配置设备的主从划分当采用负载分担方式时，网络中存在两台Master设备，用户可能在两台Master设备上输入了很多命令。当其中一台Master设备出现故障时，如何在这两台防火墙之间备份信息、需要备份哪些命令以及备份方向都是需要考虑的问题。为了避免备份时混乱，Eudemon防火墙中引入了配置主设备、配置从设备概念。发送配置备份内容的防火墙被称为配置主设备，接收配置备份内容的防火墙称为配置从设备。一台防火墙要想成为配置主设备，必须具备如下条件：l 只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。l 在负载分担方式下，参与双机热备份的两台Eudemon防火墙都是Master，此时则按照VRRP备份组优先级、接口真实IP地址从大到小的顺序选择配置主设备。除非配置主设备出现故障或者退出VRRP备份组，否则配置主设备与配置从设备之间不进行转换，从而尽力保证了配置主设备的稳定性。配置设备的主从划分仅仅是在负载分担方式下引入的概念，主备备份方式下不涉及配置设备主从划分。1.1.7 配置命令和状态信息的备份防火墙备份的信息目前，Eudemon防火墙上的双机热备份功能支持配置命令和连接状态信息的备份，可以通过自动备份和手工批量备份两种方式实现。防火墙备份的信息包括如下两种：l 状态信息 防火墙生成的会话表表项 动态黑名单表项 NAT表项l 配置命令 ACL包过滤命令 攻击防范命令 地址绑定命令 黑名单命令包括黑名单的启动命令、手工添加黑名单表项命令 日志命令 NAT命令 统计命令 区域命令包括创建安全区域，设置区域优先级以及接口加入安全区域 ASPF命令 清除会话表项的命令 清除配置的命令信息备份方向状态信息是从备份组中的Master防火墙备份到Backup防火墙。如果进行双机热备份的两台Eudemon防火墙分别是两个备份组的Master，则连接状态会互相备份，由系统决定需要备份的连接状态信息的内容。配置命令只能进行单向备份。即备份方向只能从配置主防火墙到配置从防火墙，不能反向备份。自动备份自动备份方式包括自动实时备份和自动批量备份。分别从如下两方面进行说明：l 配置命令的备份自动批量备份是指当配置从设备接替工作或重新启动时，由配置主设备将所有配置命令批量备份到配置从设备，配置从设备执行仅需要双机备份的配置命令，从而实现主/备防火墙之间的配置同步。自动实时备份在自动批量备份后进行。在Eudemon防火墙运行过程中，当配置主设备识别到启动双机热备份的命令时，配置主设备自动将配置命令备份到配置从设备，从而配置从设备运行这些配置命令。在配置主设备、配置从设备都正常工作的情况下，如果启动自动实时备份功能，则在配置主设备上每输入一条需要双机备份的命令时，此配置命令将被传送给到配置从设备并执行；如果在配置主设备上输入不需要双机备份的命令，则该命令仅在配置主设备上执行，不会被传送到配置从设备。对于在配置从设备上执行的命令，不会被传送到配置主设备。当配置从设备未工作或工作异常时，自动备份无法进行。l 连接状态的备份自动批量备份是指当Backup防火墙接替工作或重新启动时，由Master防火墙将所有连接状态信息备份到Backup防火墙，并由Backup防火墙进行状态处理。自动实时备份在自动批量备份后进行。在Eudemon防火墙运行过程中，当Master防火墙上产生了需要备份的连接状态信息时，Master防火墙自动将连接状态信息备份到Backup防火墙，并由Backup防火墙进行状态处理。手工批量备份分别从如下两方面进行说明：l 配置命令的备份手工批量备份是指当配置主设备、配置从设备都正常工作时，且配置主设备上启动手工批量同步备份功能，则配置主设备将需要双机备份的配置命令批量发送到配置从设备，从而让配置从设备执行这些配置命令。当配置从设备未工作或工作异常时，手工批量备份无法进行。l 连接状态的备份手工批量备份是指当Master防火墙、Backup防火墙都正常工作时，且Master防火墙上启动手工批量同步备份功能，则Master防火墙将需要双机备份的连接状态信息批量发送到Backup防火墙，并由Backup防火墙进行状态更新。当Backup防火墙未工作或工作异常时，手工批量备份无法进行。1.1.8 双机热备份的组网方式Eudemon的双机热备份，除可以工作在路由模式下外，还可以工作在混合模式下。混合模式下的双机热备份主要是指Eudemon工作于混合模式下，通过透明模式的接口接收和发送业务报文，用以完成网络应用；通过路由模式的接口传送VRRP、VGMP和HRP报文，用以维护防火墙的主备关系。混合模式下的双机热备份除能够提供透明模式的无缝接入，对外提供二层交换机（透明模式下的防火墙）业务外，还能保证当主防火墙发生故障后，流量能够转换到备防火墙上，保证业务的连续性。1.1.9 报文来回路径不一致的组网如图1-11所示，net1和net4间的用户通信，报文和返回报文的路径分别为Router A-Eudemon A-Router C和Router D-Eudemon B-Router B。由于Eudemon是状态防火墙，要求网络报文来回路径一致。此时，传统的双机热备份无法保证来回路径不一致组网下的可靠性。图1-11 来回路径不一致组网图一般情况下，如果各路由器支持完整的路由协议，则每台路由器上都会有分别到达net1、net2、net3和net4的路由，Eudemon A和Eudemon B也可能同时具有到达各net的路由。当网络设备接口故障等现象发生时，可能导致某台Eudemon无法获得完整的到达源和目的的路由。以net1和net4间的数据流为例，以Eudemon A和Eudemon B上是否存在对应的路由表项为划分原则，网络结构可以分为如下几种：l H型结构双机拥有完整的到达源和目的的路由。l h型结构只有一台防火墙拥有完整的到达源和目的的路由，另一台不完整。l N型结构两台防火墙都没有完整的到达源和目的的路由。l |-型结构只有一台拥有完整的到达源和目的的路由，另一台完全没有。具体如图1-12、图1-13、图1-14、图1-15所示。图1-12 H型结构图1-13 h型结构图1-14 N型结构图1-15 |-型结构当Eudemon A故障后，net1与net4间的报文将通过Eudemon B转发。但如果Eudemon A上的信息没有备份到Eudemon B，Eudemon B会将到达的报文丢弃，导致net1和net4的用户通信中断。为防止这样的现象出现，可以通过快速备份会话，将Eudemon A上的相应的会话表项快速备份到Eudemon B，使返回报文在对端设备上能够查找到会话表，使报文能够通过该设备。除此之外，还可以配置报文搬迁，将后续无法命中Eudemon B会话表的TCP后续报文、包过滤丢弃的UDP报文和ICMP报文迅速搬迁到Eudemon A，触发生成会话表后，备份到Eudemon B，从而使返回报文能够顺利通过Eudemon B。实际应用中，ACL的配置可能相对复杂。手工检查主备防火墙上的ACL配置的一致性容易遗漏。可以配置检查两端配置的一致性，由Eudemon自行比较，并根据比较结果修改防火墙上的配置。1.2 配置VRRP备份组1.2.1 建立配置任务应用环境当在网络出口处采用两台Eudemon防火墙保护内部网络的安全时，需要配置双机热备份功能。首先则应该配置VRRP备份组。前置任务在配置VRRP备份组前，需要完成以下任务：l 配置防火墙的工作模式l 创建VPN实例（可选）l 配置接口绑定VPN实例（可选）l 配置接口IP地址（可选）l 配置接口加入安全区域l 当接口属于VPN实例时，需要首先配置接口绑定该VPN实例，再配置接口IP地址。l 不能配置工作于透明模式下的接口的IP地址。数据准备在配置VRRP备份组前，需要准备以下数据：l 接口类型和接口号l VRRP备份组号l 备份组的虚拟IP地址l 子网掩码或子网掩码长度l VRRP备份组的优先级l 抢占方式和延迟时间l 认证方式和认证字l 备份组中的Master发送VRRP报文的间隔时间l 被监视的接口类型和接口号l 优先级降低的数额l 是否检测VRRP报文的TTL值1.2.2 配置未加入VRRP管理组的VRRP备份组当各Eudemon防火墙之间仅需要实现路由通路的备份，而对状态一致性要求不高时，可以只配置未加入VRRP管理组的VRRP备份组。此时无法确保各备份组状态一致性，不建议使用。配置未加入VRRP管理组的VRRP备份组，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interface interface-type interface-number，进入接口视图。步骤 3 执行命令ip address ip-address mask | mask-length sub ，配置接口IP地址。步骤 4 执行命令vrrp vrid virtual-router-ID virtual-ip virtual-address network-mask | network-mask-length preference ，配置备份组的虚拟IP地址。虚拟地址可以是备份组所在网段中未被分配的IP地址，也可以是其他网段的IP地址。如果配置为后者，则必须配置子网掩码或子网掩码长度。需要同时配置接口IP地址，备份组的虚拟IP地址的配置才能生效。Eudemon防火墙支持VRRP备份组的虚拟IP地址与对应的接口IP地址在同一网段和不在同一网段两种情况，但虚拟IP地址必须和对应接口的下一跳设备的IP地址在同一个网段。步骤 5 执行命令vrrp vrid virtual-router-ID priority priority-value，配置备份组的优先级。步骤 6 执行命令vrrp vrid virtual-router-ID preempt-mode timer delay interval ，配置备份组的抢占方式和延迟时间。步骤 7 执行命令vrrp authentication-mode md5 | simple key-string，配置备份组的认证方式和认证字。一个接口上的备份组要配置相同的认证方式和认证字。步骤 8 执行命令vrrp vrid virtual-router-ID timer advertise interval，配置备份组的定时器。网络流量过大或不同的防火墙上的定时器差异等因素，会导致VRRP定时器超时并引起状态切换。对于这种情况，可以通过延长两台防火墙发送通告报文的时间间隔来解决问题。请注意，两台防火墙的时间间隔要配置为相同的数值。VRRP定时器不能实时更新，如果想让新配置的时间值立即生效，可以通过shut down接口等方式重新进行一次协商即可。步骤 9 执行命令vrrp vrid virtual-router-ID track interface-type interface-number reduced value-reduced ，设置被监视的接口。当防火墙为IP地址拥有者时，不允许使用对其进行监视接口的配置。步骤 10 执行命令vrrp un-check ttl，取消对VRRP报文的TTL值进行检测。-结束1.2.3 配置加入VRRP管理组的VRRP备份组如果备份组加入VRRP管理组，备份组VRRP状态是否切换必须根据它所属VRRP管理组来裁决确定。由于VGMP报文不支持分片，请不要在接口上配置MTU，否则，将可能导致防火墙不能正常接收VGMP报文。当主防火墙出现故障时，主备防火墙不能正常切换。配置加入VRRP管理组的VRRP备份组，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interface interface-type interface-number，进入接口视图。步骤 3 执行命令ip address ip-address mask | mask-length sub ，配置接口IP地址。步骤 4 执行命令vrrp vrid virtual-router-ID virtual-ip virtual-address mask | mask-length preference ，配置备份组的虚拟IP地址。当虚拟IP地址和某接口实际的IP地址相同时，该接口称为IP地址拥有者。对于Eudemon防火墙，如果采用VRRP管理组进行统一管理时，请确保虚拟IP地址和任何接口的实际IP地址都不相同。步骤 5 执行命令vrrp vrid virtual-router-ID priority priority-value，配置备份组的优先级。当防火墙上同时存在加入和未加入VRRP管理组的VRRP备份组时，建议将加入VRRP管理组的备份组优先级配置的较高，这是因为，未加入VRRP管理组的备份组优先级高于VRRP管理组内部各备份组的优先级时，主备倒换时，会扰乱VRRP管理组的状态。步骤 6 执行命令vrrp authentication-mode md5 | simple key-string，配置备份组的认证方式和认证字。步骤 7 执行命令vrrp vrid virtual-router-ID timer advertise interval，配置备份组的定时器。-结束其他使用注意事项请参见“1.2.2 配置未加入VRRP管理组的VRRP备份组”。1.2.4 检查配置结果检查VRRP备份组配置的相关操作如表1-4所示。表1-4 检查VRRP备份组配置操作命令查看VRRP的状态信息display vrrp interface interface-type interface-number virtual-router-ID 1.3 配置VRRP管理组1.3.1 建立配置任务应用环境当在网络出口处采用两台Eudemon防火墙保护内部网络的安全时，需要配置双机热备份功能。配置完VRRP备份组后，则需要继续配置VRRP管理组，由管理组统一管理各独立运行的VRRP备份组，确保各VRRP备份组之间通路状态一致性，从而实现各备份组之间的互通。前置任务在配置VRRP管理组前，需要完成以下任务：l 配置防火墙的工作模式l 创建VPN实例（可选）l 配置接口绑定VPN实例（可选）l 配置接口IP地址（可选）l 配置接口加入安全区域l 配置VRRP备份组l 当接口属于VPN实例时，需要首先配置接口绑定该VPN实例，再配置接口IP地址。l 不能配置工作于透明模式下的接口的IP地址。数据准备在配置VRRP管理组前，需要准备以下数据：l VRRP管理组号l 接口类型和接口编号l VRRP备份组号l VRRP管理组的优先级l VRRP管理组中各VRRP备份组的优先级增加值l VRRP管理组抢占方式l VRRP管理组抢占的延时值l VRRP管理组中的Master发送Hello报文的间隔时间l 确认配置VRRP管理组报文群发标志l VLAN ID号l 确认允许备机转发业务请根据实际组网时的防火墙工作模式选择VRRP管理组的配置指导。1.3.2 配置路由模式下的VRRP管理组对于Eudemon防火墙，采用VRRP管理组进行统一管理时，请确保虚拟IP地址和任何接口的实际IP地址都不相同。配置路由模式下的VRRP管理组，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令vrrp group group-identifier，创建VRRP管理组，并进入管理组视图。步骤 3 执行命令add interface interface-type interface-number vrrp vrid virtual-router-ID data transfer-only | ip-link link-id *，配置向VRRP管理组中添加备份组。加入到VRRP管理组的接口必须之前已经加入VRRP备份组。步骤 4 执行命令vrrp-group enable，启动VRRP管理组功能。启动VRRP管理组功能的前提是该VRRP管理组中已有VRRP备份组加入。步骤 5 执行命令vrrp-group priority priority-value，配置VRRP管理组优先级。建议用户配置主从防火墙的VRRP管理组优先级差值为5，保证主防火墙发生故障后能够进行主备切换。步骤 6 执行命令vrrp-group priority plus value-plus，配置VRRP管理组中VRRP备份组的优先级增加值。步骤 7 执行命令vrrp-group preempt delay interval ，启动VRRP管理组抢占功能。建议配置VRRP管理组的抢占功能。如果不配置，防火墙状态改变后，虽然流量能够成功切换到优先级较大的设备上，但对于某些上下行设备均以主备方式组网的情况，则报文的消耗较大。配置了VRRP管理组的抢占功能时，主备防火墙状态变化后，如果发现主备防火墙状态与优先级不符，即优先级高的防火墙反倒为备防火墙时，请在该防火墙上配置VRRP管理组的手动抢占功能。此时流量将重新切换到该防火墙。步骤 8 执行命令vrrp-group timer hello interval，配置VRRP管理组报文发送间隔。两台Eudemon防火墙上配置的Hello报文发送时间间隔应该相同。如果在某时刻，Master防火墙上hello报文发送间隔长于Backup防火墙上的间隔时间，则会导致状态切换。步骤 9 执行命令vrrp-group group-send，配置VRRP管理组报文群发标志。-结束当没有配置VRRP管理组的抢占功能时，主防火墙故障排除后，可以在该防火墙上配置手工抢占功能。配置手工抢占功能，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令hrp enable，使能HRP。步骤 3 执行命令vrrp group group-identifier，创建VRRP管理组，并进入管理组视图。步骤 4 执行命令vrrp-group manual-preempt，启动VRRP管理组手工抢占功能。在备防火墙上配置手工抢占后，流量将重新切换到主防火墙上。此命令配置一次生效一次。-结束防火墙的组网方式不同，VRRP管理组的配置方法随即不同：l 如果两台防火墙采用主备备份，则仅需要在各个Eudemon防火墙上配置一个VRRP管理组，请参见“1.1.4 备份方式分类”中“主备备份”的相关优先级的设置原则进行配置。l 如果两台防火墙采用负载分担方式，则至少需要在每台设备上配置两个VRRP管理组，请参见“1.1.4 备份方式分类”中“负载分担”的相关优先级的设置原则进行配置。1.3.3 配置混合模式下的VRRP管理组配置混合模式下的VRRP管理组，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令vrrp group group-identifier，创建VRRP管理组，并进入管理组视图。步骤 3 执行命令add interface interface-type interface-number vrrp vrid virtual-router-ID data transfer-only | ip-link link-id *，配置向VRRP管理组中添加备份组。步骤 4 执行命令vrrp-group enable，启动VRRP管理组功能。步骤 5 执行命令vrrp-group priority priority-value，配置VRRP管理组优先级。步骤 6 执行命令vrrp-group priority plus value-plus，配置VRRP管理组中VRRP备份组的优先级增加值。该步骤为可选配置。步骤 7 执行命令vrrp-group preempt delay interval ，启动VRRP管理组抢占功能。步骤 8 执行命令vrrp-group timer hello interval，配置VRRP管理组报文发送间隔。步骤 9 执行命令vrrp-group group-send，配置VRRP管理组报文群发标志。步骤 10 执行命令quit，退回系统视图。步骤 11 执行命令vlan vlan-id，进入vlan视图。步骤 12 执行命令set vgmp vgmp-id，配置vlan所属的VGMP组号。步骤 13 执行命令quit，退回系统视图。步骤 14 执行命令firewall composite-hrp permit-backupforward，配置允许备机转发业务功能。-结束防火墙工作于混合模式下，且在vlan视图下配置了set vgmp命令后，master防火墙的一个接口状态为DOWN时，该接口所在的VRRP管理组的优先级则自动降低10。其它注意事项请参见“1.3.2 配置路由模式下的VRRP管理组”。当没有配置VRRP管理组的抢占功能时，主防火墙故障排除后，可以在该防火墙上配置手工抢占功能。配置手工抢占功能，需要进行如下操作。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令vrrp group group-identifier，创建VRRP管理组，并进入管理组视图。步骤 3 执行命令vrrp-group manual-preempt，启动VRRP管理组手工抢占功能。-结束1.3.4 检查配置结果检查VRRP管理组配置的相关操作如表1-5所示。表1-5 检查VRRP管理组配置操作命令查看VRRP管理组配置信息display vrrp-group verbose 1.4 配置双机热备份1.4.1 建立配置任务应用环境为了实现Eudemon防火墙状态切换时，关键配置命令和会话状态信息得到及时、良好的备份，需要在配置完成VRRP管理组的基础上，进行如下双机热备份配置。前置任务在配置双机热备份前，需要完成以下任务：l 配置防火墙的工作模式l 创建虚拟防火墙（可选）l 配置接口绑定VPN实例（可选）l 配置接口IP地址（可选）l 配置接口加入安全区域l 配置VRRP备份组l 配置VRRP管理组l 当接口属于虚拟防火墙时，需要首先配置接口绑定虚拟防火墙，再配置接口IP地址。l 不能配置工作于透明模式下的接口的IP地址。数据准备在配置双机热备份前，需要准备以下数据：l 确认启动配置命令的自动备份l 确认启动连接状态的自动备份l 确认启动配置命令的手动批量备份l 确认启动连接状态的手工批量备份l 备份会话表的接口类型和接口编号无论Eudemon防火墙处于路由模式或混合模式下，均需要配置双机热备份，且配置步骤相同。在配置双机热备份之前，需要明确如下问题：l 目前双机热备份只支持两台设备进行备份，即一个VRRP备份组仅允许包含两台Eudemon防火墙。l 对于双机热备份，建议主备防火墙的配置文件均为初始文件。否则，可能出现由于两台设备的配置冲突导致的主备切换后出现业务问题。l 对于双机热备份，要求主备防火墙的系统软件版本必须相同。否则，不同版本的软件的某些配置命令或会话表结构可能不同，从而导致主备防火墙在备份配置命令和状态时产生错误，出现业务问题。l 由于双机热备份中具有备份机制可以备份动态信息和命令，因此要求进行双机热备份的两台设备接口卡的位置、类型和数目都相同，否则会出现主防火墙备份过去的信息，与从防火墙的物理配置无法兼容，主备切换后出现业务问题。在配置HRP功能以前，要保证主备防火墙接口配置的一致性。包括：l 接口的位置和数目要一致。l 接口上与热备份有关的配置要一致。即对应插槽上的接口或子接口上配置