edumeon200双机详细文档.doc

Edumeon200双机文档一、 VRRP原理 VRRP正是为了解决上述问题而提出来的。作为一种容错协议，VRRP适用于支持组播或广播的局域网（如以太网等）。VRRP将局域网的一组路由器构成一个备份组，功能上相当于一台虚拟路由器。局域网内的主机仅仅知道这个虚拟路由器的IP地址，而不知道备份组内的具体设备的IP地址。它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟路由器与其它网络进行通信。备份组中，仅有一台设备处于活动状态，称为主用设备（Master）；其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备，称为备份设备（Backup）。配置命令主用防火墙Interface g0/0/0 （数据接口） ip add 192.168.9.1 255.255.255.0vrrp vrid 2 vip 192.168.9.3 （定义浮动ip） master -定义为主用设备Interface g0/0/1 （心跳线接口）Ip add 172.16.1.1 255.255.255.0Vrrp vrid 3 vip 172.16.1.3 （定义浮动ip）master备用防火墙ip add 192.168.9.2 255.255.255.0vrrp vrid 2 vip 192.168.9.3 （定义浮动ip） master -定义为主用设备Interface g0/0/1 （心跳线接口）Ip add 172.16.1.2 255.255.255.0Vrrp vrid 3 vip 172.16.1.3 （定义浮动ip）masterVrrp 配置完毕，通过display vrrp 来检查状态是否正确二、 VGMP原理Vgmp就是指华为的虚拟组管理协议，主要用来管理VRRP组，因为在防火墙上面的vrrp组可能建立有多个这样就很有可能不是所有组的主备都一致的，当设备的主备不一致时会出现下图的情况当红色流量到达PC2是变成蓝色流量返回时就会出现问题蓝色流量在防火墙B处会被丢弃从而PC1无法完成于PC2的通信，因为流量的返回路径不一致，也就是我们常说的出现了非对称路由，为了解决主备不一致的问题华为公司推出了自己的VGMP协议。在组不多的情况下可以选择不配置另外低端的设备和版本不支持该命令。三、 HRP原理如上图所示在备份状态下默认防火墙B为备机A为主机，这个时候所有流量通过A来转发，当A故障时切换到B，但是原来A上Y已经建立好的tcp链接都会断掉，切换到B上了需要重新学习，为了解决客户在发生切换但是不中断业务的需求开发了HRP协议，这个协议让备机自动的实时的同步主机的所有session，当设备发生切换时不会丢弃链接，表现的形式就是业务没有中断。配置命令在配置模式下Hrp enableHrp auto-sync config Hrp auto-sync conn这样两台设备的主备同步了配置的session表四、 配置举例拓扑说明如图架构中间为两台华为edmeon200防火墙设备,承载整体网络进出流量的转发和过滤工作，上行连接两台华为的NE-20E路由器下行为两台华为的5328交换机。配置需求根据局方的要求优化过的网络拓扑，避免因为单点故障造成业务中断，还有即使设备出现问题切换的过程中最好不要出现业务中断连接。需求分析1 跟据局方的需求我们不难得知防火墙应配置成双机2 业务切换不中断连接，实际上就是要求防火墙主备机的session表同步，这样切换之后之前建立的TCP连接不会中断。根据以上做出配置EdumeoAHRP_Msy sysname Eudemon_AFirewall statistic system enablefirewall long-link aging-time 72 interface GigabitEthernet0/0/0 speed 1000 duplex fullip address 192.168.9.1 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.9.3 master (这句命令的意思是建立一个vrrp备份组，组号为2 浮动IP地址为192.168.9.3并且该设备做为这个组的主机)interface GigabitEthernet0/0/1 （这个是拓扑图中的心跳线接口，记住心跳线也要建立一个vrrp组并且确定主备，切忌！） speed 1000 duplex full ip address 172.16.1.1 255.255.255.0 vrrp vrid 3 virtual-ip 172.16.1.3 masterEdumeoBHRP_Msy sysname Eudemon_BFirewall statistic system enablefirewall long-link aging-time 72 interface GigabitEthernet0/0/0 speed 1000 duplex fullip address 192.168.9.2 255.255.255.0 vrrp vrid 2 virtual-ip 192.168.9.3 master (这句命令的意思是建立一个vrrp备份组，组号为2 浮动IP地址为192.168.9.3并且该设备做为这个组的主机)interface GigabitEthernet0/0/1 （这个是拓扑图中的心跳线接口，记住心跳线也要建立一个vrrp组并且确定主备，切忌！） speed 1000 duplex full ip address 172.16.1.2 255.255.255.0 vrrp vrid 3 virtual-ip 172.16.1.3 master配置HRP hrp enable （启用HRP保证主备的配置和ses