1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEDS002104EudemonALL1.00開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）盧希2009-5-一五凃昭新開發(fā)PAGE iiEudemon防火墻雙機(jī)熱備業(yè)務(wù)上機(jī)指導(dǎo)書Eudemon防火墻雙機(jī)熱備業(yè)務(wù)上機(jī)指導(dǎo)書 STYLEREF cover * MERGEFORMAT （頁(yè)眉） STYLEREF TOC Heading * MERGEFORMAT 目 錄實(shí)驗(yàn)說(shuō)明PAGE 1華為技術(shù)有限公司 x, 未經(jīng)許可不得擴(kuò)散實(shí)驗(yàn)說(shuō)明實(shí)驗(yàn)說(shuō)明本實(shí)驗(yàn)指導(dǎo)書本主要介紹了Eudemon防火墻雙機(jī)熱備技術(shù)的常見組網(wǎng)方式及配置流程，涵蓋了VRRP、VGMP和

2、HRP等防火墻雙機(jī)熱備的主要技術(shù)。希望您能通過本指導(dǎo)書了解并掌握Eudemon防火墻雙機(jī)熱備技術(shù)的部署。版本介紹本指導(dǎo)書適用于VRP版本3.30實(shí)驗(yàn)?zāi)康恼莆誆udemon防火墻雙機(jī)熱備的基本原理熟悉路由模式+主備組網(wǎng)方式的防火墻雙機(jī)熱備技術(shù)熟悉路由模式+負(fù)載分擔(dān)組網(wǎng)方式的防火墻雙機(jī)熱備技術(shù)熟悉混合模式+主備組網(wǎng)方式的防火墻雙機(jī)熱備技術(shù)實(shí)驗(yàn)任務(wù)完成Eudemon防火墻的基本配置配置VRRP備份組配置HRP相關(guān)資料Eudemon防火墻產(chǎn)品手冊(cè) 配置指南Eudemon防火墻產(chǎn)品手冊(cè) 命令參考編號(hào)：時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第 頁(yè)路由模式+主備組網(wǎng)方式的雙機(jī)熱備技術(shù)在

3、Eudemon防火墻上的部署組網(wǎng)及業(yè)務(wù)描述路由模式+主備組網(wǎng)方式Eudemon作為安全設(shè)備被部署在業(yè)務(wù)節(jié)點(diǎn)上。其中上下行設(shè)備均是交換機(jī)，Eudemon A、Eudemon B分別充當(dāng)主用設(shè)備和備用設(shè)備，且均工作在路由模式下。網(wǎng)絡(luò)規(guī)劃如下：需要保護(hù)的網(wǎng)段地址為10.100.10.0/24，與防火墻的GigabitEthernet 0/0/0接口相連，部署在Trust區(qū)域。 外部網(wǎng)絡(luò)與防火墻的GigabitEthernet 0/0/2接口相連，部署在Untrust區(qū)域。 兩臺(tái)防火墻的HRP備份通道接口GigabitEthernet 0/0/1部署在DMZ區(qū)域。 兩臺(tái)防火墻分別通過交換機(jī)連接各個(gè)安全

4、區(qū)域。其中，各安全區(qū)域?qū)?yīng)的備份組虛擬IP地址如下：Trust區(qū)域?qū)?yīng)的備份組虛擬IP地址為10.100.10.1。 Untrust區(qū)域?qū)?yīng)的備份組虛擬IP地址為202.38.10.1。 DMZ區(qū)域?qū)?yīng)的備份組虛擬IP地址為10.100.20.1。防火墻和PC地址規(guī)劃如下：Eudemon A：GE0/0/0：10.100.10.2/24；GE0/0/1：10.100.20.2/24；GE0/0/2：202.38.10.2/24Eudemon B：GE0/0/0：10.100.10.3/24；GE0/0/1：10.100.20.3/24；GE0/0/2：202.38.10.3/24PC1：10.

5、100.10.410.100.10.254/24PC2：202.38.10.4202.38.10.254/24實(shí)驗(yàn)要求：1、完成防火墻雙機(jī)熱備配置，使PC1可以ping通PC2，PC2無(wú)法ping通PC1。2、宕掉主用防火墻的一個(gè)HRP備份通道接口，主用防火墻管理組優(yōu)先級(jí)發(fā)生變化，導(dǎo)致主備倒換。查看主備防火墻倒換對(duì)于從PC1發(fā)往PC2的數(shù)據(jù)包的影響。命令行列表操作版本命令配置VRRP備份組的虛擬IP地址并指定備份組所屬的管理組。VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask | ip-mask-len

6、gth slave | master 使能HRP功能。VRP 3.30hrp enable創(chuàng)建備份會(huì)話表的通道接口。VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和連接狀態(tài)的自動(dòng)備份。VRP 3.30hrp auto-sync config batch-backup | connection-status 編寫提示：通過表格的形式列舉實(shí)驗(yàn)中要使用到的主要的，典型的命令行列?？梢詤⒖济钚惺謨?cè)。主要數(shù)通采用。印刷時(shí)上段話刪除。配置流程圖防火墻基本配置配置VRRP備份組配置HRP配置步驟基本配置：配

7、置接口的IP地址；將接口分別添加到對(duì)應(yīng)的區(qū)域；配置區(qū)域間包過濾規(guī)則。配置VRRP備份組并制定備份組所屬的管理組。創(chuàng)建備份會(huì)話表的通道接口并使能HRP功能。使能配置命令和連接狀態(tài)的自動(dòng)備份功能。具體配置及實(shí)驗(yàn)結(jié)果驗(yàn)證Eudemon A的基本配置：#配置主機(jī)名system-viewEudemonsysname Eudemon A#配置接口IP地址Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A- GigabitEthernet0/0/0ip address 10.100.10.2 24Eudemon A- GigabitEthernet0/0/0q

8、uitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A- GigabitEthernet0/0/1ip address 10.100.20.2 24Eudemon A- GigabitEthernet0/0/1quitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-Ethernet0/0/2ip address 202.38.10.2 24Eudemon A-Ethernet0/0/2quit#添加接口至對(duì)應(yīng)區(qū)域Eudemon Afirewall zone trustEudemon A-zon

9、e-trustadd interface GigabitEthernet 0/0/0Eudemon A-zone-trustquitEudemon Afirewall zone dmzEudemon A-zone-dmzadd interface GigabitEthernet 0/0/1Eudemon A-zone-dmzquitEudemon Afirewall zone untrustEudemon A-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon A-zone-untrustquit#配置VRRP備份組，并指定備份組所屬的

10、管理組。Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 masterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 masterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/2Eudemon

11、A-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 master#配置local區(qū)域和dmz區(qū)域的域間包過濾規(guī)則，以便VRRP報(bào)文、VGMP報(bào)文和HRP報(bào)文能夠通過心跳接口正常交互。Eudemon Aacl 2000Eudemon A-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon A-acl-basic-2000quitEudemon Afirewall interzone local dmzEudemon A-interzone-local-dmzpac

12、ket-filter 2000 inboundEudemon A-interzone-local-dmzpacket-filter 2000 outbound#配置HRP備份通道。Eudemon Ahrp interface GigabitEthernet 0/0/1 transfer-onlyEudemon Ahrp interface GigabitEthernet 0/0/0Eudemon Ahrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Ahrp enableEudemon B的基本配置：#配置主機(jī)名system-viewEudem

13、onsysname Eudemon B#配置接口IP地址Eudemon Binterface GigabitEthernet 0/0/0Eudemon B- GigabitEthernet0/0/0ip address 10.100.10.3 24Eudemon B- GigabitEthernet0/0/0quitEudemon Binterface GigabitEthernet 0/0/1Eudemon B- GigabitEthernet0/0/1ip address 10.100.20.3 24Eudemon B- GigabitEthernet0/0/1quitEudemon Bi

14、nterface GigabitEthernet 0/0/2Eudemon B- GigabitEthernet0/0/2ip address 202.38.10.3 24Eudemon B- GigabitEthernet0/0/2quit#添加接口至對(duì)應(yīng)區(qū)域Eudemon Bfirewall zone trustEudemon B-zone-trustadd interface GigabitEthernet 0/0/0Eudemon B-zone-trustquitEudemon Bfirewall zone dmzEudemon B-zone-dmzadd interface Giga

15、bitEthernet 0/0/1Eudemon B-zone-dmzquitEudemon Bfirewall zone untrustEudemon B-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon B-zone-untrustquit#配置VRRP備份組，并指定備份組所屬的管理組。Eudemon Binterface GigabitEthernet 0/0/0Eudemon B-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 slaveEudemon BquitE

16、udemon Binterface GigabitEthernet 0/0/1Eudemon B-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 slaveEudemon BquitEudemon Binterface GigabitEthernet 0/0/2Eudemon B-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 slave#配置local區(qū)域和dmz區(qū)域的域間包過濾規(guī)則，以便VRRP報(bào)文、VGMP報(bào)文和HRP報(bào)文能夠通過心跳接口正常交互。Eudemon B

17、acl 2000Eudemon B-acl-basic-2000rule permit source 10.100.10.0 0.0.0.255Eudemon B-acl-basic-2000quitEudemon Bfirewall interzone local dmzEudemon B-interzone-local-dmzpacket-filter 2000 inboundEudemon B-interzone-local-dmzpacket-filter 2000 outbound#配置HRP備份通道。Eudemon Bhrp interface GigabitEthernet 0/

18、0/1 transfer-onlyEudemon Bhrp interface GigabitEthernet 0/0/0Eudemon Bhrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Bhrp enableSwitch和PC的基本配置：本實(shí)驗(yàn)中使用的Switch都是二層交換機(jī)，不需要任何配置；給PC1和PC2配上IP地址和默認(rèn)網(wǎng)關(guān)，PC1和PC2的網(wǎng)關(guān)分別對(duì)應(yīng)VRRP管理組1和VRRP管理組2的虛擬IP地址。實(shí)驗(yàn)結(jié)果驗(yàn)證實(shí)驗(yàn)結(jié)果驗(yàn)證一：通過命令display vrrp查看VRRP備份組的狀態(tài)。HRP_MEudemon Adisplay

19、vrrp GigabitEthernet0/0/2 | Virtual Router 3 state : Master Virtual IP : 202.38.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 2 state : Master Virtual IP : 10.100.20.1 Pri

20、orityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Master Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Ti

21、mer : 1 Auth Type : NONECheck TTL : YESHRP_SEudemon Bdisplay vrrp GigabitEthernet0/0/2 | Virtual Router 3 state : Backup Virtual IP : 202.38.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 |

22、 Virtual Router 2 state : Backup Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Backup Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConf

23、ig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES通過以上結(jié)果可知， Eudemon A在三個(gè)備份組中都處于Master狀態(tài)；Eudemon B在三個(gè)備份組中都處于Backup狀態(tài)。實(shí)驗(yàn)結(jié)果驗(yàn)證二：通過命令display hrp state查看HRP管理組的狀態(tài)。HRP_MEudemon Adisplay hrp state The firewalls config state is: MASTER Current state of virtu

24、al routers configured as master: GigabitEthernet0/0/2 vrid 3 : master GigabitEthernet0/0/1 vrid 2 : master GigabitEthernet0/0/0 vrid 1 : masterHRP_SEudemon Bdisplay hrp state The firewalls config state is: SLAVE Current state of virtual routers configured as slave: GigabitEthernet0/0/2 vrid 3 : slav

25、e GigabitEthernet0/0/1 vrid 2 : slave GigabitEthernet0/0/0 vrid 1 : slave通過以上結(jié)果可知，Eudemon A的三個(gè)接口屬于Master管理組，狀態(tài)為MASTER；Eudemon B的三個(gè)接口屬于Slave管理組，狀態(tài)為SLAVE。只有當(dāng)Master管理組的優(yōu)先級(jí)發(fā)生變化，低于Slave管理組的優(yōu)先級(jí)時(shí)，Eudemon B才開始負(fù)責(zé)所有域間數(shù)據(jù)轉(zhuǎn)發(fā)。實(shí)驗(yàn)結(jié)果驗(yàn)證三：使用命令display hrp group查看VGMP管理組的 信息，包括Master管理組的信息和運(yùn)行狀態(tài)、Slave管理組的信息和運(yùn)行狀態(tài)以及管理組的優(yōu)先級(jí)

26、等。HRP_MEudemon Adisplay hrp group Master group status: Group enabled: yes State: master Priority running: 65001 Total VRRP members: 3 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: yes Slave group status: Group enabled: no State: initialize Priority running:

27、 65000 Total VRRP members: 0 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: noHRP_SEudemon Bdisplay hrp group Master group status: Group enabled: no State: initialize Priority running: 65001 Total VRRP members: 0 Hello interval(ms): 1000 Preempt delay(s): 30

28、 Peer group available: 0 Peers member same: yes Slave group status: Group enabled: yes State: slave Priority running: 65000 Total VRRP members: 3 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: yes在Eudemon A上，我們只配置了Master管理組，在Eudemon B上我們只配置了Slave管理組。所以由以上實(shí)驗(yàn)結(jié)

29、果可以看出，Eudemon A上的Slave管理組和Eudemon B上的Master管理組的狀態(tài)均為“initialize”。注：在主備組網(wǎng)方式中，任何一臺(tái)防火墻上都只存在一個(gè)管理組。只有負(fù)載分擔(dān)組網(wǎng)方式中，兩臺(tái)防火墻上才會(huì)同時(shí)使能Master管理組和Slave管理組。實(shí)驗(yàn)結(jié)果驗(yàn)證四：在PC1上使用ping命令，是否能ping通PC2呢？如果不能，為什么？在Eudemon A上配置以下命令：Eudemon Aacl 2001Eudemon A-acl-basic-2001rule permit source 10.100.10.0 0.0.0.255Eudemon A-acl-basic-2

30、001quitEudemon Afirewall interzone trust untrustEudemon A-interzone-trust-untrustpacket-filter 2001 outbound再次使用ping命令，PC1是否能ping通PC2呢？以上命令用戶配置trust區(qū)域和untrust區(qū)域的域間包過濾規(guī)則，如果宕掉Eudemon A的接口GE0/0/2，PC1是否還能ping通PC2呢？檢查的配置發(fā)現(xiàn)，在Eudemon B上并沒有配置trust區(qū)域和untrust區(qū)域的域間包過濾規(guī)則，所以PC1無(wú)法ping通PC2?？梢酝ㄟ^在Eudemon B上配置trust區(qū)域

31、和untrust區(qū)域的域間包過濾規(guī)則解決上述問題。除了這種方法，有沒有其他方法可以解決上述問題呢？HRP用戶在主備設(shè)備間備份會(huì)話表信息及關(guān)鍵配置信息，為什么域間包過濾規(guī)則沒有備份到Eudemon B上呢？在Eudemon A和Eudemon B上配置以下命令，使用display current-configuration查看Eudemon B的配置信息。HRP_MEudemon A hrp auto-syncHRP_SEudemon B hrp auto-sync通過配置以上命令，可以發(fā)現(xiàn)Eudemon B上多了以下配置命令：firewall interzone trust untrustpa

32、cket-filter 2000 outbound也就是說(shuō)，域間包過濾規(guī)則已經(jīng)備份到Eudemon B。此時(shí)，再次驗(yàn)證PC1是否可以ping通PC2：C:Documents and SettingsAdministratorping 202.38.10.5Pinging 202.38.10.5 with 32 bytes of data:Reply from 202.38.10.5: bytes=32 time=3ms TTL=254Reply from 202.38.10.5: bytes=32 time=2ms TTL=254Reply from 202.38.10.5: bytes=32

33、 time=2ms TTL=254Reply from 202.38.10.5: bytes=32 time=2ms TTL=254實(shí)驗(yàn)結(jié)果驗(yàn)證五：在Eudemon A和Eudemon B上使用display firewall session table verbose查看會(huì)話：HRP_MEudemon Adisplay firewall session table verbose Current Total Sessions : 1 icmp (vpn: public - public) zone: trust - untrust tag: 0 x3588 State: 0 x0 ttl:

34、00:00:20 left: 00:00:19 Id: 1c979878 SlvId: 2cc412d0 Interface: G0/0/2 Nexthop: 202.38.10.5 Mac: 00-e0-fc-35-ff-f4 packets:0 bytes:010.100.10.5:512-202.38.10.5:512HRP_SEudemon Bdisplay firewall session table verbose Current Total Sessions : 1 icmp (vpn: public - public) Remote zone: trust - untrust

35、tag: 0 x35b8 State: 0 x0 ttl: 00:00:20 left: 00:00:14 Id: 1c979878 SlvId: 2cc412d0 Interface: G0/0/0 Nexthop: 0.0.0.0 Mac: 00-00-00-00-00-00 packets:0 bytes:010.100.10.5:512-202.38.10.5:512可以看到Eudemon B上存在帶有Remote標(biāo)記的會(huì)話，表示配置雙機(jī)熱備份功能后，會(huì)話備份成功。實(shí)驗(yàn)結(jié)果驗(yàn)證六：在PC1上執(zhí)行“ping t 202.38.10.5”，宕掉Eudemon A的接口GE0/0/2，觀察防

36、火墻的主備倒換以及對(duì)數(shù)據(jù)包轉(zhuǎn)發(fā)的影響。路由模式+負(fù)載分擔(dān)方式的雙機(jī)熱備技術(shù)在Eudemon防火墻上的部署組網(wǎng)及業(yè)務(wù)描述路由模式+負(fù)載分擔(dān)組網(wǎng)方式Eudemon作為安全設(shè)備被部署在業(yè)務(wù)節(jié)點(diǎn)上。其中上下行設(shè)備均是交換機(jī)，Eudemon A、Eudemon B采用負(fù)載分擔(dān)方式組網(wǎng)，且均工作在路由模式下。網(wǎng)絡(luò)規(guī)劃如下：需要保護(hù)的網(wǎng)段地址為10.100.10.0/24，與防火墻的GigabitEthernet 0/0/0接口相連，部署在Trust區(qū)域。 外部網(wǎng)絡(luò)與防火墻的GigabitEthernet 0/0/2接口相連，部署在Untrust區(qū)域。 兩臺(tái)防火墻的HRP備份通道接口GigabitEther

37、net 0/0/1部署在DMZ區(qū)域。 兩臺(tái)防火墻分別通過交換機(jī)連接各個(gè)安全區(qū)域。其中，各安全區(qū)域?qū)?yīng)的備份組虛擬IP地址如下：Trust區(qū)域?qū)?yīng)的備份組1的虛擬IP地址為10.100.10.1；備份組4的虛擬IP地址為10.100.10.2。 Untrust區(qū)域?qū)?yīng)的備份組2的虛擬IP地址為202.38.10.1；備份組5的虛擬IP地址為202.38.10.2。 DMZ區(qū)域?qū)?yīng)的備份組3虛擬IP地址為10.100.20.1；備份組6的虛擬IP地址為10.100.20.1。防火墻和PC地址規(guī)劃如下：Eudemon A：GE0/0/0：10.100.10.3/24；GE0/0/1：10.100.2

38、0.3/24；GE0/0/2：202.38.10.3/24Eudemon B：GE0/0/0：10.100.10.4/24；GE0/0/1：10.100.20.4/24；GE0/0/2：202.38.10.4/24PC1：10.100.10.510.100.10.254/24PC2：202.38.10.5202.38.10.254/24實(shí)驗(yàn)要求：1、完成防火墻雙機(jī)熱備配置，使PC1可以ping通PC2，PC2無(wú)法ping通PC1。2、宕掉主用防火墻的一個(gè)HRP備份通道接口，主用防火墻管理組優(yōu)先級(jí)發(fā)生變化，導(dǎo)致主備倒換。查看主備防火墻倒換對(duì)于從PC1發(fā)往PC2的數(shù)據(jù)包的影響。命令行列表操作版本命

39、令配置VRRP備份組的虛擬IP地址并指定備份組所屬的管理組。VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask | ip-mask-length slave | master 使能HRP功能。VRP 3.30hrp enable創(chuàng)建備份會(huì)話表的通道接口。VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和連接狀態(tài)的自動(dòng)備份。VRP 3.30hrp auto-sync config batch-backup |

40、connection-status 編寫提示：通過表格的形式列舉實(shí)驗(yàn)中要使用到的主要的，典型的命令行列?？梢詤⒖济钚惺謨?cè)。主要數(shù)通采用。印刷時(shí)上段話刪除。配置流程圖防火墻基本配置配置VRRP備份組配置HRP配置步驟基本配置：配置接口的IP地址；將接口分別添加到對(duì)應(yīng)的區(qū)域；配置區(qū)域間包過濾規(guī)則。配置VRRP備份組并制定備份組所屬的管理組。創(chuàng)建備份會(huì)話表的通道接口并使能HRP功能。使能配置命令和連接狀態(tài)的自動(dòng)備份功能。具體配置及實(shí)驗(yàn)結(jié)果驗(yàn)證Eudemon A的基本配置：#配置主機(jī)名system-viewEudemonsysname Eudemon A#配置接口IP地址Eudemon Ainter

41、face GigabitEthernet 0/0/0Eudemon A- GigabitEthernet0/0/0ip address 10.100.10.2 24Eudemon A- GigabitEthernet0/0/0quitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A- GigabitEthernet0/0/1ip address 10.100.20.2 24Eudemon A- GigabitEthernet0/0/1quitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-Et

42、hernet0/0/2ip address 202.38.10.2 24Eudemon A-Ethernet0/0/2quit#添加接口至對(duì)應(yīng)區(qū)域Eudemon Afirewall zone trustEudemon A-zone-trustadd interface GigabitEthernet 0/0/0Eudemon A-zone-trustquitEudemon Afirewall zone dmzEudemon A-zone-dmzadd interface GigabitEthernet 0/0/1Eudemon A-zone-dmzquitEudemon Afirewall z

43、one untrustEudemon A-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon A-zone-untrustquit#配置VRRP備份組，并指定備份組所屬的管理組。Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 masterEudemon A-GigabitEthernet0/0/0vrrp vrid 4 virtual-ip 10.100.10.2 slaveE

44、udemon AquitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 masterEudemon A-GigabitEthernet0/0/1vrrp vrid 5 virtual-ip 10.100.20.2 slaveEudemon AquitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 2

45、02.38.10.1 masterEudemon A-GigabitEthernet0/0/2vrrp vrid 6 virtual-ip 202.38.10.2 slave#配置local區(qū)域和dmz區(qū)域的域間包過濾規(guī)則，以便VRRP報(bào)文、VGMP報(bào)文和HRP報(bào)文能夠通過心跳接口正常交互。Eudemon Aacl 2000Eudemon A-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon A-acl-basic-2000quitEudemon Afirewall interzone local dmzEudemon

46、A-interzone-local-dmzpacket-filter 2000 inboundEudemon A-interzone-local-dmzpacket-filter 2000 outbound#配置trust區(qū)域和untrust區(qū)域的域間包過濾規(guī)則Eudemon Aacl 2001Eudemon A-acl-basic-2001rule permit source 10.100.10.0 0.0.0.255Eudemon A-acl-basic-2001quitEudemon Afirewall interzone trust untrustEudemon A-interzone

47、-trust-untrustpacket-filter 2001 outbound#配置HRP備份通道。Eudemon Ahrp interface GigabitEthernet 0/0/1 transfer-onlyEudemon Ahrp interface GigabitEthernet 0/0/0Eudemon Ahrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Ahrp enableEudemon Ahrp auto-syncEudemon B的基本配置：#配置主機(jī)名system-viewEudemonsysname Eudemo

48、n B#配置接口IP地址Eudemon Binterface GigabitEthernet 0/0/0Eudemon B- GigabitEthernet0/0/0ip address 10.100.10.3 24Eudemon B- GigabitEthernet0/0/0quitEudemon Binterface GigabitEthernet 0/0/1Eudemon B- GigabitEthernet0/0/1ip address 10.100.20.3 24Eudemon B- GigabitEthernet0/0/1quitEudemon Binterface Gigabit

49、Ethernet 0/0/2Eudemon B- GigabitEthernet0/0/2ip address 202.38.10.3 24Eudemon B- GigabitEthernet0/0/2quit#添加接口至對(duì)應(yīng)區(qū)域Eudemon Bfirewall zone trustEudemon B-zone-trustadd interface GigabitEthernet 0/0/0Eudemon B-zone-trustquitEudemon Bfirewall zone dmzEudemon B-zone-dmzadd interface GigabitEthernet 0/0/

50、1Eudemon B-zone-dmzquitEudemon Bfirewall zone untrustEudemon B-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon B-zone-untrustquit#配置VRRP備份組，并指定備份組所屬的管理組。Eudemon Binterface GigabitEthernet 0/0/0Eudemon B-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 slaveEudemon B-GigabitEthernet0/0/0

51、vrrp vrid 4 virtual-ip 10.100.10.2 masterEudemon BquitEudemon Binterface GigabitEthernet 0/0/1Eudemon B-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 slaveEudemon B-GigabitEthernet0/0/1vrrp vrid 5 virtual-ip 10.100.20.2 masterEudemon BquitEudemon Binterface GigabitEthernet 0/0/2Eudemon B-Gi

52、gabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 slaveEudemon B-GigabitEthernet0/0/2vrrp vrid 6 virtual-ip 202.38.10.2 master#配置local區(qū)域和dmz區(qū)域的域間包過濾規(guī)則，以便VRRP報(bào)文、VGMP報(bào)文和HRP報(bào)文能夠通過心跳接口正常交互。Eudemon Bacl 2000Eudemon B-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon B-acl-basic-2000quitEud

53、emon Bfirewall interzone local dmzEudemon B-interzone-local-dmzpacket-filter 2000 inboundEudemon B-interzone-local-dmzpacket-filter 2000 outbound#配置HRP備份通道。Eudemon Bhrp interface GigabitEthernet 0/0/1 transfer-onlyEudemon Bhrp interface GigabitEthernet 0/0/0Eudemon Bhrp interface GigabitEthernet 0/0

54、/2#使能HRP功能Eudemon Bhrp enableEudemon Bhrp auto-syncSwitch和PC的基本配置：本實(shí)驗(yàn)中使用的Switch都是二層交換機(jī)，不需要任何配置；給PC1和PC2配上IP地址和默認(rèn)網(wǎng)關(guān)，PC1和PC2的網(wǎng)關(guān)分別對(duì)應(yīng)VRRP管理組1和VRRP管理組2的虛擬IP地址。實(shí)驗(yàn)結(jié)果驗(yàn)證實(shí)驗(yàn)結(jié)果驗(yàn)證一：通過命令display vrrp查看VRRP備份組的狀態(tài)。HRP_MEudemon Adisplay vrrp GigabitEthernet0/0/2 | Virtual Router 2 state : Master Virtual IP : 202.38.1

55、0.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/2 | Virtual Router 5 state : Backup Virtual IP : 202.38.10.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time

56、 : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 3 state : Master Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 6

57、state : Backup Virtual IP : 10.100.20.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Master Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPri

58、ority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 4 state : Backup Virtual IP : 10.100.10.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONECheck TTL : YESHRP_SE

59、udemon Bdisplay vrrpGigabitEthernet0/0/2 | Virtual Router 2 state : Backup Virtual IP : 202.38.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/2 | Virtual Router 5 state : Master Virtual IP :

60、202.38.10.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 3 state : Backup Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES De