DC232005 Eudemon防火墙双机热备业务特性与配置 ISSUE1.00

双机热备份典型故障现象及定位当前现网组网基本上都是双机热备份组网，而现在由于双机热备份配置或者是组网带来的问题导致现网业务中断也是多有案例出现，下面就几个典型案例来介绍防火墙双机热备份组网中的常见故障及故障定位解决办法。

1案例一：双机热备份组网部分业务中断的问题业务与软件部门在河北某局点于2007年11月用两台Eudemon 1000替换NetScreen的防火墙NS500，业务割接之后发现部分业务不通，最终定位为双机热备份配置的问题。

1.1组网图：组网图如下所示，其中图中注明的新增的两台Eudemon 1000是替换掉NS500割入的设备，防火墙使用路由模式组网，使用的版本是EU300&500&1000&SP1800-VRP3.30-0359(08)。

1.2防火墙配置：防火墙配置如下附件所示：由于此次割接是Eudemon 防火墙替换NS500的防火墙，所以防火墙的配置基本上是把NS500的配置翻译成防火墙的配置之后割接上去。

1.3故障现象：防火墙割接上去之后，发现用一个测试软件从trust到dmz域做NAT outbound出去访问一个指定的server不通，但是可以从防火墙上ping通此server服务器，查看防火墙会话，有从测试PC到server的会话。

刚开始业务与软件部门的兄弟开始检查配置，找自己的部门人员分析，反复查看配置及组网，对比防火墙和NS500的配置之后，仍然没有发现任何疑点，因为NAT地址的地址以前在NS500上使用是可以的对外发起访问的，但是在Eudemon 1000上却对外发起访问不成功，由于此次割接只是用防火墙Eudemon 1000替换NS500，其他设备没有什么改动，初步定位问题出现在防火墙上。

但是防火墙上已经建立了从内网访问server的会话，如果按照防火墙的转发原理，只要回来的报文能到达防火墙，都能命中会话转发到测试PC上。

1.4定位过程：最后现场技术支持和用服找到防火墙研发，防火墙研发登陆到防火墙上，开始进行定位。

配置各接口IP地址、网络参数、缺省路由。

Eudemon防火墙连接Trust、DMZ和Untrust三个安全区域,因此需要配置相关连接接口的IP地址、链路层、网络层、路由的参数,从而实现Eudemon网络层与其他设备互通。

# 配置Eudemon防火墙Ethernet0/0/0接口的IP地址。

[Eudemon] interface ethernet 0/0/0[Eudemon-Ethernet0/0/0] ip address 10.110.1.11 255.255.255.0[Eudemon-Ethernet0/0/0] quit# 配置Eudemon防火墙Etherent1/0/0接口的IP地址。

外网[Eudemon] interface ethernet 1/0/0[Eudemon-Ethernet1/0/0] ip address 202.38.160.1 255.255.0.0[Eudemon-Ethernet1/0/0] quit# 配置Eudemon防火墙Etherent2/0/0接口的IP地址。

[Eudemon] interface ethernet 2/0/0[Eudemon-Ethernet2/0/0] ip address 10.110.5.11 255.255.255.0[Eudemon-Ethernet2/0/0] quit# 配置Eudemon防火墙到达Internet的缺省路由。

[Eudemon] ip route-static 0.0.0.0 0.0.0.0 202.38.160.15 到外网网关[Eudemon] ip route-static 10.110.1.0 255.255.255.0 10.110.1.2 到三层第三步:创建或配置安全区域,为安全区域增加隶属接口。

Eudemon防火墙三个Ethernet接口分别连接Trust、DMZ和Untrust三个系统保留的安全区域,因此仅需要为安全区域增加隶属的接口即可。

Eudemon防火墙双机热备业务上机指导书(doc 34页)部门： xxx时间： xxx整理范文，仅供参考，可下载自行编辑修订记录课程编码适用产品产品版本课程版本ISSUE DS002104 Eudemon ALL 1.00开发/优化者时间审核人开发类型（新开发/优化）卢希2009-5-15 凃昭新开发Eudemon防火墙双机热备业务上机指导书目录实验说明 (1)实验说明 (1)版本介绍 (1)实验目的 (1)实验任务 (1)相关资料 (1)第1章路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署 (2)1.1 组网及业务描述 (2)1.2 命令行列表 (3)1.3 配置流程图 (3)1.4 配置步骤 (4)1.5 具体配置及实验结果验证 (4)第2章路由模式+负载分担方式的双机热备技术在Eudemon防火墙上的部署 (12)2.1 组网及业务描述 (12)2.2 命令行列表 (13)2.3 配置流程图 (14)2.4 配置步骤 (14)2.5 具体配置及实验结果验证 (14)第3章混合模式+主备组网方式的双机热备份技术在Eudemon防火墙上的部署 (23)3.1 组网及业务描述 (23)3.2 命令行列表 (24)3.3 配置流程图 (24)3.4 配置步骤 (24)3.5 具体配置及实验结果验证 (25)实验说明实验说明本实验指导书本主要介绍了Eudemon防火墙双机热备技术的常见组网方式及配置流程，涵盖了VRRP、VGMP和HRP等防火墙双机热备的主要技术。

希望您能通过本指导书了解并掌握Eudemon防火墙双机热备技术的部署。

版本介绍本指导书适用于VRP版本3.30实验目的●掌握Eudemon防火墙双机热备的基本原理●熟悉路由模式+主备组网方式的防火墙双机热备技术●熟悉路由模式+负载分担组网方式的防火墙双机热备技术●熟悉混合模式+主备组网方式的防火墙双机热备技术实验任务●完成Eudemon防火墙的基本配置●配置VRRP备份组●配置HRP相关资料●Eudemon防火墙产品手册配置指南●Eudemon防火墙产品手册命令参考第1章 路由模式+主备组网方式的双机热备技术在Eudemon 防火墙上的部署1.1 组网及业务描述Eudemon B Eudemon ATrustUntrust备份组2GE0/0/0GE0/0/1GE0/0/2Slave 管理组GE0/0/0GE0/0/2GE0/0/1PC1PC2SW1路由模式+主备组网方式Eudemon 作为安全设备被部署在业务节点上。

天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

Quidway Eudemon300/500/1000配置指南可靠性分册目录目录1双机热备份配置 (1)1.1简介 (2)1.1.1总体概述 (2)1.1.2VRRP概述 (4)1.1.3VGMP概述 (5)1.1.4备份方式分类 (6)1.1.5HRP应用 (10)1.1.6配置设备的主从划分 (10)1.1.7配置命令和状态信息的备份 (11)1.1.8双机热备份的组网方式 (12)1.1.9报文来回路径不一致的组网 (13)1.2配置VRRP备份组 (18)1.2.1建立配置任务 (18)1.2.2配置未加入VRRP管理组的VRRP备份组 (18)1.2.3配置加入VRRP管理组的VRRP备份组 (19)1.2.4检查配置结果 (20)1.3配置VRRP管理组 (21)1.3.1建立配置任务 (21)1.3.2配置路由模式下的VRRP管理组 (22)1.3.3配置混合模式下的VRRP管理组 (23)1.3.4检查配置结果 (24)1.4配置双机热备份 (24)1.4.1建立配置任务 (24)1.4.2配置来回路径一致时的双机热备份 (26)1.4.3检查配置结果 (26)1.5配置来回路径不一致时的链路可达性检查 (27)1.5.1建立配置任务 (27)1.5.2检查链路可达性 (27)1.6使能来回路径不一致时的会话快速备份和报文搬迁 (28)1.6.1建立配置任务 (28)目录Quidway Eudemon300/500/1000配置指南可靠性分册1.6.2使能会话快速备份 (29)1.6.3使能报文搬迁 (29)1.7配置备防火墙上的NAT (30)1.7.1建立配置任务 (30)1.7.2配置备防火墙上的NAT (30)1.7.3配置备防火墙上的内部服务器 (30)1.8维护 (31)1.8.1调试VRRP报文、状态和定时器 (31)1.8.2调试VRRP管理组 (31)1.8.3调试HRP (31)1.8.4检查两端配置的一致性 (32)1.8.5查看IP链路状态 (32)1.8.6调试IP链路 (32)1.8.7调试HRP配置检查功能 (33)1.9配置举例 (33)1.9.1配置使用VRRP管理组的主备备份示例 (33)1.9.2配置使用VRRP管理组的负载分担示例 (37)1.9.3配置混合模式下的使用VRRP管理组的主备备份示例 (42)1.9.4配置路由模式下的双机热备份示例 (45)1.9.5配置混合模式下的双机热备份示例 (46)1.9.6配置OSPF和双机热备份混合组网示例 (48)1.9.7配置IP link示例 (56)1.9.8配置两端状态一致性检查 (58)1.9.9配置会话快速备份 (60)1.9.10配置报文搬迁 (61)Quidway Eudemon300/500/1000配置指南可靠性分册插图目录插图目录图1-1来回路径一致组网图 (2)图1-2来回路径不一致组网图 (3)图1-3采用缺省路由的组网 (4)图1-4采用VRRP的虚拟路由器组网 (4)图1-5Eudemon备份的典型组网 (5)图1-6Eudemon备份的状态 (5)图1-7主备备份组网 (6)图1-8负载分担组网（1） (7)图1-9负载分担组网（2） (9)图1-10Eudemon主备备份的典型数据路径 (10)图1-11来回路径不一致组网图 (13)图1-12H型结构 (14)图1-13h型结构 (15)图1-14N型结构 (16)图1-15|-型结构 (17)图1-16使用VRRP管理组的主备备份组网 (34)图1-17使用VRRP管理组的负载分担组网 (38)图1-18混合模式下的VRRP管理组的主备备份组网图 (42)图1-19混合模式下的双机热备分组网图 (47)图1-20OSPF和双机热备份混合组网图 (49)图1-21采用路由器的双机热备分组网图 (56)图1-22配置两端状态一致性检查组网图 (59)图1-23配置会话快速备份 (60)Quidway Eudemon300/500/1000配置指南可靠性分册表格目录表格目录表1-1主备备份方式下各设备的状态 (7)表1-2负载分担方式下各设备的状态（1） (8)表1-3负载分担方式下各设备的状态（2） (8)表1-4检查VRRP备份组配置 (20)表1-5检查VRRP管理组配置 (24)表1-6检查双机热备配置 (26)表1-7调试VRRP报文、状态和定时器的相关操作 (31)表1-8调试VRRP管理组的相关操作 (31)表1-9调试HRP的相关操作 (31)表1-10查看IP链路状态 (32)表1-11调试IP链路的相关操作 (33)表1-12调试HRP配置检查功能的相关操作 (33)Quidway Eudemon300/500/1000配置指南可靠性分册1双机热备份配置1双机热备份配置关于本章本章描述内容如下表所示。