双机热备OSPF组网配置指导手册v

OSPF协议原理及配置详解OSPF（Open Shortest Path First）是一种用于计算机网络中的内部网关协议（IGP），用于在大型网络中动态确定数据包的传输路径。

其算法基于Dijkstra最短路径算法，并支持IPv4和IPv6网络。

OSPF的工作原理如下：1. 链路状态数据库（Link State Database）：每个OSPF路由器都维护着一个链路状态数据库，其中存储了它所连接的所有网络的信息，包括链路的状态、带宽、延迟等。

每个OSPF路由器通过发送链路状态更新（Link State Update）将自己的链路状态信息告知其他路由器。

2.路由器之间的邻居关系建立：OSPF路由器之间通过邻居发现过程建立邻居关系。

当一个OSPF路由器启动时，它会向网络广播HELLO消息来寻找其他路由器。

当两个路由器之间收到彼此的HELLO消息时，它们可以建立邻居关系。

3. 路由计算：每个OSPF路由器通过收集链路状态信息来计算最短路径。

路由器将链路状态信息存储在链路状态数据库中，并使用Dijkstra 最短路径算法来确定到达目标网络最短路径。

4.路由更新：当链路状态发生变化时，OSPF路由器将会发送更新消息通知其他路由器。

其他路由器接收到更新消息后，会更新自己的链路状态数据库，并重新计算最短路径。

OSPF的配置如下：1. 启用OSPF协议：在路由器配置模式下使用"router ospf"命令启用OSPF协议。

2. 配置区域（Area）：将网络划分为不同的区域。

在配置模式下使用"area <区域号> range <网络地址> <网络掩码>"命令将网络地址加入到区域中。

3. 配置邻居：使用"neighbor <邻居IP地址>"命令来配置OSPF邻居关系。

邻居IP地址可以手动配置或通过HELLO消息自动发现。

双机部署注意事项硬件限制1.只支持两台设备做双机。

2.主备设备产品硬件型号相同，比如要求相同的板卡数量，接口卡位置，版本型号，licensen。

3.为防止业务异常，对于USG9500系列设备，在两个主控板都被拔出或故障时，需要将设备下电或将所有的接口板拔出。

软件限制1.主备设备的软件版本必须一致2.主备设备的Bootrom版本必须一致3.双机热备组网中，主备设备之间每24小时会进行一次配置一致性检查，要求主备设备上配置必须完全一致，比如安全策略，NAT策略，带宽策略，策略路由等。

4.建议实施主备设备部署时，配置文件均为初始文件。

5.主备设备需要选择相同的业务接口和心跳口，对应接口必须加入相同的安全区域。

6.配置了vrrp virtual-mac enable命令的接口不能作为心跳口，心跳口的MTU值必须是缺省值1500。

7.主备设备业务接口的IP地址必须固定，因此双机热备特性不能与PPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。

场景一上行路由器ospf协议，下行交换机vrrp协议1.为实现快速切换在主防火墙上下行接口应加入同一个link-group2.配置nat地址池静态黑洞路由，引入到ospf进行发布3.开启hrp快速备份功能4.为提高心跳接口高可靠性（a.配置多心跳口 b.配置E-Trunk，逐包转发load-balance src-dst-ip），主备防火墙心跳接口之间如果有三层设备（如路由器），配置时应带remote参数，同时放行心跳接口所在安全区域和local之间的安全策略。

主备防火墙接口推荐直连，配置时不用带remote 参数，不用放行安全策略。

5.主墙上业务端口配置hrp track active,备墙业务接口上配置hrp trackstandby,主墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x active，备墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x standby。

OSPF配置步骤1、设备配置将OSPF模块加载到网络设备上，并启用和配置路由协议，如果要使用指定路由协议，必须先进行配置。

2、配置Router IDRouter ID是使用OSPF协议进行通信的路由器节点的标识，在路由器中是唯一的，它必须在OSPF配置的初始步骤中显式定义，无法由系统选择。

可以使用任何32位的IPv4地址，通常是路由器接口的IP地址或者一个特定的Loopback地址。

3、定义网络网络是OSPF划分子网关系和路由器节点间连接点之间的逻辑连接。

定义网络时，需要指定一个“主机”IP地址，它将决定路由器节点间连续网络之间接口上启用OSPF的哪一方。

4、指定区域通过区域可以将路由器分割为一个或多个网络拓扑，以便管理路由条目的传输和收集。

OSPF协议分为区域型、网络型和主机型，每种类型运行不同的OSPF协议。

5、定义路由器节点路由器节点是OSPF网络中的分隔点，连接网络的另一部分。

在网络中，每一个路由器都是一个独立的实体，关联拥有不同或相同网络地址部分网络范围的路由器节点6、设置网络拓扑结构在网络设置完成后，可以按照自己的需求设置不同的网络拓扑结构，包括内网、外网、跨网等。

此外，还可以添加OSPF路由记录以控制流量，以及管理拓扑路由器之间的OSPF链路。

7、OSPF安全配置OSPF安全配置是重要的，可以防止“联盟”路由器的攻击，以及“源路由”攻击，让网络免受外界的威胁，保证网络的稳定性。

8、OSPF性能调整OSPF性能调整可以通过更改链路延迟，使用加权路由等方式来调整，以优化OSPF网络的通信效率和性能。

9、运行测试测试OSPF有效性并验证配置的正确性，以保证OSPF的正确性和安全性，测试过程中可以检查配置、状态和链接数据，以确保正确的路由决策和稳定的通信结果。

防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

1 1:防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。

1.1 1.1 HRP命令行配置说明HRP是华为的冗余备份协议， Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。

不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文.在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等.两台防火墙正确配置VRRP，VGMP，以及HRP之后,将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。

双机热备配置举例目录1双机热备配置举例1.1 配置主备备份方式下的双机热备1.2 配置负载分担方式上下行设备是路由器的双机热备1.3配置负载分担方式下业务接口工作在交换模式的双机热备1.4 配置主备备份方式下VRRP 和OSPF 结合的双机热备1.5 配置主备备份方式下OSPF 与NAT 结合的双机热备1双机热备配置举例通过配置双机热备功能，可以确保主用设备出现故障时能由备份设备平滑地接替工作。

配置主备备份方式下的双机热备Eudemon 作为安全设备部署在业务节点上，上下行设备均是交换机，实现主备备份的双机热备份组网。

配置负载分担方式上下行设备是路由器的双机热备Eudemon 作为安全设备部署在业务节点上，上下行设备均是路由器，实现负载分担的双机热备份组网。

配置负载分担方式下业务接口工作在交换模式的双机热备Eudemon 上下行设备均是路由器，主备设备的业务接口工作在交换模式下，在上下行路由器之间透传OSPF 协议，同时对业务流量提供安全过滤功能。

配置主备备份方式下VRRP和OSPF结合的双机热备主备设备与路由器运行OSPF协议，与交换机运行VRRP , 实现主备备份的双机热备份组网。

配置主备备份方式下OSPF与NAT结合的双机热备主备设备与路由器及下行设备GGSN设备运行OSPF协议，在设备上配置NAT功能，实现主备备份的双机热备份组网。

父主题：典型配置案例1.1配置主备备份方式下的双机热备Eudemon作为安全设备部署在业务节点上，上下行设备均是交换机，实现主备备份的双机热备份组网。

组网需求Eudemon作为安全设备被部署在业务节点上。

其中上下行设备均是交换机，Eudemon_A、Eudemon_B分别充当主用设备和备用设备。

网络规划如下：•内部网络通过路巾器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/2接口相连，部署在Trust区域。

•外部网络通过路由器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/1接口相连，部署在Untrust区域。

双机热备软件的安装与配置指导手册系统版本：A1文档编号：CHI-PT-NJBL-SJRB-A0内容简介《双机热备软件的安装与配置指导手册》主要针对目前公司人员定位系统服务器双机热备软件的安装和配置进行了详细说明，指导现场工程师对双机热备软件进行安装及配置。

本手册共分四章节，分别为：第一章：概述第二章：软件的安装第三章：服务的安装及配置第四章：注意事项第五章：常见故障处理本文档的读者范围：公司内部员工版权声明本文档属南京北路科技有限公司版权所有，侵权必究。

本文文件专供用户、本公司职员以及经本公司许可的人员使用，未经公司书面同意，任何单位或个人不得以任何方式复制、翻印、改编、摘编、转载、翻译、注释、整理、出版或传播手册的全部或部分内容。

南京北路自动化系统有限责任公司位于南京江宁经济技术开发区，是南京市高新技术企业，现有高级工程师、工程师及其他专业技术人员100余名。

是专业从事煤矿通信、自动化、信息化产品的研发、生产、销售及服务的高科技公司。

公司拥有ISO9001:2000质量管理体系认证，坚持“质量第一、用户至上、至诚服务、持续改进”的质量方针，得到了广大客户的信赖和支持。

目前公司产品覆盖全国10多个省、自治区，并在多个煤炭主产区设有售后服务机构。

公司以满足客户需求为己任，不断生产高性价比的产品，为客户创造价值。

南京北路自动化系统有限责任公司联系地址：南京市江宁开发区菲尼克斯路99号邮政编码：211106电话号码：(025)52187543传真：(025)52185703邮件地址：*****************客户服务电话：400-611-5166客户支持网站：目录1概述 (1)1.1运行环境 (1)1.2硬件配置 (1)2软件的安装 (1)2.1安装前准备 (1)2.2修改hosts文件 (2)2.3RoseMirrorHA的安装配置 (2)2.4软件配置 (6)3服务的安装及配置 (23)4注意事项 (29)5常见问题处理 (30)插图目录图2-1 软件安装图.................................................................................................. 错误!未定义书签。

Quidway Eudemon300/500/1000配置指南可靠性分册目录目录1双机热备份配置 (1)1.1简介 (2)1.1.1总体概述 (2)1.1.2VRRP概述 (4)1.1.3VGMP概述 (5)1.1.4备份方式分类 (6)1.1.5HRP应用 (10)1.1.6配置设备的主从划分 (10)1.1.7配置命令和状态信息的备份 (11)1.1.8双机热备份的组网方式 (12)1.1.9报文来回路径不一致的组网 (13)1.2配置VRRP备份组 (18)1.2.1建立配置任务 (18)1.2.2配置未加入VRRP管理组的VRRP备份组 (18)1.2.3配置加入VRRP管理组的VRRP备份组 (19)1.2.4检查配置结果 (20)1.3配置VRRP管理组 (21)1.3.1建立配置任务 (21)1.3.2配置路由模式下的VRRP管理组 (22)1.3.3配置混合模式下的VRRP管理组 (23)1.3.4检查配置结果 (24)1.4配置双机热备份 (24)1.4.1建立配置任务 (24)1.4.2配置来回路径一致时的双机热备份 (26)1.4.3检查配置结果 (26)1.5配置来回路径不一致时的链路可达性检查 (27)1.5.1建立配置任务 (27)1.5.2检查链路可达性 (27)1.6使能来回路径不一致时的会话快速备份和报文搬迁 (28)1.6.1建立配置任务 (28)目录Quidway Eudemon300/500/1000配置指南可靠性分册1.6.2使能会话快速备份 (29)1.6.3使能报文搬迁 (29)1.7配置备防火墙上的NAT (30)1.7.1建立配置任务 (30)1.7.2配置备防火墙上的NAT (30)1.7.3配置备防火墙上的内部服务器 (30)1.8维护 (31)1.8.1调试VRRP报文、状态和定时器 (31)1.8.2调试VRRP管理组 (31)1.8.3调试HRP (31)1.8.4检查两端配置的一致性 (32)1.8.5查看IP链路状态 (32)1.8.6调试IP链路 (32)1.8.7调试HRP配置检查功能 (33)1.9配置举例 (33)1.9.1配置使用VRRP管理组的主备备份示例 (33)1.9.2配置使用VRRP管理组的负载分担示例 (37)1.9.3配置混合模式下的使用VRRP管理组的主备备份示例 (42)1.9.4配置路由模式下的双机热备份示例 (45)1.9.5配置混合模式下的双机热备份示例 (46)1.9.6配置OSPF和双机热备份混合组网示例 (48)1.9.7配置IP link示例 (56)1.9.8配置两端状态一致性检查 (58)1.9.9配置会话快速备份 (60)1.9.10配置报文搬迁 (61)Quidway Eudemon300/500/1000配置指南可靠性分册插图目录插图目录图1-1来回路径一致组网图 (2)图1-2来回路径不一致组网图 (3)图1-3采用缺省路由的组网 (4)图1-4采用VRRP的虚拟路由器组网 (4)图1-5Eudemon备份的典型组网 (5)图1-6Eudemon备份的状态 (5)图1-7主备备份组网 (6)图1-8负载分担组网（1） (7)图1-9负载分担组网（2） (9)图1-10Eudemon主备备份的典型数据路径 (10)图1-11来回路径不一致组网图 (13)图1-12H型结构 (14)图1-13h型结构 (15)图1-14N型结构 (16)图1-15|-型结构 (17)图1-16使用VRRP管理组的主备备份组网 (34)图1-17使用VRRP管理组的负载分担组网 (38)图1-18混合模式下的VRRP管理组的主备备份组网图 (42)图1-19混合模式下的双机热备分组网图 (47)图1-20OSPF和双机热备份混合组网图 (49)图1-21采用路由器的双机热备分组网图 (56)图1-22配置两端状态一致性检查组网图 (59)图1-23配置会话快速备份 (60)Quidway Eudemon300/500/1000配置指南可靠性分册表格目录表格目录表1-1主备备份方式下各设备的状态 (7)表1-2负载分担方式下各设备的状态（1） (8)表1-3负载分担方式下各设备的状态（2） (8)表1-4检查VRRP备份组配置 (20)表1-5检查VRRP管理组配置 (24)表1-6检查双机热备配置 (26)表1-7调试VRRP报文、状态和定时器的相关操作 (31)表1-8调试VRRP管理组的相关操作 (31)表1-9调试HRP的相关操作 (31)表1-10查看IP链路状态 (32)表1-11调试IP链路的相关操作 (33)表1-12调试HRP配置检查功能的相关操作 (33)Quidway Eudemon300/500/1000配置指南可靠性分册1双机热备份配置1双机热备份配置关于本章本章描述内容如下表所示。