华为防火墙双机热备配置及组网
华为防火墙配置使用手册(自己写)[4]
![华为防火墙配置使用手册(自己写)[4]](https://img.taocdn.com/s3/m/2085ce1fcdbff121dd36a32d7375a417866fc10f.png)
华为防火墙配置使用手册(自己写)华为防火墙配置使用手册一、概述二、防火墙基本概念包过滤防火墙:它只根据数据包的源地址、目的地址、协议类型和端口号等信息进行过滤,不对数据包的内容进行分析。
它的优点是处理速度快,开消小,但是安全性较低,不能阻挠应用层的攻击。
状态检测防火墙:它在包过滤防火墙的基础上,增加了对数据包的连接状态的跟踪和记录,可以识别出非法的连接请求和数据包,并拒绝通过。
它的优点是安全性较高,可以阻挠一些常见的攻击,但是处理速度较慢,开消较大。
应用代理防火墙:它对数据包的内容进行深度分析,可以识别出不同的应用协议和服务,并根据应用层的规则进行过滤。
它的优点是安全性最高,可以阻挠复杂的攻击,但是处理速度最慢,开消最大。
访问控制:它可以根据源地址、目的地址、协议类型、端口号、应用类型等信息对网络流量进行分类和过滤,实现对内外网之间访问权限的控制和管理。
虚拟专网:它可以建立安全隧道,实现不同地域或者组织之间的数据加密传输,保证数据的机密性、完整性和可用性。
内容安全:它可以对网络流量中携带的内容进行检查和过滤,如、网页、文件等,并根据预定义的规则进行拦截或者放行。
用户认证:它可以对网络访问者进行身份验证,如用户名、密码、证书等,并根据不同的用户或者用户组分配不同的访问权限和策略。
流量管理:它可以对网络流量进行统计和监控,如流量量、流量速率、流量方向等,并根据预定义的规则进行限制或者优化。
日志审计:它可以记录并保存网络流量的相关信息,如源地址、目的地址、协议类型、端口号、应用类型、过滤结果等,并提供查询和分析的功能。
三、防火墙配置方法命令行界面:它是一种基于文本的配置方式,用户可以通过控制台或者远程终端访问防火墙,并输入相应的命令进行配置。
它的优点是灵便性高,可以实现细致的配置和管理,但是需要用户熟悉命令的语法和逻辑。
图形用户界面:它是一种基于图形的配置方式,用户可以通过浏览器或者客户端软件访问防火墙,并通过或者拖拽等操作进行配置。
HCIE安全-双机部署注意事项
双机部署注意事项硬件限制1.只支持两台设备做双机。
2.主备设备产品硬件型号相同,比如要求相同的板卡数量,接口卡位置,版本型号,licensen。
3.为防止业务异常,对于USG9500系列设备,在两个主控板都被拔出或故障时,需要将设备下电或将所有的接口板拔出。
软件限制1.主备设备的软件版本必须一致2.主备设备的Bootrom版本必须一致3.双机热备组网中,主备设备之间每24小时会进行一次配置一致性检查,要求主备设备上配置必须完全一致,比如安全策略,NAT策略,带宽策略,策略路由等。
4.建议实施主备设备部署时,配置文件均为初始文件。
5.主备设备需要选择相同的业务接口和心跳口,对应接口必须加入相同的安全区域。
6.配置了vrrp virtual-mac enable命令的接口不能作为心跳口,心跳口的MTU值必须是缺省值1500。
7.主备设备业务接口的IP地址必须固定,因此双机热备特性不能与PPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。
场景一上行路由器ospf协议,下行交换机vrrp协议1.为实现快速切换在主防火墙上下行接口应加入同一个link-group2.配置nat地址池静态黑洞路由,引入到ospf进行发布3.开启hrp快速备份功能4.为提高心跳接口高可靠性(a.配置多心跳口 b.配置E-Trunk,逐包转发load-balance src-dst-ip),主备防火墙心跳接口之间如果有三层设备(如路由器),配置时应带remote参数,同时放行心跳接口所在安全区域和local之间的安全策略。
主备防火墙接口推荐直连,配置时不用带remote 参数,不用放行安全策略。
5.主墙上业务端口配置hrp track active,备墙业务接口上配置hrp trackstandby,主墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x active,备墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x standby。
华为 防火墙命令总结
配置安全策略规则的源地址和目的地址(可选)
source-address{ address-set address-set-name &<1-6> | ipv4-address { ipv4-mask-length | mask mask-address | wildcard } | ipv6-address ipv6-prefix-length | range { ipv4-start-address ipv4-end-address | ipv6-start-address ipv6-end-address } | geo-location geo-location-name &<1-6> | geo-location-set geo-location-set-name &<1-6> | mac-address &<1-6> | any }
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.2 24
或者:
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.2 255.255.255.0
2.
将接口加入到相应的安全区域
[USG6000V1]firewall zone trust(untrust或dmz)
[USG-GigabitEthernet0/0/1]quit
10
配置允许某端口ping
<USG> system-view
[USG]interface GigabitEthernet 0/0/1
华为Eudemon1000双机配置
双机热备配置举例目录1双机热备配置举例1.1 配置主备备份方式下的双机热备1.2 配置负载分担方式上下行设备是路由器的双机热备1.3配置负载分担方式下业务接口工作在交换模式的双机热备1.4 配置主备备份方式下VRRP 和OSPF 结合的双机热备1.5 配置主备备份方式下OSPF 与NAT 结合的双机热备1双机热备配置举例通过配置双机热备功能,可以确保主用设备出现故障时能由备份设备平滑地接替工作。
配置主备备份方式下的双机热备Eudemon 作为安全设备部署在业务节点上,上下行设备均是交换机,实现主备备份的双机热备份组网。
配置负载分担方式上下行设备是路由器的双机热备Eudemon 作为安全设备部署在业务节点上,上下行设备均是路由器,实现负载分担的双机热备份组网。
配置负载分担方式下业务接口工作在交换模式的双机热备Eudemon 上下行设备均是路由器,主备设备的业务接口工作在交换模式下,在上下行路由器之间透传OSPF 协议,同时对业务流量提供安全过滤功能。
配置主备备份方式下VRRP和OSPF结合的双机热备主备设备与路由器运行OSPF协议,与交换机运行VRRP , 实现主备备份的双机热备份组网。
配置主备备份方式下OSPF与NAT结合的双机热备主备设备与路由器及下行设备GGSN设备运行OSPF协议,在设备上配置NAT功能,实现主备备份的双机热备份组网。
父主题:典型配置案例1.1配置主备备份方式下的双机热备Eudemon作为安全设备部署在业务节点上,上下行设备均是交换机,实现主备备份的双机热备份组网。
组网需求Eudemon作为安全设备被部署在业务节点上。
其中上下行设备均是交换机,Eudemon_A、Eudemon_B分别充当主用设备和备用设备。
网络规划如下:•内部网络通过路巾器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/2接口相连,部署在Trust区域。
•外部网络通过路由器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/1接口相连,部署在Untrust区域。
防火墙双机热备技术 华为安全HCIA
备份/冗余:提高网络的可靠性,防止单点故障二层冗余机制:STP,链路聚合,浮动静态路由,VRRP虚拟路由器冗余协议,HA高可用性,热备,冷备热备:通过冗余技术/协议实现动态的主备切换/负载分担可靠性高冷备:备份设备下电状态,当主设备失效后,进行物理替换节省费用(电费)双机热备技术产生的原因:1.防火墙通过VRRP协议实现备份---主备设备会话表无法同步2.通过防火墙的流量路径来回不一致造成数据丢失(不同VRRP组主备切换不一致)防火墙双机热备:组成:VRRP虚拟路由器冗余协议:管理一个VRRP组的主备切换,实现备份VGMP VRRP组统一管理协议(华为私有):统一管理VRRP组,实现多个VRRP组主备切换一致HRR 华为私有冗余协议:实现防火墙会话表同步VGMP基本原理:当防火墙上的VGMP为Active/Standby状态时,组内所有VRRP备份组的状态统一为Active/Standby状态状态为Active的VGMP会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)状态:Active:主用防火墙,所有报文都将从该防火墙上通过,该状态下VGMP会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)Standby:备用防火墙,接收到对端发送HELLO报文,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等成员的状态动态调整,以此完成两台防火墙的主备倒换VGMP HELLO报文发送周期缺省为1秒。
当Standby端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态防火墙的VGMP优先级有一个初始优先级,当防火墙的接口或者单板等出现故障时,会在初始优先级基础上减去一定的降低值USG6000和NGFW Module的初始优先级为45000USG9500的VGMP组的初始优先级与LPU板(接口板)上的插卡个数和SPU板(业务板)上的CPU个数有关VGMP组管理:状态一致性管理:VGMP管理组控制所有的VRRP备份组统一切换(VRRP备份组加入到管理组后,状态不能自行单独切换)抢占管理:当原来出现故障的主设备故障恢复时,其优先级恢复,此时可以重新将自己的状态抢占为主HRP:HRP(Huawei Redundancy Protocol)协议:用来实现防火墙双机之间动态状态数据和关键配置命令的备份在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。
双机热备篇 你所不知道的HRP
【防火墙技术连载41】强叔侃墙双机热备篇你所不知道的HRP 强叔在前几篇中讲解了双机热备的核心VGMP。
在介绍VGMP报文结构时我们看到了几种HRP协议定义的报文,本期强叔就要为大家解析HRP协议和这几种HRP报文。
有的小伙伴儿们会说:“HRP不就是负责双机的数据备份嘛。
有什么难度?”其实HRP在备份时还是大有文章的,现在强叔就为大家揭秘这些HRP鲜为人知的细节。
1 为什么需要HRP?1.1 备份配置命令防火墙通过执行命令(通过Web配置实际上也是在执行命令)来实现用户所需的各种功能。
如果备用设备切换为主用设备前,配置命令没有备份到备用设备,则备用设备无法实现主用设备的相关功能,从而导致业务中断。
如下图所示,主用设备FW1上配置了允许内网用户访问外网的安全策略。
如果主用设备FW1上配置的安全策略没有备份到备用设备FW2上,那么当主备状态切换后,新的主用设备FW2将不会允许内网用户访问外网(因为防火墙缺省情况下禁止所有报文通过)。
1.2 备份会话防火墙属于状态检测防火墙,对于每一个动态生成的连接,都有一个会话表项与之对应。
主用设备处理业务过程中创建了很多动态会话表项;而备用设备没有报文经过,因此没有创建会话表项。
如果备用设备切换为主用设备前,会话表项没有备份到备用设备,则会导致后续业务报文无法匹配会话表,从而导致业务中断。
如下图所示,主用设备FW1上创建了PC1访问PC2的会话(源地址为10.1.1.10,目的地址为200.1.1.10),PC1与PC2之间的后续报文会按照此会话转发。
如果主用设备FW1上的会话不能备份到备用设备FW2上,那么当主备状态切换后,PC1访问PC2的后续报文在FW2上匹配不到会话。
这样就会导致PC1访问PC2的业务中断。
因此为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。
为此华为防火墙引入了HRP( Huawei Redundancy Protocol)协议,实现防火墙双机之间动态状态数据和关键配置命令的备份。
华为AR系列路由器 01-04 双机热备份配置
4双机热备份配置关于本章4.1 双机热备份简介4.2 双机热备原理描述4.3 双机热备份应用场景4.4 配置注意事项4.5 双机热备份缺省配置4.6 配置双机热备份功能4.7 双机热备份配置举例4.8 双机热备份常见配置错误4.1 双机热备份简介定义双机热备份(Hot-Standby Backup)是指,当两台设备在确定主用(Master)设备和备用(Backup)设备后,由主用设备进行业务的转发,而备用设备处于监控状态,同时主用设备实时向备用设备发送状态信息和需要备份的信息,当主用设备出现故障后,备用设备及时接替主用设备的业务运行。
目的随着用户对网络可靠性的要求越来越高,如何保证网络的不间断传输,已成为一个必须解决的问题。
特别是在一些重要业务的入口或接入点上,需要保证网络的不间断运行,如企业的Internet接入点、银行的数据库服务器等。
在这些业务点上如果只使用一台设备,无论其可靠性多高,网络都必然要承受因单点故障而导致业务中断的风险。
为了解决上述问题,引入了双机热备份。
双机热备份实现了双机业务的备份功能,业务信息通过备份链路实现批量备份和实时备份,保证在主设备故障时业务能够不中断地顺利切换到备份设备,从而降低了单点故障的风险,提高了网络的可靠性。
4.2 双机热备原理描述4.2.1 备份方式设备支持主备方式的双机热备份解决方案。
主备方式(与VRRP热备份配合使用)如图4-1所示,RouterA与RouterB组成一个VRRP备份组。
正常情况下主设备RouterA处理所有业务,并将产生的会话信息通过主备通道传送到备份设备RouterB进行备份;RouterB不处理业务,只用做备份。
图4-1双机热备份主备方式组网图(正常工作)RouterA主备通道当主设备RouterA发生故障,备份设备RouterB接替主设备RouterA处理业务,如图4-2所示。
由于已经在备用设备上备份了会话信息,从而可以保证新发起的会话能正常建立,当前正在进行的会话也不会中断,提高了网络的可靠性。
华为防火墙简介与配置
透明墙配置
防火墙连接
透明墙配置
透明墙配置
1、现网状态判定 2、防火墙连接 3、参数确认 4、地址配置 5、服务配置 6、安全策略配置
透明墙配置
参数确认
透明墙配置
参数确认
项目 说明与示例 参数示例: 接口号:GigabitEthernet 1/0/1 接口类型:trunk 允许通过的VLAN:1、100 安全区域:Untrust 安全I区地址:10.0.0.0/24 安全I区服务端口:TCP 8888 参数示例: 接口号:GigabitEthernet 1/0/2 接口类型:trunk 允许通过的VLAN:1、100 安全区域:Trust 安全I区地址:10.0.0.0/24 安全I区服务端口:UDP 6666
透明墙配置
防火墙连接
登录设备Web界面对管理员PC浏览器的要 求如下: Internet Explorer浏览器:6.0~9.0版本 Firefox浏览器(推荐):10.0及以上版本 Chrome浏览器:17.0及以上版本 1、将管理员PC网口与设备的MGMT接口 (GigabitEthernet 0/0/0)通过网线或者 二层交换机相连。 2、将管理员PC的网络连接的IP地址设置为 在192.168.0.2~192.168.0.254范围内的 IP地址。
防火墙的区域
防火墙的访问规则和策略(如ACL)不是应用在端口上,而是 在区域间之间,通过区域的优先级值来表示inbound或 outbound的方向。 安全级别高的区域向级别低的区域访问是出站方向 {inbound} 安全级别低的区域向级别高的区域访问是入站方向 {outbound} 防火墙的同一安全区域内的端口之间访问不需要安全策略检 查,不同安全区域的端口之间进行访问,需要有安全策略的检 查和控制管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。
防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
1 1:防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
1.1 1.1 HRP命令行配置说明HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。
不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。
在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。
两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。
防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。
HRP的配置命令的功能和使用介绍如下:★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。
★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。
执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★ hrp configuration check hrp :检查主备防火墙两端的HRP的配置是否一致。
执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★hrp interface Ethernet/ GigabitEthernet :添加防火墙配置会话备份通道。
通常就是指防火墙心跳口,此接口用来备份防火墙的会话的。
★ hrp interface Ethernet 1/0/0 high-availability :配置防火墙的高可用性接口。
主要是用来实现防火墙的会话快速备份,如果不配置high-availability,会话快速备份的命令将不能使能,配置此命令之后,此接口会被有限选择作为防火墙会话备份的接口。
在防火墙上配置了hrp interface之后,防火墙选择备份通道的接口为:先选择配置的时候带了high-availability的接口,如果配置了多个带high-availability的接口,先选择槽位号和端口号比较小的接口,然后在选择槽位号和端口号比较小的不带high-availability的接口。
接口发生故障导致接口上的VRRP处于初始化状态或者是接口上的VRRP所属的VGMP没有使能的时候,防火墙会重新选择备份通道。
★ hrp mirror session enable :会话快速备份使能命令,此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上,在配置high-availability之后才能配置此命令。
★ hrp mirror packet enable :报文搬迁使能命令,此命令使能之后,如果ICMP的应答报文或者是TCP的ACK报文在其中一台防火墙上找不到会话,会把报文搬迁到另外一台防火墙上,如果在另外一台防火墙上找到会话,报文根据会话转发,如果找不到会话,直接丢弃。
此功能现在保留,但是基本上不再使用,因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上,并且报文搬迁占用比较多的带宽,所以这个命令推荐不使用。
★ hrp ospf-cost adjust-enable :这个命令是在防火墙和路由器组网的时候使用的,在防火墙上配置这个命令后,防火墙发布OSPF的路由的时候,会判断是主防火墙或者是备防火墙,如果是主防火墙,防火墙把学习到的路由直接发布出去,如果是备防火墙,防火墙把学习到的路由加上一个COST值再发布出去,这个COST值默认是65535,可以根据需要进行调整,这样和防火墙相连的路由器在计算路由的时候,路由就都能指到主防火墙上,路由器把报文转发到主防火墙上。
在使用防火墙和路由器进行组网起OSPF协议的时候,尽量保证OSPF的域小一些,这样在防火墙发生主备倒换的时候,OSPF的路由能尽快收敛,保证业务很快恢复。
★ hrp auto-sync connection-status :防火墙连接状态备份命令。
防火墙会话备份不分防火墙是主防火墙或者是备防火墙,使能了次命令后,防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。
此命令行在防火墙hrp enable执行之后就默认使能了。
★ hrp auto-sync config:防火墙配置备份命令。
防火墙上使能此命令后,在主防火墙上配置的命令行如ACL,域等都可以自动备份到备防火墙上,保证命令行能实时同步。
此命令行在hrp enable之后就默认使能了,此时在备防火墙上是默认不能配置ACL等配置的,但是如果需要单独配置,执行undo hrp auto-sync config就可以在备防火墙上配置此命令行了,主防火墙上执行ACL等配置发送到备防火墙上不会备执行,如果在主防火墙上执行此命令,主防火墙上将不把配置发送到备防火墙上执行。
★ hrp auto-sync config batch-backup :防火墙配置批量备份使能命令。
使能此命令,在防火墙发生主备倒换之后,新的主防火墙备自动把配置备份到新的备防火墙上。
此命令默认是不使能的,现在也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync config:防火墙配置批量备份命令。
执行此命令后主防火墙能把自己的配置发送到备防火墙上执行,此命令行在用户视图下使用,在使能了hrp之后才能使用。
此命令默认是也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync connection-status:手工同步连接状态信息命令,会进行会话,黑名单,地址转换表,以及ARP表等的备份等,同时对于Eudemon 1000来说还会刷新备份的通道。
★ display hrp:显示当前HRP的状态信息,主要包括HRP的备份通道,HRP的状态,hrp 是否使能快速备份,为MASTER状态的VGMP信息。
★ display hrp verbose:显示当前HRP的详细状态信息。
1.2 1.2 VGMP配置说明VGMP(vrrp group management protocol)是VRRP的组管理协议,同样VGMP协议也是华为私有的协议。
VGMP通过把VRRP加入到一个组中进行管理,通过VGMP报文和对端进行协商,确定自己和对端的VGMP的状态,根据VGMP的状态的主备,把VGMP组下面的VRRP的状态改成和VGMP的状态一致。
VGMP状态也分Master和Slave,同样VGMP 报文是在VRRP报文的基础上进行封装的,它通过VRRP报文通知对端自己的状态以及和对端进行协商。
防火墙的VGMP功能现在支持两台防火墙之间的VGMP协商,通过协商,在两台防火墙上形成一主一备的状态,当其中主防火墙发生故障或者其他原因导致VGMP的优先级降低的时候,备防火墙的VGMP会抢占为主,原来的主防火墙的VGMP会变成备,同时VGMP 组里面的VRRP也跟随这VGMP的状态的变化发生变化。
通过VGMP来管理VRRP,使VGMP为主的防火墙对外发布VGMP组下面的所有的VRRP的虚地址,而VGMP为备的防火墙不对外发布VRRP虚地址,形成VRRP的冗余备份。
VGMP的配置命令的功能和使用介绍如下:★ vrrp group <1-16>:创建VGMP管理组。
执行此命令行之后,创建一个VGMP管理组,并进入此管理组视图,所有的VGMP的配置都在VGMP视图下进行配置。
★ add interface Ethernet 1/0/7 vrrp vrid 1 :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理。
★ add interface Ethernet 1/0/7 vrrp vrid 1 data :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。
配置了发送VGMP的数据通道之后,VGMP才能使能。
防火墙的配置同步是通过VGMP的数据通道进行发送的。
★add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道,并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。
通常在防火墙上下行都是交换机组网的情况,心跳口上的VRRP可以以此种方式加入到VGMP组中。
★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1:把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP 数据报文的通道,同时在VGMP上绑定ip-link功能。