华为 配置双机热备份
Quidway Eudemon 200E-B
配置指南可靠性分册目录
目录
1 配置双机热备份...........................................................................................................................1-1
1.1 简介..............................................................................................................................................................1-2
1.1.1 VRRP概述...........................................................................................................................................1-2
1.1.2 VGMP概述..........................................................................................................................................1-3
1.1.3 备份方式分类.....................................................................................................................................1-4
1.1.4 HRP应用..............................................................................................................................................1-8
1.1.5 配置设备的主从划分.........................................................................................................................1-9
1.1.6 配置命令和状态信息的备份...........................................................................................................1-10
1.1.7 双机热备份的组网方式...................................................................................................................1-12
1.1.8 配置一致性检查概述.......................................................................................................................1-12
1.1.9 接口的双机热备...............................................................................................................................1-13
1.2 配置VRRP备份组.....................................................................................................................................1-13
1.2.1 建立配置任务...................................................................................................................................1-13
1.2.2 配置VRRP备份组............................................................................................................................1-14
1.2.3 检查配置结果...................................................................................................................................1-15
1.3 配置VRRP管理组.....................................................................................................................................1-15
1.3.1 建立配置任务...................................................................................................................................1-15
1.3.2 配置路由模式下的VRRP管理组....................................................................................................1-16
1.3.3 配置混合模式下的VRRP管理组....................................................................................................1-17
1.3.4 检查配置结果...................................................................................................................................1-18
1.4 配置双机热备份........................................................................................................................................1-18
1.4.1 建立配置任务...................................................................................................................................1-18
1.4.2 配置双机热备份...............................................................................................................................1-20
1.4.3 检查配置结果...................................................................................................................................1-20
1.5 维护............................................................................................................................................................1-20
1.5.1 调试VRRP报文、状态和定时器....................................................................................................1-21
1.5.2 调试VRRP管理组............................................................................................................................1-21
1.5.3 调试HRP...........................................................................................................................................1-21
1.5.4 检查两端配置的一致性...................................................................................................................1-21
1.5.5 调试HRP配置检查功能...................................................................................................................1-22
目录Quidway Eudemon 200E-B 配置指南可靠性分册
1.6 配置举例....................................................................................................................................................1-22
1.6.1 配置路由模式下的使用VRRP管理组的主备备份示例.................................................................1-22
1.6.2 配置路由模式下的使用VRRP管理组的负载分担示例.................................................................1-26
1.6.3 配置混合模式下的使用VRRP管理组的主备备份示例.................................................................1-31
1.6.4 配置路由模式下的双机热备份示例...............................................................................................1-34
1.6.5 配置混合模式下的双机热备份示例...............................................................................................1-38
1.6.6 配置OSPF和双机热备份混合组网示例.........................................................................................1-39
插图目录
图1-1 采用缺省路由的组网图.........................................................................................................................1-2图1-2 采用VRRP的虚拟路由器组网图..........................................................................................................1-3图1-3 Eudemon备份的典型组网图..................................................................................................................1-3图1-4 Eudemon备份的状态..............................................................................................................................1-4图1-5 主备备份组网图....................................................................................................................................1-5图1-6 简化负载分担组网图.............................................................................................................................1-6图1-7 复杂负载分担组网图.............................................................................................................................1-8图1-8 Eudemon主备备份的典型数据路径......................................................................................................1-9图1-9 配置使用VRRP管理组的主备备份组网图........................................................................................1-23图1-10 配置使用VRRP管理组的负载分担组网图......................................................................................1-27图1-11 配置混合模式下的使用VRRP管理组的主备备份组网图...............................................................1-31图1-12 配置路由模式下的双机热备份组网图.............................................................................................1-34图1-13 配置混合模式下的双机热备份组网图.............................................................................................1-38图1-14 配置OSPF和双机热备份混合组网图...............................................................................................1-40
表格目录
表1-1 主备备份方式下各设备的状态.............................................................................................................1-5表1-2 简化负载分担方式下各设备的状态(1)...........................................................................................1-7表1-3 简化负载分担方式下各设备的状态(2)...........................................................................................1-7表1-4 检查VRRP备份组配置结果的操作命令............................................................................................1-15表1-5 检查VRRP管理组配置结果的操作命令............................................................................................1-18表1-6 检查双机热备份配置结果的操作命令...............................................................................................1-20表1-7 调试VRRP报文、状态和定时器的命令............................................................................................1-21表1-8 调试VRRP管理组的命令....................................................................................................................1-21表1-9 调试HRP的命令...................................................................................................................................1-21表1-10 调试HRP配置一致性检查功能的命令.............................................................................................1-22
配置指南 可靠性分册 1 配置双机热备份
1
配置双机热备份
关于本章
本章描述内容如下表所示。 标题 内容
1.1 简介
介绍双机热备份的基本原理和组网。 1.2 配置VRRP 备份组介绍VRRP 备份组的配置方法。 1.3 配置VRRP 管理组
配置路由模式下的使用VRRP 管理组的主备备配置路由模式下的使用VRRP 管理组的负载分担示例
举例:配置混合模式下的使用VRRP 管理组的主备备介绍VRRP 管理组的配置方法。
举例1:份示例
举例2:3份示例
1.4 配置双机热备份介绍双机热备份的配置方法。
热备份示例份示例
举例1:配置路由模式下的双机举例2:配置混合模式下的双机热备1.5 维护介绍双机热备份的维护方法。 1.6 配置举例
介绍双机热备份的各种组网举例。
1 配置双机热备份Quidway Eudemon 200E-B 配置指南可靠性分册
1.1 简介
Eudemon的双机热备份需要三个协议的支持:
z VRRP(Virtual Router Redundancy Protocol)
虚拟路由冗余协议,是由RFC 2338定义的一种容错协议,通过分离物理设备和逻
辑设备,实现在多个出口网关之间进行选路。
z VGMP(VRRP Group Management Protocol)
华为公司为防止VRRP状态不一致现象的发生,在VRRP的基础上自主开发出的扩
展协议。该协议负责统一管理加入其中的各备份组VRRP的状态。
z HRP(Huawei Redundancy Protocol)
华为冗余协议,是承载在VGMP报文上进行传输的,实现了Master和Backup设备
之间关键配置命令和会话表状态信息的备份。
1.1.1 VRRP概述
通常,内部网络的主机都配置一条缺省路由,下一跳为出口路由器的接口IP地址。如图
1-1所示,路由器的接口IP地址为10.100.10.1,子网掩码为255.255.255.0。
图1-1采用缺省路由的组网图
内外部用户的交互报文全部通过Router。如果Router出现故障,内部网络中所有以Router
为下一跳的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。
VRRP正是为了解决上述问题而提出来的。作为一种容错协议,VRRP适用于支持组播
或广播的局域网(如以太网等)。
VRRP将局域网的一组路由器构成一个备份组,功能上相当于一台虚拟路由器。局域网
内的主机仅仅知道这个虚拟路由器的IP地址,而不知道备份组内的具体设备的IP地址。
他们将自己的下一跳地址设置为该虚拟路由器的IP地址。于是,网络内的主机就通过
这个虚拟路由器与其他网络进行通信。
备份组中,仅有一台设备处于活动状态,称为主用设备(Master);其余设备都处于备份
状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。
图1-2所示为三台路由器组成的备份组。
Quidway Eudemon 200E-B
配置指南 可靠性分册 1 配置双机热备份
图1-2 采用VRRP 的虚拟路由器组网图
VRRP 机制将该虚拟路由器动态关联到某承担传输业务的物理路由器上,从而当该物理路由器出现故障时能再次选择新路由器来接替业务传输工作,整个过程对用户来说是完全透明的,这就很好实现了内部网络和外部网络之间不间断通信。
1.1.2 VGMP 概述
Eudemon 备份的典型组网如图1-3所示。每个安全区域的接口均形成一个VRRP 备份组,各VRRP 备份组均相对独立,且单独工作。 图1-3 Eudemon 备份的典型组网图
10.100.20.0/24
Backup 10.100.10.0/24
10.100.10.1/24
Virtual IP address 10.100.20.1/24
DMZ
1 配置双机热备份Quidway Eudemon 200E-B 配置指南可靠性分册
Eudemon是状态防火墙,只检查会话流的首报文,并动态生成会话表项。后续报文(包
括返回报文)只有匹配该会话表项才能通过Eudemon。当某会话的进路径和出路径不一
致时,后续报文或返回报文将无法匹配Eudemon的会话表项,导致报文被丢弃。如图1-4
所示,Eudemon B上没有相关会话表项,返回报文(9)到达Eudemon B后将会被丢弃。
图1-4Eudemon备份的状态
传统VRRP机制中,由于各VRRP备份组相对独立,无法保证同一Eudemon上各接口
的VRRP状态都为主用或都为备用,即传统VRRP方式将无法实现VRRP状态的一致
性。
华为公司为解决上述问题,提出VGMP扩展协议,负责统一管理加入其中的各备份组
VRRP状态。借助VGMP机制,可以实现对多个VRRP备份组(虚拟设备)的状态一
致性管理、抢占管理和通道管理等,保证一台设备上的接口同时处于主用或备用状态,
实现VRRP状态的一致性。
1.1.3 备份方式分类
通过接口、备份组、管理组之间的不同组合,可以实现两台Eudemon按照主备备份方
式或负载分担方式进行备份。在选择备份方式时,Eudemon根据备份组的数量、各备份
组中的优先级关系来确定采用哪种备份方式。
主备备份
借助VGMP机制,可以实现主备备份,即每台Eudemon上都配置相同编号的VRRP管理
组,但是优先级不同,如图1-5所示。
Quidway Eudemon 200E-B
配置双机热备份
配置指南可靠性分册 1 图1-5主备备份组网图
Eudemon A
Eudemon B
Actual connection
Packets traffic
A的接口
A1、A2、A3 Eudemon
B的接口
B1、B2、B3 Eudemon
上图中:
z存在的备份组:
?备份组1包括Eudemon A的A1接口、Eudemon B的B1接口。
?备份组2包括Eudemon A的A2接口、Eudemon B的B2接口。
?备份组3包括Eudemon A的A3接口、Eudemon B的B3接口。
z Eudemon A上的VRRP管理组1包含备份组1、2、3,优先级为Level1。
z Eudemon B上的VRRP管理组1也包含备份组1、2、3,优先级为Level2。
由于Level1>Level2,所以Eudemon A作为Master设备,Eudemon B作为Backup设备。
主备备份方式下的各设备状态如表1-1所示。
表1-1主备备份方式下各设备的状态
设备
VRRP管理组1
成员优先级状态数据流量
Eudemon A 备份组1,2,3 Level1 Master
全部
Eudemon B 备份组1,2,3 Level2 Backup
Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A(Master)的A1、
A2和A3接口,由该设备承担全部会话业务。
1 配置双机热备份
Quidway Eudemon 200E-B
配置指南 可靠性分册
当Master 设备出现故障或相关链路故障时,状态发生切换,Backup 变成Master ,并开始承担全部会话业务。
负载分担
所谓负载分担,也可以称为互为主备。负载分担方式包括以下两种:
z
简化的负载分担(复用原有接口)
每台Eudemon 上分别配置两个不同编号的VRRP 管理组,具有不同的优先级,如图1-6所示。
图1-6 简化负载分担组网图
Eudemon A
Eudemon B
group 5
Actual connection Packets traffic Backup group 2
A1、A2、A3 Eudemon A 的接口
B1、B2、B3 Eudemon B 的接口
该组网中存在的备份组:
? 备份组1、4包括Eudemon A 的A1接口、Eudemon B 的B1接口。 ? 备份组2、5包括Eudemon A 的A2接口、Eudemon B 的B2接口。 ?
备份组3、6包括Eudemon A 的A3接口、Eudemon B 的B3接口。 Eudemon A 的VRRP 管理组:
? VRRP 管理组1包含备份组1、2、3,优先级为Level1。 ? VRRP 管理组2包含备份组4、5、6,优先级为Level2。 ?
Level1>Level2。
Eudemon B 的VRRP 管理组:
? VRRP 管理组1包括备份组1、2、3,优先级为Level3。 ?
VRRP 管理组2包含备份组4、5、6,优先级为Level4。
Quidway Eudemon 200E-B
配置双机热备份
配置指南可靠性分册 1 ?Level3 其中,Eudemon A和Eudemon B的管理组优先级关系如下: ?Level1=Level4。 ?Level2=Level3。 Eudemon A是VRRP管理组1协商出的Master,也是管理组2协商出的Backup; Eudemon B是VRRP管理组1协商出的Backup,也是管理组2协商出的Master。 负载分担方式下,主备设备均正常工作时各设备的状态如表1-2所示。 表1-2简化负载分担方式下各设备的状态(1) VRRP备份组优先级状态数据流量 设备VRRP管 理组 Eudemon A 管理组1 备份组1,2,3 Level1 Master 部分 Eudemon B 管理组1 备份组1,2,3 Level3 Backup 0 Eudemon A 管理组2 备份组4,5,6 Level2 Backup 0 Eudemon B 管理组2 备份组4,5,6 Level4 Master 部分 由于Eudemon A和Eudemon B的两个VRRP管理组的优先级存在交叉关系,即上 文所说的Level1>Level3;Level2 机将业务数据分别发送到Eudemon A的A1、A2和A3接口,另一部分会话业务发 送到Eudemon B的B1、B2和B3接口,由两台Eudemon共同分担会话业务。 如果Eudemon B出现故障,则VRRP管理组2将重新裁决各设备的状态,Eudemon A 状态切换为Master,Eudemon B状态切换为Backup。此时Eudemon A承担全部会话 业务。表1-2的状态则会改变,如表1-3所示。 表1-3简化负载分担方式下各设备的状态(2) VRRP备份组优先级状态数据流量 设备VRRP管 理组 Eudemon A 管理组1 备份组1,2,3 Level1 Master 部分 Eudemon B 管理组1 备份组1,2,3 Level3 Backup 0 Eudemon A 管理组2 备份组4,5,6 Level2 Master 部分 Eudemon B 管理组2 备份组4,5,6 当Eudemon B恢复正常后,VRRP管理组2重新裁决各设备的状态,Eudemon B将 继续成为管理组2的Master,流量将在两台Eudemon之间负载分担。 z复杂的负载分担(新增负载分担接口) 1 配置双机热备份 Quidway Eudemon 200E-B 配置指南可靠性分册 当Eudemon的接口速率难以顺畅传输高速业务流时,为了保证一条物理线路上传输顺畅,建议为Eudemon添加新接口,并基于新接口配置用于负载分担的备份组。如图1-7所示。 图1-7复杂负载分担组网图 Master / Backup A1、A2、A3、A4、A5、A6 Eudemon A的接口 B1、B2、B3、B4、B5、B6 Eudemon B的接口 原有备份组为备份组1、2和3。其中: ?备份组1包括Eudemon A的A1接口、Eudemon B的B4接口。 ?备份组2包括Eudemon A的A3接口、Eudemon B的B2接口。 ?备份组3包括Eudemon A的A6接口、Eudemon B的B5接口。 添加三个新的备份组4、5和6。其中: ?备份组4包括Eudemon A的A2接口、Eudemon B的B3接口。 ?备份组5包括Eudemon A的A4接口、Eudemon B的B1接口。 ?备份组6包括Eudemon A的A5接口、Eudemon B的B6接口。 Eudemon A和Eudemon B的VRRP管理组和备份组之间的关系如下: ?VRRP管理组1包含备份组1、2和3。 ?VRRP管理组2包含备份组4、5和6。 Eudemon A是VRRP管理组1协商出的Master,也是管理组2协商出的Backup; Eudemon B是VRRP管理组1协商出的Backup,也是管理组2协商出的Master。 1.1.4 HRP应用 Eudemon是状态防火墙,对于每一个动态生成的会话连接,Eudemon上都有一个会话表 项与之对应。如图1-8所示。 Quidway Eudemon 200E-B 配置双机热备份 配置指南可靠性分册 1 图1-8Eudemon主备备份的典型数据路径 PC PC 假设采用主备备份方式: z Eudemon A作为Master设备,承担所有数据传输任务,并创建了相关动态会话表 项。 z Eudemon B作为Backup设备,没有任何数据流经过。 如果Eudemon A出现故障或相关链路出现问题,Eudemon B将会切换状态而变成新的 Master设备,并开始承担数据传输任务。如果状态切换前,会话表项和配置命令没有备 份到Eudemon B,则先前经过Eudemon A的所有数据流都会因为无法匹配Eudemon B 的会话表而断链,导致业务中断,从而影响业务正常进行。 为了实现Master设备出现故障时能由Backup设备平滑地接替工作,需要在Master和 Backup设备之间备份关键配置命令和会话表状态信息。为此,华为公司推出了HRP。 启动HRP功能后,如果Master设备发生故障,导致VRRP管理组状态改变,VRRP管 理组上报该状态变化到HRP模块,由HRP模块裁决当前是否完成配置命令和会话状态 信息的同步备份。如果完成则引起VRRP管理组发生抢占,并进而引起VRRP备份组抢 占,从而实现Backup设备平滑地接替工作。 1.1.5 配置设备的主从划分 当采用负载分担方式时,网络中存在两台Master设备,用户可能在两台Master设备上 输入了很多命令。当其中一台Master设备出现故障时,如何在这两台设备之间备份信息、 需要备份哪些命令以及备份方向都是需要考虑的问题。 为了避免备份时混乱,Eudemon中引入了配置主设备、配置从设备概念。发送配置备份 内容的设备被称为配置主设备,接收配置备份内容的设备称为配置从设备。一台 Eudemon要想成为配置主设备,必须具备如下条件: z只有VRRP管理组中状态为Master的设备才有机会成为配置主设备。 z在负载分担方式下,参与双机热备份的两台Eudemon在管理组中的状态都是 Master,此时先启动HRP的设备为配置主设备。 1 配置双机热备份Quidway Eudemon 200E-B 配置指南可靠性分册 除非配置主设备出现故障或者退出VRRP备份组,否则配置主设备与配置从设备之间不 进行转换,从而尽力保证了配置主设备的稳定性。 1.1.6 配置命令和状态信息的备份 目前,Eudemon上的双机热备份功能支持状态信息和配置命令的备份,可以通过自动备 份和手工批量备份两种方式实现。 当配置从设备未工作或工作异常时,配置命令和状态信息的备份将无法进行。 备份信息 备份的信息包括: z状态信息 z配置命令 下面分别进行介绍: z状态信息 备份的状态信息包括: ?生成的会话表项 ?动态黑名单表项 ?NAT(Network Address Translation)表项 ?ALG(Application Level Gateway)/ASPF(Application Specific Packet Filter)状 态 ?动态ARP(Address Resolution Protocol)表项 ?混合模式下的MAC地址转发表项 z配置命令 备份的配置命令包括: ?ACL(Access Control List)包过滤命令 ?攻击防范命令 ?地址绑定命令 ?黑名单命令 包括黑名单的启动命令、手工添加黑名单表项命令 ?日志命令 ?NAT命令 ?统计命令 ?区域命令 ?ASPF命令 ?Portmap命令 ?P2P命令 ?RADIUS命令 Quidway Eudemon 200E-B 配置双机热备份 配置指南可靠性分册 1 ?IP-CAR命令 ?TSM联动命令 ?地址集和端口集命令 ?SLB命令 ?清除会话表项的命令 备份方向 状态信息是从备份组中的Master设备备份到Backup设备。如果进行双机热备份的两台 Eudemon分别是两个备份组的Master设备,则状态信息会互相备份,由系统决定需要 备份的状态信息的内容。 配置命令只能进行单向备份。即备份方向只能从配置主设备到配置从设备,不能反向备 份。 z当执行自动批量备份时,无法进行手工批量备份操作。 z在执行自动批量备份或手工批量备份期间,建议不进行其他操作。 自动备份 自动备份方式包括:自动批量备份、自动实时备份。下面分别针对状态信息和配置命令 的自动备份进行说明: 在配置较多ACL的情况下,开启自动批量备份功能会消耗大量系统资源,CPU使用率可能会达 100%,导致业务中断。因此建议用户关闭自动批量备份功能。 z状态信息的备份 ?自动批量备份:当Backup设备接替工作或重新启动时,由Master设备将所有状 态信息备份到Backup设备,并由Backup设备进行状态处理。 ?自动实时备份:当Master设备上产生了需要备份的状态信息时,Master设备自 动将状态信息备份到Backup设备,并由Backup设备进行状态处理。 z配置命令的备份 ?自动批量备份:当配置从设备接替工作或重新启动时,由配置主设备将所有配 置命令批量备份到配置从设备;当配置从设备接替工作时,由原配置从设备向 原配置主设备批量备份配置命令,因为此时原配置从设备是配置主设备。配置 从设备执行仅需要双机热备份的配置命令,从而实现配置主/从设备之间的配置 同步。 ?自动实时备份:当配置主设备识别到启动双机热备份的命令后,配置主设备自 动将配置命令备份到配置从设备,从而配置从设备运行这些配置命令。 在配置主设备、配置从设备都正常工作的情况下,如果启动自动实时备份功能, 则在配置主设备上每输入一条需要双机热备份的命令时,此配置命令将被传送 给到配置从设备并执行;如果在配置主设备上输入不需要双机热备份的命令, 则该命令仅在配置主设备上执行,不会被传送到配置从设备。对于在配置从设 备上执行的命令,不会被传送到配置主设备。 1 配置双机热备份Quidway Eudemon 200E-B 配置指南可靠性分册 手工批量备份 下面分别针对状态信息和配置命令的手工批量备份进行说明: z状态信息的备份 当配置主设备和配置从设备都正常工作时,且配置主设备上启动手工批量备份功 能,则配置主设备将需要双机热备份的状态信息批量发送到配置从设备,并由配置 从设备进行状态更新。 z配置命令的备份 当配置主设备和配置从设备都正常工作时,且配置主设备上启动手工批量同步备份 功能,则配置主设备将需要双机热备份的配置命令批量发送到配置从设备,从而让 配置从设备执行这些配置命令。 1.1.7 双机热备份的组网方式 Eudemon的双机热备份,除可以工作在路由模式下外,还可以工作在混合模式下。 混合模式下的双机热备份主要是指Eudemon工作于混合模式下,通过透明模式的接口 接收和发送业务报文,用以完成网络应用;通过路由模式的接口传送VRRP、VGMP和 HRP报文,用以维护主备关系。 混合模式下的双机热备份除能够提供透明模式的无缝接入,对外提供二层交换机(透明 模式下的Eudemon)业务外,还能保证当主Eudemon发生故障后,流量能够转换到备 Eudemon上,保证业务的连续性。 1.1.8 配置一致性检查概述 配置一致性检查功能用于双机热备份环境中,检查主备Eudemon的ACL配置和HRP 配置是否相同。如果主备Eudemon上的配置不匹配,当主Eudemon发生故障后,报文 被备Eudemon丢弃,就会导致内外部用户的会话因无法通过备Eudemon而中断。此时, 可以检查两端设备的一致性,当发现配置不一致时,可进行相应修改。 配置一致性检查实现如下功能: z检查主备Eudemon的ACL配置是否相同。 ACL配置检查的内容如下: ?所创建的ACL组的组号是否完全相同。 ?相同组号的ACL组的描述信息、报文匹配ACL规则的顺序、步长以及所有ACL 规则配置是否相同。 z检查主备Eudemon的HRP配置是否相同,包括VGMP组配置信息和HRP配置命令。 其中,VGMP组配置信息包含的内容如下: ?主备Eudemon已配置并使能的VRRP管理组号是否一致。 ?同一VRRP管理组里的VRRP备份组以及每一个VRRP备份组配置是否一致。 ?同一VRRP管理组里的Triggerdown属性配置是否一致。 ?同一VRRP管理组里的Hello报文发送间隔是否一致。 Quidway Eudemon 200E-B 配置双机热备份 配置指南可靠性分册 1 1.1.9 接口的双机热备 Eudemon的E1接口、同步串口和WiFi接口支持双机热备功能。E1接口和同步串口进 行双机热备时需要与OSPF混合组网。 1.2 配置VRRP备份组 1.2.1 建立配置任务 应用环境 当在网络出口处采用两台Eudemon保护内部网络的安全时,需要配置双机热备份功能。 首先则应该配置VRRP备份组。 前置任务 在配置VRRP备份组之前,需要完成以下任务: z(可选)配置Eudemon的工作模式。 z配置接口IP地址或系统IP地址。 z配置接口加入安全区域。 z Eudemon工作于路由模式或混合模式才可以配置VRRP备份组。 z Eudemon工作于混合模式时,需要配置系统IP地址。系统IP地址的配置方法请参见《配置指 南系统管理分册》。 数据准备 在配置VRRP备份组之前,需要准备以下数据: z接口类型和接口编号 z VRRP备份组号 z VRRP备份组的虚拟IP地址 z子网掩码或子网掩码长度 z VRRP备份组的优先级 z抢占方式和延迟时间 z备份组中的Master设备发送VRRP通告报文的间隔时间 z被监视的接口类型和接口编号 z优先级降低的数额 z是否检测VRRP报文的TTL(Time To Live)值 1 配置双机热备份Quidway Eudemon 200E-B 配置指南可靠性分册 1.2.2 配置VRRP备份组 当各Eudemon之间仅需要实现路由通路的备份,而对状态一致性要求不高时,可以只 配置未加入VRRP管理组的VRRP备份组。此时无法确保各备份组状态一致性,不建议 使用。如果备份组加入VRRP管理组,备份组VRRP状态是否切换必须根据他所属VRRP 管理组来裁决确定。 配置VRRP备份组,需要进行如下操作。 步骤 1执行命令system-view,进入系统视图。 步骤 2执行命令interface interface-type interface-number,进入接口视图。 步骤 3执行命令ip address ip-address { mask | mask-length } [ sub ],配置接口IP地址。 需要首先配置接口IP地址,备份组的虚拟IP地址的配置才能生效。 步骤 4执行命令vrrp vrid virtual-router-id virtual-ip virtual-address [ mask | mask-length ] [ preference ],配置备份组的虚拟IP地址。 当虚拟IP地址和某接口实际的IP地址相同时,该接口称为IP地址拥有者。 Eudemon支持VRRP备份组的虚拟IP地址与对应的接口IP地址在同一网段和不在同一 网段两种情况。当虚拟IP地址和对应接口IP地址不在同一网段时,必须和对应接口的 下一跳的IP地址在同一个网段,此时必须配置子网掩码或子网掩码长度。 选择参数preference后,接口采用备份组的虚拟IP地址作为数据报的源IP地址发送报 文,否则采用接口的实际IP地址作为报文源IP地址。 步骤 5执行命令vrrp vrid virtual-router-id priority priority-value,配置备份组的优先级。 当Eudemon上同时存在加入和未加入VRRP管理组的VRRP备份组时,建议将加入 VRRP管理组的备份组优先级配置的较高。这是因为,未加入VRRP管理组的备份组优 先级高于VRRP管理组内部各备份组的优先级时,主备倒换时,会扰乱VRRP管理组的 状态。 步骤 6(可选)执行命令vrrp vrid virtual-router-id preempt-mode [ timer delay interval ],配置备份组的抢占使能和延迟时间。 配置加入VRRP管理组的VRRP备份组时,本条命令不起作用,所以不需要配置本条命 令。 步骤 7执行命令vrrp vrid virtual-router-id timer advertise interval,设置发送VRRP通告报文的间隔时间。 网络流量过大或不同的Eudemon上的定时器差异等因素,会导致VRRP定时器超时并 引起状态切换。对于这种情况,可以通过延长两台Eudemon发送VRRP通告报文的时 间间隔来解决问题。请注意,同一备份组内的Eudemon的时间间隔要配置为相同的数 值。 VRRP定时器不能实时更新,如果想让新配置的时间值立即生效,可以通过先后执行命 令shutdown和undo shutdown,使接口重新进行协商。 步骤 8(可选)执行命令vrrp vrid virtual-router-id track interface-type interface-number [ reduced value-reduced ],设置被监视的接口。 Quidway Eudemon 200E-B 配置指南可靠性分册 1 配置双机热备份 当该接口为IP地址拥有者时,不能执行该项配置。 步骤 9(可选)执行命令vrrp un-check ttl,取消对VRRP报文的TTL值进行检测。 ----结束 1.2.3 检查配置结果 在所有视图下,执行如表1-4所示的操作命令检查VRRP备份组配置结果。 表1-4检查VRRP备份组配置结果的操作命令 操作命令 查看VRRP备份组的状态信息display vrrp[ interface interface-type interface-number [ virtual-router-id ]] 1.3 配置VRRP管理组 1.3.1 建立配置任务 应用环境 当在网络出口处采用两台Eudemon保护内部网络的安全时,需要配置双机热备份功能。 配置完VRRP备份组后,则需要继续配置VRRP管理组,由管理组统一管理各独立运行 的VRRP备份组,确保各VRRP备份组之间通路状态一致性,从而实现各备份组之间的 互通。 前置任务 在配置VRRP管理组之前,需要完成以下任务: z(可选)配置Eudemon的工作模式。 z配置接口IP地址或系统IP地址。 z配置接口加入安全区域。 z配置VRRP备份组。 z Eudemon工作于路由模式或混合模式才可以配置VRRP管理组。 z Eudemon工作于混合模式时,需要配置系统IP地址。系统IP地址的配置方法请参见《配置指 南系统管理分册》。 数据准备 在配置VRRP管理组之前,需要准备以下数据: z VRRP管理组号 1 配置双机热备份Quidway Eudemon 200E-B 配置指南可靠性分册 z接口类型和接口编号 z VRRP备份组号 z VRRP管理组的优先级 z VRRP管理组中各VRRP备份组的优先级增加值 z VRRP管理组抢占方式 z VRRP管理组抢占的延迟时间 z VRRP管理组中的Master设备发送Hello报文的间隔时间 z确认配置VRRP管理组报文群发标志 z确认允许备机转发业务(只适用于配置混合模式下的VRRP管理组) 请根据实际组网时的工作模式选择VRRP管理组的配置指导。 1.3.2 配置路由模式下的VRRP管理组 z对于Eudemon,采用VRRP管理组进行统一管理时,请确保虚拟IP地址和任何接口的实际IP地址都不相同。 z由于VGMP报文不支持分片,请不要在加入VRRP管理组的接口上配置MTU,否则,将可能导致Eudemon不能正常接收VGMP报文。当主Eudemon出现故障时, 主备Eudemon不能正常切换。 配置路由模式下的VRRP管理组,需要进行如下操作。 步骤 1执行命令system-view,进入系统视图。 步骤 2执行命令vrrp group group-identifier,创建VRRP管理组,并进入管理组视图。 步骤 3执行命令add interface interface-type interface-number vrrp vrid virtual-router-id [ data [ transfer-only ] ],配置向VRRP管理组中添加和接口相关的某个VRRP备份组。 加入到VRRP管理组的接口必须之前已经加入VRRP备份组。 如果把Vlanif接口作为数据通道的端点,要求Vlanif对应的VLAN下只能有一个成员接口。 步骤 4执行命令vrrp-group enable,启动VRRP管理组功能。 启动VRRP管理组功能的前提是该VRRP管理组中已有VRRP备份组加入。 步骤 5执行命令vrrp-group priority { plus plus-value | priority-value | using-vrrppriority },配置VRRP管理组优先级。 建议用户配置主从Eudemon的VRRP管理组优先级差值为5,保证主Eudemon发生故 障后能够进行主备切换。 步骤 6执行命令vrrp-group preempt [ delay interval ],启动VRRP管理组抢占功能。 13. 以下内容那些是路由信息中所不包含的(多) (BC) (A) 目标网络(B) 源地址 (C) 路由权值(D) 下一跳 3: 以下关于Rip路由聚合的说法正确的是(多) (BD) (A) Rip V1默认支持路由聚合,需要时可以关闭路由聚合功能 (B) 华为Quidway 系列路由器Rip V2的实现可以关闭路由聚合功能 (C) Rip V1不支持子网路由聚合到一个非自然子网路由 (D) Rip V2支持子网路由聚合到一个非自然子网路由 92、关于IP报文头的TTL字段,以下说法正确的有(?????) A、?TTL的最大可能值是65535 B、?在正常情况下,路由器不应该从接口收到TTL=0的IP报文 C、?TTL主要是为了防止IP报文在网络中的循环转发,浪费网络的带宽 D、?IP报文每经过一个网络设备,包括Hub、Lan?Switch和路由器,?TTL值都会被减去一定 的数值 ANSWER:B、C 注意: TTL最大值为255 96、路由算法使用了许多不同的权决定最佳路由,通常采用的权不包括(?????) A、?带宽 B、?可靠性 C、?物理距离 D、?通信费用 275、通常情况下IGRP如何获得路由信息:(?????) A、?多播 B、?单播和多播 C、?广播 D、?多播和广播 ANSWER:C 274、关于RIP?V1和RIP?V2,下列说法哪些正确?(?????) A、?RIP?V1报文支持子网掩码 B、?RIP?V2报文支持子网掩码 C、?RIP?V2缺省使用路由聚合功能 D、?RIP?V1只支持报文的简单口令认证,而RIP?V2支持MD5认证 ANSWER:B、C、D 229、RIP协议在收到某一邻居网关发布而来的路由信息后,下述对度量值的正确处理有哪 些?(?????) A、?对本路由表中没有的路由项,只在度量值少于不可达时增加该路由项 B、?对本路由表中已有的路由项,当发送报文的网关相同时,只在度量值减少时更新该路由 项的度量值 防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。 华为数通考试试卷 (路由协议基础&动态路由协议和RIP协议原理) 考试时间60分钟(共100分) 一、填空题(共10空,每空1分、共计10分) 1.路由表的构成有:目的地址、网络掩码、出接口、下一跳IP地址、协议、优先级、花销。 2.路由的来源主要有:链路层协议发现的路由(Direct)、手工配置的静态路由(Static)、动态路由协议发 现的路由。 3.路由选路原则的要素:协议优先级、路由花费值 4.缺省路由是在没有找到匹配的路由表入口项时才使用的路由。它也是一种静态路由;它以日的网络0.0.0.0 掩码为0.0.0.0的形式出现。 5.OSPF将协议报文直接封装在IP 报文中,协议号89,BGP使用TCP作为传输协议,端口号是179,RIP 使用UDP作为传输协议,端口号520。 二、判断题(共10题,每题1分、共计10分) 1.当产生路由自环时,报文会在几个路由器之间循环转发,直至TTL=0 时才被丢弃。(√) 2.RIP 使用跳数(Hop Count)来衡量到达目的网络的距离,RIP规定metric取值0~15之间的整数,大于 或等于16的跳数被定义为无穷大,即目的网络或主机不可达(√) 3.RIP包括RIP-1和RIP-2两个版本,RIP-1不支持变长子网掩码(VLSM),RIP-2支持变长子网掩码(VLSM), 同时RIP-2只支持明文认证。(×) 4.华为设备:0表示直接连接的路由,255 表示任何来自不可信源端的路由。(√) 5.不同的路由协议之间的路由花费值没有可比性,也不存在换算关系。(√) 6.自治系统的编号范围是1到65535,其中1到65411是注册的因特网编号,65412到65535是专用网络编 号。(√) 7.为了在同一个互联网中支持多种路由协议,必须在这些不同的路由协议之间共享路由信息。这种在不同 路由协议中间交换路由信息的过程被称为路由引入;路由引入可以是单向的也可以是双向的。(√) 8.“路由自环”是指某个报文从一台路由器发出,经过几次转发之后又回到初始的路由器。(√) 9.距离矢量协议直接传送各自的路由表信息。网络中的路由器从自己的邻居路由器得到路由信息,并将这 些路由信息连同自己的本地路由信息发送给其他邻居,这样一级级的传递下去以达到全网同步。(√)10.EGP是用于连接不同的自治系统,在不同的自治系统之间交换路由信息,主要使用路由策略和路由过滤 等控制路由信息在自治域间的传播。(√) 华为AR系列路由器静态路由协议配置方法 作者:诚恺科技来源:?浏览次数:4236?日期:2014年9月29日12:13静态路由协议就是静态路由,要把网络中每一条路由手动配置,下面诚恺科技小编就以华为路由器为例,同大家一起来看看IPv4静态路由、NQA for IPv4静态路由、IPv6静态路由的详细配置方法,供大家参考。 一、配置IPv4静态路由基本功能示例 组网需求 路由器各接口及主机的IP地址和掩码如图1所示。要求采用静态路由,使图中任意两台主机之间都能互通。 图1 配置静态路由组网图 操作步骤 的配置 # interface GigabitEthernet1/0/0 ip address ? interface GigabitEthernet2/0/0 ip address route-static ?????????????????????????????? ip route-static ? 置主机 配置VLAN10内主机的缺省网关为,VLAN20内主机的缺省网关为,VLAN30内主机的缺省网关为。 5.配置交换机 配置各交换机,使得各主机能与其网关路由器互通。 6.检查配置结果 使用display ip routing-table命令查看路由器的IP路由表。 使用Ping命令验证连通性。 配置注意事项 ——正确配置各路由器各接口的IPv4地址,使网络互通。 ——保证两个路由器互连接口地址配置在同一网段,并且可以正常互通。 ——在各主机上配置IPv4缺省网关。 二、配置NQA for IPv4静态路由示例 组网需求 通过配置NQA for IPv4静态路由可以快速检测到网络的故障,控制静态路由的发布。如图2所示,RouterA通过接口GE2/0/0连接RouterB到RouterD作为主链路,RouterA通过接口GE1/0/0连接RouterC 到RouterD作为备份链路。在RouterA上配置NQA ICMP测试例,以检测主链路的网络状况。当主链路出现故障时,从RouterA发送到RouterD的报文就会切换到备份链路进行转发。 图2 配置NQA for IPv4静态路由组网图 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为 USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。1、如何使两台防火墙形成双机热备负载分担状态 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 华为路由协议的RIP及OSP 华为路由协议的P RIP及及OSP在配置华为路由器之前,我们要先了解其路由协议。 下面,给大家具体介绍路由协议中的RIPTOSPF协议。 一、RIPT路由协议RIP协议最初是为Xerox网络系统的Xeroxparc 通用协议而设计的,是Inter中常用的路由协议。 (1)RIP采用距离向量算法,即路由器根据距离选择路由,所以也称为距离向量协议。 路由器收集所有可到达目的地的不同路径,并且保存有关到达每个目的地的最少站点数的路径信息,除到达目的地的最佳路径外,任何其它信息均予以丢弃。 同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。 这样,正确的路由信息逐渐扩散到了全网。 (2)RIP使用非常广泛,它简单、可靠,便于配置,但是RIP只适用于小型的同构网络,因为它允许的最大站点数为15,任何超过15个站点的目的地均被标记为不可达。 而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一。 二、OSPF路由协议80年代中期,RIP已不能适应大规模异构网络的互连,0SPF随之产生,它是网间工程任务组织(1ETF)的内部网关协议工作组为IP网络而开发的一种路由协议。 (1)0SPF是一种基于链路状态的路由协议,需要每个路由器向其 同一管理域的所有其它路由器发送链路状态广播信息。 (2)在OSPF的链路状态广播中包括所有接口信息、所有的量度和 其它一些变量。 利用0SPF的路由器首先必须收集有关的链路状态信息,并根据一定的算法计算出到每个节点的最短路径。 而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新 信息。 (3)与RIP不同,OSPF将一个自治域再划分为区,相应地即有两 种类型的路由选择方式当源和目的地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采用区间路由选择。 这就大大减少了网络开销,并增加了网络的稳定性,当一个区内 的路由器出了故障时并不影响自治域内其它区路由器的正常工作,这也给网络的管理、维护带来方便。 华为路由器如何减少无线干扰随着无线网络的发展,越来越多的 应用都加载在无线网上,但随着应用的增加,无线干扰问题对网络服务的质量影响日显突出,今天要给大家介绍的就是如何减少无线干扰,这里以华为路由器为例。 一、检测 1、对无线干扰的检测我们可以利用提供接入服务的AP来扫描, 同时也可以通过专门的设备组成的网络来进行,手持RF设备的定位, 【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。 1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。 防火墙双机热备特性FAQ 1:问:R6新增了支持防火墙和路由器双机热备份组网,的这种组网是如何实现的防火墙主备组网的,需要在防火墙上配置哪些命令,需要注意哪些东西? 答:R6上新增支持防火墙和路由器双机热备份组网,这种组网防火墙和路由器之间器OSPF 协议,同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值,使得路由器学到的路由都指向主防火墙,保证业务都从主防火墙上过,形成双机热备份的。 为了实现防火墙和双机热备份组网,需要在主备防火墙上配置命令:hrp ospf-cost adjust-enable,这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值,主防火墙直接发布路由。这个COST值默认是65500。 防火墙和路由器组网的时候,心跳线不能配置成transfer-only,同时需要使用VRRP的优先级作为防火墙的VGMP的优先级,VRRP需要track上和路由器相连的接口。 2:问:R6双机热备份是如何支持来回路径不一致的,会话快速备份和传统的会话实时备份有什么区别,会话快速备份涉及到哪些命令行。 答:R6是通过支持会话快速备份来支持来回路径不一致的,会话快速备份就是在会话建立的时候就立即备份到对端防火墙上,保证即使是来回路径不一致,到备防火墙上的报文也能命中会话进行转发。 会话快速备份和传统的会话实时备份的区别是:1:会话快速备份在会话一建立就备份到备防火墙上,而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的,所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上,所以仅仅有会话实时备份不能支持来回路径不一致。2:会话快速备份能备份tcp半连接会话和ICMP会话,而会话实时备份不备份半连接会话和ICMP的会话。 会话快速备份首先需要配置心跳口,并配置high-availability参数,保证此接口是高可用性接口,同时配置hrp mirror session enable。 3:问:R6版本的IP-link应用场景如何?,配置ip-link需要注意什么? 防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示: 常用组播路由协议配置方法 1IGMP协议配置 1.1 IGMP基本设置 1.1.1配置路由器加入到一个组播组: # 将VLAN 接口VLAN-interface10 包含的以太网端口Ethernet 0/1 加入组播组 #225.0.0.1。 [Quidway-Vlan-interface10] igmp host-join 225.0.0.1 port Ethernet 0/1 1.1.2控制某个接口下主机能够加入的组播组 igmp group-policy acl-number [ 1 | 2 | port { interface_type interface_ num |interface_name } [ to { interface_type interface_num|interface_name } ] ] 【例如】 # 配置访问控制列表acl 2000 [Quidway] acl number 2000 [Quidway-acl-basic-2000] rule permit source 225.0.0.0 # 指定VLAN-interface10上满足acl2000中规定的范组,指定组的IGMP版本为2。 [Quidway-Vlan-interface10] igmp group-policy 2000 2 1.1.3IGMP版本切换 igmp version { 1 | 2 } # 在VLAN 接口VLAN-interface10 上运行IGMP 版本1。 [Quidway-Vlan-interface10] igmp version 1 1.1.4IGMP查询间隔时间:默认60s igmp timer query seconds # 将VLAN-interface2 接口上的主机成员查询报文发送间隔设置为150 秒。 [Quidway-Vlan-interface2] igmp timer query 150 1.1.5IGMP查询超时时间:默认为2倍的查询间隔时间 igmp timer other-querier-present # 配置Querier 的存活时间为300 秒 [Quidway-Vlan-interface10] igmp timer other-querier-present 300 1.1.6IGMP查询最大响应时间:默认为10s igmp max-response-time seconds # 配置主机成员查询报文中包含的最大响应时间为8 秒。 [Quidway-Vlan-interface10] igmp max-response-time 8 1.2 IGMP Proxy 1.2.1组网需求 # 查看当前路由表的摘要信息。 华为路由器OSPF协议配置命令 4.7.13 ip ospf network-type 设置接口的网络类型。no ip ospf network-type取消设置。 [ no ] ip ospf network-type { nonbroadcast | point_to_multipoint } 【参数说明】 nonbroadcast设置接口的网络类型为非广播NBMA类型。 point_to_multipoint设置接口的网络类型为点到多点。 【命令模式】 接口配置模式 【使用指南】 在没有多址访问能力的广播网上,应该将接口配置成NBMA方式。当一个NBMA网络中,不能保证任意两台路由器之间都是直接可达的话,应将网络设置为点到多点的方式。 【举例】 配置接口Serial0为非广播NBMA类型。 Quidway(config-if-Serial0)#ip ospf network-type nonbroadcast 【相关命令】 4.7.14 ip ospf neighbor ip ospf pollinterval 在NBMA和点到多点接口上配置发送轮询HELLO报文的时间间隔,no ip ospf pollinterval 命令恢复为缺省值。 ip ospf pollinterval time no ip ospf pollinterval 【参数说明】 time为发送轮询HELLO报文的时间间隔,以秒为单位,合法的范围是0~65535。 【缺省情况】 接口缺省发送轮询HELLO报文的时间间隔为120秒。 【命令模式】 接口配置模式 【使用指南】 在NBMA和点到多点网络中,当一台路由器的邻居一直没有响应时(时间间隔超过了dead-interval ),仍然有必要继续发送HELLO报文,但发送的频率要降低为以pollinterval的频率发送。所以pollinterval要远大于hello- interval的值,至少为两分钟(120秒)。 通过配置轮询间隔以指定该接口在与相邻路由器构成邻接关系之前发送轮询HELLO报文的时间周期。 【举例】 在接口Serial0上配置发送轮询HELLO报文的时间间隔为130秒。 Quidway(config-if-Serial0)#ip ospf pollinterval 130 4.7.15 ip ospf priority 配置接口在选举“选举路由器”时的优先级,no ip ospf priority恢复为缺省值。 ip ospf priority priority no ip ospf priority 【参数说明】 priority 为优先级,合法的范围是0~255。 【缺省情况】 接口在选举路由器时缺省的优先级为1。 【命令模式】 接口配置模式 【使用指南】 华为路由器OSPF协议配置命令 华为路由器OSPF协议配置命令 4.7.13 ip ospf network-type 设置接口的网络类型。no ip ospf network-type 取消设置。 [ no ] ip ospf network-type { nonbroadcast | point_to_multipoint } 【参数说明】 nonbroadcast设置接口的网络类型为非广播NBMA类型。 point_to_multipoint设置接口的网络类型为点到多点。 【命令模式】 接口配置模式 【使用指南】 在没有多址访问能力的广播网上,应该将接口配置成NBMA方式。当一个NBMA网络中,不能保证任意两台路由器之间都是直接可达的话,应将网络设置为点到多点的方式。 【举例】 配置接口Serial0为非广播NBMA类型。 Quidway(config-if-Serial0)#ip ospf network-type nonbroadcast 【相关命令】 4.7.14 ip ospf neighbor ip ospf pollinterval 在NBMA和点到多点接口上配置发送轮询HELLO报文的时间间隔,no ip ospf pollinterval 命令恢复为缺省值。 ip ospf pollinterval time no ip ospf pollinterval 【参数说明】 time为发送轮询HELLO报文的时间间隔,以秒为单位,合法的范围是0~65535。 【缺省情况】 接口缺省发送轮询HELLO报文的时间间隔为120秒。 【命令模式】 接口配置模式 【使用指南】 在NBMA和点到多点网络中,当一台路由器的邻居一直没有响应时(时间间隔超过了 华为三层+二层交换机双机热备份配置举例 组网需求 SE2300作为会话边界控制器被部署在企业网络和NGN网络之间,考虑到设备运行的可靠性,采用两台SE2300以主备备份方式工作。其中SE2300-A作为主用,SE2300-B作为备用。 如图1-10所示,内部企业网络1的网段地址为10.100.10.0/24,企业网络2的网段地址为10.100.20.0/24。两台SE2300分别通过LAN Switch连接各个网络。 企业网络1对应的备份组虚拟IP地址为10.100.10.1;企业网络2对应的备份组虚拟IP地址为10.100.20.1;NGN 网络对应的备份组虚拟IP地址为202.38.10.1。 SE2300-A和SE2300-B分别通过接口Ethernet1/0/0连接企业网络1,通过Ethernet2/0/0连接企业网络2,通过Ethernet4/0/0连接NGN网络。 图1-10 双机热备份典型配置组网 配置思路 采用如下思路进行配置: l 在接口上配置VRRP备份组 l 配置VRRP管理组,将备份组添加到VRRP管理组中 l 配置HRP 数据准备 数据规划如下: l VRRP备份组虚拟IP地址 l VRRP管理组的优先级 配置步骤 在进行VRRP相关配置前,请先确保SE2300自己能够正常工作,即已经成功地配置了信令代理和媒体代理功能,及各接口的IP地址。之后进行如下配置: 步骤1 配置SE2300-A # 在Ethernet1/0/0接口上配置VRRP备份组1,并配置备份组的虚拟IP地址。 首先配置实地址,再配置虚地址,实地址和虚地址要配置在同一网段。 在组网环境中一定要注意检查不能有相同的vrid配置存在,不允许出现vrid相同的两台设备接在同一台交换机上。 【防火墙技术连载41】强叔侃墙双机热备篇你所不知道的HRP 强叔在前几篇中讲解了双机热备的核心VGMP。在介绍VGMP报文结构时我们看到了几种HRP协议 定义的报文,本期强叔就要为大家解析HRP协议和这几种HRP报文。 有的小伙伴儿们会说:“HRP不就是负责双机的数据备份嘛。有什么难度?”其实HRP在备份时还 是大有文章的,现在强叔就为大家揭秘这些HRP鲜为人知的细节。 1 为什么需要HRP? 1.1 备份配置命令 防火墙通过执行命令(通过Web配置实际上也是在执行命令)来实现用户所需的各种功能。如果备用设备切换为主用设备前,配置命令没有备份到备用设备,则备用设备无法实现主用设备的相关功能,从而导致业务中断。 如下图所示,主用设备FW1上配置了允许内网用户访问外网的安全策略。如果主用设备FW1上配置的安全策略没有备份到备用设备FW2上,那么当主备状态切换后,新的主用设备FW2将不会允许内网用户访问外网(因为防火墙缺省情况下禁止所有报文通过)。 1.2 备份会话 防火墙属于状态检测防火墙,对于每一个动态生成的连接,都有一个会话表项与之对应。主用设备处理业务过程中创建了很多动态会话表项;而备用设备没有报文经过,因此没有创建会话表项。如果备用设 备切换为主用设备前,会话表项没有备份到备用设备,则会导致后续业务报文无法匹配会话表,从而导致业务中断。 如下图所示,主用设备FW1上创建了PC1访问PC2的会话(源地址为10.1.1.10,目的地址为200.1.1.10),PC1与PC2之间的后续报文会按照此会话转发。如果主用设备FW1上的会话不能备份到备用设备FW2上,那么当主备状态切换后,PC1访问PC2的后续报文在FW2上匹配不到会话。这样就会导致PC1访问PC2的业务中断。 因此为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了HRP( Huawei Redundancy Protocol)协议,实现防火墙双机之间动态状态数据和关键配置命令的备份。 如下图所示,主用设备FW1上配置了允许内网用户访问外网的安全策略,所以FW1会允许内网PC1访问外网PC2的报文通过,并且会建立会话。由于在FW1和FW2上都使用了HRP协议(配置了双机热备中的HRP功能),因此主用设备FW1上配置的安全策略和创建的会话都会备份到备用设备FW2上。这样当主备状态切换后,由于备用设备上已经存在允许内网用户访问外网的安全策略以及PC1访问PC2的会话,所以PC1访问PC2业务报文不会被禁止或中断。 路由协议基础 文档版本01 发布日期2019-06-04 版权所有 ? 华为技术有限公司 2019。保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标,由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或默示的声明或保证。 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址:深圳市龙岗区坂田华为总部办公楼邮编:518129 网址:https://www.360docs.net/doc/877643764.html, 路由协议基础目录 目录 1 简介 (1) 2 路由迭代 (3) 3 路由器及路由基本原理 (4) 4 静态路由与动态路由 (5) 5 路由表和FIB表 (6) 6 路由协议的优先级 (10) 7 路由的度量 (12) 8 负载分担与路由备份 (13) 9 IP FRR (15) 10 路由的收敛 (17) 11 缺省路由 (19) 12 不同路由协议的互相引入 (20) 13 自治系统 (21) 14 可变长子网掩码 (22) 15 全0和全1子网 (23) 16 路由策略 (24) 17 策略路由 (25) 18 相关链接 (27) 1简介路由(Routing)是数据通信网络中一个基本的概念。路由就是通过互联的网络把信息 从源地址传输到目的地址的活动。路由发生在OSI网络参考模型中的第三层(即网络 层)。我们将具有路由转发功能的设备称为广义上的路由器。 当路由器收到一个IP数据包,路由器会根据目的IP地址在设备上的路由表(Routing Table)中进行查找,找到“最匹配”的路由条目后,将数据包根据路由条目所指示的 出接口或下一跳IP转发出去。路由表中装载着路由器通过各种途径获知的路由条目 (Routes)。路由器可通过静态、动态等方式获取路由条目并维护自己的路由表。 什么是路由协议 较小的网络通常可以手动设置路由表(即静态方式),但较大且拥有复杂拓扑的网络 可能常常变化,若要手动创建、维护路由表是不切实际的。因此,人们希望路由器可 以动态的(即动态方式)按照某种协议来自动创建维护路由表以解决这个问题,从而 使得网络能够近自主的适应变化,避免故障。这些协议被称为路由协议。 路由协议的分类 路由协议可以有多种分类方式,常见的分类方式如下: l按照路由协议使用的算法分: –距离矢量路由协议,例如:RIP(Routing Information Protocol) –链路状态路由协议,例如:OSPF(Open Shortest Path First) l按照路由协议作用的区域划分: –内部网关协议(Interior Gateway Protocol),在单一的自治系统中交换路由信 息,例如:OSPF(Open Shortest Path First) –外部网关协议(Exterior Gateway Protocol),在不同的自治系统中交换路由信 息,例如:BGP(Border Gateway Protocol) 常见的路由协议有哪些 目前常用的路由协议有: l OSPF(Open Shortest Path First) l RIP(Routing Information Protocol) l IS-IS(Intermediate System to Intermediate System) 实训8路由器动态路由协议RIP的配置 【实训目的】 (1)熟悉路由器的基本配置; (2)掌握RIP协议的配置方法; (3)掌握查看通过动态路由协议RIP学习产生的路由; (4)熟悉广域网线缆的连接方式; 【实训技术原理】 RIP(Routing Information Protocols,路由信息协议)是应用较早、使用较普通的IGP内部网关协议,适用用于小型同类网络,是距离矢量协议; RIP协议跳数做为衡量路径开销的,RIP协议里规定最大跳数为15; RIP协议有两个版本:RIPv1和RIPv2,RIPv1属于有类路由协议,不支持VLSM,以广播形式进行路由信息的更新,更新周期为30秒;RIPv2属于无类路由协议,支持VLSM,以组播形式进行路由更新。 【实现功能】 实现网络的互连互通,从而实现信息的共享和传递。 【实训背景描述】 学校有新旧两个校区,每个校区是一个独立的局域网,为了使新旧校区能够正常相互通讯,共享资源。每个校区出口利用一台路由器进行连接,两台路由器间学校申请了一条2M的DDN专线进行相连,为了简化网管的管理维护工作,学校决定采用RIP协议实现两校区路由互通。 【实训设备】 MSR20-20(2台),S3610(2台),PC(2台)、直连线(4条) V.35线缆(1条) 【实训内容】 (1)在路由器R1、R2上配置接口的IP地址; (2)查看路由器生成的直连路由; (3)在路由器R1、R2上配置RIP协议; (4)验证R1、R2是否自动学习了其他网段的路由信息; (5)将PC1、PC2主机默认网关分别设置为与路由器接口E0/0IP地址。 (6)PC1、PC2主机之间可以互相通信; 【实训拓扑图】 基于ip link机制的 线路检测和保护案的研究和实现 目录 第1章背景 (3) 第2章案概述 .........................................................................................错误!未定义书签。 2.1 负载均衡案.................................................................................错误!未定义书签。 2.2 非负载均衡线路和业务保护案....................................................错误!未定义书签。第3章总结与优化 .. (8) 3.1 总结 (8) 3.2 优化............................................................................................错误!未定义书签。 第1章背景 近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。 为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护案。 第2章线路检测和保护案 2.1 Ip link线路检测机制 Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。 检测流程如下: Quidway Eudemon 200E-B 配置指南可靠性分册目录 目录 1 配置双机热备份...........................................................................................................................1-1 1.1 简介..............................................................................................................................................................1-2 1.1.1 VRRP概述...........................................................................................................................................1-2 1.1.2 VGMP概述..........................................................................................................................................1-3 1.1.3 备份方式分类.....................................................................................................................................1-4 1.1.4 HRP应用..............................................................................................................................................1-8 1.1.5 配置设备的主从划分.........................................................................................................................1-9 1.1.6 配置命令和状态信息的备份...........................................................................................................1-10 1.1.7 双机热备份的组网方式...................................................................................................................1-12 1.1.8 配置一致性检查概述.......................................................................................................................1-12 1.1.9 接口的双机热备...............................................................................................................................1-13 1.2 配置VRRP备份组.....................................................................................................................................1-13 1.2.1 建立配置任务...................................................................................................................................1-13 1.2.2 配置VRRP备份组............................................................................................................................1-14 1.2.3 检查配置结果...................................................................................................................................1-15 1.3 配置VRRP管理组.....................................................................................................................................1-15 1.3.1 建立配置任务...................................................................................................................................1-15 1.3.2 配置路由模式下的VRRP管理组....................................................................................................1-16 1.3.3 配置混合模式下的VRRP管理组....................................................................................................1-17 1.3.4 检查配置结果...................................................................................................................................1-18 1.4 配置双机热备份........................................................................................................................................1-18 1.4.1 建立配置任务...................................................................................................................................1-18 1.4.2 配置双机热备份...............................................................................................................................1-20 1.4.3 检查配置结果...................................................................................................................................1-20 1.5 维护............................................................................................................................................................1-20 1.5.1 调试VRRP报文、状态和定时器....................................................................................................1-21 1.5.2 调试VRRP管理组............................................................................................................................1-21 1.5.3 调试HRP...........................................................................................................................................1-21 1.5.4 检查两端配置的一致性...................................................................................................................1-21 1.5.5 调试HRP配置检查功能...................................................................................................................1-22华为路由协议试题
华为防火墙(VRRP)双机热备配置及组网
华为数通考试试卷(路由协议基础&动态路由协议和RIP协议原理)20121022(含答案)
华为AR系列路由器静态路由协议配置方法
防火墙技术案例双机热备负载分担组网下的IPSec配置
华为路由协议的RIP及OSP
防火墙技术案例5双机热备(负载分担)组网下的IPSec配置
防火墙双机热备特性FAQ
组播路由协议配置(华为)
huawei--路由协议命令
华为路由器OSPF协议配置命令
华为路由器OSPF协议配置命令
华为三层 二层交换机双机热备份配置举例
双机热备篇 你所不知道的HRP
华为 路由协议基础
华为实训 路由器动态路由协议RIP的配置
基于华为防火墙ip link机制的线路检测和切换方案的研究报告和实现
华为 配置双机热备份