Eudemon防火墙双机热备业务上机指导书

1、修订记录课程编码适用产品产品版本课程版本ISSUEDS002104EudemonALL1.00开发/优化者时间审核人开发类型（新开发/优化）卢希2009-5-一五凃昭新开发PAGE iiEudemon防火墙双机热备业务上机指导书Eudemon防火墙双机热备业务上机指导书 STYLEREF cover * MERGEFORMAT （页眉） STYLEREF TOC Heading * MERGEFORMAT 目 录实验说明PAGE 1华为技术有限公司 x, 未经许可不得扩散实验说明实验说明本实验指导书本主要介绍了Eudemon防火墙双机热备技术的常见组网方式及配置流程，涵盖了VRRP、VGMP和

2、HRP等防火墙双机热备的主要技术。希望您能通过本指导书了解并掌握Eudemon防火墙双机热备技术的部署。版本介绍本指导书适用于VRP版本3.30实验目的掌握Eudemon防火墙双机热备的基本原理熟悉路由模式+主备组网方式的防火墙双机热备技术熟悉路由模式+负载分担组网方式的防火墙双机热备技术熟悉混合模式+主备组网方式的防火墙双机热备技术实验任务完成Eudemon防火墙的基本配置配置VRRP备份组配置HRP相关资料Eudemon防火墙产品手册 配置指南Eudemon防火墙产品手册 命令参考编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第 页路由模式+主备组网方式的双机热备技术在

3、Eudemon防火墙上的部署组网及业务描述路由模式+主备组网方式Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是交换机，Eudemon A、Eudemon B分别充当主用设备和备用设备，且均工作在路由模式下。网络规划如下：需要保护的网段地址为10.100.10.0/24，与防火墙的GigabitEthernet 0/0/0接口相连，部署在Trust区域。 外部网络与防火墙的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。 两台防火墙的HRP备份通道接口GigabitEthernet 0/0/1部署在DMZ区域。 两台防火墙分别通过交换机连接各个安全

4、区域。其中，各安全区域对应的备份组虚拟IP地址如下：Trust区域对应的备份组虚拟IP地址为10.100.10.1。 Untrust区域对应的备份组虚拟IP地址为202.38.10.1。 DMZ区域对应的备份组虚拟IP地址为10.100.20.1。防火墙和PC地址规划如下：Eudemon A：GE0/0/0：10.100.10.2/24；GE0/0/1：10.100.20.2/24；GE0/0/2：202.38.10.2/24Eudemon B：GE0/0/0：10.100.10.3/24；GE0/0/1：10.100.20.3/24；GE0/0/2：202.38.10.3/24PC1：10.

5、100.10.410.100.10.254/24PC2：202.38.10.4202.38.10.254/24实验要求：1、完成防火墙双机热备配置，使PC1可以ping通PC2，PC2无法ping通PC1。2、宕掉主用防火墙的一个HRP备份通道接口，主用防火墙管理组优先级发生变化，导致主备倒换。查看主备防火墙倒换对于从PC1发往PC2的数据包的影响。命令行列表操作版本命令配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组。VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask | ip-mask-len

6、gth slave | master 使能HRP功能。VRP 3.30hrp enable创建备份会话表的通道接口。VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和连接状态的自动备份。VRP 3.30hrp auto-sync config batch-backup | connection-status 编写提示：通过表格的形式列举实验中要使用到的主要的，典型的命令行列。可以参考命令行手册。主要数通采用。印刷时上段话删除。配置流程图防火墙基本配置配置VRRP备份组配置HRP配置步骤基本配置：配

7、置接口的IP地址；将接口分别添加到对应的区域；配置区域间包过滤规则。配置VRRP备份组并制定备份组所属的管理组。创建备份会话表的通道接口并使能HRP功能。使能配置命令和连接状态的自动备份功能。具体配置及实验结果验证Eudemon A的基本配置：#配置主机名system-viewEudemonsysname Eudemon A#配置接口IP地址Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A- GigabitEthernet0/0/0ip address 10.100.10.2 24Eudemon A- GigabitEthernet0/0/0q

8、uitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A- GigabitEthernet0/0/1ip address 10.100.20.2 24Eudemon A- GigabitEthernet0/0/1quitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-Ethernet0/0/2ip address 202.38.10.2 24Eudemon A-Ethernet0/0/2quit#添加接口至对应区域Eudemon Afirewall zone trustEudemon A-zon

9、e-trustadd interface GigabitEthernet 0/0/0Eudemon A-zone-trustquitEudemon Afirewall zone dmzEudemon A-zone-dmzadd interface GigabitEthernet 0/0/1Eudemon A-zone-dmzquitEudemon Afirewall zone untrustEudemon A-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon A-zone-untrustquit#配置VRRP备份组，并指定备份组所属的

10、管理组。Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 masterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 masterEudemon AquitEudemon Ainterface GigabitEthernet 0/0/2Eudemon

11、A-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 master#配置local区域和dmz区域的域间包过滤规则，以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互。Eudemon Aacl 2000Eudemon A-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon A-acl-basic-2000quitEudemon Afirewall interzone local dmzEudemon A-interzone-local-dmzpac

12、ket-filter 2000 inboundEudemon A-interzone-local-dmzpacket-filter 2000 outbound#配置HRP备份通道。Eudemon Ahrp interface GigabitEthernet 0/0/1 transfer-onlyEudemon Ahrp interface GigabitEthernet 0/0/0Eudemon Ahrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Ahrp enableEudemon B的基本配置：#配置主机名system-viewEudem

13、onsysname Eudemon B#配置接口IP地址Eudemon Binterface GigabitEthernet 0/0/0Eudemon B- GigabitEthernet0/0/0ip address 10.100.10.3 24Eudemon B- GigabitEthernet0/0/0quitEudemon Binterface GigabitEthernet 0/0/1Eudemon B- GigabitEthernet0/0/1ip address 10.100.20.3 24Eudemon B- GigabitEthernet0/0/1quitEudemon Bi

14、nterface GigabitEthernet 0/0/2Eudemon B- GigabitEthernet0/0/2ip address 202.38.10.3 24Eudemon B- GigabitEthernet0/0/2quit#添加接口至对应区域Eudemon Bfirewall zone trustEudemon B-zone-trustadd interface GigabitEthernet 0/0/0Eudemon B-zone-trustquitEudemon Bfirewall zone dmzEudemon B-zone-dmzadd interface Giga

15、bitEthernet 0/0/1Eudemon B-zone-dmzquitEudemon Bfirewall zone untrustEudemon B-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon B-zone-untrustquit#配置VRRP备份组，并指定备份组所属的管理组。Eudemon Binterface GigabitEthernet 0/0/0Eudemon B-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 slaveEudemon BquitE

16、udemon Binterface GigabitEthernet 0/0/1Eudemon B-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 slaveEudemon BquitEudemon Binterface GigabitEthernet 0/0/2Eudemon B-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 slave#配置local区域和dmz区域的域间包过滤规则，以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互。Eudemon B

17、acl 2000Eudemon B-acl-basic-2000rule permit source 10.100.10.0 0.0.0.255Eudemon B-acl-basic-2000quitEudemon Bfirewall interzone local dmzEudemon B-interzone-local-dmzpacket-filter 2000 inboundEudemon B-interzone-local-dmzpacket-filter 2000 outbound#配置HRP备份通道。Eudemon Bhrp interface GigabitEthernet 0/

18、0/1 transfer-onlyEudemon Bhrp interface GigabitEthernet 0/0/0Eudemon Bhrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Bhrp enableSwitch和PC的基本配置：本实验中使用的Switch都是二层交换机，不需要任何配置；给PC1和PC2配上IP地址和默认网关，PC1和PC2的网关分别对应VRRP管理组1和VRRP管理组2的虚拟IP地址。实验结果验证实验结果验证一：通过命令display vrrp查看VRRP备份组的状态。HRP_MEudemon Adisplay

19、vrrp GigabitEthernet0/0/2 | Virtual Router 3 state : Master Virtual IP : 202.38.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 2 state : Master Virtual IP : 10.100.20.1 Pri

20、orityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Master Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Ti

21、mer : 1 Auth Type : NONECheck TTL : YESHRP_SEudemon Bdisplay vrrp GigabitEthernet0/0/2 | Virtual Router 3 state : Backup Virtual IP : 202.38.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 |

22、 Virtual Router 2 state : Backup Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Backup Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConf

23、ig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES通过以上结果可知， Eudemon A在三个备份组中都处于Master状态；Eudemon B在三个备份组中都处于Backup状态。实验结果验证二：通过命令display hrp state查看HRP管理组的状态。HRP_MEudemon Adisplay hrp state The firewalls config state is: MASTER Current state of virtu

24、al routers configured as master: GigabitEthernet0/0/2 vrid 3 : master GigabitEthernet0/0/1 vrid 2 : master GigabitEthernet0/0/0 vrid 1 : masterHRP_SEudemon Bdisplay hrp state The firewalls config state is: SLAVE Current state of virtual routers configured as slave: GigabitEthernet0/0/2 vrid 3 : slav

25、e GigabitEthernet0/0/1 vrid 2 : slave GigabitEthernet0/0/0 vrid 1 : slave通过以上结果可知，Eudemon A的三个接口属于Master管理组，状态为MASTER；Eudemon B的三个接口属于Slave管理组，状态为SLAVE。只有当Master管理组的优先级发生变化，低于Slave管理组的优先级时，Eudemon B才开始负责所有域间数据转发。实验结果验证三：使用命令display hrp group查看VGMP管理组的 信息，包括Master管理组的信息和运行状态、Slave管理组的信息和运行状态以及管理组的优先级

26、等。HRP_MEudemon Adisplay hrp group Master group status: Group enabled: yes State: master Priority running: 65001 Total VRRP members: 3 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: yes Slave group status: Group enabled: no State: initialize Priority running:

27、 65000 Total VRRP members: 0 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: noHRP_SEudemon Bdisplay hrp group Master group status: Group enabled: no State: initialize Priority running: 65001 Total VRRP members: 0 Hello interval(ms): 1000 Preempt delay(s): 30

28、 Peer group available: 0 Peers member same: yes Slave group status: Group enabled: yes State: slave Priority running: 65000 Total VRRP members: 3 Hello interval(ms): 1000 Preempt delay(s): 30 Peer group available: 1 Peers member same: yes在Eudemon A上，我们只配置了Master管理组，在Eudemon B上我们只配置了Slave管理组。所以由以上实验结

29、果可以看出，Eudemon A上的Slave管理组和Eudemon B上的Master管理组的状态均为“initialize”。注：在主备组网方式中，任何一台防火墙上都只存在一个管理组。只有负载分担组网方式中，两台防火墙上才会同时使能Master管理组和Slave管理组。实验结果验证四：在PC1上使用ping命令，是否能ping通PC2呢？如果不能，为什么？在Eudemon A上配置以下命令：Eudemon Aacl 2001Eudemon A-acl-basic-2001rule permit source 10.100.10.0 0.0.0.255Eudemon A-acl-basic-2

30、001quitEudemon Afirewall interzone trust untrustEudemon A-interzone-trust-untrustpacket-filter 2001 outbound再次使用ping命令，PC1是否能ping通PC2呢？以上命令用户配置trust区域和untrust区域的域间包过滤规则，如果宕掉Eudemon A的接口GE0/0/2，PC1是否还能ping通PC2呢？检查的配置发现，在Eudemon B上并没有配置trust区域和untrust区域的域间包过滤规则，所以PC1无法ping通PC2。可以通过在Eudemon B上配置trust区域

31、和untrust区域的域间包过滤规则解决上述问题。除了这种方法，有没有其他方法可以解决上述问题呢？HRP用户在主备设备间备份会话表信息及关键配置信息，为什么域间包过滤规则没有备份到Eudemon B上呢？在Eudemon A和Eudemon B上配置以下命令，使用display current-configuration查看Eudemon B的配置信息。HRP_MEudemon A hrp auto-syncHRP_SEudemon B hrp auto-sync通过配置以上命令，可以发现Eudemon B上多了以下配置命令：firewall interzone trust untrustpa

32、cket-filter 2000 outbound也就是说，域间包过滤规则已经备份到Eudemon B。此时，再次验证PC1是否可以ping通PC2：C:Documents and SettingsAdministratorping 202.38.10.5Pinging 202.38.10.5 with 32 bytes of data:Reply from 202.38.10.5: bytes=32 time=3ms TTL=254Reply from 202.38.10.5: bytes=32 time=2ms TTL=254Reply from 202.38.10.5: bytes=32

33、 time=2ms TTL=254Reply from 202.38.10.5: bytes=32 time=2ms TTL=254实验结果验证五：在Eudemon A和Eudemon B上使用display firewall session table verbose查看会话：HRP_MEudemon Adisplay firewall session table verbose Current Total Sessions : 1 icmp (vpn: public - public) zone: trust - untrust tag: 0 x3588 State: 0 x0 ttl:

34、00:00:20 left: 00:00:19 Id: 1c979878 SlvId: 2cc412d0 Interface: G0/0/2 Nexthop: 202.38.10.5 Mac: 00-e0-fc-35-ff-f4 packets:0 bytes:010.100.10.5:512-202.38.10.5:512HRP_SEudemon Bdisplay firewall session table verbose Current Total Sessions : 1 icmp (vpn: public - public) Remote zone: trust - untrust

35、tag: 0 x35b8 State: 0 x0 ttl: 00:00:20 left: 00:00:14 Id: 1c979878 SlvId: 2cc412d0 Interface: G0/0/0 Nexthop: 0.0.0.0 Mac: 00-00-00-00-00-00 packets:0 bytes:010.100.10.5:512-202.38.10.5:512可以看到Eudemon B上存在带有Remote标记的会话，表示配置双机热备份功能后，会话备份成功。实验结果验证六：在PC1上执行“ping t 202.38.10.5”，宕掉Eudemon A的接口GE0/0/2，观察防

36、火墙的主备倒换以及对数据包转发的影响。路由模式+负载分担方式的双机热备技术在Eudemon防火墙上的部署组网及业务描述路由模式+负载分担组网方式Eudemon作为安全设备被部署在业务节点上。其中上下行设备均是交换机，Eudemon A、Eudemon B采用负载分担方式组网，且均工作在路由模式下。网络规划如下：需要保护的网段地址为10.100.10.0/24，与防火墙的GigabitEthernet 0/0/0接口相连，部署在Trust区域。 外部网络与防火墙的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。 两台防火墙的HRP备份通道接口GigabitEther

37、net 0/0/1部署在DMZ区域。 两台防火墙分别通过交换机连接各个安全区域。其中，各安全区域对应的备份组虚拟IP地址如下：Trust区域对应的备份组1的虚拟IP地址为10.100.10.1；备份组4的虚拟IP地址为10.100.10.2。 Untrust区域对应的备份组2的虚拟IP地址为202.38.10.1；备份组5的虚拟IP地址为202.38.10.2。 DMZ区域对应的备份组3虚拟IP地址为10.100.20.1；备份组6的虚拟IP地址为10.100.20.1。防火墙和PC地址规划如下：Eudemon A：GE0/0/0：10.100.10.3/24；GE0/0/1：10.100.2

38、0.3/24；GE0/0/2：202.38.10.3/24Eudemon B：GE0/0/0：10.100.10.4/24；GE0/0/1：10.100.20.4/24；GE0/0/2：202.38.10.4/24PC1：10.100.10.510.100.10.254/24PC2：202.38.10.5202.38.10.254/24实验要求：1、完成防火墙双机热备配置，使PC1可以ping通PC2，PC2无法ping通PC1。2、宕掉主用防火墙的一个HRP备份通道接口，主用防火墙管理组优先级发生变化，导致主备倒换。查看主备防火墙倒换对于从PC1发往PC2的数据包的影响。命令行列表操作版本命

39、令配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组。VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask | ip-mask-length slave | master 使能HRP功能。VRP 3.30hrp enable创建备份会话表的通道接口。VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和连接状态的自动备份。VRP 3.30hrp auto-sync config batch-backup |

40、connection-status 编写提示：通过表格的形式列举实验中要使用到的主要的，典型的命令行列。可以参考命令行手册。主要数通采用。印刷时上段话删除。配置流程图防火墙基本配置配置VRRP备份组配置HRP配置步骤基本配置：配置接口的IP地址；将接口分别添加到对应的区域；配置区域间包过滤规则。配置VRRP备份组并制定备份组所属的管理组。创建备份会话表的通道接口并使能HRP功能。使能配置命令和连接状态的自动备份功能。具体配置及实验结果验证Eudemon A的基本配置：#配置主机名system-viewEudemonsysname Eudemon A#配置接口IP地址Eudemon Ainter

41、face GigabitEthernet 0/0/0Eudemon A- GigabitEthernet0/0/0ip address 10.100.10.2 24Eudemon A- GigabitEthernet0/0/0quitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A- GigabitEthernet0/0/1ip address 10.100.20.2 24Eudemon A- GigabitEthernet0/0/1quitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-Et

42、hernet0/0/2ip address 202.38.10.2 24Eudemon A-Ethernet0/0/2quit#添加接口至对应区域Eudemon Afirewall zone trustEudemon A-zone-trustadd interface GigabitEthernet 0/0/0Eudemon A-zone-trustquitEudemon Afirewall zone dmzEudemon A-zone-dmzadd interface GigabitEthernet 0/0/1Eudemon A-zone-dmzquitEudemon Afirewall z

43、one untrustEudemon A-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon A-zone-untrustquit#配置VRRP备份组，并指定备份组所属的管理组。Eudemon Ainterface GigabitEthernet 0/0/0Eudemon A-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 masterEudemon A-GigabitEthernet0/0/0vrrp vrid 4 virtual-ip 10.100.10.2 slaveE

44、udemon AquitEudemon Ainterface GigabitEthernet 0/0/1Eudemon A-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 masterEudemon A-GigabitEthernet0/0/1vrrp vrid 5 virtual-ip 10.100.20.2 slaveEudemon AquitEudemon Ainterface GigabitEthernet 0/0/2Eudemon A-GigabitEthernet0/0/2vrrp vrid 3 virtual-ip 2

45、02.38.10.1 masterEudemon A-GigabitEthernet0/0/2vrrp vrid 6 virtual-ip 202.38.10.2 slave#配置local区域和dmz区域的域间包过滤规则，以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互。Eudemon Aacl 2000Eudemon A-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon A-acl-basic-2000quitEudemon Afirewall interzone local dmzEudemon

46、A-interzone-local-dmzpacket-filter 2000 inboundEudemon A-interzone-local-dmzpacket-filter 2000 outbound#配置trust区域和untrust区域的域间包过滤规则Eudemon Aacl 2001Eudemon A-acl-basic-2001rule permit source 10.100.10.0 0.0.0.255Eudemon A-acl-basic-2001quitEudemon Afirewall interzone trust untrustEudemon A-interzone

47、-trust-untrustpacket-filter 2001 outbound#配置HRP备份通道。Eudemon Ahrp interface GigabitEthernet 0/0/1 transfer-onlyEudemon Ahrp interface GigabitEthernet 0/0/0Eudemon Ahrp interface GigabitEthernet 0/0/2#使能HRP功能Eudemon Ahrp enableEudemon Ahrp auto-syncEudemon B的基本配置：#配置主机名system-viewEudemonsysname Eudemo

48、n B#配置接口IP地址Eudemon Binterface GigabitEthernet 0/0/0Eudemon B- GigabitEthernet0/0/0ip address 10.100.10.3 24Eudemon B- GigabitEthernet0/0/0quitEudemon Binterface GigabitEthernet 0/0/1Eudemon B- GigabitEthernet0/0/1ip address 10.100.20.3 24Eudemon B- GigabitEthernet0/0/1quitEudemon Binterface Gigabit

49、Ethernet 0/0/2Eudemon B- GigabitEthernet0/0/2ip address 202.38.10.3 24Eudemon B- GigabitEthernet0/0/2quit#添加接口至对应区域Eudemon Bfirewall zone trustEudemon B-zone-trustadd interface GigabitEthernet 0/0/0Eudemon B-zone-trustquitEudemon Bfirewall zone dmzEudemon B-zone-dmzadd interface GigabitEthernet 0/0/

50、1Eudemon B-zone-dmzquitEudemon Bfirewall zone untrustEudemon B-zone-untrustadd interface GigabitEthernet 0/0/2Eudemon B-zone-untrustquit#配置VRRP备份组，并指定备份组所属的管理组。Eudemon Binterface GigabitEthernet 0/0/0Eudemon B-GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 10.100.10.1 slaveEudemon B-GigabitEthernet0/0/0

51、vrrp vrid 4 virtual-ip 10.100.10.2 masterEudemon BquitEudemon Binterface GigabitEthernet 0/0/1Eudemon B-GigabitEthernet0/0/1vrrp vrid 2 virtual-ip 10.100.20.1 slaveEudemon B-GigabitEthernet0/0/1vrrp vrid 5 virtual-ip 10.100.20.2 masterEudemon BquitEudemon Binterface GigabitEthernet 0/0/2Eudemon B-Gi

52、gabitEthernet0/0/2vrrp vrid 3 virtual-ip 202.38.10.1 slaveEudemon B-GigabitEthernet0/0/2vrrp vrid 6 virtual-ip 202.38.10.2 master#配置local区域和dmz区域的域间包过滤规则，以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互。Eudemon Bacl 2000Eudemon B-acl-basic-2000rule permit source 10.100.20.0 0.0.0.255Eudemon B-acl-basic-2000quitEud

53、emon Bfirewall interzone local dmzEudemon B-interzone-local-dmzpacket-filter 2000 inboundEudemon B-interzone-local-dmzpacket-filter 2000 outbound#配置HRP备份通道。Eudemon Bhrp interface GigabitEthernet 0/0/1 transfer-onlyEudemon Bhrp interface GigabitEthernet 0/0/0Eudemon Bhrp interface GigabitEthernet 0/0

54、/2#使能HRP功能Eudemon Bhrp enableEudemon Bhrp auto-syncSwitch和PC的基本配置：本实验中使用的Switch都是二层交换机，不需要任何配置；给PC1和PC2配上IP地址和默认网关，PC1和PC2的网关分别对应VRRP管理组1和VRRP管理组2的虚拟IP地址。实验结果验证实验结果验证一：通过命令display vrrp查看VRRP备份组的状态。HRP_MEudemon Adisplay vrrp GigabitEthernet0/0/2 | Virtual Router 2 state : Master Virtual IP : 202.38.1

55、0.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/2 | Virtual Router 5 state : Backup Virtual IP : 202.38.10.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time

56、 : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 3 state : Master Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 6

57、state : Backup Virtual IP : 10.100.20.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 1 state : Master Virtual IP : 10.100.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPri

58、ority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/0 | Virtual Router 4 state : Backup Virtual IP : 10.100.10.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONECheck TTL : YESHRP_SE

59、udemon Bdisplay vrrpGigabitEthernet0/0/2 | Virtual Router 2 state : Backup Virtual IP : 202.38.10.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/2 | Virtual Router 5 state : Master Virtual IP :

60、202.38.10.2 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES Delay Time : 0 Timer : 1 Auth Type : NONE Check TTL : YES GigabitEthernet0/0/1 | Virtual Router 3 state : Backup Virtual IP : 10.100.20.1 PriorityRun : 100 PriorityConfig : 100 MasterPriority : 100 Preempt : YES De