SecPath 防火墙双机热备典型配置

1、SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。保障 信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。双机热备技术可以 保障即使在防火墙设备故障的情况下，信息流仍然不中断。本文将介绍双机热备的概 念、工作模式及典型应用等。缩略语:缩略语英文全名中文解释ALGApplication Level Gateway应用层网关ASPFApplication Specific Packet Filter基于应用层的包过滤NATNetwork Address Transl

2、ator网络地址转换VRRPVirtual Router Redundancy Protocol虚拟路由冗余协议OSPFOpen Shortest Path First开放最短路径优先 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 1特性简介3 HYPERLINK l bookmark7 o Current Document 1.1双机热备的工作机制3 HYPERLINK l bookmark15 o Current Document 2特性使用指南4 HYPERLINK l bookmark18 o Current Docume

3、nt 2.1使用场合4 HYPERLINK l bookmark21 o Current Document 2.2配置指南4 HYPERLINK l bookmark24 o Current Document 2.2.1双机热备组网应用配置指南4 HYPERLINK l bookmark33 o Current Document 2.2.2双机热备应用涉及的配置4 HYPERLINK l bookmark36 o Current Document 2.3注意事项4 HYPERLINK l bookmark39 o Current Document 3支持的设备和版本5 HYPERLINK l

4、bookmark42 o Current Document 3.1设备版本5 HYPERLINK l bookmark45 o Current Document 3.2支持的设备5 HYPERLINK l bookmark51 o Current Document 3.3配置保存5 HYPERLINK l bookmark58 o Current Document 4配置举例6 HYPERLINK l bookmark61 o Current Document 4.1典型组网6 HYPERLINK l bookmark69 o Current Document 4.2设备基本配置9 HYPER

5、LINK l bookmark72 o Current Document 4.2.1其他共同配置：9 HYPERLINK l bookmark78 o Current Document 4.3双机热备业务典型配置举例9 HYPERLINK l bookmark81 o Current Document 4.3.1透明模式+主备模式9 HYPERLINK l bookmark157 o Current Document 4.3.2透明模式+负载分担模式14 HYPERLINK l bookmark224 o Current Document 4.3.3路由模式+主备模式17 HYPERLINK

6、l bookmark265 o Current Document 4.3.4路由模式+负载分担模式19 HYPERLINK l bookmark300 o Current Document 4.3.5路由模式+主备模式+支持非对称路径21 HYPERLINK l bookmark337 o Current Document 4.3.6路由模式+负载分担模式+支持非对称路径28 HYPERLINK l bookmark363 o Current Document 4.3.7动态路由模式组网33 HYPERLINK l bookmark366 o Current Document 5相关资料331

7、特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他 备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。secpath防火墙具有 多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。1.1双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。而 流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网 环境。另外需要使用专有的备份链路口进行会话信息的备份，该备份链路口不作数据转发， 从而保障了备份的高可靠性及高性能。在命令行下无法配置双机热备，只能在WEB页面上配

8、置；WEB配置页面：戏机热备状态配置:巧建能双机热备功能备份类型：|不支持非对称路径二|备份接口 ：当前热备状态：静默当前生效的备份接口 ：lnner-EthernetO/1星号为必须埴写项确定|取消|必须配置心跳口，心跳口也须在WEB页面上配置，指定一个物理口后保存，重启， 心跳口开始工作，心跳口在命令行和WEB页面下的接口管理中都不可见，但是双机 热备配置页面下可见。没有主备设备之分，工作中的设备称为主用设备比较合适些，两台防火墙的会话信 息相互备份，主用设备上产生的会话会自动通过心跳口备份到备用设备上，目前只 有稳态的会话才会进行备份；主要有两种模式的组网：静态路由模式和动态路由模式，静

9、态路由模式组网依赖于 VRRP，当一台设备Down机后，Vrrp的主备状态发生切换，工作的防火墙随之切换； 动态路由模式依赖于动态路由协议，由于动态路由协议进行路由学习比VRRP切换 慢，所以路由模式的双机热备主用设备切换时间较长；在这两种组网的基础上又可 以配置为双主用模式、主备用模式；目前版本仅支持对称路径的双机热备份，即报文来回都要通过同一台防火墙；若出 报文从A出，回来的报文从B返回的话，称为非对称路径，在以后的版本将支持非对 称的报文转发。2特性使用指南2.1使用场合Secpath防火墙作为内外网的接入点，当设备出现故障便会导致内外网之间的网络业务 的全部中断。在这种关键业务点上如果

10、只使用一台设备的话，无论其可靠性多高，系统都必 然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。2.2配置指南2.2.1双机热备组网应用配置指南双机热备典型组网应用包括以下内容：透明模式+主备模式透明模式+负载分担模式路由模式+主备模式路由模式+负载分担模式路由模式+主备模式+支持非对称路径路由模式+负载分担模式+支持非对称路径2.2.2双机热备应用涉及的配置用户必须在Web设置双机热备功能，命令行无法配置。2.3注意事项双机热备关于Web配置根据具体实例再作说明。3支持的设备和版本3.1设备版本f5000a-1_dis verH3C Comware Platf

11、orm SoftwareComware Software, Version 5.20, Beta 3203Comware Platform Software Version COMWAREV500R002B62D001H3C SecPath F5000-A5 Software Version V300R002B01D012Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Oct 31 2008 14:56:27, RELEASE SOFTWAREH3C SecPath F5000-

12、A5 uptime is 0 week, 0 day, 0 hour, 51 minutesCPU type: RMI XLR732 1000MHz CPU2048M bytes DDR2 SDRAM Memory4M bytes Flash MemoryMPUA PCBVersion:Ver.ASWBA PCBVersion:Ver.AMPUA Basic Logic Version:133.0MPUA ExtendLogic Version:133.0SWBA LogicVersion:132.0MPUA LX30T FPGA Version:3.08Basic BootWare Vers

13、ion:1.02Extend BootWare Version:1.02FIXED PORTCON(Hardware)Ver.A,(Driver)1.0,(Cpld)133.0FIXED PORTAUX(Hardware)Ver.A,(Driver)1.0,(Cpld)133.0FIXED PORTM-GE0/0(Hardware)Ver.A,(Driver)1.0,(Cpld)133.0SUBCARD 1NSQ1GT8C40(Hardware)Ver.A,(Driver)1.0,(Cpld)134.0SUBSLOT 2The SubCardis not presentSUBSLOT 3The

14、 SubCardis not presentSUBSLOT 4The SubCardis not present3.2支持的设备Secpath F5000-A53.3配置保存每次配置完成后，注意进行配置的保存。系统管理 配置维护 配置保存，点击 确定。H3CRoot淄设备概览淄配置向导淄系统管理卜日期和时间-软件升熊淄配置维护I-配置保存配置保存本次操作要将当前配置保存到设备中。确认要保存当前配置吗？确定4配置举例4.1典型组网G1/0G1/0F5000a-1F5000a-2G1/1G1/1S56-aS56-b图1双机热备（路由）典型组网（主）F1000EG0/0/3vG1/6BG1/8G1/

15、0/14S56AS56BvlanlPC-A:0PC-C /C12B图2双机热备（透明）典型组网G1/8vl/llG1/911vlUntrust 域:Trus t域:G1/0/1PC-B:Http/ftp/dns serverF1000e-01G0/2G0/1G1/0G0/3G0/1G1/0F1000e-02G0/2图3双机热备（非对称主备）典型组网图4双机热备（非对称双主）典型组网4.2设备基本配置4.2.1其他共同配置：(1)接口模式：M-G0/0为管理接口InterfacePhysical Protocol IP AddressM-GigabitEthernet0/0upup4.3双机热备

16、业务典型配置举例4.3.1透明模式+主备模式功能简述主备模式就是只有一台防火墙处于工作状态，另一台处于备用状态，当主用设 备Down机后，备用设备会接管工作。典型配置步骤(组网图2 )1、防火墙运行在二层模式，配置如图所示的Vlan；F5000A-B 配置:f5000a-2dis cu sysname f5000a-2#vlan 12#interface GigabitEthernet1/6 port link-mode bridge port access vlan 12#interface GigabitEthernet1/8port link-mode bridge port acces

17、s vlan 12#interface GigabitEthernet1/9port link-mode bridge port access vlan 12F5000A-A 配置:f5000a-1dis cusysname f5000a-1#vlan 11#interface GigabitEthernet1/6port link-mode bridgeport access vlan 11#interface GigabitEthernet1/8port link-mode bridgeport access vlan 11#interface GigabitEthernet1/9port

18、 link-mode bridgeport access vlan 112、路由器F1000E上配置两个网段(和)对应交换机的vlanll、vlan12两个网段；提供两个网关(和)，并分别指回程路由。F1000E 配置:f1000edis cu#interface GigabitEthernet0/2port link-mode routeip address #interface GigabitEthernet0/3port link-mode routeip address #ip route-static ip route-static preference 100ip route-st

19、atic ip route-static preference 1003、S56A和S56B上配置静态路由分别指向这两个网关，配置两条路由，使优先级 不同。实现当链路断时，使优先级高的静态路由失效。S56A配置:lsw-updis cu#vlan 11 to 14#interface Vlan-interface11ip address #interface Vlan-interface12ip address #interface Vlan-interface13ip address #interface GigabitEthernet1/0/11port access vlan 11#in

20、terface GigabitEthernet1/0/12port access vlan 12#interface GigabitEthernet1/0/13port access vlan 13#interface GigabitEthernet1/0/14port access vlan 14#ip route-static preference 60ip route-static preference 100S56B配置：lsw-downdis cu#sysname lsw-down#vlan 11 to 14#interface Vlan-interface11ip address

21、#interface Vlan-interface12ip address #interface Vlan-interface13ip address #interface GigabitEthernet1/0/11port access vlan 11#interface GigabitEthernet1/0/12port access vlan 12#interface GigabitEthernet1/0/13port access vlan 13#interface GigabitEthernet1/0/14port access vlan 14#ip route-static pre

22、ference 60ip route-static preference 100B.WEB配置：1 .首先把F5000A相关接口加入域;把需要联动的接口加入到同一联动组。一旦其中一个接口 down丢，组内 其他接口同样down丢。配置切换时F5000A结合透明方式接口组联动来实现联动组70多支持3个接口）r接口名称接口状态rGigabitEthemetVSDownpGigabitEthemetVGUprGigabitEthernetl/7DownpGigabitEthemetVSUppGigabitEthemetVSUp3.验证结果从PC-B到PC-A,从PC-C到PC-A通过默认路由，默认都

23、走F5000A-Atracert 0traceroute to 0(0) 30 hops max,40 bytes packetPress CTRL_C to break 2 ms 1 ms 1 ms 1 ms 0 ms 1 ms0 0 ms 1 ms 0 mstracert 0traceroute to 0(0) 30 hops max,40 bytes packet 11 ms 5 ms 6 ms 19 ms 3 ms 8 ms0 9 ms 3 ms 3 ms当F5000A-A出现故障后，则切换到F5000A-B上PC-Btracert 0traceroute to 0(0) 30 hop

24、s max,40 bytes packetPress CTRL_C to break 1 ms 2 ms 1 ms 0 ms 1 ms 0 ms0 1 ms 1 ms 0 msPC-Ctracert 0traceroute to 0(0) 30 hops max,40 bytes packet 11 ms 4 ms 7 ms 19 ms 3 ms 9 ms0 8 ms 3 ms 4 ms注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。4.3.2透明模式+负载分担模式功能简述双主组网就是两台防火墙都处于工作状态，每台设备负责转发一部分流量，实 现负载分担，而当任一台设备Dow

25、n机后，另一台设备会接管全部工作。典型配置步骤(组网图2 )1、负载分担模式和主备模式区别在于路由配置。2、路由器F1000E上配置两个网段(和)对应交换机的vlanll、 vlan12两个网段；提供两个网关(和)，F1000E 配置:f1000edis cu#interface GigabitEthernet0/2port link-mode routeip address #interface GigabitEthernet0/3port link-mode routeip address #ip route-static ip route-static preference 100ip

26、route-static ip route-static preference 1003、S56A和S56B上配置静态路由分别指向这两个网关，配置两条路由，使优先级 不同。为了实现当链路断时，使优先级高的静态路由失效，配置切换时结合透 明方式接口组联动来实现。F1000E上分别指回程路由，使防火墙负载分担。S56A配置:lsw-updis cu# vlan 11 to 14 #interface Vlan-interface11ip address #interface Vlan-interface12ip address #interface Vlan-interface13ip addre

27、ss #interface GigabitEthernet1/0/11port access vlan 11#interface GigabitEthernet1/0/12port access vlan 12#interface GigabitEthernet1/0/13port access vlan 13#interface GigabitEthernet1/0/14port access vlan 14#ip route-static preference 60ip route-static preference 100S56B配置：lsw-downdis cu#sysname lsw

28、-down#vlan 11 to 14#interface Vlan-interface11ip address #interface Vlan-interface12ip address #interface Vlan-interface13ip address #interface GigabitEthernet1/0/11port access vlan 11#interface GigabitEthernet1/0/12port access vlan 12#interface GigabitEthernet1/0/13port access vlan 13#interface Gig

29、abitEthernet1/0/14port access vlan 14#ip route-static preference 60ip route-static preference 1003.验证结果从PC-B到PC-A,从PC-C到PC-A通过默认路由进行负载分担，分别走F5000A-1 和 F5000A-2PC-Btracert 0traceroute to 0(0) 30 hops max,40 bytes packet 11 ms 6 ms 8 ms 16 ms 3 ms 9 ms0 8 ms 4 ms 3 msPC-Ctracert 0traceroute to 0(0) 30

30、 hops max,40 bytes packetPress CTRL_C to break 1 ms 2 ms 1 ms 0 ms 1 ms 0 ms0 1 ms 0 ms 1 ms当F5000A-1和F5000A-2中有一个接口 down 了，则切换到另一台上。如F5000A-1 一个接口 down，则切换到F5000-B上。PC-Btracert 0traceroute to 0(0) 30 hops max,40 bytes packet 11 ms 4 ms 7 ms 9 ms 3 ms 3 ms0 14 ms 3 ms 9 msPC-Ctracert 0traceroute to

31、0(0) 30 hops max,40 bytes packet 11 ms 4 ms 7 ms 9 ms 3 ms 3 ms0 14 ms 3 ms 9 ms注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。4.3.3路由模式+主备模式功能简述静态路由模式需要同时配置Vrrp以支持主备用设备的切换。所谓主备模式就是 只有一台防火墙处于工作状态，另一台处于备用状态，当主用设备Down机后，备 用设备会接管工作。典型配置步骤（组网图2 ）（1）命令行下进行如下配置：F5000a-1配置：（作为主用设备）nat address-group 1 54 level 1#acl num

32、ber 3001rule 0 permit ip source 55rule 5 permit ip source 55#interface GigabitEthernet1/0port link-mode routeip address 54 vrrp vrid 1 virtual-ip vrrp vrid 1 priority 105vrrp vrid 1 track interface GigabitEthernet1/1#interface GigabitEthernet1/1port link-mode routeip address 54 vrrp vrid 1 virtual-i

33、p vrrp vrid 1 priority 105vrrp vrid 1 track interface GigabitEthernet1/0nat outbound static track vrrp 1nat outbound 3001 address-group 1 track vrrp 1nat server protocol icmp global 3 inside 3 track vrrp 1 nat server protocol udp global 3 any inside 3 any track vrrp 1（track vrrp关键字，意思是当接口收到对nat地址的ar

34、p查询时以vrrp 1的虚接地址作为应答！）F5O00a-2配置：（作为备用设备）nat address-group 1 54 level 1#acl number 3001rule 0 permit ip source 55rule 5 permit ip source 55/与主用设备配置要一致#interface GigabitEthernet1/0port link-mode routeip address 53 vrrp vrid 1 virtual-ip vrrp vrid 1 track interface GigabitEthernet1/1#interface Gigabit

35、Ethernet1/1port link-mode routeip address 53 vrrp vrid 1 virtual-ip vrrp vrid 1 track interface GigabitEthernet1/0nat outbound static track vrrp 1nat outbound 3001 address-group 1 track vrrp 1nat server protocol icmp global 3 inside 3 track vrrp 1nat server protocol udp global 3 any inside 3 any tra

36、ck vrrp 1# （track vrrp关键字，意思是当接口收到对nat地址的arp查询时以vrrp 1的虚接地址作为 应答！）PC机IP配置：Server： 0PC1： 3PC2： 验证结果（1）从Server可以ping通pci （转换后的 3）。（2）从pci 可以访问Server 的ftp/http/telnet等业务。注意事项.4.3.4路由模式+负载分担模式功能简述双主组网就是两台防火墙都处于工作状态，每台设备负责转发一部分流量，实 现负载分担，而当任一台设备Down机后，另一台设备会接管全部工作，要实现双 主组网要配置至少两个VRRP组以产生两个网关，每台设备分别是一个网关的

37、主用 设备，若使用NAT则至少要配置两个地址池以进行地址转换。典型配置步骤(组网图2 )(1)命令行配置如下：F5000a-1 配置：#nat address-group 1 54 level 1nat address-group 2 54 level 1#acl number 3001rule0permitip source 55rule5permitip source 55acl number 3002rule 0 permitip source 55rule5permitip source 55#interface GigabitEthernet1/0port link-mode rou

38、teip address 54 vrrp vrid 1 virtual-ip vrrp vrid 1 priority 105vrrp vrid 1 track interface GigabitEthernet1/1vrrp vrid 2 virtual-ip vrrp vrid 2 track interface GigabitEthernet1/1#interface GigabitEthernet1/1port link-mode routeip address 54 vrrp vrid 1 virtual-ip vrrp vrid 1 priority 105vrrp vrid 1

39、track interface GigabitEthernet1/0vrrp vrid 2 virtual-ip vrrp vrid 2 track interface GigabitEthernet1/0 nat outbound static track vrrp 1nat outbound 3002 address-group 2 track vrrp 2nat outbound 3001 address-group 1 track vrrp 1nat server protocol icmp global 3 inside 3 track vrrp 1nat server protoc

40、ol udp global 3 any inside 3 any track vrrp 1# （track vrrp关键字，意思是当接口收到对nat地址的arp查询时以vrrp 1的虚接地址作为 应答！）F5000a-2 配置：nat address-group 1 54 level 1nat address-group 2 54 level 1#acl number 3001rule 0permitipsource55rule 5permitipsource55acl number 3002rule 0permitipsource55rule 5permitipsource55#（这儿与主用

41、设备配置要一致！）#interface GigabitEthernet1/0port link-mode routeip address 53 vrrp vrid 1 virtual-ip vrrp vrid 1 track interface GigabitEthernet1/1vrrp vrid 2 virtual-ip vrrp vrid 2 priority 105vrrp vrid 2 track interface GigabitEthernet1/1#interface GigabitEthernet1/1port link-mode routeip address 53 vrr

42、p vrid 1 virtual-ip vrrp vrid 1 track interface GigabitEthernet1/0vrrp vrid 2 virtual-ip vrrp vrid 2 priority 105vrrp vrid 2 track interface GigabitEthernet1/0nat outbound static track vrrp 1nat outbound 3002 address-group 2 track vrrp 2nat outbound 3001 address-group 1 track vrrp 1nat server protoc

43、ol icmp global 3 inside 3 track vrrp 1 nat server protocol udp global 3 any inside 3 any track vrrp 1# （track vrrp关键字，意思是当接口收到对nat地址的arp查询时以vrrp 1的虚接地址作为 应答！ /PC机IP配置：PC1： PC2： 验证结果pci业务默认从F5000A-1走。Pc2业务默认从F5000A-2走。当主机F5000A-1down全部切换到F5000A-2注意事项该组网要注意报文来回路径要保持一致。4.3.5路由模式+主备模式+支持非对称路径功能简述（F1000E

44、为例）功能。典型配置步骤（组网错误！未找到引用源。）（1）命令行配置：f1000E01:#version 5.20, Feature 3101#sysname fw01#undo voice vlan mac-address 00e0-bb00-0000#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user h3cpassword cipher GM

45、aBSDBBQ=aQMAF41!authorization-attribute level 3service-type telnet#interface Aux0async mode flowlink-protocol ppp#interface NULL0#interface GigabitEthernet0/0port link-mode routeip address 1 #interface GigabitEthernet0/2port link-mode routeip address 1 vrrp vrid 11 virtual-ip vrrp vrid 11 priority 1

46、05vrrp vrid 11 track interface GigabitEthernet0/3#interface GigabitEthernet0/3port link-mode routeip address 1 vrrp vrid 122 virtual-ip #interface GigabitEthernetl/1port link-mode route#interface GigabitEthernetl/2port link-mode route#interface GigabitEthernetl/3port link-mode route#interface Gigabi

47、tEthernetl/4port link-mode route#interface GigabitEthernet1/5port link-mode route#interface GigabitEthernet1/6port link-mode route#interface GigabitEthernet1/7port link-mode route#ip route-static 54#arp timer aging 1440#load xml-configuration#user-interface con 0idle-timeout 0 0user-interface aux 0u

48、ser-interface vty 0 4F1000e02:#version 5.20, Feature 3101#sysname fw02#undo voice vlan mac-address 00e0-bb00-0000#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user h3cpassword cipher GMaBSDBBQ=aQMAF4

49、1!authorization-attribute level 3service-type telnet#interface Aux0async mode flowlink-protocol ppp#interface NULL0#interface GigabitEthernet0/0port link-mode routeip address 2 #interface GigabitEthernet0/2port link-mode routeip address 2 vrrp vrid 11 virtual-ip #interface GigabitEthernet0/3port lin

50、k-mode routeip address 2 vrrp vrid 122 virtual-ip vrrp vrid 122 priority 105vrrp vrid 122 track interface GigabitEthernet0/2#interface GigabitEthernet1/1port link-mode route#interface GigabitEthernet1/2port link-mode route#interface GigabitEthernet1/3port link-mode route#interface GigabitEthernet1/4

51、port link-mode route#interface GigabitEthernet1/5port link-mode route#interface GigabitEthernet1/6port link-mode route#interface GigabitEthernet1/7port link-mode route#ip route-static 54#load xml-configuration#user-interface con 0idle-timeout 0 0user-interface aux 0user-interface vty 0 4数据流向：WEB配置:双

52、机热备状态配置际使能双机热备功能备份类型：|支持非对称路径二备份接口：G i g ab itEth e rn et1 /O, G i g ab itEth e rn etO/1修改备价接口当前热备状态：同步运行当前生效的备份接口：GigabitEthernetO/1,Gigab itEthernet1/O星号%*）为必须填写项确定|取消修改HRRP备价组VRID11泰加-虚拟IP成员-虚拟IP册臃优先吸100（ 1 -254,缺省值=100）抢占方式|Preemptive刁抢占延旧0 ，秒（0-255,缺省值=0）认证方式I_3认证字通告时间间隔 1 秒（1 255,缺省值=1）显示监视配置

53、|星号（*）为必须填写项修KVRRP备价组VRID11添加-虚拟F成员-虚拟旧册臃*优先吸100（1 -254,缺省值=100）抢占方式|Preemptive三抢占延诅0 ，秒（0255,缺省值=。）认证方式I_3认证字通告时间间隔1 秒（1255,缺省值=1）:二二膛藏监巍配置二二二正疝守募对冢（1-1024） 添加|卜对象，降低优先级彻换模式-侈降低优先级（1-25S缺省值=1r切换模式删除|监视接口接口N添加-揍口，降低优先级- GigabitEthernetO/3, 10降低忧先级（1-255,缺省值=10）册臃星号（*）为必须填写项确定|取消3.验证结果pci从server http

54、/ftp、方式get文件，连接不中断;VRRP状态：dis vrrpIPv4 Standby Information:Run Method: VIRTUAL-MACTotal number of virtual routers: 2AuthTypeVirtualIP Interface VRIDStateRunPriAdver.TimeGE0/211Master1051NONEGE0/3122Backup1001NONEfw02-GigabitEthernet0/3dis vrrpIPv4 Standby Information:Run Method: VIRTUAL-MACTotal num

55、ber of virtual routers: 2InterfaceVRIDStateRunAdver.AuthVirtualPriTimeTypeIPGE0/211Backup1001NONEGE0/3122Master1051NONE4.注意事项本配置完成，清除防火墙中所做的配置，以防对其他配置产生影响。4.3.6路由模式+负载分担模式+支持非对称路径功能简述（F1000E为例）通过Vla n虚接口实现三层转发。典型配置步骤（组网4）（1）命令行配置：F1000E-1:# version 5.20, Feature 3101#sysname fw01# undo voice vlan ma

56、c-address 00e0-bb00-0000#nat address-group 1 54 level 1nat address-group 2 54 level 1# domain default enable system#acl number 3000rule 0 permit ip source 0 acl number 3001rule 0 permit ip source 0# vlan 1#domain system access-limit disable state active idle-cut disable self-service-url disable#user

57、-group system#local-user h3cpassword cipher GMaBSDBBQ=aQMAF41!authorization-attribute level 3service-type telnet#interface Aux0async mode flowlink-protocol ppp#interface NULL0#interface GigabitEthernet0/0port link-mode routeip address 1 #interface GigabitEthernet0/2port link-mode routeip address 1 v

58、rrp vrid 11 virtual-ip vrrp vrid 11 priority 105vrrp vrid 11 track interface GigabitEthernet0/3vrrp vrid Ill virtual-ip #interface GigabitEthernet0/3port link-mode routenat outbound 3001 address-group 2 track vrrp 12nat outbound 3000 address-group l track vrrp 122 ip address 1 vrrp vrid 12 virtual-i

59、p vrrp vrid 12 priority 105vrrp vrid 12 track interface GigabitEthernet0/2 vrrp vrid 122 virtual-ip #interface GigabitEthernetl/lport link-mode route#interface GigabitEthernetl/2port link-mode route#interface GigabitEthernetl/3port link-mode route#interface GigabitEthernet1/4port link-mode route#interface GigabitEthernet1/5port link-mode route#interface GigabitEthernet1/6port link-mode route#interface GigabitEthernet1/7port link-mode route#ip route-static 54#arp timer aging 1440#load