02.hcie sec和参考1安全hc双机热备技术

1、双机热备技Copyright双机热备技Copyright .s.学完本课程后，您将能够学完本课程后，您将能够；Copyright .s.Page双机热备基本原双机热备基本原双机热备组网举双机热备故障解Copyright .s.Page在网络关键节点上，如果只部署一在网络关键节点上，如果只部署一台设备，无论其可靠性多高，系统都必然要承受单点故障而导致的网络中断的风险一般用作内网的出口，是业务关键路径上的设备。为了防止因一台设故障而导致的业务中断，要机热备组网必须提供更高的可靠性，此时需要使双Copyright .s.Page在双机热备组网中，当一在双机热备组网中，当一保证流量不中断，使出现故障时

2、，业务流量能平滑地切换到备上用户交互时完全感知不到曾经出现过网络故障Copyright .s.Page双机热备组网的建立和运双机热备组网的建立和运行需要解决以下五个关键问题设备的主备状态是如何决定的如并发现接口或设备故障发现故障后，如何保证设备的主备状态切正常情况和故障后，流量是如何引导的如何进行信息同步，保证主备切换后业务不中断以上问题都是由双机热备特性涉及的三大协议VRPP、VGMP、HRP共同配合解决的Copyright .s.Page双机热备概双机热备基本原双机热备概双机热备基本原双机热备组网举双机热备故障解Copyright .s.PageModuleModuleModuleAPP（

3、ModuleModuleModuleAPP（Copyright .s.Page负责单个接口的故障检测和流量引导负责单个接口的故障检测和流量引导。每个VRRP备份组拥有一个虚拟IP地址作为网络的网关地址；在VRRP主备倒换时通过发送免费ARP来刷新对接设MAC来引导流量将系统中所有的VRRP备份组集中管理，控制状切换，保证出现故障时下行流量能同步切换到备负责双机之间的数据同步。Copyright .s.Page双机热备概双机热备基本原双机热备概双机热备基本原双机热备网举双机热备故障解Copyright .s.PageVRRP在引入了VRRP（VirtualRouterRedundancyProt

4、ocol）。VRRP 台VRRP在引入了VRRP（VirtualRouterRedundancyProtocol）。VRRP 台主VirtualIPAddress PC10.100PC默认网关备Copyright .s.PageVRRPVRRP报文用来将主用设备的优先级和状态通告给备用设备。VRRP报文承载在P上，为组播报文（组播地址为0.1VRRPVRRP报文用来将主用设备的优先级和状态通告给备用设备。VRRP报文承载在P上，为组播报文（组播地址为0.18），协议号为2。PriorityCopyright .s.PageVRRP加入VRRP备份组的接口有三种状态，只VRRP加入VRRP备份组

5、的接口有三种状态，只有处于主用状态的设备才可响应ARP请求，转业务报文。并且发送VRRP报文，主动联系备用设备。Copyright .s.PageVRRP链路正常时虚拟IP地址在状态为Active的设备接口上VRRP链路正常时虚拟IP地址在状态为Active的设备接口上生效PC请求网关地址的ARP时，只有状态为Active的设备会应答ARP业务流量被引导到状态为Active的设备接口上进行转发ARP备份VirtualIPAddress PC PC 默认网关Copyright .s.PageVRRP当Active设备出现接口、链路或整机故障时Active设备接VRRP当Active设备出现接口、

6、链路或整机故障时Active设备接口上的VRRP备份组状态进入InitializeStandby设备接口上的VRRP备份组状态将切换到Active ，发送免费ARP交换机上的MACPC发出的业务流量被引导到备用设备接口上进行转发免费备份VirtualIPAddress PCPC默认网关Copyright .s.PageVRRP当上下行业务端口上都配置了VRRP备份组时，这两个VRRP备份组是独立行的，VRRP当上下行业务端口上都配置了VRRP备份组时，这两个VRRP备份组是独立行的，可能出现上下行两个VRRP备份组状态不一致的情况例如，主用网去的流量从备用网上内网侧的接口故障，VRRP倒换到备

7、用网，因上上转发。但是侧的VRRP，主用网VRRP仍然是主，因此回程的流量仍然会送到主用网回内网，导致业务中断上，但业务流量无备份VirtualIPAddress PCPC备份VirtualIPAddress Copyright .s.Page双机热备概双机热备基本原双机热备概双机热备基本原双机热备网举双机热备故障解Copyright .s.PageCopyright .s.PageCopyright .s.PageVGMP为了解决前面提到的单独配置VRRP可能遇到的状态不一致问题公司在VRRP的VGMP为了解决前面提到的单独配置VRRP可能遇到的状态不一致问题公司在VRRP的础上开发了VRR

8、P组管理协议（VRRP Group Management Protocol），即VGMPVGMP的基本功能是集中管理VRRP备份组，控制VRRP备份组将一组VRRP备份组组成一个VGMP管理组。 由VGMP管理组控制所有VRRP备份组同报文跟对端设备进行协商实现主备状态切vrrpvridvirtual-router-idvirtual-ipaddressip-mask|ip-mask-length|standbyvrrp6 vrid virtual-router-id virtual-ip FE80:X:X link-local active | standby vrrp6vridvirtua

9、l-router-idvirtual-ipvirtual-Device A VGMPGroupDevice B VGMPGroupVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageVGMPUSG6600 VGMP报文支持2VGMPUSG6600 VGMP报文支持2vType：VGMP报文的类型报文（常用）定义了四种o为HRP报文时，还需要在VGMP报文之上承载Copyright .s.PageVGMPVGMPVGMPVGMPCopyright .s.PageDataIPUDPVGMP(HRP)IPVRRPVGMPCopyright .s.Pa

10、geCopyright .s.PageVGMPVGMP管理组的主备状态决定了双VGMPVGMP管理组的主备状态决定了双机热备组设备的主备状态，因此VGMP的状态也可以看做设备的状态使能HRP功能关闭HRP功能对端心跳报文超时；接收到的报文中对端优先级比本端（对端故障）抢占定时器超时；接收到的报文中对端优先级相等，并对端不是Active状态（之前两端同时为Standby状态）对端心跳报文超时；接收到的报文中，对端优先级比本端低（对端故障）接收到的报文中，对端优先级和本端相等，并且对端不是处于Standby状态（被抢占，或者之前两端同时Active状态）Copyright .s.PageVGMP两

11、之间的VGMP状态主备倒换的具体交VGMP两之间的VGMP状态主备倒换的具体交互过程及动作分以下三种情况因接口或链路故障引起的切VGMP即切换，瞬间完成业务流量的倒换。因整机或心跳链路故障引起的这种故障发生时，由于主设备无法发送状态通知消息到备机，因此只能依靠抢占流o报文）超时才能发现故障，因此切换时间为故障恢复后的切换流程，由于备设备处于正常转发状态，等主机故障恢复后切换回去，因此基本上不会影响业Copyright .s.PageVGMP状态切换三大原每个VGMP状态切换三大原每个接口Down时，VGMP管理组优先级降低2，计算公式为VGMP管理组优先级=VGMP管理组初始优先级-每台设备的

12、VGMP管理组初始状态由用户指定（ Active或先级为65001， Standby的优先级为65000ActiveVGMP管理组的状态决定了该设备的主备状态，也决定了VGMP管理组成员VRRP备份组或接口）的状态Copyright .s.Page接口或链路故障引起的状态切DeviceB DeviceA 进入Initialize状态） (2)调整优先级 接口或链路故障引起的状态切DeviceB DeviceA 进入Initialize状态） (2)调整优先级 VRPVRRP(4) VGMP管理组收到请求切换的报文，比较本身的优 (5)本端优先级高，将自己切换到主状态 (6)控制VGMP管理组中

13、所有成(7)回一个确认报文(8)VGMP VRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageDeviceB VGMPGroup DeviceA VGMPGroup 心跳链路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRPVRRPDeviceB VGMPGroup DeviceA VGMPGroup 心跳链路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRP

14、VRRPVRRPVRRPOOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP(1)整机故障 (2)(1)心跳链路故障(2)(3) (4)切换到主状态 (5)控制VGMPCopyright .s.Page故障恢复回切（抢占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延时结束，VRRP故障恢复回切（抢占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延时结束，VRRPVRRPOVRRPVR

15、RPVRRPVRRP(5)收到请求报文，比较本身的优先级和报文中携带的优先级数 (6) (7)流量 (8)发送确认报文(9) (10控制VGMPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP缺省情况下，VGMP管理组的抢占功能为启状态，抢占延迟时间为60shrpOVRRPVRRPVRRPVRRPVRRPVRRPCopyright .s.Page加入到VGMP管理组中的VRRP备份组中接口的优先级还起作用么原始的VRRP协议中VRRP加入到VGMP管理组中的VRRP备份组中接口的优先级还起作用么原始的VRRP协议中VRRP备份组的接口优先级是手

16、工指定的，双机热备中功能已经失效（保持缺省值100不变），改由VGMP管理组的优先级取代了VRRP组中接口优先级加入到VGMP管理组中的VRRP备份组的接口主备状态是由什么决定原始的VRRP协议中VRRP备份组的接口的主备状态是由接口优先级决定的，但管理组下VRRP备份组的接口主备状态实际上是由VMP管理组状态决定的，所以 VRRP备份组的状态机中主备状态已经没有实际意义了。VGMP管理组只能通过VRRP备份接口状态么No， VGMP提供了多种故障监接口状态来应对复杂的组网情况，不只是通过VRRP备份Copyright .s.PageCopyright .s.PageCopyright .s.

17、Page各种故障，才能触发后续的业务倒换。前面提到的检测VRRP备份组所在接口故障，只是VGMP众多故障检中的一各种故障，才能触发后续的业务倒换。前面提到的检测VRRP备份组所在接口故障，只是VGMP众多故障检中的一种。目前双机热备中检测故障的方式有以下检测VRRP备份组状态：用机场景业务接口为三层接口，业务接口连接二层直接检测单个物理接口状态：由于三层设备无法处理VRRP组播报文，所以当墙业务接口为三层接口，业务接口连接三层设备（路由器）时使用此方式检测透明模式下VLAN接口状态：由VRRP，所以采用此方式业务接口为二层接口，无法配检测IP-LINK逻辑链路的状态：用于检测非直检测BFD逻辑

18、链路的状态：用于检测非直连链路的可达Copyright .s.Page检测VRRP备份组当用三层接口连接二层设检测VRRP备份组当用三层接口连接二层设备时，可以在接口下配置VRRP，将VRRP备份组加到VGMP管理组中物理端口故障时，接口下的VRRP备份组状态：Active或Standby 物理端口故障恢复时，接口下的VRRP备份组状态：Initialize Active或Standby 组之间的主备切换，进而影响管理组中所有成员同步切换，业务流量也随之进vrrpvridvirtual-router-idvirtual-ipvirtual-addressip-mask|ip-mask-leng

19、thactivestandbyvrrp6vridvirtual-router-idvirtual-ipFE80:X:Xlink-localactive|standbyvrrp6vridvirtual-router-idvirtual-ipvirtual-ipv6-Copyright s.Page直接检测接口状当接口连接三层设备时，可以配直接检测接口状当接口连接三层设备时，可以配置由VGMP管理组链路状态。当接状态变化时，将直接触发相关的VGMP管理组调整优先级并进行主备倒接口视hrptrackactive |standby检测透明模式下VLAN接口状当接口为二层接口时（透明模式），可以由VGM

20、P管理组直整个VLAN当VLAN中有任何一个接口状态变化时，都会触发相关的VMP并进行主备倒换。VLAN视图下hrptrackactive |standbyCopyright .s.Page检测IP-LINK逻辑链路状VGMP可以利用IP-LINK用来探测检测IP-LINK逻辑链路状VGMP可以利用IP-LINK用来探测可以用来检测以下几种故直连或者非直连链路的三层可达性。IP-非直连链路（中间接有交换机或传输设备），远端设备故障在这几种情况下，有可能本端接口状态为UP，但链路无法转发报文。可以通过管理组系统视图下IP-LINK链路检测结果来检测这种故障hrptrackip-linklink-

21、idactive |standbyCopyright .s.Page检测BFD链路的状VGMP可以利用BFD用来探检测BFD链路的状VGMP可以利用BFD用来探测用来检测以下几种故直连或者非直连链路的三层可达性。 BFD可非直连链路（中间接有交换机或传输设备），远端设备故障在这几种情况下，有可能本端接口状态为UP，但链路无法转发报文。可以通过管理组检测BFD链路来发现这种故障系统视图下hrptrackbfd-local-discr-valueactive|standbyCopyright .s.PageCopyright .s.PageCopyright .s.Page当VGMP管理组检测到成

22、员状态变化，当VGMP管理组检测到成员状态变化，从而进行主备倒换之后有效地业务流量进行引导。VGMP管理组的流量引导功能负责在倒换时进行业务流量的引。目前VGMP管理组支持的业务流量有如下几种虚拟IP地址方式：用路由COST调整方式：用VLAN启用和禁用方式：用三层业务接口连接二层交换机组网三层业务接口连接路由器，主备备份组网三层业务接口连接路由器，路由器组网，负业务接口工作在透明模式的组网Copyright .s.Page虚拟IP地址方与对接的设备上配置到目的网段的报文，下虚拟IP地址方与对接的设备上配置到目的网段的报文，下一跳为VRRP备份组的虚IPVRRP状态变化时，新的主设备将发送免费

23、ARP，刷行上下行设备的MA将下一跳为虚IP的业务报文引导到新的主设备业务接口上。当对接设备请求虚IP的ARP时，只有主设备才会进行ARP应答，备份VirtualIPAddress PCCopyright .s.Page路由COST调整方主与对接的设备上运行OSPF动态路由协主设备业务路由COST调整方主与对接的设备上运行OSPF动态路由协主设备业务配置的路由COST较小，业务流量送到主设备进行转主设备业务板故障或者其它不运行SPF的业务端口故障，SPF能自动收敛；VGMP管理组能感知到这种故障，进行主备倒换；状态为Standby的VGMP管理组，控制运行OSPF的业务链路自动升高路COST，

24、触发对接设备路由收敛到备用设备COSTCOSTCOSTCOST standby-cost standby-costCOSTCOSTCopyright .s.Page动态路由收主与对接的设备上运行动态动态路由收主与对接的设备上运行动态路由协议一般情况下，主设备相关业务进行转发配置的路由COST较小，业务流量送到主主设备业务端口故障时，动态路由自动收敛，业务流量送到备用设备继续进行转发使用动态路由方式，故障发生时，不需要VGMP管理组控制流量倒换Copyright .s.PageVLAN启用和禁用方当工作在二层转发时，无法通过路由的变化VLAN启用和禁用方当工作在二层转发时，无法通过路由的变化来引

25、导上下行设备的流量。通过用接口down/up的方式来刷新上下行设备的MAC或促使路由收敛，然后通过能/禁用VLAN转发功能的方式来保证流量不会发送到出故障。二层转发模式下，VLAN和VGMP管理组绑定管理组状态为Active：VLAN能转发报文管理组状态为Standby：VLAN被禁用，不能转发报文管理组切换到Standby时，VLAN内所有接口都会downup一次，触发上下行刷新MAC或者路由收敛；接口重新up后，由于VLAN被禁用，接口仍然法转发相关VLAN的报文VLAN内任何一个接口故触发VGMP管理组调整优先主备倒备VLAN被禁用 备设备VLAN被使能，转发业务Copyright .s

26、.Page双机热备概双机热备基本原双机热备概双机热备基本原双机热备网举双机热备故障解Copyright .s.PageHRP状态检对于每一个会话连接都有一个会话表项与之对应，主用HRP状态检对于每一个会话连接都有一个会话表项与之对应，主用设备处理业备的业务流量因为无法匹配会话表而中断。为了实现主用备用设备平滑切换，必须用和备用设备之间备份关键配置命令和会话表状态信息引入了Redundancy Protocol）协议，实置命令的实时备份双机之间动态状态数据和关键在双机热备组网中，指定心跳线作为专门的备份通道，用于备份配置命令和状态信Device A VGMPGroup Device B VGMP

27、Group VRRPVRRPVRRPVRRPVRRPVRRP心跳线-备份通VRRPVRRPCopyright .s.PageHRPHRP报文实际上是一种HRPHRP报文实际上是一种VGMP报文，承载在VGMP报文的DATA封装方式管理面HRP报文两种封装VRRP封UDP封管理面HRP报文中会携带以下信息：指定自动备份还是批量备份、指定是发送还是应、备份的数据类型转发面HRP同步报文（实时备份报文）也有两种封VRRP封UDP封Copyright .s.PageHRPdata-flowloghost host-idip-addressip-addressHRPdata-flowloghost ho

28、st-idip-addressip-address port port-number -instance-name data-flowloghost sourceip-addressip-addresssource-portport-numberCopyright Page.安全策略 、NAT策略 、带宽管理 、认证策略 防范 、地址、服务、应用、用户、认证服务器、时间段、URL分类、关键字组、邮件地址组、签名 、安全配置文件（反防御 、URL过滤、文件过滤 、内容过滤 、应用行为控制 、邮件过滤）新建逻辑接口、安全区域、DNS、IPSec、TSM联HRP可以备份的主用设备状态N表表表HRP可

29、以备份的主用设备状态N表表表1erface-numberremoteip-address2hrpCopyright .s.PageHRP备份方备份命备份状态信配置命（缺省开启一条可以备份 令 HRP备份方备份命备份状态信配置命（缺省开启一条可以备份 令 hrpauto-config|us（手工触发hrpsync configushrpmirrorses Copyright Page.running：正常运行会判断心跳接口的物理与协议状态。心跳ready：正常运行。此接口为备用备份通道，当前未使用peerdown：本端正常，但是收不到对端的心跳报invalid：未指定心跳口的IP地址，心跳口工作

30、在二层down：心跳接口的物理状态与协议状态均为DownCopyright .s.PageVGMreaVGMread状态的心跳接口。此动作与对端无关。Copyright .s.Page双机热备概双机热备基本原双机热备概双机热备基本原双机热备网举双机热备故障解Copyright .s.PageCopyright .s.PageCopyright .s.Page场主备备负载分Copyright .s.Page场主备备负载分Copyright s.Page.Copyright s.Page. 双机热备概双机热双机热备概双机热备基本原双机热备故障解Copyright .s.Page三大配置原则在双机热

31、备三大配置原则在双机热备组网中，在配置其双机状态正常于互为主备的状态，所以业务性要在两个设备上分别配置Copyright .s.Page。 ntCopyright .s.Page双机热备与NAT双机热备与NAT双机热备与IPSecCopyright .s.PageCopyright .sCopyright .s.PageWeb 此场景要配置VRRP虚拟Web 此场景要配置VRRP虚拟IP Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEtherne

32、t1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_A配#hrperfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10

33、.2.0.1vrrpvrid1virtual-ip1.1.1.1255.255.255.0active erfaceGigabitEthernetipaddress10.3.0.1vrrpvrid2virtual-ip10.3.0.3active erfaceGigabitEthernetipaddress10.10.0.1#firewallzonetrust set priority 85erfaceGigabitEthernet1/0/3 firewallzonesetpriorityerfaceGigabitEthernetCLICopyright .sCLICopyright .s.P

34、age#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_B配#hrphrps

35、tandby-erfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10.2.0.2vrrpvrid1virtual-ip1.1.1.1255.255.255.0standby erfaceGigabitEthernetipaddress10.3.0.2vrrpvrid2virtual-ip10.3.0.3standby erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonetrust set priority 85erfaceGigabitEthernet1

36、/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 备用设备（缺省值，可调整）Copyright 备用设备（缺省值，可调整）Copyright .s.PageWeb 此场景要配接口（HRP Web 此场景要配接口（HRP 2.启用OSPFCopyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 ospfareanetwork10.2.0.0network10.3.

37、0.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFWA#hrppf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2.0.1255.255.255.0 hrp track active#erface Gig

38、abitEthernet 1/0/3 ipaddress10.3.0.1255.255.255.0 hrp track active#erfaceGigabitEthernetipaddress10.10.0.1255.255.255.0 firewall zonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernetCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceG

39、igabitEthernet1/0/7 ospfareanetwork10.2.1.0network10.3.1.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneFWB#hrphrpstandby-pf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2

40、.1.1255.255.255.0 hrp track standby#erface GigabitEthernet 1/0/3 ipaddress10.3.1.1255.255.255.0 hrp track standby#erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonesetpriority erfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 。N 。NCopyright .s.PageWeb

41、OSPF”此场景要配置VRRP虚Web OSPF”此场景要配置VRRP虚拟IP 此场景要配接口（HRP Copyright .s.PageCLIs15.5.255.255.0PageCLIs15.5.255.255.0Page Copyright #firewallzonetrust set priority 85 Ethernet#firewallzoneuntrust set priority 5Ethernet#firewallzonedmz set priority 50 Ethernet#ospfareanetworknetwork#security-rule name policy

42、_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFW_B的配置#ospfareanetwork10.2.0.0network10.3.0.0#security-rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destinati

43、on-zonedestination-zoneuntrust action permit#hrp mirror seshrp enablehrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.1.1255.255.255.0hrp track active hrptrackstandby#erface GigabitEthernet 1/0/3 address10.3.0.2255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpv

44、rid2virtual-ip10.3.0.4 #erfaceGigabitEthernetFWA#hrpmirrorhrphrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.0.1255.255.255.0hrptrackhrptrack#erface GigabitEthernet 1/0/3 address10.3.0.1255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpvrid2virtual-ip10.3.0.4 #

45、erface GigabitEthernet 1/0/7 address10.10.0.1255.255.255.0#firewallzonetrust set priority 85erfaceGigabitEthernet#firewallzoneuntrust set priority 5erfaceGigabitEthernet#firewallzonedmz set priority 50erfaceGigabitEthernet 接量通过Copyright 接量通过Copyright .s.PageWeb 2.CopyrightWeb 2.Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet1/0/1 firewallzonesetpriorityerfaceGigabitEthernet1/0/7 rule name policy_sec source-zone