资源描述
配置路由模式下负载分担的双机热备份
两台Eudemon和4台路由器之间运行OSPF协议
Eudemon上下行业务端口加入到同一个link-group管理组,在链路故障时候能加快路由收敛。
Eudemon的双机热备份功能基于VRRP实现,Eudemon的HRP备份链路上配置两个VRRP组分别加入VGMP管理组的Master管理组和Slave管理组,组成负载分担网络。
PC0所在LAN为受保护区域,Eudemon的GE0/0/1端口连接,部署在Trust区域。
外部网络和Eudemon的GE0/0/3相连,部署在Untrust区域。
两台Eudemon之间互联的HRP备份通道接口GE0/0/2部署在DMZ区域。
其中DMZ区域对应的VRRP组虚拟地址分别为10.100.50.5和10.100.50.6
步骤 1 配置Eudemon A。
<Eudemon> system-view
[Eudemon] interface gigabitethernet 0/0/1
[Eudemon-GigabitEthernet 0/0/0] ip address 10.100.10.2 24
[Eudemon-GigabitEthernet 0/0/0] quit
[Eudemon] interface gigabitethernet 0/0/2
[Eudemon-GigabitEthernet 0/0/1] ip address 10.100.50.2 24
[Eudemon-GigabitEthernet 0/0/1] quit
[Eudemon] interface gigabitethernet 0/0/3
[Eudemon-GigabitEthernet 0/0/2] ip address 10.100.30.2 24
[Eudemon-GigabitEthernet 0/0/2] quit
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface gigabitethernet 0/0/1
[Eudemon-zone-trust] quit
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface gigabitethernet 0/0/2
[Eudemon-zone-dmz] quit
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface gigabitethernet 0/0/3
[Eudemon-zone-untrust] quit
[Eudemon] interface gigabitethernet 0/0/1
[Eudemon-GigabitEthernet 0/0/0] link-group 1
[Eudemon-GigabitEthernet 0/0/0] quit
[Eudemon] interface gigabitethernet 0/0/3
[Eudemon-GigabitEthernet 0/0/1] link-group 1
[Eudemon-GigabitEthernet 0/0/1] quit
# 配置统一安全网关的缺省过滤规则。
建议不配置缺省允许报文通过所有安全域间,否则会存在安全隐患。可以根据实际组网需求配置域间包过滤规则。
[Eudemon] firewall packet-filter default permit interzone trust untrust direction outbound
[Eudemon] firewall packet-filter default permit interzone dmz untrust direction inbound
[Eudemon] interface gigabitethernet 0/0/2
[Eudemon-GigabitEthernet 0/0/2] vrrp vrid 1 virtual-ip 10.100.50.5 master
[Eudemon-GigabitEthernet 0/0/2] vrrp vrid 2 virtual-ip 10.100.50.6 slave
[Eudemon-GigabitEthernet 0/0/2] quit
# 配置HRP通道
[Eudemon] hrp interface gigabitethernet 0/0/2
# 启动HRP。
[Eudemon] hrp enable
[Eudemon A] hrp auto-aync config 开启自动备份,配置该命令后Eudemon A上配置的ACL以及包过滤规则都将自动备份到Eudemon B上,不需要再在Eudemon B上配置相关命令。
Eudemon B上面的配置DMZ区域对应的VRRP组时,其Master管理组为Eudemon A的Slave管理组,其Slave管理组为Eudemon A的Master管理组。
配置混合模式下主备备份方式的双机热备份
在不改变现有网络拓扑结构的前提下,在网络出口部署两台Eudemon 1000E统一安全网关,通过LAN Switch连接内部网络。启动双机热备份功能,并配置统一安全网关以主备备份方式工作。其中Eudemon 1000E A作为主用,Eudemon 1000E B作为备用。
混合模式下的双机热备份组网图如图1-11所示。
配置步骤
配置Eudemon A
<Eudemon> system-view
[Eudemon] interface gigabitethernet 0/0/0
[Eudemon-GigabitEthernet 0/0/0] ip address 3.3.3.1 255.0.0.0
[Eudemon-GigabitEthernet 0/0/0] vrrp vrid 16 virtual-ip 3.3.3.10
[Eudemon-GigabitEthernet 0/0/0] quit
[Eudemon] firewall zone dmz
[Eudemon-zone-dmz] add interface gigabitethernet 0/0/0
[Eudemon-zone-dmz] quit
[Eudemon] interface gigabitethernet 0/0/1
# 配置GigabitEthernet 0/0/1工作在透明模式。
[Eudemon-GigabitEthernet 0/0/1] portswitch
[Eudemon-GigabitEthernet 0/0/1] quit
[Eudemon] firewall zone trust
[Eudemon-zone-trust] add interface gigabitethernet 0/0/1
[Eudemon-zone-trust] quit
[Eudemon] interface gigabitethernet 0/0/2
# 配置GigabitEthernet 0/0/2工作在透明模式。
[Eudemon-GigabitEthernet 0/0/2] portswitch
[Eudemon-GigabitEthernet 0/0/2] quit
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] add interface gigabitethernet 0/0/2
[Eudemon-zone-untrust] quit
# 配置统一安全网关域间缺省规则为允许所有报文通过(可以根据实际需要使用其他配置策略)。
[Eudemon] firewall packet-filter default permit all
# 创建并进入VLAN视图。
[Eudemon] vlan 2
[Eudemon-vlan-2] quit
[Eudemon] interface gigabitethernet 0/0/1
[Eudemon-GigabitEthernet 0/0/1] port default vlan 2
[Eudemon-GigabitEthernet 0/0/1] quit
[Eudemon] interface gigabitethernet 0/0/2
[Eudemon-GigabitEthernet 0/0/2] port default vlan 2
[Eudemon-GigabitEthernet 0/0/2] quit
[Eudemon] vlan 2
# 指定由Master管理组监视VLAN。
[Eudemon-vlan-2] hrp track master
[Eudemon-vlan-2] quit
# 启动HRP双机热备份功能。
[Eudemon] hrp enable
# 配置备份会话表的通道接口。在混合模式下只能选用加入到VRRP管理组中的通道接口。
[Eudemon] hrp interface gigabitethernet 0/0/0
步骤 2 配置Eudemon 1000E B。
Eudemon 1000E B和Eudemon 1000E A的配置绝大多数相同,差别如下:
Eudemon 1000E B上的接口IP地址与Eudemon 1000E A不同。
Eudemon 1000E B上指定由Slave管理组监视VLAN。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
