华为防火墙vrrp配置实例,华为防火墙基础指令
华为防火墙vrrp配置实例,华为防火墙基础指令1、开启双击热备功能四、VGMP协议的配置过程二、登陆配置视图三、集团的网络拓扑图需求说明:集团两台防火墙FW的业务接口都工作在三层,上下行分别连接交换机。上行交换机S5735连接路透器AR6300后接入Internet,运营商为企业分配的IP地址为1.1.1.1。下行分别接入核心交换机S7706后连接公司Trust办公域,另一接口接入交换机S5735连接公司的DMZ服务器域。现在配置两台FW以双机热备的方式工作。正常情况下,FW-1为Master状态,FW-2为Backup状态,流量通过FW-1转发。当FW-1出现故障时,流量通过FW_2转发,保证业务不中断。
简介:VGMP(VRRP组管理协议)用来实现VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。VGMP通过在设备(FW-1和FW-2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的状态变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的Active组和Standby组。选举出的Active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW-2将成为Master设备)。
VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理;VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby;默认情况下,VGMP组的优先级为45000;VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2。
本文主要介绍华为防火墙使用VGMP协议配置虚拟IP的过程。详细内容参考下文。
一、登陆防火墙
二、登陆配置视图
三、集团的网络拓扑图
需求说明:集团两台防火墙FW的业务接口都工作在三层,上下行分别连接交换机。上行交换机S5735连接路透器AR6300后接入Internet,运营商为企业分配的IP地址为1.1.1.1。下行分别接入核心交换机S7706后连接公司Trust办公域,另一接口接入交换机S5735连接公司的DMZ服务器域。现在配置两台FW以双机热备的方式工作。正常情况下,FW-1为Master状态,FW-2为Backup状态,流量通过FW-1转发。当FW-1出现故障时,流量通过FW_2转发,保证业务不中断。
四、VGMP协议的配置过程
1、开启双击热备功能
#FW-1防火墙的配置
[FW-1]hrp enable
HRP_S[FW-1] //FW-1的配置命令提示符出现变化
#FW-2防火墙的配置
[FW-2]hrp enable
HRP_S[FW-2] //FW-2的配置命令提示符出现变化
2、配置自动备份模式
#FW-1防火墙的配置
HRP_S[FW-1]hrp auto-sync //FW-1配置自动备份
#FW-2防火墙的配置
HRP_S[FW-2] hrp auto-sync //FW-2配置自动备份
3、配置VRRP备份组
#在Trust域配置VRRP备份组2
#FW-1防火墙的配置
[FW-1] interface XGigabitEthernet 0/0/0
[FW-1-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 active
[FW-1-XGigabitEthernet0/0/0] quit
#FW_2防火墙的配置
[FW-2] interface XGigabitEthernet 0/0/0
[FW-2-XGigabitEthernet0/0/0] vrrp vrid 2 virtual-ip 172.17.1.1 standby
[FW-2-XGigabitEthernet0/0/0] quit
备注:在接口XGigabitEthernet 0/0/0下配置虚拟IP地址172.17.1.1。
#在DMZ域配置VRRP备份组3
#FW-1防火墙的配置
[FW-1] interface GigabitEthernet 0/0/1
[FW-1-GigabitEthernet0/0/1] vrrp vrid 3 virtual-ip 172.16.1.1 active
[FW-1-GigabitEthernet0/0/1] quit
#FW-2防火墙的配置
[FW-2] interface GigabitEthernet 0/0/1
[FW-2-GigabitEthernet0/0/1] vrrp vrid 3 virtual-ip 172.16.1.1 standby
[FW-2-GigabitEthernet0/0/1] quit
备注:在接口GigabitEthernet 0/0/1下配置虚拟IP地址172.16.1.1。
#在Untrust域配置VRRP备份组4
#FW-1防火墙的配置
[FW-1] interface GigabitEthernet 0/0/0
[FW-1-GigabitEthernet0/0/0] vrrp vrid 4 virtual-ip 1.1.1.1 24 active
[FW-1-GigabitEthernet0/0/0] quit
#FW-2防火墙的配置
[FW-2] interface GigabitEthernet 0/0/0
[FW-2-GigabitEthernet0/0/0] vrrp vrid 4 virtual-ip 1.1.1.1 24 standby
[FW-2-GigabitEthernet0/0/0] quit
备注:在接口GigabitEthernet 0/0/0下配置虚拟IP地址1.1.1.1。
4、指定心跳口并启用双机热备功能
#FW-1防火墙的配置
[FW-1] hrp interface XGigabitEthernet 0/0/1 remote 10.10.0.2
[FW-1] hrp enable
#FW-2防火墙的配置
[FW-2] hrp interface XGigabitEthernet 0/0/1 remote 10.10.0.1
[FW-2] hrp enable
五、配置检查及验证
1、查看双机热备的状态信息
执行指令display hrp state
2、查看心跳接口状态
执行指令display hrp interface
3、查看VRRP组内所有接口的状态
执行指令display vrrp
4、查看VRRP组内某一接口的状态
执行指令display vrrp interface XGigabitEthernet 0/0/0
5、检查当前VGMP组的状态
执行指令display hrp state verbose
6、查看VGMP组的优先级和状态
执行指令display hrp state
说明事项:
(1)、Running priority: 44996 peer: 44995:本端和对端的VGMP组优先级。“Running priority”表示本端VGMP组优先级。“peer”表示对端VGMP组优先级。
(2)、Last state change information:本端VGMP组最后一次状态切换的相关信息。old_state是VGMP组的历史状态。new_state是VGMP组的当前状态。old_state和new_state可能有如下取值:
•initial:表示VGMP组状态为initialize。
•normal:表示VGMP组状态为load-balance。
•abnormal(standby):表示VGMP组状态为standby。
•abnormal(active):表示VGMP组状态为active。