精华内容
下载资源
问答
  • H3C VRRP配置案例

    2012-12-11 11:29:18
    主机A把路由器A和路由器B组成的VRRP备份组作为自己的缺省网关,访问Internet上的主机B。
  • H3C虚拟网关(VRRP配置实战

    千次阅读 2021-03-22 19:57:25
    VRRP简介 VRRP用来为网关设备提供冗余备份。VRRP将可以承担网关功能的一组设备加入到备份组中,形成一台虚拟路由器,局域网内的主机将此虚拟路由器设置为...1.在 FW1 和 FW2 上配置 VRRP,要求FW1 成为 Vlan...

    ​VRRP简介

     

    VRRP用来为网关设备提供冗余备份。VRRP将可以承担网关功能的一组设备加入到备份组中,形成一台虚拟路由器,局域网内的主机将此虚拟路由器设置为缺省网关。VRRP根据优先级从备份组中选举出一台网关设备作为Master,负责转发局域网内主机与外部通信的流量,其他网关设备作为Backup。当Master出现故障后,VRRP重新选举新的Master,保证流量转发不会中断

    实验拓扑

     

    配置需求

     

    1.在 FW1 和 FW2 上配置 VRRP,要求FW1 成为 Vlan10 的主网关,FW2 成为 Vlan20 的主网关;SW1 和 SW2 互为备份。

    2.SW1 和 SW2 对上行接口进行监视,如上行接口故障,会触发 VRRP 角色切换。

     

    注意事项

     

    1.要对虚拟网关设备的上行接口进行监视,当上行设备故障时,会自动降低主设备vrrp的优先级,自动触发角色切换。否则上行链路故障时,vrrp角色不能切换,导致不能访问互联网。

    2.为了提高设备利用率,减轻主网关设备的压力,建议针对不同网段,将其主网关均匀分摊在两台vrrp设备上。如本配置中,vlan 10的主网关设备是FW1,vlan 20的主网关设备是FW2。

     

    配置步骤

     

    1.配置 IP 地址部分略。

    2.配置 Vlan 和 Trunk 部分略。

    3.在 FW1 的 Vlan10 上配置 VRRP,虚拟 IP 地址为 192.168.10.254/24,优先级为 120,在 Vlan20 上配置 VRRP,虚拟 IP 地址为 192.168.2.254/24,优先级不修改,保持默认值 100。

    [FW1]interface Vlan-interface 10
    [FW1-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.1.254
    [FW1-Vlan-interface10]vrrp vrid 1 priority 120
    [FW1]int Vlan-interface 20
    [FW1-Vlan-interface20]vrrp vrid 2 virtual-ip 192.168.2.254

     

    4.在 FW2 的 Vlan10 上配置 VRRP,虚拟 IP 地址为 192.168.10.254/24,优先级保持默认值100,在 Vlan20 上配置 VRRP,虚拟 IP 地址为 192.168.2.254/24,优先级修改为 120。

    [FW1]interface Vlan-interface 10
    [FW1-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.1.254
    [FW1]int Vlan-interface 20
    [FW1-Vlan-interface20]vrrp vrid 2 virtual-ip 192.168.2.254
    [FW1-Vlan-interface20]vrrp vrid 2 priority 12

    5.vrrp配置完成,检查vrrp配置。

    [FW1]dis vrrp 
    IPv4 Virtual Router Information:  
     Running mode      : Standard
     Total number of virtual routers : 2
     Interface          VRID  State        Running Adver   Auth     Virtual
                                           Pri     Timer   Type        IP
     ---------------------------------------------------------------------
     Vlan10             1     Master       120     100     None     192.168.1.254   
     Vlan20             2     Backup       100     100     None     192.168.2.254
    [FW2]dis vrrp
    IPv4 Virtual Router Information:  
     Running mode      : Standard
     Total number of virtual routers : 2
     Interface          VRID  State        Running Adver   Auth     Virtual
                                           Pri     Timer   Type        IP
     ---------------------------------------------------------------------
     Vlan10             1     Backup       100     100     None     192.168.1.254   
     Vlan20             2     Master       120     100     None     192.168.2.254

    6.配置上行接口监视,使主vrrp上行链路故障时,可以触发vrrp角色可以切换到备设备上。

    7.在 FW1 上配置接口监视,监视上行接口 GigabitEthernet1/0/0,并在 Vlan10 接口中调用,优先级降低 30。

    [FW1]track 1 interface GigabitEthernet1/0/0
    [FW1]int Vlan-interface 10
    [FW1-Vlan-interface10]vrrp vrid 1 track 1 priority reduced 30

    7.在 FW2 上配置接口监视,监视上行接口 GigabitEthernet1/0/1,并在 Vlan20 接口中调用,优先级降低 30。

    [FW2]track 1 interface GigabitEthernet1/0/1
    [FW2]int Vlan-interface 20
    [FW2-Vlan-interface10]vrrp vrid 2 track 1 priority reduced 30

     

     

    配置验证

     

    正常情况下财务部访问模拟百度服务器地址的路径为PC1→SW→FW1→R1→百度服务器

    [PC1]tracert 1.1.1.2
     1  192.168.1.252 (192.168.1.252)  1.000 ms  0.000 ms  1.000 ms
     2  100.1.1.2 (100.1.1.2)  1.000 ms  0.000 ms  0.000 ms
     3  1.1.1.2 (1.1.1.2)  2.000 ms  1.000 ms  1.000 ms
    [PC1]ping 1.1.1.2
    Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break
    56 bytes from 1.1.1.2: icmp_seq=0 ttl=253 time=3.000 ms
    56 bytes from 1.1.1.2: icmp_seq=1 ttl=253 time=1.000 ms
    56 bytes from 1.1.1.2: icmp_seq=2 ttl=253 time=2.000 ms
    56 bytes from 1.1.1.2: icmp_seq=3 ttl=253 time=1.000 ms
    56 bytes from 1.1.1.2: icmp_seq=4 ttl=253 time=2.000 ms

    当FW1的上行链路或者FW1与SW之间的链路故障时,PC1仍然能访问百度服务器,访问路径为PC1→SW→FW2→R1→百度服务器。本案例模拟FW1的上行链路故障,验证配置

    [FW1]int g 1/0/0
    [FW1-GigabitEthernet1/0/0]shutdown

    查看此时PC1访问百度服务器链路:

    [PC1]tracert 1.1.1.2
     1  192.168.1.253 (192.168.1.253)  1.000 ms  0.000 ms  1.000 ms
     2  200.1.1.2 (200.1.1.2)  1.000 ms  1.000 ms  1.000 ms
     3  1.1.1.2 (1.1.1.2)  1.000 ms  1.000 ms  1.000 ms
    [PC1]ping 1.1.1.2
    Ping 1.1.1.2 (1.1.1.2): 56 data bytes, press CTRL_C to break
    56 bytes from 1.1.1.2: icmp_seq=0 ttl=253 time=1.000 ms
    56 bytes from 1.1.1.2: icmp_seq=1 ttl=253 time=1.000 ms
    56 bytes from 1.1.1.2: icmp_seq=2 ttl=253 time=2.000 ms
    56 bytes from 1.1.1.2: icmp_seq=3 ttl=253 time=1.000 ms
    56 bytes from 1.1.1.2: icmp_seq=4 ttl=253 time=2.000 ms

    配置完全正常!

     

     

    附:

     

    1.整体配置

     

    R1配置:

    sysname R1
    #
     ip unreachables enable
     ip ttl-expires enable
    #
    interface GigabitEthernet0/0
     port link-mode route
     ip address 100.1.1.2 255.255.255.0
    #
    interface GigabitEthernet0/1
     port link-mode route
     combo enable copper
     ip address 200.1.1.2 255.255.255.0
    #
    interface GigabitEthernet0/2
     port link-mode route
     combo enable copper
     ip address 1.1.1.1 255.255.255.0


    FW1配置:

    #
     sysname FW1
    #
    track 1 interface GigabitEthernet1/0/0
    #
     ip unreachables enable
     ip ttl-expires enable
    #              
    vlan 10
    #
    vlan 20
    #
    interface Vlan-interface10
     ip address 192.168.1.252 255.255.255.0
     vrrp vrid 1 virtual-ip 192.168.1.254
     vrrp vrid 1 priority 120
     vrrp vrid 1 track 1 priority reduced 30
    #
    interface Vlan-interface20
     ip address 192.168.2.252 255.255.255.0
     vrrp vrid 2 virtual-ip 192.168.2.254
    #
    interface GigabitEthernet1/0/0
     port link-mode route
     ip address 100.1.1.1 255.255.255.0
     nat outbound
    #
    interface GigabitEthernet1/0/1
     port link-mode bridge
     port link-type trunk
     undo port trunk permit vlan 1
     port trunk permit vlan 10 20
    #
    security-zone name Trust
     import interface Vlan-interface10
     import interface Vlan-interface20
     import interface GigabitEthernet1/0/1 vlan 1 to 4094
    #
    security-zone name DMZ
    #
    security-zone name Untrust
     import interface GigabitEthernet1/0/0
    #
    security-zone name Management
    #              
    zone-pair security source Local destination Local
     packet-filter 3000
    #
    zone-pair security source Local destination Trust
     packet-filter 3000
    #
    zone-pair security source Local destination Untrust
     packet-filter 3000
    #
    zone-pair security source Trust destination Local
     packet-filter 3000
    #
    zone-pair security source Trust destination Trust
     packet-filter 3000
    #
    zone-pair security source Trust destination Untrust
     packet-filter 3000
    #
    zone-pair security source Untrust destination Local
     packet-filter 3000
    #              
    zone-pair security source Untrust destination Trust
     packet-filter 3000
    #
    zone-pair security source Untrust destination Untrust
     packet-filter 3000
    #
     ip route-static 0.0.0.0 0 100.1.1.2
    #
    acl advanced 3000
     rule 0 permit ip

     

     

    FW2配置:

    #
     sysname FW2
    #
    track 1 interface GigabitEthernet1/0/1
    #
     ip unreachables enable
     ip ttl-expires enable
    #
    vlan 1
    #              
    vlan 10
    #
    vlan 20
    #
    interface Vlan-interface10
     ip address 192.168.1.253 255.255.255.0
     vrrp vrid 1 virtual-ip 192.168.1.254
    #
    interface Vlan-interface20
     ip address 192.168.2.253 255.255.255.0
     vrrp vrid 2 virtual-ip 192.168.2.254
     vrrp vrid 2 priority 120
     vrrp vrid 2 track 1 priority reduced 30
    #
    interface GigabitEthernet1/0/1
     port link-mode route
     ip address 200.1.1.1 255.255.255.0
     nat outbound
    #
    interface GigabitEthernet1/0/2
     port link-mode bridge
     port link-type trunk
     undo port trunk permit vlan 1
     port trunk permit vlan 10 20
    #
    security-zone name Trust
     import interface Vlan-interface10
     import interface Vlan-interface20
     import interface GigabitEthernet1/0/2 vlan 1 to 4094
    #
    security-zone name DMZ
    #
    security-zone name Untrust
     import interface GigabitEthernet1/0/1
    #
    security-zone name Management
    #
    zone-pair security source Local destination Local
     packet-filter 3000
    #
    zone-pair security source Local destination Trust
     packet-filter 3000
    #              
    zone-pair security source Local destination Untrust
     packet-filter 3000
    #
    zone-pair security source Trust destination Local
     packet-filter 3000
    #
    zone-pair security source Trust destination Trust
     packet-filter 3000
    #
    zone-pair security source Trust destination Untrust
     packet-filter 3000
    #
    zone-pair security source Untrust destination Local
     packet-filter 3000
    #
    zone-pair security source Untrust destination Trust
     packet-filter 3000
    #
    zone-pair security source Untrust destination Untrust
     packet-filter 3000
    #
     ip route-static 0.0.0.0 0 200.1.1.2
    #
    acl advanced 3000
     rule 0 permit ip

    SW配置:

    #
     sysname SW
    #
     ip unreachables enable
     ip ttl-expires enable
    #
    vlan 10
    #
    vlan 20        
    #
     stp global enable
    #
    interface GigabitEthernet1/0/1
     port link-mode bridge
     port link-type trunk
     undo port trunk permit vlan 1
     port trunk permit vlan 10 20
    #
    interface GigabitEthernet1/0/2
     port link-mode bridge
     port link-type trunk
     undo port trunk permit vlan 1
     port trunk permit vlan 10 20
    #
    interface GigabitEthernet1/0/3
     port link-mode bridge
     port access vlan 10
    #
    interface GigabitEthernet1/0/4
     port link-mode bridge
     port access vlan 2
     

     PC1配置:

    #
     sysname PC1
    #
     ip unreachables enable
     ip ttl-expires enable
    #
    interface GigabitEthernet0/0
     port link-mode route
     ip address 192.168.1.10 255.255.255.0
    #
     ip route-static 0.0.0.0 0 192.168.1.254

     PC2配置:

    #
     sysname PC2
    #
     ip unreachables enable
     ip ttl-expires enable
    #
    interface GigabitEthernet0/1
     port link-mode route
     ip address 192.168.2.10 255.255.255.0
    #
     ip route-static 0.0.0.0 0 192.168.2.254

    百度服务配置:

    #
     sysname PC
    #
     ip unreachables enable
     ip ttl-expires enable
    #              
    interface GigabitEthernet0/0
     port link-mode route
     ip address 1.1.1.2 255.255.255.0
    #
     ip route-static 0.0.0.0 0 1.1.1.1
    #

     

    2. 关注我,获取此次配置工程、更多配置案例、最新影视及常用办公软件

    展开全文
  • VRRP的基本配置(以H3C模拟器为例)

    千次阅读 2017-06-03 22:02:12
    VRRP的基本配置:   S1: sys [H3C]sys S1 [S1]vlan 10 [S1-vlan10]port g1/0/1 [S1-vlan10]vlan 20 [S1-vlan20]port g1/0/2 [S1-vlan20]vlan 30 [S1-vlan30]port g1/0/3 [S1-vlan...

    VRRP的基本配置:

     

    S1:

    <H3C>sys

    [H3C]sys S1

    [S1]vlan 10

    [S1-vlan10]port g1/0/1

    [S1-vlan10]vlan 20

    [S1-vlan20]port g1/0/2

    [S1-vlan20]vlan 30

    [S1-vlan30]port g1/0/3

    [S1-vlan30]vlan 40

    [S1-vlan40]port g1/0/4

    [S1-vlan40]int range g1/0/5 to g1/0/6

    [S1-if-range]port link-type trunk

    [S1-if-range]port trunk permit vlan all

    [S1-if-range]qu

    S2:

    [S2]vlan 10

    [S2-vlan10]vlan 20

    [S2-vlan20]vlan 30

    [S2-vlan30]vlan 40

    [S2-vlan40]int vlan 10

    [S2-Vlan-interface10]ip ad 192.168.10.1 24

    [S2-Vlan-interface10]vrrp vrid 10 virtual-ip 192.169.10.254

    [S2-Vlan-interface10]vrrp vrid 10 priority 110

    [S2-Vlan-interface10]vrrp vrid 10 preempt-mode delay 5

    [S2-Vlan-interface10]int vlan 20

    [S2-Vlan-interface20]ip ad 192.168.20.1 24

    This subnet overlaps with another interface!

    [S2-Vlan-interface20]vrrp vrid 10 virtual-ip 192.169.20.254

    [S2-Vlan-interface20]vrrp vrid 10 priority 110

    [S2-Vlan-interface20]vrrp vrid 10 preempt-mode delay 5

    [S2-Vlan-interface20]int vlan 30

    [S2-Vlan-interface30]ip ad 192.168.30.1 24

    [S2-Vlan-interface30]vrrp vrid 10 virtual-ip 192.169.30.254

    [S2-Vlan-interface30]vrrp vrid 10 priority 100

    [S2-Vlan-interface30]vrrp vrid 10 preempt-mode delay 5

    [S2-Vlan-interface30]int vlan 40

    [S2-Vlan-interface40]ip ad 192.168.40.1 24

    [S2-Vlan-interface40]vrrp vrid 10 virtual-ip 192.169.40.254

    [S2-Vlan-interface40]vrrp vrid 10 priority 100

    [S2-Vlan-interface40]vrrp vrid 10 preempt-mode delay 5

    [S2-Vlan-interface40]qu

    验证vrrp冗余网关是否配置成功

    [S2]dis vrrp

    IPv4 Virtual Router Information:

     Running mode      : Standard

     Total number of virtual routers : 4

     Interface          VRID  State        Running Adver   Auth     Virtual

                                           Pri     Timer   Type        IP

     ---------------------------------------------------------------------

     Vlan10             10    Initialize   110     100     None     192.169.10.254

     Vlan20             10    Initialize   110     100     None     192.169.20.254

     Vlan30             10    Initialize   100     100     None     192.169.30.254

     Vlan40             10    Initialize   100     100     None     192.169.40.254

    S3:

    <H3C>sys

    [H3C]sys S3

    [S3]vlan 10

    [S3-vlan10]vlan 20

    [S3-vlan20]vlan 30

    [S3-vlan30]vlan 40

    [S3-vlan40]int vlan 10

    [S3-Vlan-interface10]ip ad 192.168.10.2 24

    [S3-Vlan-interface10]vrrp vrid 10 virtual-ip 192.169.10.254

    [S3-Vlan-interface10]vrrp vrid 10 priority 100

    [S3-Vlan-interface10]vrrp vrid 10 preempt-mode delay 5

    [S3-Vlan-interface10]int vlan 20

    [S3-Vlan-interface20]ip ad 192.168.20.2 24

    [S3-Vlan-interface20]vrrp vrid 10 virtual-ip 192.169.20.254

    [S3-Vlan-interface20]vrrp vrid 10 priority 100

    [S3-Vlan-interface20]vrrp vrid 10 preempt-mode delay 5

    [S3-Vlan-interface20]int vlan 30

    [S3-Vlan-interface30]ip ad 192.168.30.2 24

    [S3-Vlan-interface30]vrrp vrid 10 virtual-ip 192.169.30.254

    [S3-Vlan-interface30]vrrp vrid 10 priority 110

    [S3-Vlan-interface30]vrrp vrid 10 preempt-mode delay 5

    [S3-Vlan-interface30]int vlan 40

    [S3-Vlan-interface40]ip ad 192.168.40.2 24

    [S3-Vlan-interface40]vrrp vrid 10 virtual-ip 192.169.40.254

    [S3-Vlan-interface40]vrrp vrid 10 priority 110

    [S3-Vlan-interface40]vrrp vrid 10 preempt-mode delay 5

    [S3-Vlan-interface40]qu

    [S3]dis vrrp

    IPv4 Virtual Router Information:

     Running mode      : Standard

     Total number of virtual routers : 4

     Interface          VRID  State        Running Adver   Auth     Virtual

                                           Pri     Timer   Type        IP

     ---------------------------------------------------------------------

     Vlan10             10    Initialize   100     100     None     192.169.10.254

     Vlan20             10    Initialize   100     100     None     192.169.20.254

     Vlan30             10    Initialize   110     100     None     192.169.30.254

     Vlan40             10    Initialize   110     100     None     192.169.40.254

    展开全文
  • H3C 综合实验VRRP+DHCP+RSTP综合实验.zip
  • 博文目录: ...七、双机热备的配置 八、总结 一、双机热备是什么? 1、双机热备的作用 多台设备运行双机热备; 一台设备故障其他设备接替工作; 增强网络稳定性; 保证业务的连续性; 华为...

    博文目录:
    一、双机热备是什么?
    二、什么是VRRP?
    三、VRRP的两种角色
    四、VRRP的三个状态机
    五、VRRP选举Master路由器和Backup路由器的流程
    六、通过VGMP实现VRRP备份组的统一管理
    七、双机热备的配置
    八、总结

    一、双机热备是什么?

    1、双机热备的作用

    多台设备运行双机热备;
    一台设备故障其他设备接替工作;
    增强网络稳定性;
    保证业务的连续性;

    华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。

    2、华为防火墙双机热备的两种模式:

    • 热备模式:同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。
    • 负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。

    负载均衡模式下,针对图中●流量,FW1是主设备,FW2是备用设备,所以该流量默认通过FW1转发,而针对图中○流量,FW2是主用设备,FW1是备用设备部,所以该流量默认通过FW2转发。而同时,FW1又作为○流量的备用设备,当FW2损坏时,FW1依然可以转发○流量。同理,FW2也可以在FW1损坏时转发●流量。如下图:
    华为防火墙VRRP双机热备的原理及实例配置

    二、什么是VRRP?

    VRRP(virtual router redundancy protocol,虚拟路由冗余协议),由IETF进行维护,用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备。

    1、VRRP的术语

    • VRRP路由器:运行VRRP协议的路由器。
    • 虚拟路由器:由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组对客户端提供一个虚拟网关。
    • VRID:Virtual Router ID,虚拟路由器标识,用来唯一的标识一个备份组。
    • 虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
    • 虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址。
    • IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
    • 优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。
    • 抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器。
    • 非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等)。

    2、华为VRRP和Cisco的HSRP细节上的区别

    VRRP是公有协议,而HSRP是Sisco私有协议。
    VRRP中的虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以。
    VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号。
    VRRP的状态机有三个,而HSRRP的状态机包含五个(初始、学习、监听、发言、备份、活动)。
    VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主用路由器的选举。而HSRP有三种报文(Hello、政变、辞职)。
    VRRP不支持接口跟踪,而HSRP支持。

    三、VRRP的两种角色

    • Master路由器:正常情况下由master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告master路由器当前的状态信息。
    • Backup路由器:是master路由器的备用路由器,正常情况下不提供数据包的转发,当master路由器发生故障时,在所有的backup路由器中优先级高的路由器将成为新的master路由器,接替转发数据包的工作,从而保证业务不中断。

    四、VRRP的三个状态机

    • Initialize状态:刚配置了VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时也将进入该状态。
    • Master状态:当前设备选举成为主用路由器时一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起的ARP请求,并将模拟MAC地址回送客户机,当接口关闭时,将立即切换至Initialize状态。
    • Backup状态:当前设备选举成为备用路由器时的一种状态。该状态下不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文,并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息。

    以上三个状态之间的切换关系如下图:
    华为防火墙VRRP双机热备的原理及实例配置
    Initialize状态是VRRP的初始状态,当接口shutdown时,无论路由器处于master状态还是backup状态,都将立即切换至initialize状态。当路由器配置为IP地址拥有者时,其优先级默认为255,此时路由器直接由initialize状态切换至master状态。当路由器不是IP地址拥有者,其优先级< 255,此时路由器直接由initialize状态切换至backup状态。处于master状态的路由器如果收到优先级更大或者和本地优先级相等的报文(通常有master路由器发出),将重置master_Down_Interval计数器,如果一直没有接收到Master路由器发送的VRRP通告报文,待master_Down_Interval计时器超时后,将由backup状态切换至master状态。

    五、VRRP选举Master路由器和Backup路由器的流程

    VRRP选举master路由器和backup路由器的流程如下:
    首先选举优先级高的设备成为master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为master路由器,而备份组中其他的路由器将成为backup路由器。

    VRRP中的默认接口优先级为100,取值范围为0~255,其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,默认优先级就是255。

    除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即使路由器的优先级最高,也需要从backup状态过渡到master状态。此时,backup状态只是一个瞬间的过渡状态。

    六、通过VGMP实现VRRP备份组的统一管理

    通过前面的介绍可知,双机热备解决了网关设备切换且业务不中断的问题,VRRP解决了客户机网关自动切换问题。似乎双机热备 +VRRP已经可以正常工作,但实际情况下并非如此。

    上个图大家看的更有助于理解,直观一些
    华为防火墙VRRP双机热备的原理及实例配置
    从上图中可以看出,正常情况下PC去往外部网络的数据包通过备份组1的master设备(FW1)转发,外部网络返回的数据包由备份组2的master设备(FW1)转发,但是当FW1的G1/0/0接口出现故障时,备份组1可以检测到这一故障,并将FW2作为备份组1的master设备。PC发起的数据包由备份组1的master设备(FW2)进行转发,而备份组2的状态没有发生任何改变(FW1的G1/0/1接口正常工作),所以由外部网络返回的流量仍然由备份组2的master设备(FW1转发),显然,因为FW1的接口G1/0/0故障,数据包无法继续转发。

    造成这种现象的原因就是两个VRRP备份组独立工作,所以需要使用VGMP(VRRP组管理协议)来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致。

    VGMP(VRRP Group Management Protocol,VRRP组管理协议)用来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的状态变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的active组和standby组。选举出的active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为Master设备)。

    1、VGMP的工作原理

    • VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理。
    • VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby。
    • 默认情况下,VGMP组的优先级为4500。
    • VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2。
    • VGMP通过心跳线协商VGMP状态信息。
    • 在加入VGMP组之后,VRRP中的状态标识从master和backup变成了active和standby。

    2、VGMP的报文封装

    VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式,如下图:

    如下图中左边的网络图中,当心跳线直接相连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息。而当心跳线通过三层设备(路由器)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部信息,此时发送的报文属于单播。

    华为防火墙VRRP双机热备的原理及实例配置

    在实际应用中,应根据实际的环境灵活选择报文封装,在华为防火墙中,通过以下命令指定通过接口发送的报文属于哪几种类型的封装。

    [FW1]hrp interface GigabitEthernet 1/0/0       <!--eNSP模拟器中不支持该配置-->
    [FW1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1
    <!--hrp命令用来指定用于心跳链路的接口编号,
    1.1.1.1是心跳线对端接口的IP地址,该地址要求路由可达,
    带remote参数的命令将封装UDP,并发送单播报文不带remote参数将发送组播报文-->

    配置VGMP的其他注意事项:

    • 加入了VGMP后,心跳线的作用包含状态信息备份(会话表和server-map表)及VGMP状态协商。
    • 华为防火墙在默认情况下放行组播流量(如不带remote参数的VGMP报文)禁止单播流量(如带remote参数的VGMP报文),所以如果配置了remote参数,还需要配置local区域和心跳线接口所在的区域之间配置安全策略。
    • 配置了VRRP virtual-mac enable的接口不能作为心跳口。
    • 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入vlan,在vlan中配置心跳接口。
    • eNSPoint模拟器中,即使心跳接口之间相连,也必须配置remote参数,否则无法配置。

    3、双机热备的备份方式

    双机热备的备份方式包括以下三种:

    • 自动备份:该模式下,和双机热备有关的配置只能在主用设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中。
    • 手工批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主设备和备用设备配置不同步,需要立即进行同步的场景。
    • 快速备份:该模式下,不同步配置命令,只同步状态信息,在负载均衡方式的双机热备环境中,该默认必须启用,以快速更新状态信息。

    各模式的配置命令如下:

    1)开启双机热备功能:

    [FW1]hrp enable    
    HRP_S[FW1]         <!--开启双机热备功能后,命令提示符发生变化-->

    2)配置自动备份模式:

    HRP_M[FW1]hrp auto-sync 
    HRP_M[FW1]security-policy  (+B)
       <!--开启双机热备后,执行可以同步的命令会有(+B)的提示-->

    3)配置手工批量备份模式:

    HRP_M<FW1>hrp sync [ config | connection-status ]   
           <!--
     在用户模式下执行该命令,其中config参数表示手工同步命令配置,
     connection-status参数表示手工同步状态信息。
                  -->

    4)配置快速备份模式:

    HRP_S[FW1]hrp mirror session enable 
    HRP_M[FW1]      <!--配置快速备份模式后,开头会变成HRP_M.....-->

    4、连接路由器时的双机热备

    当配置双机热备的设备上游或者下游是交换设备时,可以通过VRRP检测接口或者设备的状态,但是当上游或者下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法时监控其他接口状态,并配合OSPF实现流量切换,如下图:
    华为防火墙VRRP双机热备的原理及实例配置
    通过将接口直接加入VGMP组中,当接口故障时(即使对端设备故障,本端接口的物理特性也将关闭),VGMP会感知接口状态变化,从而降低VGMP组的优先级,从active状态切换至standby状态。而之前的standby组将提升为active状态。而处于standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至Active组设备中。

    七、双机热备的配置

    环境如下:
    华为防火墙VRRP双机热备的原理及实例配置

    需求如下:
    LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过FW2转发。

    推荐步骤:
    按照拓扑图配置基本网络参数
    防火墙接口加入不同区域
    配置安全策略
    配置NAT地址转换使用PAPT
    配置相互传输心跳
    配置VRRP
    防火墙配置默认路由
    验证

    开始配置:

    FW1配置如下:

    [FW1]int g1/0/0      <!--进入该接口-->
    [FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24   <!--接口配置IP地址-->
    [FW1-GigabitEthernet1/0/0]quit 
    [FW1]int g1/0/1           <!--进入该接口-->
    [FW1-GigabitEthernet1/0/1]ip add 10.2.1.1 24    <!--接口配置IP地址-->
    [FW1-GigabitEthernet1/0/1]quit
    [FW1]int g1/0/2      <!--进入该接口-->
    [FW1-GigabitEthernet1/0/2]ip add 10.3.1.1 24  <!--接口配置IP地址-->
    [FW1-GigabitEthernet1/0/2]quit 
    [FW1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 1.1.1.2
                  <!--配置去往untrust区域的默认路由-->
    [FW1]firewall zone untrust        <!--进入untrust区域-->
    [FW1-zone-untrust]add int GigabitEthernet 1/0/0   <!--该接口加入untrust区域-->
    [FW1-zone-untrust]quit
    [FW1]firewall zone dmz         <!--进入dmz区域-->
    [FW1-zone-dmz]add int GigabitEthernet 1/0/1      <!--该接口加入dmz区域-->
    [FW1-zone-dmz]quit
    [FW1]firewall zone trust       <!--进入trust区域-->
    [FW1-zone-trust]add int GigabitEthernet 1/0/2      <!--该接口加入trust区域-->
    [FW1-zone-trust]quit
    [FW1]security-policy        <!--配置安全策略--> 
    [FW1-policy-security]rule name ha        <!--安全策略名字为ha-->
    [FW1-policy-security-rule-ha]source-zone local        <!--指定源区域-->
    [FW1-policy-security-rule-ha]source-zone dmz      <!--指定源区域-->
    [FW1-policy-security-rule-ha]destination-zone local     <!--指定目标区域-->
    [FW1-policy-security-rule-ha]destination-zone dmz       <!--指定目标区域-->
    [FW1-policy-security-rule-ha]action permit        <!--允许dmz区域和local区域相互访问-->
    [FW1-policy-security-rule-ha]quit
    [FW1-policy-security]quit
    [FW1]security-policy          <!--配置安全策略 -->
    [FW1-policy-security]rule name nat      <!--安全策略名字为nat-->
    [FW1-policy-security-rule-nat]source-zone trust        <!--指定源区域-->
    [FW1-policy-security-rule-nat]destination-zone untrust      <!--指定目标区域-->
    [FW1-policy-security-rule-nat]action permit        <!--允许流量通过-->
    [FW1-policy-security-rule-nat]quit
    [FW1-policy-security]qui
    [FW1]nat address-group NAPAT          <!--地址池的名字为NAPAT-->
    [FW1-address-group-napat]section 0 1.1.1.1 1.1.1.1   <!--地址池范围-->
    [FW1-address-group-napat]quit
    [FW1]nat-policy      <!--配置NAT策略-->
    [FW1-policy-nat]rule name natpolicy    <!--NAT策略名字为natpolicy-->
    [FW1-policy-nat-rule-natpolicy]source-zone trust    <!--定义转换源区域-->
    [FW1-policy-nat-rule-natpolicy]destination-zone untrust   <!--定义转换目标区域-->
    [FW1-policy-nat-rule-natpolicy]action nat address-group NAPAT   
          <!--定义转换源和地址池建立映射关系-->
    [FW1-policy-nat-rule-natpolicy]quit
    [FW1-policy-nat]quit
    [FW1]hrp int g 1/0/1 remote 10.2.1.2  <!--配置心跳信息传输到FW2-->
    [FW1]hrp enable   <!--开启hrp功能-->
    HRP_S[FW1]

    FW2配置如下:(请参照FW1注释,FW1和FW2配置基本相同)

    [FW2]int g1/0/0
    [FW2-GigabitEthernet1/0/0]ip add 10.1.1.2 24
    [FW2-GigabitEthernet1/0/0]int g1/0/1
    [FW2-GigabitEthernet1/0/1]ip add 10.2.1.2 24
    [FW2-GigabitEthernet1/0/1]int g1/0/2
    [FW2-GigabitEthernet1/0/2]ip add 10.3.1.2 24
    [FW2-GigabitEthernet1/0/2]quit
    [FW2]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 1.1.1.2
    [FW2]firewall zone untrust 
    [FW2-zone-untrust]add int GigabitEthernet 1/0/0
    [FW2-zone-untrust]quit
    [FW2]firewall zone dmz
    [FW2-zone-dmz]add int GigabitEthernet 1/0/1
    [FW2-zone-dmz]quit
    [FW2]firewall zone trust 
    [FW2-zone-trust]add int GigabitEthernet 1/0/2
    [FW2-zone-trust]quit
    [FW2]security-policy 
    [FW2-policy-security]rule name ha
    [FW2-policy-security-rule-ha]source-zone local 
    [FW2-policy-security-rule-ha]source-zone dmz
    [FW2-policy-security-rule-ha]destination-zone local 
    [FW2-policy-security-rule-ha]destination-zone dmz
    [FW2-policy-security-rule-ha]action permit 
    [FW2-policy-security-rule-ha]quit
    [FW2-policy-security]quit
    [FW2]security-policy 
    [FW2-policy-security]rule name nat
    [FW2-policy-security-rule-nat]source-zone trust 
    [FW2-policy-security-rule-nat]destination-zone untrust 
    [FW2-policy-security-rule-nat]action permit 
    [FW2-policy-security-rule-nat]quit
    [FW2-policy-security]quit
    [FW2]nat address-group NAPAT
    [FW2-address-group-napat]section 0 1.1.1.1 1.1.1.1
    [FW2-address-group-napat]quit
    [FW2]nat-policy 
    [FW2-policy-nat]rule name natpolicy
    [FW2-policy-nat-rule-natpolicy]source-zone trust 
    [FW2-policy-nat-rule-natpolicy]destination-zone untrust 
    [FW2-policy-nat-rule-natpolicy]action nat address-group NAPAT
    [FW2-policy-nat-rule-natpolicy]quit
    [FW2-policy-nat]quit
    [FW2]hrp int g1/0/1 remote 10.2.1.1
    [FW2]hrp enable
    HRP_S[FW2]hrp standby-device

    开始配置VRRP

    FW1配置VRRP如下:

    HRP_M[FW1]int g1/0/0 (+B)            <!--进入接口-->
    HRP_M[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active  
              <!--VRRP1组主设备,虚拟IP网关1.1.1.1-->
    HRP_M[FW1-GigabitEthernet1/0/0]quit
    HRP_M[FW1]int g1/0/2 (+B)        <!--进入接口-->
    HRP_M[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.1.3 active  
            <!--VRRP2组主设备,虚拟IP网关10.3.1.3-->
    HRP_M[FW1-GigabitEthernet1/0/2]quit

    FW2配置VRRP如下:

    HRP_S[FW2]int g1/0/0           <!--进入接口-->
    HRP_S[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby 
           <!--VRRP1备份设备,虚拟IP网关1.1.1.1-->
    HRP_S[FW2-GigabitEthernet1/0/0]quit
    HRP_S[FW2]int g1/0/2            <!--进入接口-->
    HRP_S[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.1.3 standby 
          <!--VRRP2组备份设备,虚拟IP网关10.3.1.3-->
    HRP_S[FW2-GigabitEthernet1/0/2]quit
    HRP_S[FW2]dis hrp state  <!--查看hrp状态-->

    配置R1和PC的IP地址,并pingR1的IP地址。
    R1配置如下:

    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 1.1.1.2 24
    [R1-GigabitEthernet0/0/0]quit
      <!--进入接口给接口配置IP地址-->
    [R1]ip route-static 10.3.1.0 24 10.1.1.1
    [R1]ip route-static 10.3.1.0 24 10.1.1.2
               <!--
    添加两条去往内网的路由,在实际环境中,可是不会有这条路由的哦,
    实际中一般会将内网的地址映射为和该路由器同一网段的公网IP。 -->

    PC配置如下:

    华为防火墙VRRP双机热备的原理及实例配置

    验证
    用PC1pingR1路由器,然后去FW1和FW2防火墙上分别查看会话表,他们的内容是不一样的

    FW1会话表:
    华为防火墙VRRP双机热备的原理及实例配置

    抓包查看流量转换
    华为防火墙VRRP双机热备的原理及实例配置

    模拟FW1的F1/0/0接口故障,客户端ping路由器R1

    HRP_M[FW1]int g1/0/0 (+B)     <!--进入接口-->
    HRP_M[FW1-GigabitEthernet1/0/0]shutdown   <!--关闭接口-->

    PC1客户端ping路由器R1,防火墙FW2查看会话表
    华为防火墙VRRP双机热备的原理及实例配置

    抓包查看
    华为防火墙VRRP双机热备的原理及实例配置

    PC2客户端ping路由器R1,防火墙在FW2查看会话表
    华为防火墙VRRP双机热备的原理及实例配置

    配置完成。

    八、总结

    • 两台防火墙用于心跳线的接口需要加入相同的安全区域。
    • 两台防火墙用于心跳线的接口的编号必须一致,如都是G1/0/1。
    • 用于双机热备的两台防火墙采用相同的型号,相同的VRP版本。连接同一个设备(路由器或交换机)都使用同一个接口编号。
    • 当热备组中的设备坏掉后,买来新的设备进行加入热备组时,在配置时,原来坏掉的那台设备在VGMP中配置的是active,哪怕现在备份组中有设备处于active状态,新买来的设备必须也配置active状态,否则无法协商。
    展开全文
  • H3C_SecPath系列防火墙典型配置案例集
  • 华为VRRP-流量负载均衡配置

    千次阅读 2020-03-04 23:58:49
    port default vlan 23 SW1配置VRRP) [SW1]interface Vlanif 10 [SW1-Vlanif10]ip ad [SW1-Vlanif10]ip address 192.168.1.251 24 [SW1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.1.254 [SW1-Vlanif10]vrrp vrid 1...

    一、将SW1与SW2虚拟成一台SW

    1.设备正常运行时,vlan10的流量转给SW1,vlan20的流量转发给SW2
    2.SW1作为vlan10的主网关,只有当SW1故障时流量才转到SW2
    3.SW2作为vlan20的主网关,只有当SW2故障时流量才转到SW1
    在这里插入图片描述
    二、配置思路
    1.分别在三台SW上创建vlan10、13、20、23
    2.给PC、SW、路由器配置好IP
    3.在LSW3上将相应的vlan划入相应的端口
    4.将交换机相连的链路配置为主干链路并允许特定vlan通过
    4.在SW1/2配置VRRP主备网关
    5.配置路由
    6.验证配置效果
    三、PC的配置

    PC1配置
    在这里插入图片描述
    PC2配置
    在这里插入图片描述
    四、交换机、路由器配置

    SW3配置(vlan、链路类型)
    [SW1]vlan batch 10 13 20 23
    [SW3]interface e0/0/1
    [SW3-Ethernet0/0/1]port link-type access
    [SW3-Ethernet0/0/1]port default vlan 10
    [SW3-Ethernet0/0/1]int e0/0/4
    [SW3-Ethernet0/0/4]port link-type access
    [SW3-Ethernet0/0/4]port default vlan 20
    [SW3]port-group group-member e0/0/2 e0/0/3
    [SW3-port-group]port link-type trunk
    [SW3-port-group]port trunk allow-pass vlan 10 13 20 23

    SW1配置(vlan、链路类型)
    [SW1]vlan batch 10 13 20 23
    [SW1]interface g0/0/2
    [SW1-GigabitEthernet0/0/2]port link-type trunk
    [SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10 13 20 23
    [SW1]interface g0/0/1
    [SW1-GigabitEthernet0/0/1]port link-type access
    [SW1-GigabitEthernet0/0/1]port default vlan 13

    SW2配置(vlan、链路类型)
    [SW1]vlan batch 10 13 20 23
    [SW1]interface g0/0/3
    [SW1-GigabitEthernet0/0/3]port link-type trunk
    [SW1-GigabitEthernet0/0/3]port trunk allow-pass vlan 10 13 20 23
    [SW2]interface g0/0/2
    [SW2-GigabitEthernet0/0/2]port link-type access
    [SW2-GigabitEthernet0/0/2]port default vlan 23

    SW1配置(VRRP)
    [SW1]interface Vlanif 10
    [SW1-Vlanif10]ip ad
    [SW1-Vlanif10]ip address 192.168.1.251 24
    [SW1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.1.254
    [SW1-Vlanif10]vrrp vrid 1 priority 200
    [SW1-Vlanif10]vrrp vrid 1 preempt-mode timer delay 20
    [SW1-Vlanif10]vrrp vrid 1 track interface g0/0/1 reduced 100
    [SW1]interface Vlanif 20
    [SW1-Vlanif20]ip address 192.168.2.251 24
    [SW1-Vlanif20]vrrp vrid 1 virtual-ip 192.168.2.254
    [SW1-Vlanif20]vrrp vrid 1 priority 150

    SW2配置(VRRP)
    [SW2]interface vla
    [SW2]interface Vlanif 10
    [SW2-Vlanif10]ip address 192.168.1.252 24
    [SW2-Vlanif10]vrrp vrid 1 virtual-ip 192.168.1.254
    [SW2-Vlanif10]vrrp vrid 1 priority 150
    [SW2]interface Vlanif 20
    [SW2-Vlanif20]ip address 192.168.2.252 24
    [SW2-Vlanif20]vrrp vrid 1 virtual-ip 192.168.2.254
    [SW2-Vlanif20]vrrp vrid 1 priority 200
    [SW2-Vlanif20]vrrp vrid 1 track interface g0/0/2 reduced 100
    [SW2-Vlanif20]vrrp vrid 1 preempt-mode timer delay 20

    SW1配置(IP、路由)
    [SW1]interface Vlanif 13
    [SW1-Vlanif13]ip address 13.1.1.1 24
    [SW1]ip route-static 0.0.0.0 0 13.1.1.3

    SW2配置(IP、路由)
    [SW2]interface Vlanif 23
    [SW2-Vlanif23]ip address 23.1.1.2 24
    [SW2]ip route-static 0.0.0.0 0 23.1.1.3

    R3配置(IP、路由)
    [R3]interface g0/0/1
    [R3-GigabitEthernet0/0/1]ip address 13.1.1.3 24
    [R3]interface g0/0/2
    [R3-GigabitEthernet0/0/2]ip address 23.1.1.3 24
    [R3]interface LoopBack 1
    [R3-LoopBack1]ip address 1.1.1.1 32
    [R3]ip route-static 192.168.1.0 24 13.1.1.1
    [R3]ip route-static 192.168.1.0 24 23.1.1.2 preference 100
    [R3]ip route-static 192.168.2.0 24 23.1.1.2
    [R3]ip route-static 192.168.2.0 24 13.1.1.1 preference 100

    五、验证配置效果
    刷新VRRP进程:reset vrrp statistics

    可以在SW1上看到SW1是vlan10的主网关,vlan20的备网关
    在这里插入图片描述
    可以在SW2上看到SW2是vlan20的主网关,vlan10的备网关
    在这里插入图片描述
    在PC1上长ping R3,ping通后将SW1关闭,也还是可以ping通
    ping 1.1.1.1 -t
    在这里插入图片描述
    在PC2上长ping R3,ping通后将SW2关闭,也还是可以ping通
    ping 1.1.1.1 -t
    在这里插入图片描述

    展开全文
  • 华为、思科VRRP+MSTP典型组网配置

    千次阅读 多人点赞 2019-05-30 20:00:38
    LSW3上的配置 先创建vlan10、20 vlan batch 10 20 然后在接口下划分trunk、access模式 interface Ethernet0/0/1 port link-type access port default vlan 10 interface Ethernet0/0/2 port link-type access ...
  • 华三 h3c VRRP、MSTP、OSPF综合实验

    千次阅读 2020-12-18 20:29:36
    SW3配置 [SW3]vlan 10 [SW3-vlan10]port g1/0/1 [SW3]vlan 20 [SW3-vlan20]port g1/0/2 [SW3]int ran g1/0/3 to g1/0/4 [SW3-if-range]port link-type trunk [SW3-if-range]port trunk permit vlan 10 20 ...
  • 直接贴配置 [S7503]dis verH3C Comware Platform SoftwareComware software, Version 3.10, Release 3132P02Copyright(c) 2004-2006 Hangzhou Huawei-3Com Tech. Co., Ltd. All rights reserved.H3C S7503 u...
  • h3c VRRP详解

    2012-03-14 08:01:40
    VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如下图所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过...
  • STP可以有三种,一种为最先的STP、后续增强的RSTP,以及目前主流的MSTP,不使用STP与RSTP的原因其实很简单,因为它只能做到单一链路传输,而不能实现跟MSTP以实例的方式实现负载负担。 以访客厅为例,该交换机...
  • VRRP与BFD联动

    千次阅读 2019-09-18 07:10:39
    如图所示,该拓扑配置vrrp主备备份,SW1为master,SW2为backup,当SW1或SW1到SW2间链路出现故障时,VRRP报文协商需要一定的协商周期。为了实现链路故障时快速切换,在链路中部署了BFD链路检测机制,实现当主用接口...
  • H3CSE园区-VRRP协议

    2018-03-05 20:34:56
    PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,...通过VRRP(虚拟路由冗余协议,Virtual Router Redundancy Protocol,是一个标准协议)可以避免...
  • 第一章 VRRP应用 第二章 VRRP原理 第三章 VRRP配置 第四章 VRRP实例及维护
  • 今天给大家介绍VXLAN的相关内容。...VXLAN配置实例(一)——VXLAN基本配置 VXLAN配置实例(二)——VXLAN跨子网互通 一、实验拓扑及目的 实验拓扑如上所示,现在要求配置VXLAN,实现PC1的网关配置在CE2和CE3设备上,
  • 5.MSTP、链路聚合、VRRP部署

    千次阅读 2018-09-18 14:37:30
    拓扑 拓扑可以保存到本地,然后扩大...STP可以有三种,一种为最先的STP、后续增强的RSTP,以及目前主流的MSTP,不使用STP与RSTP的原因其实很简单,因为它只能做到单一链路传输,而不能实现跟MSTP以实例的方式实...
  • 经典案例:企业H3C组网实例

    千次阅读 2017-11-02 19:34:00
    随着企业信息化不断的深入,对网络设备和链路的可靠性、安全性、可管理型提出了更高的要求,本案例通过一个企业网总部及分支的拓扑和配置,列出了当前构建中小型企业网络的主流技术,涉及网关备份、链路冗余、...
  • H3C-DRNI配置

    千次阅读 2019-11-27 17:35:43
    3.4 DRNI配置 组网图: 3.4.1 配置步骤 (1) 配置Device A # 系统配置。 <DeviceA> system-view [DeviceA] drni system-mac 1-1-1 /配置drni的MAC地址 [DeviceA] drni system-number 1 /配置drni...
  • 本文以华为eNSP模拟器为例,实现了配置防火墙双击热备技术配置实例,采用的是上下行交换机配置VRRP的主备模式。 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅...
  • 配置实例 以太网链路聚合 简介 配置前提 三层链路聚合配置 VLAN配置 简介 配置前提 使用限制 基于端口的VLAN配置 AAA配置 简介 配置前提 SSH用户的Radius认证 802.1X本地认证 简介 配置前提 配置实例 802.1X结合...
  • 华为防火墙 IPsec ***的详细配置

    千次阅读 2018-04-28 17:06:18
    本实验使用华为eNSP模拟器,采用了IPSec ×××技术、NAT等技术,搭建了一个简单的总公司与分公司的网络环境,实现总公司与分公司的正常访问实验需求 FW1和FW2模拟企业边缘设备,分别在2台设备上配置NAT和IPsec ××...
  • 作用:毫秒级故障检查,通常结合三层协议(如静态路由、vrrp、ospf、BGP等)实现链路故障快速检查 R1 <Huawei>system-view //进入全局模式 [Huawei]sysname R1 //改名 [R1]undo info-center enable //...
  • 华为设备三层架构配置练习

    千次阅读 2021-03-10 10:56:38
    华为三层架构配置练习一、拓扑以及需求二、所需技术以及简易配置(1)MSTP(2)VRRP(3)链路聚合三、配置思路(1)核心层(2)汇聚层链路聚合VRRPMSTP四、验证(1)网络连通性验证(2)假设SW1-SW3线路断掉(3)...
  • 园区网部署配置综合案例

    千次阅读 2018-04-25 09:32:00
    园区网部署配置综合案例 实验部分截图: 运行,查看: VRRP关键图 VTP关键图 思考与心得:该实验使用EVE-NG网络工程虚拟仿真实验实训平台进行模拟实验,让我们掌握路由器、交换机综合配置和掌握VLAN,VRRP,NAT...
  • 一、华为交换机基础配置命令 1、创建vlan: <Quidway> //用户视图,也就是在Quidway模式下运行命令。 <Quidway>system-view //进入配置视图 [Quidway] vlan 10 //创建vlan 10,并进入vlan10配置视图,...
  • VRRP 2. 架构图 3. 配置 3.1 二层配置 3.1.1 接入交换机ASW01 先配置下行 [H3C]sysn ASW01 //修改设备名称 //创建VLAN并添加描述 [ASW01]vlan 20 [ASW01-vlan20]description To_Dep20_PC//描述:VLAN20是...
  • NAT等等各大网络公司对网络工程师的必备要求就是:会配置主要型号的交换机和路由器,不熟悉的设备能够独立查资料配置。 然而,在学习这件事上,是没有捷径的。想要完全吃透一个交换机的功能配置,需要花费很多时间...

空空如也

空空如也

1 2 3 4
收藏数 63
精华内容 25
关键字:

华三vrrp配置实例