描述IP-Link的基本原理及應用場景
描述BFD的基本原理
描述IP-Link與BFD的異同
描述雙機熱備的基本原理
描述雙機熱備的應用場景
部署雙機熱備
描述Link-Group的應用場景
部署Eth-Trunk
IP-Link技術
IP-link定義
- IP-Link是指FW通過向指定的目的IP週期性地發送探測報文並等待應答,來判斷鏈路是否發生故障。
- FW發送探測報文後,在三個探測週期(默認爲15s)內未收到響應報文,則認爲當前鏈路發生故障,IP-Link的狀態變爲Down。隨後,FW會進行IP-Link Down相關的後續操作,例如雙機熱備主備切換等。
- 當鏈路從故障中恢復,FW能連續地收到3個響應報文,則認爲鏈路故障已經消除,IP-Link的狀態變爲Up。也就是說,鏈路故障恢復後,IP-Link的狀態並不會立即變爲Up,而是要等三個探測週期(默認爲15s)纔會變爲Up。
IP-link目的
IP-Link主要用於業務鏈路正常與否的自動偵測,可以檢測到與FW不直接相連的鏈路狀態,保證業務持續通暢。
IP-link探測模式(ICMP/ARP)
- icmp模式:防火牆向需要探測的IP地址週期性發送ping報文,檢查是否能連續收到對端的迴應報文。Icmp探測方式可以用於探測非直連的鏈路;
- arp模式:防火牆向需要探測的IP地址週期性發送arp請求報文,檢查是否能連續收到對端的arp應答報文。Arp探測方式只支持探測直連鏈路(或中間經過二層設備轉發),該探測方式不受目的IP設備上安全策略影響。
在CLI界面,對應的配置命令如下:
[FW] ip-link check enable //在全局模式下啓用IP-Link功能
[FW] ip-link name ip-link-name [ vpn-instance vpn-instance-name ] //創建一條IP-Link並進入IP-Link視圖
[FW-iplink-ip-link-name] destination { ipv4-address | domain-name } [ interface interface-type interface-number ] [ mode { icmp [ next-hop { nexthop-ipv4-address | dhcp | dialer } ] | arp } ] //配置IP-Link監控的目的IPv4地址或域名
[FW-iplink-ip-link-name] source-ip ip-address //配置IP-Link探測源IP
IP-Link 網頁配置
在Web界面下,選擇“策略 > 高可靠性 > IP-Link”,單擊“新建”,按上圖步驟進行配置。
IP-link應用場景 – 與靜態路由聯動
當IP-Link自動偵測發現鏈路故障時,FW會對自身的靜態路由進行相應的調整,保證每次用到的鏈路是最高優先級和鏈路可達的,以保持業務的持續流通。
[FW] ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] } [ preference preference | tag tag ] track ip-link ip-link-name
IP-link應用場景 – 與DHCP聯動
IP-Link與DHCP聯動
如圖所示,FW作爲出口網關,採用雙上行鏈路。主鏈路是FW作爲DHCP Client獲取IP地址,備鏈路是PPPoE撥號。將IP-Link和DHCP進行綁定,當IP-Link檢查DHCP Server後的鏈路時,FW會獲取網關地址作爲下一跳進行鏈路檢測。如果發現DHCP Server後的鏈路故障,則將FW切換到備份鏈路。
命令如下:
[FW] interface interface-type interface-number
[FW-interface-type interface-number] dhcp client track ip-link ip-link-name
IP-link應用場景 – 與雙機熱備聯動
當FW工作於雙機熱備份場景時,IP-Link自動偵測後發現鏈路故障影響主備業務,通過配置VGMP管理組綁定IP-Link,FW會對VGMP管理組的優先級進行相關調整,觸發主備FW切換,從而保證業務能夠持續流通。
配置思路
在主備設備上配置FW相關接口的IP地址、將接口加入相應的安全區域,Trust區域和Untrust區域的域間包過濾規則。
在主備設備上配置運行OSPF動態路由協議。
在主設備接口視圖下配置Active管理組監視接口狀態,在備設備接口視圖下配置Standby管理組監視接口狀態。
在主備設備上配置IP-Link功能,並通過VGMP管理組監控IP-Link。
在主備設備上配置HRP備份通道,並啓動HRP。
配置路由器。
案例配置
1.路由器接口地址
R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 2.2.2.2 24
R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 2.2.2.3 24
[R2-GigabitEthernet0/0/1]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 1.1.1.3 24
2.VRRP
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 2.2.2.254
[R1-GigabitEthernet0/0/1]vrrp vrid 1 priority 110
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 2.2.2.254
3.防火牆安全區域配置
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]q
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.254 24
[FW1-GigabitEthernet1/0/1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 1.1.1.1 24
靜態路由,保證全網可達
[FW1]ip route-static 2.2.2.0 24 1.1.1.2
[FW1]ip route-static 2.2.2.0 24 1.1.1.3 preference 100
[R1]ip route-static 10.1.1.0 24 1.1.1.1
[R2]ip route-static 10.1.1.0 24 1.1.1.1
4.防火牆策略
[FW1]security-policy
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]source-zone trust
[FW1-policy-security-rule-policy_1]destination-zone untrust
[FW1-policy-security-rule-policy_1]source-address 10.1.1.0 24
[FW1-policy-security-rule-policy_1]destination-address 2.2.2.0 24
[FW1-policy-security-rule-policy_1]service icmp
[FW1-policy-security-rule-policy_1]action permit
5.IP-LINK
[FW1]ip-link check enable
[FW1]ip-link name test
[FW1-iplink-test]destination 2.2.2.2 interface g1/0/0 mode icmp next-hop 1.1.1.2
[FW1-iplink-test]q
IP-LINK與靜態路由聯動
[FW1]ip route-static 2.2.2.0 24 1.1.1.2 track ip-link test
BFD技術
雙向轉發檢測BFD(Bidirectional Forwarding Detection)用於快速檢測系統之間的通信故障,並在出現故障時通知上層協議。 雙向檢測。 檢測模式——異步模式
BFD會話建立方式
- BFD通過控制報文中的My Discriminator(本地標識符)和Your Discriminator(遠端標識符)區分不同的會話。
BFD會話有四種狀態:Down、Init、Up和AdminDown。
發送方在發送BFD控制報文時會在Sta字段填入本地當前的會話狀態,接收方根據收到的BFD控制報文的Sta字段以及本端當前會話狀態來進行狀態機的遷移。
在Web界面選擇“策略 > 高可靠性 > BFD”,單擊“新建”創建一條BFD檢測會話,按照如圖所示進行配置。
在CLI界面,對應的配置命令如下:
[FW] Bfd //開啓全局BFD功能並進入BFD全局視圖。
[FW] bfd cfg-name bind peer-ip peer-ip [ vpn-instance vpn-instance-name ] [ interface interface-type interface-number [ nexthop { nexthop-address | dhcp } ] ] [ source-ip source-ip ] //通過指定對端IP地址方式創建靜態BFD會話。此條命令是針對有IP地址的三層接口。
[FW-bfd-cfg-name] discriminator local local-discr-value //配置本地標識符。
[FW-bfd-cfg-name] discriminator remote remote-discr-value //配置遠端標識符。
[FW-bfd-cfg-name] Commit //提交配置。在創建BFD會話時,配置完必要的參數(例如本地標識符和遠端標識符)後,必須執行commit命令才能成功創建會話。
BFD與雙機熱備聯動場景
- 雙機熱備功能可以保證網絡中主用設備出現故障時,備用設備能夠平衡地接替主用設備的工作,從而實現業務的不間斷運行。
- VGMP管理組是雙機熱備的核心,它決定了設備的主備狀態。
- BFD與雙機熱備聯動就是通過VGMP管理組監控靜態BFD會話,使VGMP管理組優先級隨着BFD會話的狀態而變化,從而引起設備的主備狀態切換。
- 如圖所示,FW_A與FW_B形成雙機熱備狀態,FW_A爲主用設備,FW_B爲備用設備。爲進一步增強網絡可靠性,使FW可以監控到非直連鏈路的狀態,需要在FW_A與Router_A之間建立BFD會話,並且在FW_A上使用VGMP管理組監控BFD會話;在FW_B與Router_B之間建立BFD會話,並且在FW_B上使用VGMP管理組監控BFD會話。
- 如圖所示,如果Router_A的GE1/0/1接口故障,則BFD會話會檢測到故障(由Up轉爲Down),並將故障上報給FW_A的VGMP管理組。FW_A的VGMP管理組優先級會降低,低於FW_B的VGMP管理組優先級,進而導致設備主備狀態切換,使FW_A成爲備用設備,FW_B成爲主用設備。此時雙機熱備系統再根據網絡中運行的不同路由協議調整路由。
BFD與IP-Link異同
案例配置
1.創建防火牆區域,劃分
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]add int g1/0/2
[FW1-zone-untrust]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.254 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 11.1.1.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 12.1.1.1 24
[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/0
[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/1
[FW2-zone-untrust]add int g1/0/2
[FW2-zone-untrust]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 20.1.1.254 24
[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 11.1.1.2 24
[FW2-GigabitEthernet1/0/1]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 13.1.1.2 24
2.OSPF
[FW1]router id 1.1.1.1
[FW1]ospf
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]net 10.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 11.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 12.1.1.0 0.0.0.255
[FW2]router id 2.2.2.2
[FW2]ospf
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 11.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 13.1.1.0 0.0.0.255
[R1]router id 3.3.3.3
[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net 12.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 13.1.1.0 0.0.0.255
3.防火牆策略
· 在防火牆和路由器上看到的OSPF鄰接狀態都爲ExStart發現OSPF鄰接關係沒建立起來因爲防火牆和路由器之間沒有成功交換DD Database Description報文。DD報文主要用來描述本端的LSDB進行數據庫的同步。
· 防火牆上開啓Local區域和Trust區域之間的雙向安全策略DD報文是雙向的允許OSPF報文通過
[FW1]security-policy
[FW1-policy-security]rule name ospf
[FW1-policy-security-rule-ospf]source-zone local
[FW1-policy-security-rule-ospf]source-zone trust
[FW1-policy-security-rule-ospf]source-zone untrust
[FW1-policy-security-rule-ospf]destination-zone local
[FW1-policy-security-rule-ospf]destination-zone untrust
[FW1-policy-security-rule-ospf]destination-zone trust
[FW1-policy-security-rule-ospf]service icmp
[FW1-policy-security-rule-ospf]service protocol 89
[FW1-policy-security-rule-ospf]action permit
[FW2]security-policy
[FW2-policy-security]rule name ospf
[FW2-policy-security-rule-ospf]source-zone local
[FW2-policy-security-rule-ospf]source-zone untrust
[FW1-policy-security-rule-ospf]source-zone trust
[FW2-policy-security-rule-ospf]destination-zone local
[FW2-policy-security-rule-ospf]destination-zone untrust
[FW1-policy-security-rule-ospf]destination-zone trust
[FW2-policy-security-rule-ospf]service icmp
[FW2-policy-security-rule-ospf]service protocol 89
[FW2-policy-security-rule-ospf]action permit
security-policy
rule name ospf
source-zone local
source-zone trust
source-zone untrust
destination-zone local
destination-zone untrust
destination-zone trust
service icmp
service protocol 89
action permit
4.爲了監控主鏈路,需要在各設備上部署OSPF與BFD聯動
FW1和FW2和R1
bfd //開啓全局BFD功能並進入BFD全局視圖。
ospf
bfd all-interfaces enable
5.爲了更快切換主鏈路的流量,在FW1和FW2之間的接口啓用接口BFD功能
FW1和FW2
int g1/0/1
ospf bfd enable
ospf bfd min-tx-interval 500 min-rx-interval 500 detec
t-multiplier 4
總結:對於防火牆來說一般情況下單播報文是要經過安全策略的檢查所以需要開啓安全策略允許報文通過,而組播報文不經過安全策略的檢查也就不需要開啓相應的安全策略。
❤雙機熱備技術
VRRP提供冗餘和備份
VGMP是爲了管理,狀態切換一致性
HRP是爲了同步信息
VRRP(Virtual Router Redundancy Protocol)是一種容錯協議,它保證當主機的下一跳路由器(默認網關)出現故障時,由備份路由器自動代替出現故障的路由器完成報文轉發任務,從而保持網絡通信的連續性和可靠性。
VGMP(VRRP Group Management Protocol)協議實現對VRRP備份組的統一管理,保證多個VRRP備份組狀態的一致性。
HRP( Huawei Redundancy Protocol)協議實現防火牆雙機之間動態狀態數據和關鍵配置命令的備份。
雙機熱備的基本原理
VRRP協議原理:
虛擬IP地址
- 同一個備份組中的多個路由器共同提供一個虛擬IP地址,作爲內網用戶的網關。
- 虛擬IP地址只在主路由器上生效。當主路由器故障時,會從備份路由器中選舉出一個新的路由器作爲主路由器,虛擬IP會自動遷移到新的主路由器。
- 在進行業務網關配置時,使用VRRP的虛擬IP地址來替代接口的實際IP地址,這樣在出現故障時可以實現自動和平滑的切換。
HELLO報文和故障檢測
-
主路由器通過組播方式定期向備份路由器發送通告報文(HELLO),備份路由器則負責監聽通告報文。
-
如果主路由器鏈路故障導致HELLO報文無法發送到備份路由器,當備份路由器在三個報文週期內收不到VRRP通告報文時,備份路由器就會重新協商出一個新的主路由器,該路由器將自動啓用備份組的虛擬IP,同時發送虛擬IP的免費ARP報文,通知上下行設備刷新ARP表項,將業務流量切換到自己提供的業務端口,並轉發以虛擬路由器IP地址作爲下一跳的報文。
-
由於VRRP HELLO報文爲組播報文,所以要求備份組中的各路由器通過二層設備(二層交換機或者帶二層板的路由器)相連,即啓用VRRP時上下行設備必須具有二層交換功能,否則備份路由器無法收到主路由器發送的HELLO報文。如果組網條件不滿足,則不能使用VRRP。
VGMP協議原理:
VGMP狀態(Active/Standby)
- 當防火牆上的VGMP爲Active狀態時,它保證組內所有VRRP備份組的狀態統一爲Active狀態,這樣所有報文都將從該防火牆上通過,該防火牆成爲主用防火牆。此時另外一臺防火牆上對應的VGMP爲備狀態,該防火牆成爲備用防火牆。
- VGMP的優先級會根據組內的VRRP備份組成員的狀態動態調整,以此完成兩臺防火牆的主備倒換。
VGMP HELLO
- 與VRRP類似,狀態爲Active的VGMP也會定期向對端發送HELLO報文,通知Standby端本身的運行狀態(包括優先級、VRRP成員狀態等)。
- 兩臺防火牆通過HELLO報文交互各自的狀態信息。
- VGMP HELLO報文發送週期缺省爲1秒。當Standby端三個HELLO報文週期沒有收到對端發送的- HELLO報文時,會認爲對端出現故障,從而將自己切換到Active狀態。
HRP協議原理:
- 當主防火牆出現故障時,所有流量都將切換到備防火牆。但USG防火牆是狀態防火牆,如果備防火牆上沒有原來主防火牆上的連接狀態數據,則切換到備防火牆的很多流量將無法通過防火牆,造成現有的連接中斷,此時用戶必須重新發起連接。
- HRP模塊提供了基礎的數據備份機制和傳輸功能。各個應用模塊收集本模塊需要備份的數據,提交給HRP模塊,HRP模塊負責將數據發送到對端防火牆的對應模塊,應用模塊需要再將HRP模塊提交上來的數據進行解析,並加入到防火牆的動態運行數據池中。
HRP Track interface原理
-
應用場景:
FW上下行連接路由器的組網中,由於路由器無法透傳VRRP組播報文,無法通過配置VRRP備份組方式將接口加入VGMP管理組進行監控。此時,需要配置hrp track interface來實現VGMP組對接口狀態的監控。 -
配置命令:
[FW1] hrp track interface interface-type interface-number -
配置影響:
VGMP組監控的接口發生故障時,本端VGMP組的優先級會降低(一個接口故障,優先級降低2)。
Vlan Track的原理和配置
-
應用場景:
FW工作在二層時,爲了讓VGMP管理組能夠監控二層業務接口的狀態,需要將上下行業務接口加入同一個VLAN,並配置hrp track vlan。 -
配置命令:
[FW1-vlan10] hrp track vlan vlan-id -
配置影響:
配置hrp track vlan後,VLAN中每個接口故障,VGMP管理組優先級降低2。
備用設備上配置hrp track vlan後,該VLAN就不能轉發報文。
❤OSPF Cost調整原理
-
hrp adjust enable命令用來啓動根據主備狀態調整OSPF、OSPFv3或BGP相關的COST值功能。
-
配置命令
[FW1] hrp adjust ospf-cost enable [ add [ add-cost ] ] -
FW發佈OSPF或OSPFv3路由時,如果是主用設備,FW把學習到的OSPF或OSPFv3路由直接發佈出去;如果是備用設備,FW發佈Cost值爲slave-cost的OSPF或OSPFv3路由。缺省情況下,發佈Cost值爲65500的OSPF或OSPFv3路由。
-
FW發佈OSPF路由時,如果配置了add add-cost參數,主用設備上FW把學習到的OSPF路由直接發佈出去;如果是備用設備,FW發佈的OSPF路由的Cost值會增加add-cost。缺省情況下,add-cost值增加100。
雙機熱備場景概述
防火牆工作在3層模式,是指防火牆的各業務接口爲三層接口需要配置IP地址。而防火牆工作在2層模式是指防火牆工作爲透明模式,除HRP心跳口外,其餘接口均不配置IP地址。
而防火牆工作在不同層以及其業務口所連接的設備不同,雙機熱備的配置也有所差異。
雙機熱備組網最常見的是防火牆採用路由模式,下行交換機雙線上聯到防火牆,正常情況下防火牆A作爲主,當防火牆A上行或下行鏈路down掉後,防火牆B自動切換爲主設備,交換機流量走向防火牆B。
場景分析:
- 該場景防火牆上下行是交換機,能適應絕大部分的組網需要,上下行均通過VRRP實現流量的快速切換。由VGMP組管理設備上所有的VRRP組狀態。自動備份,啓用靜態路由備份功能。從內部網絡側需要配置靜態路由到達防火牆上下行的虛擬接口。
場景分析:
- 在此種場景下,無法在業務端口上配置VRRP備份組,因此採用HRP Track 接口的方式由VGMP管理組直接監測接口狀態,VGMP管理組監控的接口故障時,VGMP管理組優先級降低。當主用設備的VGMP管理組優先級低於備用設備的VGMP管理組優先級,會發生主備設備的狀態切換;
- 由於題目要求監測出接口,使網絡保持可用,可以使用ip-link對出接口進行監測, hrp track綁定ip-link進行ip-link與雙機熱備的聯動;
- 由於所有設備都運行ospf協議,防火牆進行主備備份,則需要在兩臺FW的直連路由器上配置不同的COST值,當進行主備倒換使,需要更改cost值,使用hrp cost enable命令實現cost值自動調整;
- 需要在FW上指定心跳口,並啓用HRP功能。
場景分析:
- 該場景無法在上行業務端口上配置VRRP備份組和HRP Track,因此採用Link-group綁定VRRP監測口的方式監測上行口;
- 由於題目要求監測出接口,使網絡保持可用,且不能使用ip-link,可以使用BFD對出接口進行監測, hrp track綁定BFD進行BFD與雙機熱備的聯動;
- 由於防火牆和上行設備運行OSPF協議,防火牆進行主備備份,則需要在兩臺FW的直連路由器上配置不同的COST值,當進行主備倒換時,需要更改cost值,使用hrp cost enable命令實現cost值自動調整;
- 需要在FW上指定心跳口,並啓用HRP功能。
場景分析:
- 在該場景下,內網雙出口接入外網,防火牆作爲二層設備透明接入,不影響網絡拓撲,在此種場景下,更推薦將雙機設置爲負載均衡模式;
需要在FW上指定心跳口,並啓用HRP功能;
無法在業務端口上配置VRRP備份組,因此採用HRP Track vlan的方式由VGMP管理組直接監測接口狀態。 - 如果配置雙機爲負載均衡模式,則兩臺設備都會轉發報文。
- 如果在此種組網下,將防火牆配置爲主備模式,在防火牆進行主備切換時,上下行路由收斂時間較長,可能引起業務丟包,因此在該種場景下更推薦配置爲負載均衡模式。
案例配置
1.建立安全區域,劃分接口,配置接口地址
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/2
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]firewall zone dmz
[FW1-zone-dmz]add int g1/0/6
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 30.1.1.1 24
[FW1-GigabitEthernet1/0/2]int g1/0/6
[FW1-GigabitEthernet1/0/6]ip add 50.1.1.1 24
[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/2
[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/1
[FW2-zone-untrust]firewall zone dmz
[FW2-zone-dmz]add int g1/0/6
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 40.1.1.1 24
[FW2-GigabitEthernet1/0/2]int g1/0/6
[FW2-GigabitEthernet1/0/6]ip add 50.1.1.2 24
[FW2-GigabitEthernet1/0/6]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 20.1.1.1 24
2.OSPF區域配置 FW1、FW2、R1、R2
[FW1]ospf router-id 1.1.1.1
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]net 10.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 50.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 30.1.1.0 0.0.0.255
[FW2]ospf router-id 2.2.2.2
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 40.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 50.1.1.0 0.0.0.255
[R1]ospf router-id 11.11.11.11
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net 10.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 2.2.2.0 0.0.0.255
[R2]ospf router-id 22.22.22.22
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]net 30.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]net 40.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]net 1.1.1.0 0.0.0.255
3.配置VRRP
FW1
[FW1]int g1/0/6
[FW1-GigabitEthernet1/0/6]vrrp vrid 1 virtual-ip 50.1.1.254 active
FW2
[FW2]int g1/0/6
[FW2-GigabitEthernet1/0/6]vrrp vrid 1 virtual-ip 50.1.1.254 standby
4.配置HRP
FW1
hrp enable
hrp int g1/0/6 remote 50.1.1.2
hrp auto-sync
hrp mirror session enable
FW2
hrp enable
hrp int g1/0/6 remote 50.1.1.1
hrp auto-sync
hrp mirror session enable
5.配置cost自動調整
FW1/FW2
hrp adjust ospf-cost enable
6.追蹤接口
FW1/FW2
hrp track interface g1/0/1
hrp track interface g1/0/2
7.安全策略
security-policy
rule name ospf
source-zone local
source-zone trust
source-zone untrust
source-zone dmz
destination-zone local
destination-zone trust
destination-zone untrust
destination-zone dmz
service icmp
service protocol 89
action permit
8.檢測
- 配置完OSPF後觀察R2/R1路由情況
dis ip routing-table 2.2.2.0/1.1.1.0 負載路由
- 配置完所有配置觀察R2/R1路由情況
dis ip routing-table 2.2.2.0/1.1.1.0 最佳路由
dis ospf lsdb 查看R2的LSA所攜帶的cost是65500
- R1 down接口G0/0/1,觀察VRRP角色是否變化,看設備名
Link-group技術
Link-group 的工作原理
將多個物理接口的狀態相互綁定,組成一個邏輯組;
如果組內任意接口出現故障,系統將組內其它接口狀態設置爲Down;
當組內所有接口恢復正常後,整個組內的接口狀態才重新被設置爲Up。
配置接口GigabitEthernet 1/0/0 加入到Link-group 1。
[FW] interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0] link-group 1
配置接口GigabitEthernet 1/0/1加入到Link-group 1。
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] link-group 1
查看Link-Group 成員接口狀態。
[FW] display link-group 1
link group 1, total 2, fault 0
GigabitEthernet1/0/1 : up
GigabitEthernet1/0/2 : up
案例配置
Eth-Trunk技術
Eth-trunk功能是綁定多個以太網接口,形成一個邏輯接口組。
Eth-trunk功能特性如下:
- 提高鏈路的通訊帶寬
- 流量的負載分擔
- 提高鏈路的可靠性
通過Eth-Trunk 接口可以提高鏈路的通信能力
- 需要將多個以太網端口捆綁爲一個Eth-Trunk 接口,Eth-Trunk 接口的總帶寬是各成員帶寬之和,通過這種方式,可以增加接口的帶寬。
通過Eth-Trunk 接口可以實現負載分擔 - Eth-Trunk 接口將流量分散到不同的鏈路上,最後到達統一目的地。這樣可以避免流量都走同一條路徑造成的流量阻塞。
Eth-Trunk 接口還可以提高鏈路的可靠性 - 在Eth-Trunk 接口中,如果某個成員端口狀態,爲Down,流量還能依靠其他的端口進行傳輸。
鏈路聚合根據是否啓用鏈路聚合控制協議分爲以下兩種類型:
手工鏈路聚合(默認)
- 手工模式是一種最基本的鏈路聚合方式,在該模式下Eth-Trunk接口的建立,成員接口的加入,以及哪些接口作爲活動接口完全由手工來配置,沒有鏈路聚合控制協議的參與。
靜態LACP模式鏈路聚合
- 靜態LACP模式下,Eth-Trunk接口的建立,成員接口的加入,都是由手工配置完成的。但與手工負載分擔模式鏈路聚合不同的是,該模式下LACP協議報文負責活動接口的選擇。
創建eth-trunk 1組。
[FW_A] interface eth-trunk 1
[FW_A-Eth-Trunk1] ip address 100.1.1.1 24
依次將規劃的接口加入到eth-trunk 1組。
[FW_A] interface Gigabitethernet 1/0/0
[FW_A-Gigabitethernet 1/0/0] eth-trunk 1
Eth-trunk在雙機熱備中的應用
採用Eth-Trunk的方式將心跳口進行捆綁。
案例配置
在上面 Link-group技術案例配置的基礎上