LS13 VRRP原理及實(shí)施課件

HA高可用性－VRRP原理及實(shí)施

(V2.3)網(wǎng)御神州客服中心2008.04HA高可用性－VRRP原理及實(shí)施

(V2.3)網(wǎng)御神州客1學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠了解網(wǎng)絡(luò)高可用性基本概念掌握VRRP協(xié)議工作原理可用VRRP進(jìn)行鏈路可靠性設(shè)計(jì)可用網(wǎng)神設(shè)備實(shí)施配置VRRP功能學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠2課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計(jì)VRRP協(xié)議網(wǎng)神VRRPHA重要概念A(yù)ctive-Active設(shè)計(jì)案例(含Active-Standby)配置及實(shí)施HA透明橋模式FAQ課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計(jì)31.網(wǎng)絡(luò)高可用性設(shè)計(jì)HA(HighAvailable)高可用性網(wǎng)絡(luò)可靠性主要是指當(dāng)設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)提供服務(wù)的不間斷性進(jìn)行網(wǎng)絡(luò)可靠性設(shè)計(jì)時(shí)，關(guān)注以下方面：用戶投資計(jì)劃關(guān)鍵業(yè)務(wù)高可用性1.網(wǎng)絡(luò)高可用性設(shè)計(jì)HA(HighAvailable)4用戶投資計(jì)劃設(shè)備投資：為保障可靠性的冗余設(shè)備線路投資：主要是冗余線路的租賃費(fèi)維護(hù)成本：設(shè)備管理、維修及人員的投入等用戶投資計(jì)劃設(shè)備投資：為保障可靠性的冗余設(shè)備5關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對(duì)網(wǎng)絡(luò)要求不同，如：視頻服務(wù)要求低延時(shí)、高帶寬，是一種時(shí)性業(yè)務(wù)IP電話業(yè)務(wù)也要求低延時(shí)，并且保證帶寬為確保數(shù)據(jù)中心高可用性，可考慮采用：服務(wù)器備份鏈路備份網(wǎng)絡(luò)設(shè)備備份關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對(duì)網(wǎng)絡(luò)要求不同，如：6鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)局域網(wǎng)鏈路備份技術(shù)第一代STP：STP（802.1D)，RTSP（802.1W）第二代STP：PVST/PVST+（802.1Q大行其道，廠家各行其是，CISCO私有）第三代STP：MISTP多實(shí)例生成樹(shù)協(xié)議（CISCO私有），MSTP多生成樹(shù)協(xié)議（802.1S）路由協(xié)議備份技術(shù)動(dòng)態(tài)路由協(xié)議（RIP/OSPF/BGP）設(shè)備備份技術(shù)（冗余）VRRP協(xié)議（最有代表性，各廠家都支持，衍生變種改進(jìn)）HSRP協(xié)議（CISCO私有）鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)72.VRRP協(xié)議VRRP－（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議），提供了局域網(wǎng)上的路由設(shè)備備份機(jī)制2.VRRP協(xié)議VRRP－（Virtualrouter82.VRRP協(xié)議2.1VRRP解決方法2.2VRRP協(xié)議原理2.3網(wǎng)神對(duì)于VRRP協(xié)議的改進(jìn)2.4VRRP與HSRP的區(qū)別和聯(lián)系2.VRRP協(xié)議2.1VRRP解決方法92.1VRRP解決方法(1)Router單點(diǎn)故障！再加一臺(tái)Router？2.1VRRP解決方法(1)Router單點(diǎn)故障！102.1VRRP解決方法(2)2.1VRRP解決方法(2)112.1VRRP解決方法(3)VRRP優(yōu)點(diǎn)不需改變組網(wǎng)，配置簡(jiǎn)單實(shí)現(xiàn)了主機(jī)默認(rèn)網(wǎng)關(guān)的備份對(duì)內(nèi)網(wǎng)主機(jī)無(wú)任何負(fù)擔(dān)可多臺(tái)冗余備份（不僅2臺(tái)）2.1VRRP解決方法(3)VRRP優(yōu)點(diǎn)122.2VRRP協(xié)議原理一種報(bào)文（選票？）三種狀態(tài)（身份？）選舉機(jī)制（啥時(shí)選？怎么選？）選舉發(fā)布（通告?。┲饕獏?shù)2.2VRRP協(xié)議原理一種報(bào)文（選票？）132.2VRRP協(xié)議原理(一種報(bào)文)VRRP報(bào)文這樣定義是組播報(bào)文（224.0.0.18），適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等）封裝在IP報(bào)文上定時(shí)廣播主路由器定期發(fā)送VRRP報(bào)文2.2VRRP協(xié)議原理(一種報(bào)文)VRRP報(bào)文這樣定義142.2VRRP協(xié)議原理(一種報(bào)文)報(bào)文格式2.2VRRP協(xié)議原理(一種報(bào)文)報(bào)文格式152.2VRRP協(xié)議原理(一種報(bào)文)一個(gè)實(shí)際環(huán)境中抓取的報(bào)文2.2VRRP協(xié)議原理(一種報(bào)文)一個(gè)實(shí)際環(huán)境中抓取的報(bào)文162.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動(dòng)狀態(tài)（Master）一組VRRP路由器中的一臺(tái)路由器處于活動(dòng)狀態(tài)，稱為主路由器（Master）備份狀態(tài)（Backup）其余路由器處于備份狀態(tài)，稱為備份路由器（Backup）2.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：172.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換2.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換182.2VRRP協(xié)議原理(選舉機(jī)制)選舉時(shí)機(jī)初始狀態(tài)時(shí)，各路由器都發(fā)送VRRP報(bào)文，選舉主路由器當(dāng)主路由器出現(xiàn)故障的時(shí)候，備份路由器通過(guò)選舉產(chǎn)生新的主路由器。2.2VRRP協(xié)議原理(選舉機(jī)制)選舉時(shí)機(jī)192.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法默認(rèn)情況下選擇優(yōu)先級(jí)最大的為主路由器，其它路由器作為備份路由器主路由器定期發(fā)送VRRP報(bào)文如果備份路由器長(zhǎng)時(shí)間沒(méi)有收到主路由器報(bào)文，則將自己狀態(tài)改為Master若有多臺(tái)備份路由器，則根據(jù)接收的VRRP報(bào)文，選舉優(yōu)先級(jí)最大的路由器成為新的主路由器2.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法202.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布發(fā)布時(shí)機(jī)：選舉出主路由器之后，立即進(jìn)行發(fā)布方法：免費(fèi)ARP發(fā)布對(duì)象：周邊設(shè)備，主動(dòng)更新其ARP表2.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布212.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：接口的虛擬IP地址（必填）備份組的優(yōu)先級(jí)（必填）監(jiān)視指定接口（必填）備份組的搶占方式和延遲時(shí)間（固定）備份組的認(rèn)證方式和認(rèn)證字（固定）備份組的定時(shí)器（固定）2.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：222.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步路由器只“見(jiàn)”IP，網(wǎng)神防火墻關(guān)注“連接”，所有連接信息都在狀態(tài)表中，并且進(jìn)行同步優(yōu)點(diǎn)：能保持現(xiàn)有TCP連接不斷配置同步優(yōu)點(diǎn)：保持配置一致性其它改進(jìn)探測(cè)方法等2.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步232.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和HSRP非常相似VRRP更安全，允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制VRID等價(jià)于HSRP的組標(biāo)識(shí)符HSRP有3種報(bào)文，6種狀態(tài)，8種事件VRRP有1種報(bào)文，3種狀態(tài)，5種事件2.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和H243.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置同步網(wǎng)口及IP控制節(jié)點(diǎn)3.2VRRP實(shí)例3.3VRRP關(guān)聯(lián)3.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置253.1HA基本配置(1)3.1HA基本配置(1)263.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配置同步和狀態(tài)同步同步網(wǎng)口同步IP添加包過(guò)濾規(guī)則，允許另一臺(tái)安全網(wǎng)關(guān)訪問(wèn)本安全網(wǎng)關(guān)secgate_ha_conf服務(wù)3.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配273.1HA基本配置(3)控制節(jié)點(diǎn)（與VRRP是獨(dú)立的?。┲会槍?duì)配置而言！配置不同步時(shí)，以控制節(jié)點(diǎn)的配置為準(zhǔn)，非控制節(jié)點(diǎn)進(jìn)行同步正常情況下，配置立刻進(jìn)行同步故障時(shí)，非控制節(jié)點(diǎn)主動(dòng)重啟，同步所有配置例外(個(gè)性信息不會(huì)進(jìn)行同步)名稱、IP、HA相關(guān)配置做設(shè)計(jì)時(shí)，建議把控制節(jié)點(diǎn)和MasterFW配置在同一FW上3.1HA基本配置(3)控制節(jié)點(diǎn)（與VRRP是獨(dú)立的?。?83.2VRRP實(shí)例(1)3.2VRRP實(shí)例(1)293.2VRRP實(shí)例(2)VRIDVitualRouterID，是一個(gè)數(shù)字。是網(wǎng)絡(luò)中VirtualRouter的唯一的身份標(biāo)識(shí)同一FW上不同實(shí)例必須不相同！兩臺(tái)FW上必須完全對(duì)應(yīng)！數(shù)字應(yīng)相同！3.2VRRP實(shí)例(2)VRID303.2VRRP實(shí)例(3)VRIPVirtualRouterIPVirtualRouter具有一個(gè)或多個(gè)IP地址，在正常情況下，有這個(gè)VritualRouter中的主路由器掌管，當(dāng)主路由器出現(xiàn)故障時(shí)由這個(gè)VirtualRouter中的備份路由器掌管內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)就是VRIP！一個(gè)VRRP實(shí)例最多可配置60個(gè)IP地址，超過(guò)60個(gè)請(qǐng)?jiān)O(shè)置多個(gè)實(shí)例兩臺(tái)FW上必須完全對(duì)應(yīng)！推薦和網(wǎng)口地址在一個(gè)網(wǎng)段3.2VRRP實(shí)例(3)VRIP313.2VRRP實(shí)例(4)網(wǎng)絡(luò)接口VRIP綁定在這個(gè)物理接口上實(shí)例名稱VRRP實(shí)例名稱對(duì)于VRRP協(xié)議沒(méi)有實(shí)際意義在一臺(tái)FW上，實(shí)例名稱是唯一的，可理解給VRID取了個(gè)名稱3.2VRRP實(shí)例(4)網(wǎng)絡(luò)接口323.2VRRP實(shí)例(5)子實(shí)例名稱僅在這種情況下可用：物理線路已經(jīng)是備份的了，其中一條斷了，不需要切換的情況僅在上述情況下，需填寫(xiě)子實(shí)例名稱若兩個(gè)實(shí)例的名稱相同，子實(shí)例名稱不同，則理解為一條邏輯線路3.2VRRP實(shí)例(5)子實(shí)例名稱333.3VRRP關(guān)聯(lián)(1)3.3VRRP關(guān)聯(lián)(1)343.3VRRP關(guān)聯(lián)(2)名稱只是一個(gè)標(biāo)識(shí)，無(wú)實(shí)際意義優(yōu)先級(jí)當(dāng)主路由器不可用時(shí)，備份路由器將根據(jù)自己的優(yōu)先權(quán)來(lái)決定由誰(shuí)接管主路由器的工作數(shù)字越小優(yōu)先級(jí)越高兩臺(tái)FW上，對(duì)應(yīng)VRRP關(guān)聯(lián)的優(yōu)先級(jí)必須不同！3.3VRRP關(guān)聯(lián)(2)名稱353.3VRRP關(guān)聯(lián)(3)VRRP列表來(lái)自已經(jīng)定義的VRRP實(shí)例一個(gè)VRRP實(shí)例只能在一個(gè)VRRP關(guān)聯(lián)中VRRP關(guān)聯(lián)成員同生共死，一起生效或者失效3.3VRRP關(guān)聯(lián)(3)VRRP列表363.3VRRP關(guān)聯(lián)(4)啟動(dòng)該VRRP關(guān)聯(lián)開(kāi)始工作，進(jìn)入VRRP協(xié)議處理流程停止停止VRRP協(xié)議3.3VRRP關(guān)聯(lián)(4)啟動(dòng)374.Active-Active設(shè)計(jì)案例(1)4.1環(huán)境4.2設(shè)計(jì)目標(biāo)4.3主要設(shè)計(jì)思路4.4故障切換4.5設(shè)計(jì)要點(diǎn)4.Active-Active設(shè)計(jì)案例(1)4.1環(huán)境384.1環(huán)境4.2設(shè)計(jì)目標(biāo)環(huán)境兩條線路出口不同部門走不同出口設(shè)計(jì)目標(biāo)正常時(shí)，兩臺(tái)FW各負(fù)責(zé)一條線路當(dāng)其中一路FW故障時(shí)，所有流量轉(zhuǎn)移另一臺(tái)FW上4.1環(huán)境4.2設(shè)計(jì)目標(biāo)環(huán)境394.3主要設(shè)計(jì)思路(1)主要設(shè)計(jì)思路在FWA/B上都配置兩個(gè)VRRP關(guān)聯(lián)FWA上VRRP關(guān)聯(lián)1優(yōu)先級(jí)高FWB上VRRP關(guān)聯(lián)2優(yōu)先級(jí)高正常時(shí)，關(guān)聯(lián)1的Master在FWA上，關(guān)聯(lián)2的Master在FWB上故障時(shí)，可切換，全部切換到一臺(tái)FW上4.3主要設(shè)計(jì)思路(1)主要設(shè)計(jì)思路404.3主要設(shè)計(jì)思路(2)兩臺(tái)虛擬路由器互為Active-Standby，Standby-ActiveServerA/B可看成路由器PCA/B可看成內(nèi)網(wǎng)不同部門4.3主要設(shè)計(jì)思路(2)兩臺(tái)虛擬路由器互為Active-S414.4故障切換(1)4.4故障切換(1)424.4故障切換(2)故障切換當(dāng)防火墻A出現(xiàn)故障時(shí)，防火墻B在接管防火墻A上的虛擬網(wǎng)關(guān)，承擔(dān)整個(gè)鏈路的流量。防火墻A恢復(fù)之后，兩臺(tái)防火墻又會(huì)正常工作在Active-Active路由負(fù)載均衡狀態(tài)注意：如果兩防火墻是用交換機(jī)連接,那么交換機(jī)的端口必須設(shè)置為portfast模式，否則切換時(shí)間過(guò)長(zhǎng)4.4故障切換(2)故障切換434.5設(shè)計(jì)要點(diǎn)設(shè)計(jì)要點(diǎn)：需求?。ɡ砬鍢I(yè)務(wù)?。┩?fù)洌。ìF(xiàn)有拓?fù)?，設(shè)計(jì)后拓?fù)鋱D）VRRP和控制節(jié)點(diǎn)規(guī)劃地址（申請(qǐng)地址）紙面上跑通再上線推薦：VRRP實(shí)例和關(guān)聯(lián)命名規(guī)則網(wǎng)口一一對(duì)應(yīng)4.5設(shè)計(jì)要點(diǎn)設(shè)計(jì)要點(diǎn)：445.配置及實(shí)施5.1配置要點(diǎn)5.2主要注意事項(xiàng)5.3FWA主要配置步驟5.4FWA主要配置步驟5.配置及實(shí)施5.1配置要點(diǎn)455.1配置要點(diǎn)配置六步：設(shè)置同步網(wǎng)絡(luò)接口，設(shè)置控制節(jié)點(diǎn)和非控制節(jié)點(diǎn)。允許兩臺(tái)FW相互可訪問(wèn)secgate_ha_conf服務(wù)允許VRRP組播報(bào)文到達(dá)本FW。（目的224.0.0.18）添加若干VRRP實(shí)例（VRID，VRIP）添加VRRP關(guān)聯(lián)（priority）啟動(dòng)VRRP關(guān)聯(lián)5.1配置要點(diǎn)配置六步：465.2主要注意事項(xiàng)除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置等個(gè)性信息，其它配置，比如安全規(guī)則等，F(xiàn)W可以進(jìn)行同步，因此只需在主控節(jié)點(diǎn)上配置安全規(guī)則等，非主控節(jié)點(diǎn)啟動(dòng)以后可自動(dòng)同步過(guò)來(lái)，避免手工輸入錯(cuò)誤！FW上所有網(wǎng)口工作在路由模式。交換機(jī)上相應(yīng)接口應(yīng)設(shè)置為portfast模式，避免因交換機(jī)學(xué)習(xí)生成樹(shù)協(xié)議，導(dǎo)致切換過(guò)慢5.2主要注意事項(xiàng)除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置475.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動(dòng)狀態(tài)同步，選中設(shè)置為控制節(jié)點(diǎn)。啟用自動(dòng)配置同步和狀態(tài)同步。5.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1485.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過(guò)濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)495.3FWA主要配置(3)3.允許VRRP組播報(bào)文。配置防火墻A的fe2和fe3口工作在路由模式，添加一條允許224.0.0.0/255.255.255.0組播地址通過(guò)的包過(guò)濾安全規(guī)則5.3FWA主要配置(3)3.允許VRRP組播報(bào)文。配505.3FWA主要配置(4.1)4.添加VRRP實(shí)例。進(jìn)入“高可用性->路由模式HA->VRRP實(shí)例”，添加fe2和fe3口的四個(gè)VRRP實(shí)例，如下圖所示注意事項(xiàng)：同一FW上四個(gè)VRRP實(shí)例的VRID不能相同不同F(xiàn)W上VRID相同的實(shí)例互為備份在后面配置防火墻B的VRRP實(shí)例時(shí)，防火墻B中虛擬網(wǎng)關(guān)的VRID要和防火墻A相同的虛擬網(wǎng)關(guān)的VRID相同5.3FWA主要配置(4.1)4.添加VRRP實(shí)例。進(jìn)515.3FWA主要配置(4.2)5.3FWA主要配置(4.2)525.3FWA主要配置(4.3)5.3FWA主要配置(4.3)535.3FWA主要配置(4.4)5.3FWA主要配置(4.4)545.3FWA主要配置(4.5)5.3FWA主要配置(4.5)555.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個(gè)VRRP關(guān)聯(lián)。這樣當(dāng)一個(gè)VRRP實(shí)例出現(xiàn)故障時(shí)，則認(rèn)為該VRRP關(guān)聯(lián)故障。5.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)565.3FWA主要配置(5.2)5.3FWA主要配置(5.2)575.3FWA主要配置(6)6.啟動(dòng)VRRP關(guān)聯(lián)。選中這兩個(gè)VRRP關(guān)聯(lián)，啟動(dòng)。5.3FWA主要配置(6)6.啟動(dòng)VRRP關(guān)聯(lián)。選中這585.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動(dòng)狀態(tài)同步，不選中控制節(jié)點(diǎn)，即為非控制節(jié)點(diǎn)。啟用自動(dòng)配置同步和狀態(tài)同步。5.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1595.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過(guò)濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)605.4FWB主要配置(3)3.允許VRRP組播報(bào)文。添加一條允許224.0.0.0/255.255.255.0組播地址通過(guò)的包過(guò)濾安全規(guī)則5.4FWB主要配置(3)3.允許VRRP組播報(bào)文。添加615.4FWB主要配置(4.1)4.添加VRRP實(shí)例。進(jìn)入“高可用性->路由模式HA->VRRP實(shí)例”，如圖添加fe2和fe3口的四個(gè)VRRP實(shí)例。5.4FWB主要配置(4.1)4.添加VRRP實(shí)例。進(jìn)625.4FWB主要配置(4.2)5.4FWB主要配置(4.2)635.4FWB主要配置(4.3)5.4FWB主要配置(4.3)645.4FWB主要配置(4.4)5.4FWB主要配置(4.4)655.4FWB主要配置(4.5)注意：

四個(gè)VRRP實(shí)例中的虛擬網(wǎng)關(guān)VRID要分別和防火墻A上fe2和fe3端口對(duì)應(yīng)的虛擬網(wǎng)關(guān)的VRID相同

5.4FWB主要配置(4.5)注意：665.4FWB主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個(gè)VRRP關(guān)聯(lián)。5.4FWB主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)675.4FWB主要配置(5.2)5.4FWB主要配置(5.2)685.4FWB主要配置(6)6.選中這兩個(gè)VRRP關(guān)聯(lián)，啟動(dòng)

5.4FWB主要配置(6)6.選中這兩個(gè)VRRP關(guān)聯(lián)，69關(guān)鍵內(nèi)容回顧VRRP-虛擬冗余路由協(xié)議，工作原理Active-Active設(shè)計(jì)，一個(gè)案例，涵蓋了Active-Standby設(shè)計(jì)設(shè)計(jì)要點(diǎn)FW配置主要分為6步一個(gè)配置實(shí)例關(guān)鍵內(nèi)容回顧VRRP-虛擬冗余路由協(xié)議，工作原理70在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式6HA透明橋模式在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式6HA透71在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的VLANID6HA透明橋模式在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的72在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的VLANID6HA透明橋模式在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的73在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式74在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式75在網(wǎng)絡(luò)配置-〉透明橋啟用透明橋監(jiān)控6HA透明橋模式在網(wǎng)絡(luò)配置-〉透明橋啟用透明橋監(jiān)控6HA透明橋模76在安全策略-〉安全規(guī)則配置規(guī)則在高可用性-〉HA基本配置配置同步接口在高可用性-〉路由模式HA-〉VRRP實(shí)例添加VRID和虛擬IP地址在高可用性-〉路由模式HA-〉VRRP關(guān)聯(lián)添加VRRP優(yōu)先級(jí)6HA透明橋模式注意：以上設(shè)置和HA路由模式完全相同。在安全策略-〉安全規(guī)則配置規(guī)則6HA透明橋模式注77在高可用性-〉橋模式HA-〉橋配置選擇是否啟用STP協(xié)議（生成樹(shù)）建議不啟用6HA透明橋模式在高可用性-〉橋模式HA-〉橋配置選擇是否啟用STP協(xié)議78在高可用性-〉橋模式HA-〉VLAN配置添加VLAN和相關(guān)優(yōu)先級(jí)6HA透明橋模式在高可用性-〉橋模式HA-〉VLAN配置添加VLAN79在高可用性-〉橋模式HA-〉VLAN配置添加VLAN和相關(guān)優(yōu)先級(jí)6HA透明橋模式在高可用性-〉橋模式HA-〉VLAN配置添加VLAN80在高可用性-〉橋模式HA-〉VLAN配置啟用使用PVST+6HA透明橋模式在高可用性-〉橋模式HA-〉VLAN配置啟用使用PVS817FAQ7FAQ82歡迎大家批評(píng)指正！謝謝！歡迎大家批評(píng)指正！83HA高可用性－VRRP原理及實(shí)施

(V2.3)網(wǎng)御神州客服中心2008.04HA高可用性－VRRP原理及實(shí)施

(V2.3)網(wǎng)御神州客84學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠了解網(wǎng)絡(luò)高可用性基本概念掌握VRRP協(xié)議工作原理可用VRRP進(jìn)行鏈路可靠性設(shè)計(jì)可用網(wǎng)神設(shè)備實(shí)施配置VRRP功能學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠85課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計(jì)VRRP協(xié)議網(wǎng)神VRRPHA重要概念A(yù)ctive-Active設(shè)計(jì)案例(含Active-Standby)配置及實(shí)施HA透明橋模式FAQ課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計(jì)861.網(wǎng)絡(luò)高可用性設(shè)計(jì)HA(HighAvailable)高可用性網(wǎng)絡(luò)可靠性主要是指當(dāng)設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)提供服務(wù)的不間斷性進(jìn)行網(wǎng)絡(luò)可靠性設(shè)計(jì)時(shí)，關(guān)注以下方面：用戶投資計(jì)劃關(guān)鍵業(yè)務(wù)高可用性1.網(wǎng)絡(luò)高可用性設(shè)計(jì)HA(HighAvailable)87用戶投資計(jì)劃設(shè)備投資：為保障可靠性的冗余設(shè)備線路投資：主要是冗余線路的租賃費(fèi)維護(hù)成本：設(shè)備管理、維修及人員的投入等用戶投資計(jì)劃設(shè)備投資：為保障可靠性的冗余設(shè)備88關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對(duì)網(wǎng)絡(luò)要求不同，如：視頻服務(wù)要求低延時(shí)、高帶寬，是一種時(shí)性業(yè)務(wù)IP電話業(yè)務(wù)也要求低延時(shí)，并且保證帶寬為確保數(shù)據(jù)中心高可用性，可考慮采用：服務(wù)器備份鏈路備份網(wǎng)絡(luò)設(shè)備備份關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對(duì)網(wǎng)絡(luò)要求不同，如：89鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)局域網(wǎng)鏈路備份技術(shù)第一代STP：STP（802.1D)，RTSP（802.1W）第二代STP：PVST/PVST+（802.1Q大行其道，廠家各行其是，CISCO私有）第三代STP：MISTP多實(shí)例生成樹(shù)協(xié)議（CISCO私有），MSTP多生成樹(shù)協(xié)議（802.1S）路由協(xié)議備份技術(shù)動(dòng)態(tài)路由協(xié)議（RIP/OSPF/BGP）設(shè)備備份技術(shù)（冗余）VRRP協(xié)議（最有代表性，各廠家都支持，衍生變種改進(jìn)）HSRP協(xié)議（CISCO私有）鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)902.VRRP協(xié)議VRRP－（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議），提供了局域網(wǎng)上的路由設(shè)備備份機(jī)制2.VRRP協(xié)議VRRP－（Virtualrouter912.VRRP協(xié)議2.1VRRP解決方法2.2VRRP協(xié)議原理2.3網(wǎng)神對(duì)于VRRP協(xié)議的改進(jìn)2.4VRRP與HSRP的區(qū)別和聯(lián)系2.VRRP協(xié)議2.1VRRP解決方法922.1VRRP解決方法(1)Router單點(diǎn)故障！再加一臺(tái)Router？2.1VRRP解決方法(1)Router單點(diǎn)故障！932.1VRRP解決方法(2)2.1VRRP解決方法(2)942.1VRRP解決方法(3)VRRP優(yōu)點(diǎn)不需改變組網(wǎng)，配置簡(jiǎn)單實(shí)現(xiàn)了主機(jī)默認(rèn)網(wǎng)關(guān)的備份對(duì)內(nèi)網(wǎng)主機(jī)無(wú)任何負(fù)擔(dān)可多臺(tái)冗余備份（不僅2臺(tái)）2.1VRRP解決方法(3)VRRP優(yōu)點(diǎn)952.2VRRP協(xié)議原理一種報(bào)文（選票？）三種狀態(tài)（身份？）選舉機(jī)制（啥時(shí)選？怎么選？）選舉發(fā)布（通告?。┲饕獏?shù)2.2VRRP協(xié)議原理一種報(bào)文（選票？）962.2VRRP協(xié)議原理(一種報(bào)文)VRRP報(bào)文這樣定義是組播報(bào)文（224.0.0.18），適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等）封裝在IP報(bào)文上定時(shí)廣播主路由器定期發(fā)送VRRP報(bào)文2.2VRRP協(xié)議原理(一種報(bào)文)VRRP報(bào)文這樣定義972.2VRRP協(xié)議原理(一種報(bào)文)報(bào)文格式2.2VRRP協(xié)議原理(一種報(bào)文)報(bào)文格式982.2VRRP協(xié)議原理(一種報(bào)文)一個(gè)實(shí)際環(huán)境中抓取的報(bào)文2.2VRRP協(xié)議原理(一種報(bào)文)一個(gè)實(shí)際環(huán)境中抓取的報(bào)文992.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動(dòng)狀態(tài)（Master）一組VRRP路由器中的一臺(tái)路由器處于活動(dòng)狀態(tài)，稱為主路由器（Master）備份狀態(tài)（Backup）其余路由器處于備份狀態(tài)，稱為備份路由器（Backup）2.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：1002.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換2.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換1012.2VRRP協(xié)議原理(選舉機(jī)制)選舉時(shí)機(jī)初始狀態(tài)時(shí)，各路由器都發(fā)送VRRP報(bào)文，選舉主路由器當(dāng)主路由器出現(xiàn)故障的時(shí)候，備份路由器通過(guò)選舉產(chǎn)生新的主路由器。2.2VRRP協(xié)議原理(選舉機(jī)制)選舉時(shí)機(jī)1022.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法默認(rèn)情況下選擇優(yōu)先級(jí)最大的為主路由器，其它路由器作為備份路由器主路由器定期發(fā)送VRRP報(bào)文如果備份路由器長(zhǎng)時(shí)間沒(méi)有收到主路由器報(bào)文，則將自己狀態(tài)改為Master若有多臺(tái)備份路由器，則根據(jù)接收的VRRP報(bào)文，選舉優(yōu)先級(jí)最大的路由器成為新的主路由器2.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法1032.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布發(fā)布時(shí)機(jī)：選舉出主路由器之后，立即進(jìn)行發(fā)布方法：免費(fèi)ARP發(fā)布對(duì)象：周邊設(shè)備，主動(dòng)更新其ARP表2.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布1042.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：接口的虛擬IP地址（必填）備份組的優(yōu)先級(jí)（必填）監(jiān)視指定接口（必填）備份組的搶占方式和延遲時(shí)間（固定）備份組的認(rèn)證方式和認(rèn)證字（固定）備份組的定時(shí)器（固定）2.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：1052.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步路由器只“見(jiàn)”IP，網(wǎng)神防火墻關(guān)注“連接”，所有連接信息都在狀態(tài)表中，并且進(jìn)行同步優(yōu)點(diǎn)：能保持現(xiàn)有TCP連接不斷配置同步優(yōu)點(diǎn)：保持配置一致性其它改進(jìn)探測(cè)方法等2.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步1062.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和HSRP非常相似VRRP更安全，允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制VRID等價(jià)于HSRP的組標(biāo)識(shí)符HSRP有3種報(bào)文，6種狀態(tài)，8種事件VRRP有1種報(bào)文，3種狀態(tài)，5種事件2.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和H1073.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置同步網(wǎng)口及IP控制節(jié)點(diǎn)3.2VRRP實(shí)例3.3VRRP關(guān)聯(lián)3.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置1083.1HA基本配置(1)3.1HA基本配置(1)1093.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配置同步和狀態(tài)同步同步網(wǎng)口同步IP添加包過(guò)濾規(guī)則，允許另一臺(tái)安全網(wǎng)關(guān)訪問(wèn)本安全網(wǎng)關(guān)secgate_ha_conf服務(wù)3.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配1103.1HA基本配置(3)控制節(jié)點(diǎn)（與VRRP是獨(dú)立的?。┲会槍?duì)配置而言！配置不同步時(shí)，以控制節(jié)點(diǎn)的配置為準(zhǔn)，非控制節(jié)點(diǎn)進(jìn)行同步正常情況下，配置立刻進(jìn)行同步故障時(shí)，非控制節(jié)點(diǎn)主動(dòng)重啟，同步所有配置例外(個(gè)性信息不會(huì)進(jìn)行同步)名稱、IP、HA相關(guān)配置做設(shè)計(jì)時(shí)，建議把控制節(jié)點(diǎn)和MasterFW配置在同一FW上3.1HA基本配置(3)控制節(jié)點(diǎn)（與VRRP是獨(dú)立的?。?113.2VRRP實(shí)例(1)3.2VRRP實(shí)例(1)1123.2VRRP實(shí)例(2)VRIDVitualRouterID，是一個(gè)數(shù)字。是網(wǎng)絡(luò)中VirtualRouter的唯一的身份標(biāo)識(shí)同一FW上不同實(shí)例必須不相同！兩臺(tái)FW上必須完全對(duì)應(yīng)！數(shù)字應(yīng)相同！3.2VRRP實(shí)例(2)VRID1133.2VRRP實(shí)例(3)VRIPVirtualRouterIPVirtualRouter具有一個(gè)或多個(gè)IP地址，在正常情況下，有這個(gè)VritualRouter中的主路由器掌管，當(dāng)主路由器出現(xiàn)故障時(shí)由這個(gè)VirtualRouter中的備份路由器掌管內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)就是VRIP！一個(gè)VRRP實(shí)例最多可配置60個(gè)IP地址，超過(guò)60個(gè)請(qǐng)?jiān)O(shè)置多個(gè)實(shí)例兩臺(tái)FW上必須完全對(duì)應(yīng)！推薦和網(wǎng)口地址在一個(gè)網(wǎng)段3.2VRRP實(shí)例(3)VRIP1143.2VRRP實(shí)例(4)網(wǎng)絡(luò)接口VRIP綁定在這個(gè)物理接口上實(shí)例名稱VRRP實(shí)例名稱對(duì)于VRRP協(xié)議沒(méi)有實(shí)際意義在一臺(tái)FW上，實(shí)例名稱是唯一的，可理解給VRID取了個(gè)名稱3.2VRRP實(shí)例(4)網(wǎng)絡(luò)接口1153.2VRRP實(shí)例(5)子實(shí)例名稱僅在這種情況下可用：物理線路已經(jīng)是備份的了，其中一條斷了，不需要切換的情況僅在上述情況下，需填寫(xiě)子實(shí)例名稱若兩個(gè)實(shí)例的名稱相同，子實(shí)例名稱不同，則理解為一條邏輯線路3.2VRRP實(shí)例(5)子實(shí)例名稱1163.3VRRP關(guān)聯(lián)(1)3.3VRRP關(guān)聯(lián)(1)1173.3VRRP關(guān)聯(lián)(2)名稱只是一個(gè)標(biāo)識(shí)，無(wú)實(shí)際意義優(yōu)先級(jí)當(dāng)主路由器不可用時(shí)，備份路由器將根據(jù)自己的優(yōu)先權(quán)來(lái)決定由誰(shuí)接管主路由器的工作數(shù)字越小優(yōu)先級(jí)越高兩臺(tái)FW上，對(duì)應(yīng)VRRP關(guān)聯(lián)的優(yōu)先級(jí)必須不同！3.3VRRP關(guān)聯(lián)(2)名稱1183.3VRRP關(guān)聯(lián)(3)VRRP列表來(lái)自已經(jīng)定義的VRRP實(shí)例一個(gè)VRRP實(shí)例只能在一個(gè)VRRP關(guān)聯(lián)中VRRP關(guān)聯(lián)成員同生共死，一起生效或者失效3.3VRRP關(guān)聯(lián)(3)VRRP列表1193.3VRRP關(guān)聯(lián)(4)啟動(dòng)該VRRP關(guān)聯(lián)開(kāi)始工作，進(jìn)入VRRP協(xié)議處理流程停止停止VRRP協(xié)議3.3VRRP關(guān)聯(lián)(4)啟動(dòng)1204.Active-Active設(shè)計(jì)案例(1)4.1環(huán)境4.2設(shè)計(jì)目標(biāo)4.3主要設(shè)計(jì)思路4.4故障切換4.5設(shè)計(jì)要點(diǎn)4.Active-Active設(shè)計(jì)案例(1)4.1環(huán)境1214.1環(huán)境4.2設(shè)計(jì)目標(biāo)環(huán)境兩條線路出口不同部門走不同出口設(shè)計(jì)目標(biāo)正常時(shí)，兩臺(tái)FW各負(fù)責(zé)一條線路當(dāng)其中一路FW故障時(shí)，所有流量轉(zhuǎn)移另一臺(tái)FW上4.1環(huán)境4.2設(shè)計(jì)目標(biāo)環(huán)境1224.3主要設(shè)計(jì)思路(1)主要設(shè)計(jì)思路在FWA/B上都配置兩個(gè)VRRP關(guān)聯(lián)FWA上VRRP關(guān)聯(lián)1優(yōu)先級(jí)高FWB上VRRP關(guān)聯(lián)2優(yōu)先級(jí)高正常時(shí)，關(guān)聯(lián)1的Master在FWA上，關(guān)聯(lián)2的Master在FWB上故障時(shí)，可切換，全部切換到一臺(tái)FW上4.3主要設(shè)計(jì)思路(1)主要設(shè)計(jì)思路1234.3主要設(shè)計(jì)思路(2)兩臺(tái)虛擬路由器互為Active-Standby，Standby-ActiveServerA/B可看成路由器PCA/B可看成內(nèi)網(wǎng)不同部門4.3主要設(shè)計(jì)思路(2)兩臺(tái)虛擬路由器互為Active-S1244.4故障切換(1)4.4故障切換(1)1254.4故障切換(2)故障切換當(dāng)防火墻A出現(xiàn)故障時(shí)，防火墻B在接管防火墻A上的虛擬網(wǎng)關(guān)，承擔(dān)整個(gè)鏈路的流量。防火墻A恢復(fù)之后，兩臺(tái)防火墻又會(huì)正常工作在Active-Active路由負(fù)載均衡狀態(tài)注意：如果兩防火墻是用交換機(jī)連接,那么交換機(jī)的端口必須設(shè)置為portfast模式，否則切換時(shí)間過(guò)長(zhǎng)4.4故障切換(2)故障切換1264.5設(shè)計(jì)要點(diǎn)設(shè)計(jì)要點(diǎn)：需求?。ɡ砬鍢I(yè)務(wù)！）拓?fù)洌。ìF(xiàn)有拓?fù)?，設(shè)計(jì)后拓?fù)鋱D）VRRP和控制節(jié)點(diǎn)規(guī)劃地址（申請(qǐng)地址）紙面上跑通再上線推薦：VRRP實(shí)例和關(guān)聯(lián)命名規(guī)則網(wǎng)口一一對(duì)應(yīng)4.5設(shè)計(jì)要點(diǎn)設(shè)計(jì)要點(diǎn)：1275.配置及實(shí)施5.1配置要點(diǎn)5.2主要注意事項(xiàng)5.3FWA主要配置步驟5.4FWA主要配置步驟5.配置及實(shí)施5.1配置要點(diǎn)1285.1配置要點(diǎn)配置六步：設(shè)置同步網(wǎng)絡(luò)接口，設(shè)置控制節(jié)點(diǎn)和非控制節(jié)點(diǎn)。允許兩臺(tái)FW相互可訪問(wèn)secgate_ha_conf服務(wù)允許VRRP組播報(bào)文到達(dá)本FW。（目的224.0.0.18）添加若干VRRP實(shí)例（VRID，VRIP）添加VRRP關(guān)聯(lián)（priority）啟動(dòng)VRRP關(guān)聯(lián)5.1配置要點(diǎn)配置六步：1295.2主要注意事項(xiàng)除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置等個(gè)性信息，其它配置，比如安全規(guī)則等，F(xiàn)W可以進(jìn)行同步，因此只需在主控節(jié)點(diǎn)上配置安全規(guī)則等，非主控節(jié)點(diǎn)啟動(dòng)以后可自動(dòng)同步過(guò)來(lái)，避免手工輸入錯(cuò)誤！FW上所有網(wǎng)口工作在路由模式。交換機(jī)上相應(yīng)接口應(yīng)設(shè)置為portfast模式，避免因交換機(jī)學(xué)習(xí)生成樹(shù)協(xié)議，導(dǎo)致切換過(guò)慢5.2主要注意事項(xiàng)除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置1305.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動(dòng)狀態(tài)同步，選中設(shè)置為控制節(jié)點(diǎn)。啟用自動(dòng)配置同步和狀態(tài)同步。5.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe11315.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過(guò)濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)1325.3FWA主要配置(3)3.允許VRRP組播報(bào)文。配置防火墻A的fe2和fe3口工作在路由模式，添加一條允許224.0.0.0/255.255.255.0組播地址通過(guò)的包過(guò)濾安全規(guī)則5.3FWA主要配置(3)3.允許VRRP組播報(bào)文。配1335.3FWA主要配置(4.1)4.添加VRRP實(shí)例。進(jìn)入“高可用性->路由模式HA->VRRP實(shí)例”，添加fe2和fe3口的四個(gè)VRRP實(shí)例，如下圖所示注意事項(xiàng)：同一FW上四個(gè)VRRP實(shí)例的VRID不能相同不同F(xiàn)W上VRID相同的實(shí)例互為備份在后面配置防火墻B的VRRP實(shí)例時(shí)，防火墻B中虛擬網(wǎng)關(guān)的VRID要和防火墻A相同的虛擬網(wǎng)關(guān)的VRID相同5.3FWA主要配置(4.1)4.添加VRRP實(shí)例。進(jìn)1345.3FWA主要配置(4.2)5.3FWA主要配置(4.2)1355.3FWA主要配置(4.3)5.3FWA主要配置(4.3)1365.3FWA主要配置(4.4)5.3FWA主要配置(4.4)1375.3FWA主要配置(4.5)5.3FWA主要配置(4.5)1385.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個(gè)VRRP關(guān)聯(lián)。這樣當(dāng)一個(gè)VRRP實(shí)例出現(xiàn)故障時(shí)，則認(rèn)為該VRRP關(guān)聯(lián)故障。5.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)1395.3FWA主要配置(5.2)5.3FWA主要配置(5.2)1405.3FWA主要配置(6)6.啟動(dòng)VRRP關(guān)聯(lián)。選中這兩個(gè)VRRP關(guān)聯(lián)，啟動(dòng)。5.3FWA主要配置(6)6.啟動(dòng)VRRP關(guān)聯(lián)。選中這1415.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動(dòng)狀態(tài)同步，不選中控制節(jié)點(diǎn)，即為非控制節(jié)點(diǎn)。啟用自動(dòng)配置同步和狀態(tài)同步。5.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe11425.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過(guò)濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)1435.4FWB主要配置(3)3.允許VRRP組播報(bào)文。添加一條允許224.0.0.0/255.255.255.0組播地址通過(guò)的包過(guò)濾安全規(guī)則5.4FWB主要配置(3)3.允許VRRP組播報(bào)文。添加1445.4FWB主要配置(4