文档库 最新最全的文档下载
当前位置:文档库 › H3C vrrp配置举例

H3C vrrp配置举例

H3C vrrp配置举例
H3C vrrp配置举例

引用

一、基于IPv4的VRRP典型配置举例(路由应用)

1 VRRP单备份组配置举例

1. 组网需求

l Host A需要访问Internet上的Host B,Host A的缺省网关为202.38.160.111/24;

l Router A和Router B属于虚拟IP地址为202.38.160.111/24的备份组1;

l 当Router A正常工作时,Host A发送给Host B的报文通过Router A转发;当Router A 出现故障时,Host A发送给Host B的报文通过Router B转发。

2. 组网图

图1-7 VRRP单备份组配置组网图

3. 配置步骤

(1) 配置Router A

system-view

[RouterA] interface ethernet 1/0

[RouterA-Ethernet1/0] ip address 202.38.160.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[RouterA-Ethernet1/0] vrrp vrid 1 virtual-ip 202.38.160.111

# 配置Router A在备份组1中的优先级为110。

[RouterA-Ethernet1/0] vrrp vrid 1 priority 110

# 配置Router A工作在抢占方式,抢占延迟时间为5秒。

[RouterA-Ethernet1/0] vrrp vrid 1 preempt-mode timer delay 5

(2) 配置Router B

system-view

[RouterB] interface ethernet 1/0

[RouterB-Ethernet1/0] ip address 202.38.160.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[RouterB-Ethernet1/0] vrrp vrid 1 virtual-ip 202.38.160.111

# 配置Router B工作在抢占方式,抢占延迟时间为5秒。

[RouterB-Ethernet1/0] vrrp vrid 1 preempt-mode timer delay 5

(3) 验证配置结果

配置完成后,在Host A上可以ping通Host B。通过display vrrp verbose命令查看配置后的结果。

# 显示Router A上备份组1的详细信息。

[RouterA-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Master

Config Pri : 110 Run Pri : 110

Preempt Mode : YES Delay Time : 5

Auth Type : NONE

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.1

# 显示Router B上备份组1的详细信息。

[RouterB-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Backup

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 5

Auth Type : NONE

Virtual IP : 202.38.160.111

Master IP : 202.38.160.1

以上显示信息表示在备份组1中Router A为Master路由器,Router B为Backup路由器,Host A 发送给Host B的报文通过Router A转发。

Router A出现故障后,在Host A上仍然可以ping通Host B。通过display vrrp verbose命令查看

Router B上备份组的详细信息。

# Router A出现故障后,显示Router B上备份组1的详细信息。

[RouterB-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Master

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 5

Auth Type : NONE

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.2

以上显示信息表示Router A出现故障后,Router B成为Master路由器,Host A发送给Host B的报

文通过Router B转发。

2 VRRP监视接口配置举例

1. 组网需求

l Host A需要访问Internet上的Host B,Host A的缺省网关为202.38.160.111/24;

l Router A和Router B属于虚拟IP地址为202.38.160.111/24的备份组1;

l 当Router A正常工作时,Host A发送给Host B的报文通过Router A转发;当Router A 连接Internet的接口Ethernet1/1不可用时,Host A发送给Host B的报文通过Router B转发。

2. 组网图

图1-8 VRRP监视接口配置组网图

3. 配置步骤

(1) 配置Router A

system-view

[RouterA] interface ethernet 1/0

[RouterA-Ethernet1/0] ip address 202.38.160.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[RouterA-Ethernet1/0] vrrp vrid 1 virtual-ip 202.38.160.111

# 设置Router A在备份组1中的优先级为110。

[RouterA-Ethernet1/0] vrrp vrid 1 priority 110

# 设置备份组的认证方式为SIMPLE,认证字为hello。

[RouterA-Ethernet1/0] vrrp vrid 1 authentication-mode simple hello

# 设置Master路由器发送VRRP报文的间隔时间为5秒。

[RouterA-Ethernet1/0] vrrp vrid 1 timer advertise 5

# 设置Router A工作在抢占方式,抢占延迟时间为5秒。

[RouterA-Ethernet1/0] vrrp vrid 1 preempt-mode timer delay 5

# 设置监视接口。

[RouterA-Ethernet1/0] vrrp vrid 1 track interface ethernet 1/1 reduced 30

(2) 配置Router B

system-view

[RouterB] interface ethernet 1/0

[RouterB-Ethernet1/0] ip address 202.38.160.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[RouterB-Ethernet1/0] vrrp vrid 1 virtual-ip 202.38.160.111

# 设置备份组的认证方式为SIMPLE,认证字为hello。

[RouterB-Ethernet1/0] vrrp vrid 1 authentication-mode simple hello

# 设置Master路由器发送VRRP报文的间隔时间为5秒。

[RouterB-Ethernet1/0] vrrp vrid 1 timer advertise 5

# 设置Router B工作在抢占方式,抢占延迟时间为5秒。

[RouterB-Ethernet1/0] vrrp vrid 1 preempt-mode timer delay 5

(3) 验证配置结果

配置完成后,在Host A上可以ping通Host B。通过display vrrp verbose命令查看配置后的结果。

# 显示RouterA上备份组1的详细信息。

[RouterA-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Master

Config Pri : 110 Run Pri : 110

Preempt Mode : YES Delay Time : 5

Auth Type : SIMPLE TEXT Key : hello

Track IF : Eth1/1 Pri Reduced : 30

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.1

# 显示Router B上备份组1的详细信息。

[RouterB-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Backup

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 5

Auth Type : SIMPLE TEXT Key : hello

Virtual IP : 202.38.160.111

Master IP : 202.38.160.1

以上显示信息表示在备份组1中Router A为Master路由器,Router B为Backup路由器,Host A 发送给Host B的报文通过Router A转发。

Router A连接Internet的接口Ethernet1/1不可用时,在Host A上仍然可以ping通Host B。通过display vrrp verbose命令查看备份组的信息。

# Router A的接口Ethernet1/1不可用时,显示Router A上备份组1的详细信息。

[RouterA-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Backup

Config Pri : 110 Run Pri : 80

Preempt Mode : YES Delay Time : 5

Auth Type : SIMPLE TEXT Key : hello

Track IF : Eth1/1 Pri Reduced : 30

Virtual IP : 202.38.160.111

Master IP : 202.38.160.2

# Router A的接口Ethernet1/1不可用时,显示Router B上备份组1的详细信息。

[RouterB-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Master

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 5

Auth Type : SIMPLE TEXT Key : hello

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.2

以上显示信息表示Router A的接口Ethernet1/1不可用时,Router A的优先级降低为80,成为Backup 路由器,Router B成为Master路由器,Host A发送给Host B的报文通过Router B转发。

3 VRRP多备份组配置举例

1. 组网需求

l 202.38.160.0/24网段内部分主机的缺省网关为202.38.160.111/24,部分主机的缺省网关

为202.38.160.112/24;

l 利用VRRP备份组实现缺省网关间的负载分担和相互备份。

2. 组网图

图1-9 VRRP多备份组配置组网图

3. 配置步骤

(1) 配置Router A

system-view

[RouterA] interface ethernet 1/0

[RouterA-Ethernet1/0] ip address 202.38.160.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[RouterA-Ethernet1/0] vrrp vrid 1 virtual-ip 202.38.160.111 # 设置Router A在备份组1中的优先级为110。

[RouterA-Ethernet1/0] vrrp vrid 1 priority 110

# 创建备份组2,并配置备份组2的虚拟IP地址为202.38.160.112。

[RouterA-Ethernet1/0] vrrp vrid 2 virtual-ip 202.38.160.112

(2) 配置Router B

system-view

[RouterB] interface ethernet 1/0

[RouterB-Ethernet1/0] ip address 202.38.160.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[RouterB-Ethernet1/0] vrrp vrid 1 virtual-ip 202.38.160.111

# 创建备份组2,并配置备份组2的虚拟IP地址为202.38.160.112。

[RouterB-Ethernet1/0] vrrp vrid 2 virtual-ip 202.38.160.112

# 设置Router B在备份组2中的优先级为110。

[RouterB-Ethernet1/0] vrrp vrid 2 priority 110

(3) 验证配置结果

可以通过display vrrp verbose命令查看配置后的结果。

# 显示Router A上备份组的详细信息。

[RouterA-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 2

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Master Config Pri : 110 Run Pri : 110 Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.1

Interface : Ethernet1/0

VRID : 2 Adver. Timer : 1

Admin Status : UP State : Backup Config Pri : 100 Run Pri : 100 Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.112

Master IP : 202.38.160.2

# 显示Router B上备份组的详细信息。

[RouterB-Ethernet1/0] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 2

Interface : Ethernet1/0

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Backup

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.111

Master IP : 202.38.160.1

Interface : Ethernet1/0

VRID : 2 Adver. Timer : 1

Admin Status : UP State : Master

Config Pri : 110 Run Pri : 110

Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.112

Virtual MAC : 0000-5e00-0102

Master IP : 202.38.160.2

以上显示信息表示在备份组1中Router A为Master路由器,Router B为Backup路由器,缺省网关为202.38.160.111/24的主机通过Router A访问Internet;备份组2中Router A为Backup路由器,Router B为Master路由器,缺省网关为202.38.160.112/24的主机通过Router B访问Internet。

二、基于IPv4的VRRP典型配置举例(交换应用)

1 VRRP单备份组配置举例

1. 组网需求

l Host A需要访问Internet上的Host B,Host A的缺省网关为202.38.160.111/24;

l Switch A和Switch B属于虚拟IP地址为202.38.160.111/24的备份组1;

l 当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A 出现故障时,Host A发送给Host B的报文通过Switch B转发。

2. 组网图

图1-10 VRRP单备份组配置组网图

3. 配置步骤

(1) 配置Switch A

# 配置VLAN2。

system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port ethernet 1/5

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 202.38.160.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111

# 设置Switch A在备份组1中的优先级为110。

[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110

# 设置Switch A工作在抢占方式,抢占延迟时间为5秒。

[SwitchA-Vlan-interface2] vrrp vrid 1 preempt-mode timer delay 5

(2) 配置Switch B

# 配置VLAN2。

system-view

[SwitchB] vlan 2

[SwitchB-Vlan2] port ethernet 1/5

[SwitchB-vlan2] quit

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 202.38.160.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111

# 设置Switch B工作在抢占方式,抢占延迟时间为5秒。

[SwitchB-Vlan-interface2] vrrp vrid 1 preempt-mode timer delay 5

(3) 验证配置结果

配置完成后,在Host A上可以ping通Host B。通过display vrrp verbose命令查看配置后的结果。

# 显示Switch A上备份组1的详细信息。

[SwitchA-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Master

Config Pri : 110 Run Pri : 110

Preempt Mode : YES Delay Time : 5

Auth Type : NONE

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.1

# 显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Backup

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 5

Auth Type : NONE

Virtual IP : 202.38.160.111

Master IP : 202.38.160.1

以上显示信息表示在备份组1中Switch A为Master路由器,Switch B为Backup路由器,Host A

发送给Host B的报文通过Switch A转发。

Switch A出现故障后,在Host A上仍然可以ping通Host B。通过display vrrp verbose命令查看

Switch B上备份组的详细信息。

# Switch A出现故障后,显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Master

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 5

Auth Type : NONE

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.2

以上显示信息表示Switch A出现故障后,Switch B成为Master路由器,Host A发送给Host B的报

文通过Switch B转发。

2 VRRP监视接口配置举例

1. 组网需求

l Host A需要访问Internet上的Host B,Host A的缺省网关为202.38.160.111/24;

l Switch A和Switch B属于虚拟IP地址为202.38.160.111/24的备份组1;

l 当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A 连接Internet的VLAN接口3不可用时,Host A发送给Host B的报文通过Switch B转发。

2. 组网图

图1-11 VRRP监视接口配置组网图

3. 配置步骤

(1) 配置Switch A

# 配置VLAN2。

system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port ethernet 1/5

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 202.38.160.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111

# 设置Switch A在备份组中的优先级为110。

[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110

# 设置备份组的认证方式为SIMPLE认证,认证字为hello。

[SwitchA-Vlan-interface2] vrrp vrid 1 authentication-mode simple hello

# 设置Master发送VRRP报文的间隔时间为5秒。

[SwitchA-Vlan-interface2] vrrp vrid 1 timer advertise 5

# 设置监视接口。

[SwitchA-Vlan-interface2] vrrp vrid 1 track interface vlan-interface 3 reduced 30

(2) 配置Switch B

# 配置VLAN2。

system-view

[SwitchB] vlan 2

[SwitchB-vlan2] port ethernet 1/5

[SwitchB-vlan2] quit

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 202.38.160.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111

# 设置备份组的认证方式为SIMPLE认证,认证字为hello。

[SwitchB-Vlan-interface2] vrrp vrid 1 authentication-mode simple hello

# 设置Master发送VRRP报文的间隔时间为5秒。

[SwitchB-Vlan-interface2] vrrp vrid 1 timer advertise 5

(3) 验证配置结果

配置完成后,在Host A上可以ping通Host B。通过display vrrp verbose命令查看配置后的结果。

# 显示Switch A上备份组1的详细信息。

[SwitchA-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Master

Config Pri : 110 Run Pri : 110

Preempt Mode : YES Delay Time : 0

Auth Type : SIMPLE TEXT Key : hello

Track IF : Vlan3 Pri Reduced : 30

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.1

# 显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Backup

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 0

Auth Type : SIMPLE TEXT Key : hello

Virtual IP : 202.38.160.111

Master IP : 202.38.160.1

以上显示信息表示在备份组1中Switch A为Master路由器,Switch B为Backup路由器,Host A

发送给Host B的报文通过Switch A转发。

Switch A连接Internet的VLAN接口3不可用时,在Host A上仍然可以ping通Host B。通过display

vrrp verbose命令查看备份组的信息。

# Switch A的VLAN接口3不可用时,显示Switch A上备份组1的详细信息。

[SwitchA-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Backup

Config Pri : 110 Run Pri : 80

Preempt Mode : YES Delay Time : 0

Auth Type : SIMPLE TEXT Key : hello

Track IF : Vlan3 Pri Reduced : 30

Virtual IP : 202.38.160.111

Master IP : 202.38.160.2

# Switch A的VLAN接口3不可用时,显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 1

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 5

Admin Status : UP State : Master

Config Pri : 100 Run Pri : 100

Preempt Mode : YES Delay Time : 0

Auth Type : SIMPLE TEXT Key : hello

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.2

以上显示信息表示Switch A的VLAN接口3不可用时,Switch A的优先级降低为80,成为Backup 路由器,Switch B成为Master路由器,Host A发送给Host B的报文通过Switch B转发。

3 VRRP多备份组配置举例

1. 组网需求

l 202.38.160.0/24网段内部分主机的缺省网关为202.38.160.111/24,部分主机的缺省网关

为202.38.160.112/24;

l 利用VRRP备份组实现缺省网关间的负载分担和相互备份。

2. 组网图

图1-12 VRRP多备份组配置组网图

3. 配置步骤

(1) 配置Switch A

# 配置VLAN2。

system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port ethernet 1/5

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 202.38.160.1 255.255.255.0 # 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111 # 设置Switch A在备份组1中的优先级为110。

[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110

# 创建备份组2,并配置备份组2的虚拟IP地址为202.38.160.112。

[SwitchA-Vlan-interface2] vrrp vrid 2 virtual-ip 202.38.160.112

(2) 配置Switch B

# 配置VLAN2。

system-view

[SwitchB] vlan 2

[SwitchB-vlan2] port ethernet 1/5

[SwitchB-vlan2] quit

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 202.38.160.2 255.255.255.0 # 创建备份组1,并配置备份组1的虚拟IP地址为202.38.160.111。

[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111

# 创建备份组2,并配置备份组2的虚拟IP地址为202.38.160.112。

[SwitchB-Vlan-interface2] vrrp vrid 2 virtual-ip 202.38.160.112 # 设置Switch B在备份组2中的优先级为110。

[SwitchB-Vlan-interface2] vrrp vrid 2 priority 110

(3) 验证配置结果

可以通过display vrrp verbose命令查看配置后的结果。

# 显示Switch A上备份组的详细信息。

[SwitchA-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 2

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 1 Admin Status : UP State : Master

Config Pri : 110 Run Pri : 110

Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.111

Virtual MAC : 0000-5e00-0101

Master IP : 202.38.160.1

Interface : Vlan-interface2

VRID : 2 Adver. Timer : 1

Admin Status : UP State : Backup Config Pri : 100 Run Pri : 100 Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.112

Master IP : 202.38.160.2

# 显示Switch B上备份组的详细信息。

[SwitchB-Vlan-interface2] display vrrp verbose

IPv4 Standby Information:

Run Method : VIRTUAL-MAC

Virtual IP Ping : Enable

Total number of virtual routers: 2

Interface : Vlan-interface2

VRID : 1 Adver. Timer : 1

Admin Status : UP State : Backup Config Pri : 100 Run Pri : 100 Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.111

Master IP : 202.38.160.1

Interface : Vlan-interface2

VRID : 2 Adver. Timer : 1

Admin Status : UP State : Master Config Pri : 110 Run Pri : 110 Preempt Mode : YES Delay Time : 0

Auth Type : NONE

Virtual IP : 202.38.160.112

Virtual MAC : 0000-5e00-0102

CMSR系列路由器IPsec典型配置举例V

C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号:[UYTR-OUPT28-KBNTL98-UYNN208]

1?简介 本文档介绍IPsec的典型配置举例。

2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile 中配置local-identity为dn,指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本

本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。 system-view [Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] quit #配置接口GigabitEthernet2/0/2的IP地址。 [Device] interface gigabitethernet 2/0/2 [Device-GigabitEthernet2/0/2] quit #配置接口GigabitEthernet2/0/3的IP地址。 [Device] interface gigabitethernet 2/0/3 [Device-GigabitEthernet2/0/3] quit (2)配置L2TP #创建本地PPP用户l2tpuser,设置密码为hello。 [Device] local-user l2tpuser class network [Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp [Device-luser-network-l2tpuser] quit #配置ISP域system对PPP用户采用本地验证。 [Device] domain system

H3C交换机DHCP服务器接口地址池典型配置指导

1.2 DHCP服务器接口地址池典型配置指导 1.2.1 组网图 图1-2 DHCP服务器接口地址池配置举例 1.2.2 应用要求 ●Switch A作为DHCP服务器,其VLAN接口1的IP地址为192.168.0.1/24; ●客户端属于VLAN1,通过DHCP方式动态获取IP地址; ●DHCP服务器通过接口地址池为MAC地址为000D-88F7-0001的客户文件服务器分配固定的IP地址192.168.0.10/24,为其它客户端主机分配192.168.0.0/24网段的IP地址,有效期限为10天。DNS服务器地址为192.168.0.20/24,WINS服务器地址为192.168.0.30/24。 1.2.3 适用产品、版本 表1-2 配置适用的产品与软硬件版本关系 1.2.4 配置过程和解释 # 使能DHCP服务 system-view [SwitchA] dhcp enable # 配置不参与自动分配的IP地址(DNS服务器、WINS服务器、文件服务器) [SwitchA] dhcp server forbidden-ip 192.168.0.10 [SwitchA] dhcp server forbidden-ip 192.168.0.20 [SwitchA] dhcp server forbidden-ip 192.168.0.30 # 配置VLAN接口1的IP地址为192.168.0.1/24 [SwitchA] interface Vlan-interface 1

[SwitchA-Vlan-interface1] ip address 192.168.0.1 24 # 配置VLAN接口1工作在DHCP接口地址池模式 [SwitchA-Vlan-interface1] dhcp select interface # 配置DHCP接口地址池中的静态绑定地址 [SwitchA-Vlan-interface1] dhcp server static-bind ip-address 192.168.0.10 mac-address 000D-88F7-0001 # 配置DHCP接口地址池的地址池范围、DNS服务器地址、WINS服务器地址 [SwitchA-Vlan-interface1] dhcp server expired day 10 [SwitchA-Vlan-interface1] dhcp server dns-list 192.168.0.20 [SwitchA-Vlan-interface1] dhcp server nbns-list 192.168.0.30 [SwitchA-Vlan-interface1] quit 1.2.5 完整配置 # interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0 dhcp select interface dhcp server static-bind ip-address 192.168.1.10 mac-address 000d-88f7-0001 dhcp server dns-list 192.168.0.20 dhcp server nbns-list 192.168.0.30 dhcp server expired day 10 # dhcp server forbidden-ip 192.168.0.10 dhcp server forbidden-ip 192.168.0.20 dhcp server forbidden-ip 192.168.0.30 # 1.2.6 配置注意事项 当DHCP服务器采用接口地址池模式分配地址时,在接口地址池中的地址分配完之后,将会从包含该接口地址池网段的全局地址池中挑选IP地址分配给客户端,从而导致获取到全局地址池地址的客户端与获取到接口地址池地址的客户端处在不同网段,无法正常进行通信。 故在本例中,建议从VLAN接口1申请IP地址的客户端数目不要超过250个。

防火墙双机热备配置案例

双机热备 网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。 在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。 在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a)配置HA心跳口地址。 ①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。 点击“确定”按钮保存配置。

telnet 远程登录交换机典型配置指导

telnet 远程登录交换机典型配置指导 system-view System View: return to User View with Ctrl+Z. [H3C]user-interface vty 0 [H3C-ui-vty0]authentication-mode password [H3C-ui-vty0]set authentication password simple 123456 [H3C-ui-vty0]local-user guest New local user added.

[H3C-luser-guest]password simple 123456 [H3C-luser-guest]service-type telnet level 3 [H3C-luser-guest]quit [H3C]user-interface vty 0 [H3C-ui-vty0]authentication-mode scheme [H3C-ui-vty0]quit [H3C]save The configuration will be written to the device. Are you sure?[Y/N]y

Please input the file name(*.cfg)(To leave the existing filename unchanged press the enter key): Now saving current configuration to the device. Saving configuration. Please wait... ... Unit1 save configuration flash:/20111025.cfg successfully [H3C] %Apr 3 17:39:34:984 2000 H3C CFM/3/CFM_LOG:- 1 -Unit1 saved

配置管理系统

配置管理系统(北大软件 010 - 61137666) 配置管理系统,采用基于构件等先进思想和技术,支持软件全生命周期的资源管理需求,确保软件工作产品的完整性、可追溯性。 配置管理系统支持对软件的配置标识、变更控制、状态纪实、配置审核、产品发布管理等功能,实现核心知识产权的积累和开发成果的复用。 1.1.1 组成结构(北大软件 010 - 61137666) 配置管理系统支持建立和维护三库:开发库、受控库、产品库。 根据企业安全管理策略设定分级控制方式,支持建立多级库,并建立相关控制关系;每级可设置若干个库;配置库可集中部署或分布式部署,即多库可以部署在一台服务器上,也可以部署在单独的多个服务器上。 1. 典型的三库管理,支持独立设置产品库、受控库、开发库,如下图所示。 图表1三库结构 2. 典型的四库管理,支持独立设置部门开发库、部门受控库、所级受控库、所级产品库等,如下图所示。

图表2四级库结构配置管理各库功能描述如下:

以“三库”结构为例,系统覆盖配置管理计划、配置标识、基线建立、入库、产品交付、配置变更、配置审核等环节,其演进及控制关系如下图。 图表3 配置管理工作流程 1.1.2主要特点(北大软件010 - 61137666) 3.独立灵活的多级库配置 支持国军标要求的独立设置产品库、受控库、开发库的要求,满足对配置资源的分级控制要求,支持软件开发库、受控库和产品库三库的独立管理,实现对受控库和产品库的入库、出库、变更控制和版本管理。

系统具有三库无限级联合与分布部署特性,可根据企业管理策略建立多控制级别的配置库,设定每级配置库的数量和上下级库间的控制关系,并支持开发库、受控库和产品库的统一管理。 4.产品生存全过程管理 支持软件配置管理全研发过程的活动和产品控制,即支持“用户严格按照配置管理计划实施配置管理—基于配置库的实际状况客观报告配置状态”的全过程的活动。 5.灵活的流程定制 可根据用户实际情况定制流程及表单。 6.支持线上线下审批方式 支持配置控制表单的网上在线审批(网上流转审批)和网下脱机审批两种工作模式,两种模式可以在同一项目中由配置管理人员根据实际情况灵活选用。 7.文档管理功能 实现软件文档的全生命周期管理,包括创建、审签、归档、发布、打印、作废等,能够按照项目策划的软件文档清单和归档计划实施自动检查,并产生定期报表。 8.丰富的统计查询功能,支持过程的测量和监控 支持相关人员对配置管理状态的查询和追溯。能够为领导层的管理和决策提供准确一致的决策支持信息,包括配置项和基线提交偏差情况、基线状态、一致性关系、产品出入库状况、变更状况、问题追踪、配置记实、配置审核的等重要信息; 9.配置库资源的安全控制 1)系统采用三员管理机制,分权管理系统的用户管理、权限分配、系统操 作日志管理。 2)系统基于角色的授权机制,支持权限最小化的策略; 3)系统可采用多种数据备份机制,提高系统的数据的抗毁性。 10.支持并行开发 系统采用文件共享锁机制实现多人对相同配置资源的并行开发控制。在系统共享文件修改控制机制的基础上,采用三种配置资源锁以实现对并行开发的

Cisco交换机配置实例双机热备

Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例(双机热备) 1.设置时间 switch#config t switch(config)#clock timezone GMT8;配置时区 switch(config)#clock set13:30:2131JAN2004;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config

6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307

H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例

SecPath系列防火墙IPSec典型配置举例 关键词:IKE、IPSec 摘要:本章首先介绍了IKE和IPSec的基本概念,随后说明了防火墙的配置方法,最后给出两种典型应用的举例。 缩略语: 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP

目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一:基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二:与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)

华为链路聚合典型配置指导

链路聚合典型配置指导(版本切换前) 链路聚合是将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务 的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。 链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担,以增加带宽。同时,同一 聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。 组网图 链路聚合配置示例图 应用要求 设备Switch A用3个端口聚合接入设备Switch B,从而实现出/入负荷在各成 员端口中分担。 Switch A 的接入端口为GigabitEthernet1/0/1 ?GigabitEthernet1/0/3 。 适用产品、版本 配置过程和解释 说明: 以下只列出对Switch A的配置,对Switch B也需要作相同的配置,才能实现链路聚合。 配置聚合组,实现端口的负载分担(下面两种方式任选其一) 采用手工聚合方式 #创建手工聚合组1。 system-view [SwitchA] link-aggregation group 1 mode manual | # 将以太网端口GigabitEthernet1/0/1 至GigabitEthernet1/0/3 加入聚合组1。 [SwitchA] interface GigabitEthernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-aggregation group 1

[SwitchA-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-aggregation group 1 采用静态LACP聚合方式 #创建静态LACP聚合组1。 system-view [SwitchA] link-aggregation group 1 mode static #将以太网端口GigabitEthernet1/0/1 至GigabitEthernet1/0/3 加入聚合组1。 [SwitchA] interface GigabitEthernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2 [SwitchA-GigabitEthernet1/0/2] port link-aggregation group 1 [SwitchA-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3 [SwitchA-GigabitEthernet1/0/3] port link-aggregation group 1 完整配置 采用手工聚合方式: # link-aggregation group 1 mode manual # interface GigabitEthernet1/0/1 port link-aggregation group 1 # interface GigabitEthernet1/0/2 port link-aggregation group 1 # interface GigabitEthernet1/0/3 | port link-aggregation group 1 # 采用静态LACP聚合方式: # link-aggregation group 1 mode static interface GigabitEthernet1/0/1 port link-aggregation group 1 # interface GigabitEthernet1/0/2 port link-aggregation group 1 # interface GigabitEthernet1/0/3 port link-aggregation group 1 # 配置注意事项 不同平台软件对静态聚合方式的实现不同,所以不同平台软件的产品采用静态 聚合方式对接时,容易产生问题。有关平台软件的版本信息可以通过 display version 命令查看。

软件配置管理计划

软件配置管理计划示例 计划名国势通多媒体网络传输加速系统软件配置管理计划 项目名国势通多媒体网络传输加速系统软件 项目委托单位代表签名年月日 项目承办单位北京麦秸创想科技有限责任公司 代表签名年月日 1 引言 1.1 目的 本计划的目的在于对所开发的国势通多媒体网络传输加速系统软件规定各种必要的配置管理条款,以保证所交付的国势通多媒体网络传输加速系统软件能够满足项目委托书中规定的各种原则需求,能够满足本项目总体组制定的且经领导小组批准的软件系统需求规格说明书中规定的各项具体需求。 软件开发单位在开发本项目所属的各子系统(其中包括为本项目研制或选用的各种支持软件)时,都应该执行本计划中的有关规定,但可以根据各自的情况对本计划作适当的剪裁,以满足特定的配置管理需求。剪裁后的计划必须经总体组批准。 1.2 定义 本计划中用到的一些术语的定义按GB/T 11457 和GB/T 12504。 1.3 参考资料

◆GB/T 11457 软件工程术语 ◆GB 8566 计算机软件开发规范 ◆GB 8567 计算机软件产品开发文件编制指南 ◆GB/T 12504 计算机软件质量保证计划规范 ◆GB/T 12505 计算机软件配置管理计划规范 ◆国势通多媒体网络传输加速系统软件质量保证计划 2 管理 2.1 机构 在本软件系统整个开发期间,必须成立软件配置管理小组负责配置管理工作。软件配置管理小组属项目总体组领导,由总体组代表、软件工程小组代表、项目的专职配置管理人员、项目的专职质量保证人员以及各个子系统软件配置管理人员等方面的人员组成,由总体组代表任组长。各子系统的软件配置管理人员在业务上受软件配置管理小组领导,在行政上受子系统负责人领导。软件配置管理小组和软件配置管理人员必须检查和督促本计划的实施。各子系统的软件配置管理人员有权直接向软件配置管理小组报告子项目的软件配置管理情况。各子系统的软件配置管理人员应该根据对子项目的具体要求,制订必要的规程和规定,以确保完全遵守本计划规定的所有要求。 2.2 任务

H3C交换机IRF典型配置指导

目录 1 IRF典型配置举例 ······························································································································· 1-1 1.1 简介 ··················································································································································· 1-1 1.2 使用限制············································································································································ 1-1 1.2.1 硬件限制 ································································································································· 1-1 1.2.2 软件限制 ································································································································· 1-1 1.2.3 单板使用限制 ·························································································································· 1-1 1.2.4 IRF端口连接限制 ···················································································································· 1-1 1.3 选择MAD检测方式····························································································································· 1-2 1.4 使用四台设备搭建IRF典型配置举例(LACP MAD检测方式) ························································· 1-2 1.4.1 适用产品和版本 ······················································································································ 1-2 1.4.2 组网需求 ································································································································· 1-2 1.4.3 搭建IRF的配置························································································································ 1-3 1.4.4 LACP MAD配置 ······················································································································ 1-8 1.4.5 业务配置 ······························································································································· 1-10 1.4.6 验证配置 ······························································································································· 1-14 1.4.7 配置文件 ······························································································································· 1-16 1.5 使用四台设备搭建IRF典型配置举例(BFD MAD检测方式)·························································· 1-21 1.5.1 适用产品和版本 ···················································································································· 1-21 1.5.2 组网需求 ······························································································································· 1-21 1.5.3 搭建IRF的配置······················································································································ 1-22 1.5.4 BFD MAD配置 ······················································································································ 1-26 1.5.5 业务配置 ······························································································································· 1-28 1.5.6 验证配置 ······························································································································· 1-33 1.5.7 配置文件 ······························································································································· 1-35

防火墙典型配置举例

1.1防火墙典型配置举例

[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网,允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound

IPSec配置案例

防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中,我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信,在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号:Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200

软件版本:V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1)防火墙基本配置,包括IP地址,安全域 2)配置公网路由, 一般情况下,防火墙上配置静态路由 3)定义用于包过滤和加密的数据流 4) 域间通信规则 5)配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释(关键配置) 配置FWA: 1)配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2)定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3)配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound

EPON灵活QINQ典型配置指导手册V1.0

EPON灵活QINQ典型配置指导手册 编号: 版本:V1.0 编制:技术中心热线部 审核:熊志军 批准: 瑞斯康达科技发展股份有限公司

文档修订记录 文档说明: 本文档主要用于指导工程师完成EPON灵活QINQ典型配置,本文以某商用网络为例,介绍了新在EPON系统上具体的配置操作步骤和注意事项。

前言 读者对象: 本文档适合ISCOM5000系列EPON设备灵活QinQ操作维护管理人员使用,主要面向各区域工程师。本文档介绍ISCOM5000系列EPON设备根据灵活QinQ的配置、常用故障排查方法、FAQ 等内容。 编写时间:2010年3月 相关参考手册: ISCOM 5000 EPON设备主要手册及用途如下

目录 前言 (3) 一、Q-IN-Q概述 (6) 二、技术介绍 (6) 2.1 QinQ报文格式 (6) 2.2 QinQ封装 (7) 2.2.1 基于端口的QinQ封装 (7) 2.2.2 基于流的QinQ封装 (7) 三、典型案例配置 (8) 3.1 EPON交换端口VLAN配置 (8) 3.2 根据以太网报文类型灵活Q-IN-Q 应用拓扑 (10) 3.3三种数据的业务流向及处理过程 (12) 3.4配置流程 (13) 3.5 具体数据配置流程: (14) 1) 创建加载板卡 (14) 2) 在olt上配置数据业务,创建vlan ,修改TPID值 (14) 3)配置3槽位PON板第一个PON口 (14) 4)配置上联GE口(PORT 11) (15) 5)配置上联GE口(PORT 12) (15) 6)配置网管地址及网关 (15) 7)EPON 以太网报文类型灵活Q-IN-Q配置实例 (15) 8)灵活Q-IN-Q抓包样本 (15) 四、常见故障处理FAQ (16) EPON以太网报文类型灵活Q-IN-Q常见FAQ (16) Q1:在配置根据以太网报文的灵活Q-IN-Q时,若两种数据存在一样的以太网报文类 型,该怎么区分? (16) Q2:为什么从OLT上无法PING通EOC及交换机的网管地址,而经过USR或者BRAS 的网管服务器可以PING通EOC、交换机及OLT。 (16) Q3:为什么同一台电脑在测试过一个业务后,马上测试另外一种业务,该电脑会存在

防火墙双机热备配置及组网指导

防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 1:防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

相关文档
相关文档 最新文档