1、雙機熱備技Copyright雙機熱備技Copyright .s.學完本課程后，您將能夠學完本課程后，您將能夠；Copyright .s.Page雙機熱備基本原雙機熱備基本原雙機熱備組網舉雙機熱備故障解Copyright .s.Page在網絡關鍵節點上，如果只部署一在網絡關鍵節點上，如果只部署一臺設備，無論其可靠性多高，系統都必然要承受單點故障而導致的網絡中斷的風險一般用作內網的出口，是業務關鍵路徑上的設備。為了防止因一臺設故障而導致的業務中斷，要機熱備組網必須提供更高的可靠性，此時需要使雙Copyright .s.Page在雙機熱備組網中，當一在雙機熱備組網中，當一保證流量不中斷，使出現故障時

2、，業務流量能平滑地切換到備上用戶交互時完全感知不到曾經出現過網絡故障Copyright .s.Page雙機熱備組網的建立和運雙機熱備組網的建立和運行需要解決以下五個關鍵問題設備的主備狀態是如何決定的如并發現接口或設備故障發現故障后，如何保證設備的主備狀態切正常情況和故障后，流量是如何引導的如何進行信息同步，保證主備切換后業務不中斷以上問題都是由雙機熱備特性涉及的三大協議VRPP、VGMP、HRP共同配合解決的Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備組網舉雙機熱備故障解Copyright .s.PageModuleModuleModuleAPP（

3、ModuleModuleModuleAPP（Copyright .s.Page負責單個接口的故障檢測和流量引導負責單個接口的故障檢測和流量引導。每個VRRP備份組擁有一個虛擬IP地址作為網絡的網關地址；在VRRP主備倒換時通過發送免費ARP來刷新對接設MAC來引導流量將系統中所有的VRRP備份組集中管理，控制狀切換，保證出現故障時下行流量能同步切換到備負責雙機之間的數據同步。Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網舉雙機熱備故障解Copyright .s.PageVRRP在引入了VRRP（VirtualRouterRedundancyProt

4、ocol）。VRRP 臺VRRP在引入了VRRP（VirtualRouterRedundancyProtocol）。VRRP 臺主VirtualIPAddress PC10.100PC默認網關備Copyright .s.PageVRRPVRRP報文用來將主用設備的優先級和狀態通告給備用設備。VRRP報文承載在P上，為組播報文（組播地址為0.1VRRPVRRP報文用來將主用設備的優先級和狀態通告給備用設備。VRRP報文承載在P上，為組播報文（組播地址為0.18），協議號為2。PriorityCopyright .s.PageVRRP加入VRRP備份組的接口有三種狀態，只VRRP加入VRRP備份組

5、的接口有三種狀態，只有處于主用狀態的設備才可響應ARP請求，轉業務報文。并且發送VRRP報文，主動聯系備用設備。Copyright .s.PageVRRP鏈路正常時虛擬IP地址在狀態為Active的設備接口上VRRP鏈路正常時虛擬IP地址在狀態為Active的設備接口上生效PC請求網關地址的ARP時，只有狀態為Active的設備會應答ARP業務流量被引導到狀態為Active的設備接口上進行轉發ARP備份VirtualIPAddress PC PC 默認網關Copyright .s.PageVRRP當Active設備出現接口、鏈路或整機故障時Active設備接VRRP當Active設備出現接口、

6、鏈路或整機故障時Active設備接口上的VRRP備份組狀態進入InitializeStandby設備接口上的VRRP備份組狀態將切換到Active ，發送免費ARP交換機上的MACPC發出的業務流量被引導到備用設備接口上進行轉發免費備份VirtualIPAddress PCPC默認網關Copyright .s.PageVRRP當上下行業務端口上都配置了VRRP備份組時，這兩個VRRP備份組是獨立行的，VRRP當上下行業務端口上都配置了VRRP備份組時，這兩個VRRP備份組是獨立行的，可能出現上下行兩個VRRP備份組狀態不一致的情況例如，主用網去的流量從備用網上內網側的接口故障，VRRP倒換到備

7、用網，因上上轉發。但是側的VRRP，主用網VRRP仍然是主，因此回程的流量仍然會送到主用網回內網，導致業務中斷上，但業務流量無備份VirtualIPAddress PCPC備份VirtualIPAddress Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網舉雙機熱備故障解Copyright .s.PageCopyright .s.PageCopyright .s.PageVGMP為了解決前面提到的單獨配置VRRP可能遇到的狀態不一致問題公司在VRRP的VGMP為了解決前面提到的單獨配置VRRP可能遇到的狀態不一致問題公司在VRRP的礎上開發了VRR

8、P組管理協議（VRRP Group Management Protocol），即VGMPVGMP的基本功能是集中管理VRRP備份組，控制VRRP備份組將一組VRRP備份組組成一個VGMP管理組。 由VGMP管理組控制所有VRRP備份組同報文跟對端設備進行協商實現主備狀態切vrrpvridvirtual-router-idvirtual-ipaddressip-mask|ip-mask-length|standbyvrrp6 vrid virtual-router-id virtual-ip FE80:X:X link-local active | standby vrrp6vridvirtua

9、l-router-idvirtual-ipvirtual-Device A VGMPGroupDevice B VGMPGroupVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageVGMPUSG6600 VGMP報文支持2VGMPUSG6600 VGMP報文支持2vType：VGMP報文的類型報文（常用）定義了四種o為HRP報文時，還需要在VGMP報文之上承載Copyright .s.PageVGMPVGMPVGMPVGMPCopyright .s.PageDataIPUDPVGMP(HRP)IPVRRPVGMPCopyright .s.Pa

10、geCopyright .s.PageVGMPVGMP管理組的主備狀態決定了雙VGMPVGMP管理組的主備狀態決定了雙機熱備組設備的主備狀態，因此VGMP的狀態也可以看做設備的狀態使能HRP功能關閉HRP功能對端心跳報文超時；接收到的報文中對端優先級比本端（對端故障）搶占定時器超時；接收到的報文中對端優先級相等，并對端不是Active狀態（之前兩端同時為Standby狀態）對端心跳報文超時；接收到的報文中，對端優先級比本端低（對端故障）接收到的報文中，對端優先級和本端相等，并且對端不是處于Standby狀態（被搶占，或者之前兩端同時Active狀態）Copyright .s.PageVGMP兩

11、之間的VGMP狀態主備倒換的具體交VGMP兩之間的VGMP狀態主備倒換的具體交互過程及動作分以下三種情況因接口或鏈路故障引起的切VGMP即切換，瞬間完成業務流量的倒換。因整機或心跳鏈路故障引起的這種故障發生時，由于主設備無法發送狀態通知消息到備機，因此只能依靠搶占流o報文）超時才能發現故障，因此切換時間為故障恢復后的切換流程，由于備設備處于正常轉發狀態，等主機故障恢復后切換回去，因此基本上不會影響業Copyright .s.PageVGMP狀態切換三大原每個VGMP狀態切換三大原每個接口Down時，VGMP管理組優先級降低2，計算公式為VGMP管理組優先級=VGMP管理組初始優先級-每臺設備的

12、VGMP管理組初始狀態由用戶指定（ Active或先級為65001， Standby的優先級為65000ActiveVGMP管理組的狀態決定了該設備的主備狀態，也決定了VGMP管理組成員VRRP備份組或接口）的狀態Copyright .s.Page接口或鏈路故障引起的狀態切DeviceB DeviceA 進入Initialize狀態） (2)調整優先級 接口或鏈路故障引起的狀態切DeviceB DeviceA 進入Initialize狀態） (2)調整優先級 VRPVRRP(4) VGMP管理組收到請求切換的報文，比較本身的優 (5)本端優先級高，將自己切換到主狀態 (6)控制VGMP管理組中

13、所有成(7)回一個確認報文(8)VGMP VRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageDeviceB VGMPGroup DeviceA VGMPGroup 心跳鏈路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRPVRRPDeviceB VGMPGroup DeviceA VGMPGroup 心跳鏈路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRP

14、VRRPVRRPVRRPOOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP(1)整機故障 (2)(1)心跳鏈路故障(2)(3) (4)切換到主狀態 (5)控制VGMPCopyright .s.Page故障恢復回切（搶占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延時結束，VRRP故障恢復回切（搶占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延時結束，VRRPVRRPOVRRPVR

15、RPVRRPVRRP(5)收到請求報文，比較本身的優先級和報文中攜帶的優先級數 (6) (7)流量 (8)發送確認報文(9) (10控制VGMPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP缺省情況下，VGMP管理組的搶占功能為啟狀態，搶占延遲時間為60shrpOVRRPVRRPVRRPVRRPVRRPVRRPCopyright .s.Page加入到VGMP管理組中的VRRP備份組中接口的優先級還起作用么原始的VRRP協議中VRRP加入到VGMP管理組中的VRRP備份組中接口的優先級還起作用么原始的VRRP協議中VRRP備份組的接口優先級是手

16、工指定的，雙機熱備中功能已經失效（保持缺省值100不變），改由VGMP管理組的優先級取代了VRRP組中接口優先級加入到VGMP管理組中的VRRP備份組的接口主備狀態是由什么決定原始的VRRP協議中VRRP備份組的接口的主備狀態是由接口優先級決定的，但管理組下VRRP備份組的接口主備狀態實際上是由VMP管理組狀態決定的，所以 VRRP備份組的狀態機中主備狀態已經沒有實際意義了。VGMP管理組只能通過VRRP備份接口狀態么No， VGMP提供了多種故障監接口狀態來應對復雜的組網情況，不只是通過VRRP備份Copyright .s.PageCopyright .s.PageCopyright .s.

17、Page各種故障，才能觸發后續的業務倒換。前面提到的檢測VRRP備份組所在接口故障，只是VGMP眾多故障檢中的一各種故障，才能觸發后續的業務倒換。前面提到的檢測VRRP備份組所在接口故障，只是VGMP眾多故障檢中的一種。目前雙機熱備中檢測故障的方式有以下檢測VRRP備份組狀態：用機場景業務接口為三層接口，業務接口連接二層直接檢測單個物理接口狀態：由于三層設備無法處理VRRP組播報文，所以當墻業務接口為三層接口，業務接口連接三層設備（路由器）時使用此方式檢測透明模式下VLAN接口狀態：由VRRP，所以采用此方式業務接口為二層接口，無法配檢測IP-LINK邏輯鏈路的狀態：用于檢測非直檢測BFD邏輯

18、鏈路的狀態：用于檢測非直連鏈路的可達Copyright .s.Page檢測VRRP備份組當用三層接口連接二層設檢測VRRP備份組當用三層接口連接二層設備時，可以在接口下配置VRRP，將VRRP備份組加到VGMP管理組中物理端口故障時，接口下的VRRP備份組狀態：Active或Standby 物理端口故障恢復時，接口下的VRRP備份組狀態：Initialize Active或Standby 組之間的主備切換，進而影響管理組中所有成員同步切換，業務流量也隨之進vrrpvridvirtual-router-idvirtual-ipvirtual-addressip-mask|ip-mask-leng

19、thactivestandbyvrrp6vridvirtual-router-idvirtual-ipFE80:X:Xlink-localactive|standbyvrrp6vridvirtual-router-idvirtual-ipvirtual-ipv6-Copyright s.Page直接檢測接口狀當接口連接三層設備時，可以配直接檢測接口狀當接口連接三層設備時，可以配置由VGMP管理組鏈路狀態。當接狀態變化時，將直接觸發相關的VGMP管理組調整優先級并進行主備倒接口視hrptrackactive |standby檢測透明模式下VLAN接口狀當接口為二層接口時（透明模式），可以由VGM

20、P管理組直整個VLAN當VLAN中有任何一個接口狀態變化時，都會觸發相關的VMP并進行主備倒換。VLAN視圖下hrptrackactive |standbyCopyright .s.Page檢測IP-LINK邏輯鏈路狀VGMP可以利用IP-LINK用來探測檢測IP-LINK邏輯鏈路狀VGMP可以利用IP-LINK用來探測可以用來檢測以下幾種故直連或者非直連鏈路的三層可達性。IP-非直連鏈路（中間接有交換機或傳輸設備），遠端設備故障在這幾種情況下，有可能本端接口狀態為UP，但鏈路無法轉發報文。可以通過管理組系統視圖下IP-LINK鏈路檢測結果來檢測這種故障hrptrackip-linklink-

21、idactive |standbyCopyright .s.Page檢測BFD鏈路的狀VGMP可以利用BFD用來探檢測BFD鏈路的狀VGMP可以利用BFD用來探測用來檢測以下幾種故直連或者非直連鏈路的三層可達性。 BFD可非直連鏈路（中間接有交換機或傳輸設備），遠端設備故障在這幾種情況下，有可能本端接口狀態為UP，但鏈路無法轉發報文。可以通過管理組檢測BFD鏈路來發現這種故障系統視圖下hrptrackbfd-local-discr-valueactive|standbyCopyright .s.PageCopyright .s.PageCopyright .s.Page當VGMP管理組檢測到成

22、員狀態變化，當VGMP管理組檢測到成員狀態變化，從而進行主備倒換之后有效地業務流量進行引導。VGMP管理組的流量引導功能負責在倒換時進行業務流量的引。目前VGMP管理組支持的業務流量有如下幾種虛擬IP地址方式：用路由COST調整方式：用VLAN啟用和禁用方式：用三層業務接口連接二層交換機組網三層業務接口連接路由器，主備備份組網三層業務接口連接路由器，路由器組網，負業務接口工作在透明模式的組網Copyright .s.Page虛擬IP地址方與對接的設備上配置到目的網段的報文，下虛擬IP地址方與對接的設備上配置到目的網段的報文，下一跳為VRRP備份組的虛IPVRRP狀態變化時，新的主設備將發送免費

23、ARP，刷行上下行設備的MA將下一跳為虛IP的業務報文引導到新的主設備業務接口上。當對接設備請求虛IP的ARP時，只有主設備才會進行ARP應答，備份VirtualIPAddress PCCopyright .s.Page路由COST調整方主與對接的設備上運行OSPF動態路由協主設備業務路由COST調整方主與對接的設備上運行OSPF動態路由協主設備業務配置的路由COST較小，業務流量送到主設備進行轉主設備業務板故障或者其它不運行SPF的業務端口故障，SPF能自動收斂；VGMP管理組能感知到這種故障，進行主備倒換；狀態為Standby的VGMP管理組，控制運行OSPF的業務鏈路自動升高路COST，

24、觸發對接設備路由收斂到備用設備COSTCOSTCOSTCOST standby-cost standby-costCOSTCOSTCopyright .s.Page動態路由收主與對接的設備上運行動態動態路由收主與對接的設備上運行動態路由協議一般情況下，主設備相關業務進行轉發配置的路由COST較小，業務流量送到主主設備業務端口故障時，動態路由自動收斂，業務流量送到備用設備繼續進行轉發使用動態路由方式，故障發生時，不需要VGMP管理組控制流量倒換Copyright .s.PageVLAN啟用和禁用方當工作在二層轉發時，無法通過路由的變化VLAN啟用和禁用方當工作在二層轉發時，無法通過路由的變化來引

25、導上下行設備的流量。通過用接口down/up的方式來刷新上下行設備的MAC或促使路由收斂，然后通過能/禁用VLAN轉發功能的方式來保證流量不會發送到出故障。二層轉發模式下，VLAN和VGMP管理組綁定管理組狀態為Active：VLAN能轉發報文管理組狀態為Standby：VLAN被禁用，不能轉發報文管理組切換到Standby時，VLAN內所有接口都會downup一次，觸發上下行刷新MAC或者路由收斂；接口重新up后，由于VLAN被禁用，接口仍然法轉發相關VLAN的報文VLAN內任何一個接口故觸發VGMP管理組調整優先主備倒備VLAN被禁用 備設備VLAN被使能，轉發業務Copyright .s

26、.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網舉雙機熱備故障解Copyright .s.PageHRP狀態檢對于每一個會話連接都有一個會話表項與之對應，主用HRP狀態檢對于每一個會話連接都有一個會話表項與之對應，主用設備處理業備的業務流量因為無法匹配會話表而中斷。為了實現主用備用設備平滑切換，必須用和備用設備之間備份關鍵配置命令和會話表狀態信息引入了Redundancy Protocol）協議，實置命令的實時備份雙機之間動態狀態數據和關鍵在雙機熱備組網中，指定心跳線作為專門的備份通道，用于備份配置命令和狀態信Device A VGMPGroup Device B VGMP

27、Group VRRPVRRPVRRPVRRPVRRPVRRP心跳線-備份通VRRPVRRPCopyright .s.PageHRPHRP報文實際上是一種HRPHRP報文實際上是一種VGMP報文，承載在VGMP報文的DATA封裝方式管理面HRP報文兩種封裝VRRP封UDP封管理面HRP報文中會攜帶以下信息：指定自動備份還是批量備份、指定是發送還是應、備份的數據類型轉發面HRP同步報文（實時備份報文）也有兩種封VRRP封UDP封Copyright .s.PageHRPdata-flowloghost host-idip-addressip-addressHRPdata-flowloghost ho

28、st-idip-addressip-address port port-number -instance-name data-flowloghost sourceip-addressip-addresssource-portport-numberCopyright Page.安全策略 、NAT策略 、帶寬管理 、認證策略 防范 、地址、服務、應用、用戶、認證服務器、時間段、URL分類、關鍵字組、郵件地址組、簽名 、安全配置文件（反防御 、URL過濾、文件過濾 、內容過濾 、應用行為控制 、郵件過濾）新建邏輯接口、安全區域、DNS、IPSec、TSM聯HRP可以備份的主用設備狀態N表表表HRP可

29、以備份的主用設備狀態N表表表1erface-numberremoteip-address2hrpCopyright .s.PageHRP備份方備份命備份狀態信配置命（缺省開啟一條可以備份 令 HRP備份方備份命備份狀態信配置命（缺省開啟一條可以備份 令 hrpauto-config|us（手工觸發hrpsync configushrpmirrorses Copyright Page.running：正常運行會判斷心跳接口的物理與協議狀態。心跳ready：正常運行。此接口為備用備份通道，當前未使用peerdown：本端正常，但是收不到對端的心跳報invalid：未指定心跳口的IP地址，心跳口工作

30、在二層down：心跳接口的物理狀態與協議狀態均為DownCopyright .s.PageVGMreaVGMread狀態的心跳接口。此動作與對端無關。Copyright .s.Page雙機熱備概雙機熱備基本原雙機熱備概雙機熱備基本原雙機熱備網舉雙機熱備故障解Copyright .s.PageCopyright .s.PageCopyright .s.Page場主備備負載分Copyright .s.Page場主備備負載分Copyright s.Page.Copyright s.Page. 雙機熱備概雙機熱雙機熱備概雙機熱備基本原雙機熱備故障解Copyright .s.Page三大配置原則在雙機熱

31、備三大配置原則在雙機熱備組網中，在配置其雙機狀態正常于互為主備的狀態，所以業務性要在兩個設備上分別配置Copyright .s.Page。 ntCopyright .s.Page雙機熱備與NAT雙機熱備與NAT雙機熱備與IPSecCopyright .s.PageCopyright .sCopyright .s.PageWeb 此場景要配置VRRP虛擬Web 此場景要配置VRRP虛擬IP Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEtherne

32、t1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_A配#hrperfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10

33、.2.0.1vrrpvrid1virtual-ip1.1.1.1255.255.255.0active erfaceGigabitEthernetipaddress10.3.0.1vrrpvrid2virtual-ip10.3.0.3active erfaceGigabitEthernetipaddress10.10.0.1#firewallzonetrust set priority 85erfaceGigabitEthernet1/0/3 firewallzonesetpriorityerfaceGigabitEthernetCLICopyright .sCLICopyright .s.P

34、age#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_B配#hrphrps

35、tandby-erfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10.2.0.2vrrpvrid1virtual-ip1.1.1.1255.255.255.0standby erfaceGigabitEthernetipaddress10.3.0.2vrrpvrid2virtual-ip10.3.0.3standby erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonetrust set priority 85erfaceGigabitEthernet1

36、/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 備用設備（缺省值，可調整）Copyright 備用設備（缺省值，可調整）Copyright .s.PageWeb 此場景要配接口（HRP Web 此場景要配接口（HRP 2.啟用OSPFCopyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 ospfareanetwork10.2.0.0network10.3.

37、0.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFWA#hrppf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2.0.1255.255.255.0 hrp track active#erface Gig

38、abitEthernet 1/0/3 ipaddress10.3.0.1255.255.255.0 hrp track active#erfaceGigabitEthernetipaddress10.10.0.1255.255.255.0 firewall zonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernetCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceG

39、igabitEthernet1/0/7 ospfareanetwork10.2.1.0network10.3.1.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneFWB#hrphrpstandby-pf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2

40、.1.1255.255.255.0 hrp track standby#erface GigabitEthernet 1/0/3 ipaddress10.3.1.1255.255.255.0 hrp track standby#erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonesetpriority erfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 。N 。NCopyright .s.PageWeb

41、OSPF”此場景要配置VRRP虛Web OSPF”此場景要配置VRRP虛擬IP 此場景要配接口（HRP Copyright .s.PageCLIs15.5.255.255.0PageCLIs15.5.255.255.0Page Copyright #firewallzonetrust set priority 85 Ethernet#firewallzoneuntrust set priority 5Ethernet#firewallzonedmz set priority 50 Ethernet#ospfareanetworknetwork#security-rule name policy

42、_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFW_B的配置#ospfareanetwork10.2.0.0network10.3.0.0#security-rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destinati

43、on-zonedestination-zoneuntrust action permit#hrp mirror seshrp enablehrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.1.1255.255.255.0hrp track active hrptrackstandby#erface GigabitEthernet 1/0/3 address10.3.0.2255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpv

44、rid2virtual-ip10.3.0.4 #erfaceGigabitEthernetFWA#hrpmirrorhrphrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.0.1255.255.255.0hrptrackhrptrack#erface GigabitEthernet 1/0/3 address10.3.0.1255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpvrid2virtual-ip10.3.0.4 #

45、erface GigabitEthernet 1/0/7 address10.10.0.1255.255.255.0#firewallzonetrust set priority 85erfaceGigabitEthernet#firewallzoneuntrust set priority 5erfaceGigabitEthernet#firewallzonedmz set priority 50erfaceGigabitEthernet 接量通過Copyright 接量通過Copyright .s.PageWeb 2.CopyrightWeb 2.Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet1/0/1 firewallzonesetpriorityerfaceGigabitEthernet1/0/7 rule name policy_sec source-zone