DS002104Eudemon防火墙双机热备业务上机指导书ISSUE1[31页].docx

……………………………………………………………最新资料推荐…………………………………………………修订记录课程编码适用产品产品版本课程版本ISSUEDS002104EudemonALL1.00开发/优化者时间审核人开发类型（新开发/优化）卢希2009-5-15凃昭新开发最新精品资料整理推荐，更新于二〇二一年二月五日2021年2月5日星期五20:24:26Eudemon防火墙双机热备业务上机指导书目 录实验说明 1实验说明 1版本介绍 1实验目的 1实验任务 1相关资料 1第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署 21.1 组网及业务描述 21.2 命令行列表 31.3 配置流程图 41.4 配置步骤 41.5 具体配置及实验结果验证 4第2章 路由模式+负载分担方式的双机热备技术在Eudemon防火墙上的部署 122.1 组网及业务描述 122.2 命令行列表 132.3 配置流程图 142.4 配置步骤 142.5 具体配置及实验结果验证 14第3章 混合模式+主备组网方式的双机热备份技术在Eudemon防火墙上的部署 233.1 组网及业务描述 233.2 命令行列表 243.3 配置流程图 243.4 配置步骤 243.5 具体配置及实验结果验证 25实验说明实验说明本实验指导书本主要介绍了Eudemon防火墙双机热备技术的常见组网方式及配置流程，涵盖了VRRP、VGMP和HRP等防火墙双机热备的主要技术。

希望您能通过本指导书了解并掌握Eudemon防火墙双机热备技术的部署版本介绍本指导书适用于VRP版本3.30实验目的l 掌握Eudemon防火墙双机热备的基本原理l 熟悉路由模式+主备组网方式的防火墙双机热备技术l 熟悉路由模式+负载分担组网方式的防火墙双机热备技术l 熟悉混合模式+主备组网方式的防火墙双机热备技术实验任务l 完成Eudemon防火墙的基本配置l 配置VRRP备份组l 配置HRP相关资料l Eudemon防火墙产品手册 配置指南l Eudemon防火墙产品手册 命令参考第1章 路由模式+主备组网方式的双机热备技术在Eudemon防火墙上的部署1.1 组网及业务描述路由模式+主备组网方式Eudemon作为安全设备被部署在业务节点上其中上下行设备均是交换机，Eudemon A、Eudemon B分别充当主用设备和备用设备，且均工作在路由模式下网络规划如下：需要保护的网段地址为10.100.10.0/24，与防火墙的GigabitEthernet 0/0/0接口相连，部署在Trust区域 外部网络与防火墙的GigabitEthernet 0/0/2接口相连，部署在Untrust区域。

两台防火墙的HRP备份通道接口GigabitEthernet 0/0/1部署在DMZ区域 两台防火墙分别通过交换机连接各个安全区域其中，各安全区域对应的备份组虚拟IP地址如下：Trust区域对应的备份组虚拟IP地址为10.100.10.1 Untrust区域对应的备份组虚拟IP地址为202.38.10.1 DMZ区域对应的备份组虚拟IP地址为10.100.20.1防火墙和PC地址规划如下：Eudemon A：GE0/0/0：10.100.10.2/24；GE0/0/1：10.100.20.2/24；GE0/0/2：202.38.10.2/24Eudemon B：GE0/0/0：10.100.10.3/24；GE0/0/1：10.100.20.3/24；GE0/0/2：202.38.10.3/24PC1：10.100.10.4~10.100.10.254/24PC2：202.38.10.4~202.38.10.254/24实验要求：1、完成防火墙双机热备配置，使PC1可以ping通PC2，PC2无法ping通PC12、宕掉主用防火墙的一个HRP备份通道接口，主用防火墙管理组优先级发生变化，导致主备倒换。

查看主备防火墙倒换对于从PC1发往PC2的数据包的影响1.2 命令行列表操作版本命令配置VRRP备份组的虚拟IP地址并指定备份组所属的管理组VRP 3.30vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { slave | master }使能HRP功能VRP 3.30hrp enable创建备份会话表的通道接口VRP 3.30hrp interface interface-type interface-number transfer-only使能配置命令和连接状态的自动备份VRP 3.30hrp auto-sync [ config [ batch-backup ] | connection-status ]编写提示：通过表格的形式列举实验中要使用到的主要的，典型的命令行列可以参考命令行手册主要数通采用印刷时上段话删除1.3 配置流程图防火墙基本配置配置VRRP备份组配置HRP1.4 配置步骤(1) 基本配置：配置接口的IP地址；将接口分别添加到对应的区域；配置区域间包过滤规则。

2) 配置VRRP备份组并制定备份组所属的管理组3) 创建备份会话表的通道接口并使能HRP功能4) 使能配置命令和连接状态的自动备份功能1.5 具体配置及实验结果验证1.5.1 Eudemon A的基本配置：#配置主机名system-view[Eudemon]sysname Eudemon A#配置接口IP地址[Eudemon A]interface GigabitEthernet 0/0/0[Eudemon A- GigabitEthernet0/0/0]ip address 10.100.10.2 24[Eudemon A- GigabitEthernet0/0/0]quit[Eudemon A]interface GigabitEthernet 0/0/1[Eudemon A- GigabitEthernet0/0/1]ip address 10.100.20.2 24[Eudemon A- GigabitEthernet0/0/1]quit[Eudemon A]interface GigabitEthernet 0/0/2[Eudemon A-Ethernet0/0/2]ip address 202.38.10.2 24[Eudemon A-Ethernet0/0/2]quit#添加接口至对应区域[Eudemon A]firewall zone trust[Eudemon A-zone-trust]add interface GigabitEthernet 0/0/0[Eudemon A-zone-trust]quit[Eudemon A]firewall zone dmz[Eudemon A-zone-dmz]add interface GigabitEthernet 0/0/1[Eudemon A-zone-dmz]quit[Eudemon A]firewall zone untrust[Eudemon A-zone-untrust]add interface GigabitEthernet 0/0/2[Eudemon A-zone-untrust]quit#配置VRRP备份组，并指定备份组所属的管理组。

[Eudemon A]interface GigabitEthernet 0/0/0[Eudemon A-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 10.100.10.1 master[Eudemon A]quit[Eudemon A]interface GigabitEthernet 0/0/1[Eudemon A-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 10.100.20.1 master[Eudemon A]quit[Eudemon A]interface GigabitEthernet 0/0/2[Eudemon A-GigabitEthernet0/0/2]vrrp vrid 3 virtual-ip 202.38.10.1 master#配置local区域和dmz区域的域间包过滤规则，以便VRRP报文、VGMP报文和HRP报文能够通过心跳接口正常交互[Eudemon A]acl 2000[Eudemon A-acl-basic-2000]rule permit source 10.100.20.0 0.0.0.255[Eudemon A-acl-basic-2000]quit[Eudemon A]firewall interzone local dmz[Eudemon A-interzone-local-dmz]packet-filter 2000 inbound[Eudemon A-interzone-local-dmz]packet-filter 2000 outbound#配置HRP备份通道。

[Eudemon A]hrp interface GigabitEthernet 0/0/1 transfer-only[Eudemon A]hrp interface GigabitEthernet 0/0/0[Eudemon A]hrp interface GigabitEthernet 0/0/2#使能HRP功能[Eudemon A]hrp enable1.5.2 Eudemon B的基本配置：#配置主机名system-view[Eudemon]sysname Eudemon B#配置接口IP地址[Eudemon B]interface GigabitEthernet 0/0/0[Eudemon B- GigabitEthernet0/0/0]ip address 10.100.10.3 24[Eudemon B- GigabitEthernet0/0/0]quit[Eudemon B]interface GigabitEthernet 0/0/1[Eudemon B- GigabitEthernet0/0/1]ip address 10.100.20.3 24[Eudemon B- GigabitEthernet0/0/1]quit[Eudemon B]interface GigabitEthernet 0/0/2[Eudemon B- GigabitEthernet0/0/2]ip address 202.38.10.3 24[Eudemon B- GigabitEthernet0/0/2]quit#添加接口至对应区域[Eudemon B]firewall zo。