1、配置路由模式下负载分担的双机热备份两台 Eudemon 和 4 台路由器之间运行 OSPF 协议Eudemon 上下行业务端口加入到同一个 link-group 管理组,在链路故障时候能加快路由收敛。Eudemon 的双机热备份功能基于 VRRP 实现,Eudemon 的 HRP 备份链路上配置两个VRRP 组分别加入 VGMP 管理组的 Master 管理组和 Slave 管理组,组成负载分担网络。PC0 所在 LAN 为受保护区域,Eudemon 的 GE0/0/1 端口连接,部署在 Trust 区域。外部网络和 Eudemon 的 GE0/0/3 相连,部署在 Untrust 区域。两台
2、 Eudemon 之间互联的 HRP 备份通道接口 GE0/0/2 部署在 DMZ 区域。其中 DMZ 区域对应的 VRRP 组虚拟地址分别为 10.100.50.5 和 10.100.50.6步骤 1 配置 Eudemon A。system-viewEudemon interface gigabitethernet 0/0/1Eudemon-GigabitEthernet 0/0/0 ip address 10.100.10.2 24Eudemon-GigabitEthernet 0/0/0 quitEudemon interface gigabitethernet 0/0/2Eudemon
3、-GigabitEthernet 0/0/1 ip address 10.100.50.2 24Eudemon-GigabitEthernet 0/0/1 quitEudemon interface gigabitethernet 0/0/3Eudemon-GigabitEthernet 0/0/2 ip address 10.100.30.2 24Eudemon-GigabitEthernet 0/0/2 quitEudemon firewall zone trustEudemon-zone-trust add interface gigabitethernet 0/0/1Eudemon-z
4、one-trust quitEudemon firewall zone dmzEudemon-zone-dmz add interface gigabitethernet 0/0/2Eudemon-zone-dmz quitEudemon firewall zone untrustEudemon-zone-untrust add interface gigabitethernet 0/0/3Eudemon-zone-untrust quitEudemon interface gigabitethernet 0/0/1Eudemon-GigabitEthernet 0/0/0 link-grou
5、p 1Eudemon-GigabitEthernet 0/0/0 quitEudemon interface gigabitethernet 0/0/3Eudemon-GigabitEthernet 0/0/1 link-group 1Eudemon-GigabitEthernet 0/0/1 quit# 配置统一安全网关的缺省过滤规则。建议不配置缺省允许报文通过所有安全域间,否则会存在安全隐患。可以根据实际组网需求配置域间包过滤规则。Eudemon firewall packet-filter default permit interzone trust untrust direction
6、outboundEudemon firewall packet-filter default permit interzone dmz untrust direction inboundEudemon interface gigabitethernet 0/0/2Eudemon-GigabitEthernet 0/0/2 vrrp vrid 1 virtual-ip 10.100.50.5 masterEudemon-GigabitEthernet 0/0/2 vrrp vrid 2 virtual-ip 10.100.50.6 slaveEudemon-GigabitEthernet 0/0
7、/2 quit# 配置 HRP 通道Eudemon hrp interface gigabitethernet 0/0/2# 启动 HRP。Eudemon hrp enableEudemon A hrp auto-aync config 开启自动备份,配置该命令后 Eudemon A 上配置的 ACL以及包过滤规则都将自动备份到 Eudemon B 上,不需要再在 Eudemon B 上配置相关命令。Eudemon B 上面的配置 DMZ 区域对应的 VRRP 组时,其 Master 管理组为 Eudemon A 的Slave 管理组,其 Slave 管理组为 Eudemon A 的 Mast
8、er 管理组。配置混合模式下主备备份方式的双机热备份在不改变现有网络拓扑结构的前提下,在网络出口部署两台 Eudemon 1000E 统一安全网关,通过 LAN Switch 连接内部网络。启动双机热备份功能,并配置统一安全网关以主备备份方式工作。其中 Eudemon 1000E A 作为主用,Eudemon 1000E B 作为备用。混合模式下的双机热备份组网图如 图 1-11 所示。配置步骤配置 Eudemon Asystem-viewEudemon interface gigabitethernet 0/0/0Eudemon-GigabitEthernet 0/0/0 ip addres
9、s 3.3.3.1 255.0.0.0Eudemon-GigabitEthernet 0/0/0 vrrp vrid 16 virtual-ip 3.3.3.10Eudemon-GigabitEthernet 0/0/0 quitEudemon firewall zone dmzEudemon-zone-dmz add interface gigabitethernet 0/0/0Eudemon-zone-dmz quitEudemon interface gigabitethernet 0/0/1# 配置 GigabitEthernet 0/0/1 工作在透明模式。Eudemon-Gigab
10、itEthernet 0/0/1 portswitchEudemon-GigabitEthernet 0/0/1 quitEudemon firewall zone trustEudemon-zone-trust add interface gigabitethernet 0/0/1Eudemon-zone-trust quitEudemon interface gigabitethernet 0/0/2# 配置 GigabitEthernet 0/0/2 工作在透明模式。Eudemon-GigabitEthernet 0/0/2 portswitchEudemon-GigabitEthern
11、et 0/0/2 quitEudemon firewall zone untrustEudemon-zone-untrust add interface gigabitethernet 0/0/2Eudemon-zone-untrust quit# 配置统一安全网关域间缺省规则为允许所有报文通过(可以根据实际需要使用其他配置策略) 。Eudemon firewall packet-filter default permit all# 创建并进入 VLAN 视图。Eudemon vlan 2Eudemon-vlan-2 quitEudemon interface gigabitethernet
12、0/0/1Eudemon-GigabitEthernet 0/0/1 port default vlan 2Eudemon-GigabitEthernet 0/0/1 quitEudemon interface gigabitethernet 0/0/2Eudemon-GigabitEthernet 0/0/2 port default vlan 2Eudemon-GigabitEthernet 0/0/2 quitEudemon vlan 2# 指定由 Master 管理组监视 VLAN。Eudemon-vlan-2 hrp track masterEudemon-vlan-2 quit# 启动 HRP 双机热备份功能。Eudemon hrp enable# 配置备份会话表的通道接口。在混合模式下只能选用加入到 VRRP 管理组中的通道接口。Eudemon hrp interface gigabitethernet 0/0/0步骤 2 配置 Eudemon 1000E B。Eudemon 1000E B 和 Eudemon 1000E A 的配置绝大多数相同,差别如下:Eudemon 1000E B 上的接口 IP 地址与 Eudemon 1000E A 不同。Eudemon 1000E B 上指定由 Slave 管理组监视 VLAN。
