303、双机热备,三层上下行接交换机

实验topo:

实验步骤:

主墙的网络接口配置:

主墙安全域配置:

备墙网络接口配置:

备墙的安全与规划:

配置主墙的双机热备、心跳接口

配置主墙的虚拟IP地址:

查看主墙的双机热备状态:

配置备墙的双机热备、心跳接口等

配置备墙的虚拟IP地址:

查看备墙的双机热备状态:

配置一条缺省路由,将数据包丢给外网路由器:

配置NAT转换:

304、默认情况下,处于备状态的设备是不允许配置安全策略,以及NAT策略的,并且只要在主墙上配置策略,备墙会自动同步一份配置过去;

开启备墙配置命令:hrp stand config enable;

305、:hrp可以同步的内容:要备份的连接状态数据包括:TCP/UCP的会话表,server MAP表项,动态黑名单,NO-PAT表项,ARP表项以及相关的安全策略,NAT转换策略等;

306、设备必须开启trust_to_untrust 的安全策略才可以通信;

tips:默认的开启抢占模式,且抢占的延迟为60s;

配置一条安全策略,放行trust到untrust的流量:

测试:内网PC能否与外网通信:

调试命令:

开启防火墙上ICMP的ttl缺省超时缺省:

在PC1上跟踪7.7.7.7的路由走向:

tips:默认情况下,防火墙是不允许tracert路由信息的;

如果主链路断开,备墙就会开启抢占模式,如果主墙链路恢复,过了抢占延时之后(60s),主墙会抢占回来,继续走主链路转发数据;

此时主墙会变为备状态:

查看vrrp组的状态:

dis  vrrp brief

查看hrp的状态:dis  hrp state verbose

内网的PC访问外网的服务器:

修改主备墙的抢占延时为3s;(默认为60s)

hrp preempt delay 3

抓包查看故障检测时候,备墙发送的免费ARP:

查看原文