H3C 防火墙使用VRRP虚地址建立GRE典型配置

VRRP引入⏹通常，同一网段内的所有主机都设置一条相同的以网关为下一跳的缺省路由。

当网关发生故障时，本网段内所有以网关为缺跳的缺省路由当网关发生故障时本网段内所有以网关为缺省路由的主机将无法与外部网络通信。

⏹通过VRRP可以避免由于局域网网关单点故障而导致的网络中断。

课程目标学完本课程您应该能够⏹VRRP 学习完本课程，您应该能够：掌握基本概念和工作原理⏹掌握VRRP 报文和状态机⏹掌握VRRP 的配置目录⏹VRRP简介⏹VRRP工作原理⏹VRRP协议报文和状态机⏹配置VRRPVRRP背景InternetIP address 10.100.10.1Gateway:10.100.10.1Gateway:10.100.10.1Gateway:10.100.10.1Gateway:10.100.10.1Actual IP address 101001012Actual IP address10.100.10.13Actual IP address10.100.10.14Actual IP address10.100.10.1110.100.10.12如果网关出现故障，则内网设备无法访问外网VRRP 主备备份MasterBackupInternetVRID 1:Priority 110:Virtual IP 10.100.10.1Actual IP address 10.100.10.3Virtual IP address 10.100.10.4VRID 1:Priority 100:Virtual IP 10.100.10.1Gateway:10.100.10.1Gateway:10.100.10.1Gateway:10.100.10.1Gateway:10.100.10.1Actual IP address 10.100.10.11Actual IP address 10.100.10.12Actual IP address 10.100.10.13Actual IP address 10.100.10.14●VRRP 将可以将多个路由器加入到备份组中，形成一台虚拟路由器，承担网关功能只要备份组中仍有一台路由正常工作虚拟路●只要备份组中仍有台路由正常工作，虚拟路由器就仍然正常工作VRRP 负载分担InternetActual IP address 10.100.10.3Virtual IP address 10.100.10.4VRID 1P i i 100Vi l IP 10100101MasterBackupVRID 1:Priority 110:Virtual IP 10.100.10.1VRID 1:Priority 100:Virtual IP 10.100.10.1BackupMasterVirtual IP address 10.100.11.4VRID 2:Priority 110:Virtual IP 10.100.11.1Actual IP address 10.100.11.3VRID 2:Priority 100:Virtual IP 10.100.11.1VRRP Gateway:10.100.10.1Gateway:10.100.10.1Gateway:10.100.11.1Gateway:10.100.11.1Actual IP address 10.100.10.11Actual IP address 10.100.10.12Actual IP address 10.100.11.11Actual IP address 10.100.11.12将多台路由器同时承担业务，形成多台虚拟路由器，分担内网与外网之间的流量目录⏹VRRP简介⏹VRRP工作原理⏹VRRP协议报文和状态机⏹配置VRRPVRRP 概述●RFC 3768定义的VRRPv2是一种容错协议在提高可靠性的同时简化了主机议，在提高可靠性的同时，简化了主机的配置。

H3C交换机设置VRRP在支持标准协议VRRP模式的H3C交换机设置VRRP 功能，主要包括创建备份组、添加虚拟路由器IP 地址、启用虚拟路由器IP 地址、配置备份组优先级等基本功能，以及包括配置备份组成员交换机的抢占方式、VRRP 认证方式、VRRP 定时器和VRRP 监视功能等高级配置。

在支持负载均衡VRRP 模式的H3C 交换机中，首先还要对交换机设置VRRP 的工作模式。

下面分别予以介绍。

VRRP 工作模式配置本节仅适用于同时支持标准协议VRRP 模式和负载均衡VRRP 模式的H3C 交换机，如58 系列和S9500E 系列交换机。

配置VRRP 的工作模式后，路由器上所有的VRRP 备份组都工作在该模式。

VRRP 工作模式的配置步骤如表4-2所示。

表4-2 VRRP 工作模式的配置步骤【注意】通过本命令配置VRRP 的工作模式后，基于IPv4 和IPv6 的备份组均工作在指定的模式。

VRRP 工作在负载均衡模式时，要求备份组虚拟IP 地址和VRRP 备份组中交换机物理端口的IP 地址不能相同，且虚拟IP 地址需要与虚拟MAC 地址对应，也不能采用VRRP 备份组中交换机物理端口上的实际MAC 地址。

否则，VRRP 负载均衡功能将无法正常工作。

创建VRRP 备份组后，仍然可以修改VRRP 的工作模式。

修改VRRP 的工作模式后，路由器上所有的备份组都工作在该模式。

以下示例是配置VRRP 工作在负载均衡模式。

<Sysname>systemview ?[Sysname]?vrrp?mode?loadbalance?H3C交换机设置VRRP 基本功能在标准协议模式下配置H3C 交换机的VRRP 基本功能，涉及到一个重要的知识点，那就是VRRP 备份控制VLAN。

也就是VRRP 报文终结的VLAN。

VLAN 终结是指某个端口在接收到VLAN 报文后去掉报文中的VLAN 标记，再进行三层转发或其他处理。

防火墙gre隧道配置实例
防火墙GRE隧道的配置实例如下：
1. 拓扑图：北京总公司与上海分公司通过广域网连接，使用一个三层交换机模拟广域网，并使用两个H3C的防火墙进行GRE接入。

2. 配置广域网通信：首先，在交换机上创建两个VLAN，分别是VLAN 10和VLAN 20，并将相应的端口加入到相应的VLAN中。

然后，在VLAN 10上配置IP地址。

3. 配置防火墙：在两个防火墙（FW1和FW2）上配置GRE隧道，使它们能够通过Internet相互通信。

4. 测试：测试北京总公司与上海分公司之间的内网通信是否正常。

请注意，上述配置是一个简化的示例，实际配置可能因网络环境、设备型号和需求而有所不同。

在进行实际配置之前，建议仔细阅读设备文档并咨询专业人士。

h3c防火墙配置教程H3C防火墙是一种常见的网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

通过配置H3C防火墙，可以实现对网络流量进行监控和管理，提高网络的安全性和稳定性。

下面将为您介绍H3C防火墙的配置教程。

首先，我们需要连接到H3C防火墙的管理界面。

可以通过网线将计算机连接到防火墙的管理口上。

然后，打开浏览器，输入防火墙的管理IP地址，登录到防火墙的管理界面。

登录成功后，我们可以开始配置防火墙的策略。

首先，配置入方向和出方向的安全策略。

点击“策略”选项卡，然后选择“安全策略”。

接下来，我们需要配置访问规则。

点击“访问规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件。

除了访问规则，我们还可以配置NAT规则。

点击“NAT规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件，并设置相应的转换规则。

配置完访问规则和NAT规则后，我们还可以进行其他配置，如VPN配置、远程管理配置等。

点击对应的选项卡，然后根据实际需求进行配置。

配置完成后，我们需要保存配置并生效。

点击界面上的“保存”按钮，然后点击“应用”按钮。

防火墙将会重新加载配置，并生效。

最后，我们需要进行测试，确保防火墙的配置可以实现预期的效果。

可以通过给防火墙配置规则的源地址发送网络流量进行测试，然后查看防火墙是否根据配置对流量进行了相应的处理。

总结起来，配置H3C防火墙需要连接到防火墙的管理界面，配置安全策略、访问规则、NAT规则等，保存配置并生效，最后进行测试。

通过这些步骤，可以配置H3C防火墙以提高网络的安全性和稳定性。

希望以上的H3C防火墙配置教程对您有所帮助。

如果还有其他问题，可以随时向我提问。

DPtech UTM2000-MM
初始化配置中默认g0/0口为WEB配置口，使用其他接口即便配了IP地址也不能使用WEB方式配置。

默认用户名和密码为：admin
1.配置设备名称，配置方法如下：
2.配置WEB管理：
3.配置运行模式为“防火墙”
4.接口配置：
注意：在给接口配置从IP地址的时候一定要点击“添加”按钮，否则添加不成功。

5.配置安全域：
可以点击“新建”按钮来创建安全域，或者点击“编辑”按钮进入“修改安全域”，在这里可以将具体的接口划入某个安全域：
6.给设备进行软件升级：
7.配置防火墙的HA功能：
DPtech的HA技术是将vrrp，接口联动组，和双机热备三种技术相结合来实现的，因此要想实现其HA功能，三者必须相互结合才能达到最佳效果。

第一步：配置VRRP
配置VRRP需要3个IP地址，主机一个，备机一个，还有一个共同的虚拟IP地址：
进入VRRP界面点击配置图标，然后输入相关的虚拟IP地址信息
也可以通过命令行的方式来实现，如下：
第二步：配置接口组联动：（接口联动是指在某一个端口出现故障切换到备机时自动关闭其他联动端口）
第三步：配置双机心跳线：
8.配置域间策略：
防火墙> 安全策略> 域间策略
9.配置静态NAT：。

H3C路由器gre over ipsec和ipsec over gre的差别与配置方法概念区分IPSEC Over GRE即IPSEC在里，GRE在外。

先把需要加密的数据包封装成IPSEC包，然后再扔到GRE隧道里。

作法是把IPSEC的加密图作用在Tunnel口上的，即在Tunnel口上监控（访问控制列表监控本地ip网段-源ip和远端ip 网段-目的地），是否有需要加密的数据流，有则先加密封装为IPSEC包，然后封装成GRE包进入隧道（这里显而易见的是，GRE隧道始终无论如何都是存在的，即GRE隧道的建立过程并没有被加密），同时，未在访问控制列表里的数据流将以不加密的状态直接走GRE隧道，即存在有些数据可能被不安全地传递的状况。

GRE Over IPSEC是指，先把数据分装成GRE包，然后再分装成IPSEC包。

做法是在物理接口上监控，是否有需要加密的GRE流量（访问控制列表针对GRE 两端的设备ip），所有的这两个端点的GRE数据流将被加密分装为IPSEC包再进行传递，这样保证的是所有的数据包都会被加密，包括隧道的建立和路由的建立和传递。

无论是哪种数据流，若一方进行了加密，而另一方没有配，则无法通讯，对于GRE则，路由邻居都无法建立。

另一个概念是隧道模式和传输模式。

所谓的隧道模式还是传输模式，是针对如ESP如何封装数据包的，前提是ESP在最外面，如果都被Over到了GRE里，自然谈不上什么隧道模式和传输模式（都为隧道模式）。

只有当GRE Over IPSEC 的时候，才可以将模式改为传输模式。

IPSEC不支持组播，即不能传递路由协议，而GRE支持。

配置方法两者配置方法上差别不大，注意定义访问控制列表的流量、配置过程中的对端地址以及策略应用位置即可。

总结一下就是：gre ove ipsec在配置访问控制列表时应配置为物理端口地址，而IPSEC Over GRE中则应配置为兴趣流量网段地址。

在gre ove ipsec配置对端地址过程中全都配置为相应物理地址，而IPSEC Over GRE中则全都配置为对端tunnel口虚拟地址。

防火墙使用VRRP虚地址建立GRE典型配置一、组网需求：两端防火墙设备计划建立GRE隧道，但由于一端为VRRP组网，所以需要使用VRRP的虚地址来创建GRE Tunnel。

在VRRP发生切换的时候，相应的GRE隧道也可以发生切换，进行备份。

【注意】：GRE Tunnel接口上是无法运行VRRP协议的，但可以运行OSPF、IPSec、组播等协议。

二、配置步骤：1. FW A配置# interface Tunnel100ip address 100.1.1.2 255.255.255.252source 8.1.1.2destination 8.1.1.10 //destination地址指向VRRP虚地址# firewall zone trustadd interface GigabitEthernet0/0 add interface Tunnel100 //Tunnel口也必须加入安全域set priority 852. FW B配置B1和B2的配置完全相同# interface Tunnel100ip address 100.1.1.1 255.255.255.252source 8.1.1.10 //source地址使用VRRP虚地址destination 8.1.1.2# firewall zone trustadd interface GigabitEthernet0/0 add interface Tunnel100 //Tunnel口也必须加入安全域set priority 85完成上述配置后，发现接口协议UP，也可以ping通本端，但却无法ping通对端。

[FW_B1]dis ip inter br*down: administratively down (s): spoofingInterface IP Address Physical ProtocolDescriptionTunnel100 100.1.1.1 up upTunnel100...[FW_B1]ping 100.1.1.1PING 100.1.1.1: 56 data bytes, press CTRL_C to break Reply from 100.1.1.1: bytes=56 Sequence=1 ttl=255 time=1 ms[FW_B1]ping 100.1.1.2PING 100.1.1.2: 56 data bytes, press CTRL_C to break Request time out三、原因分析原因在于B1设备属于V3平台防火墙，在引用VRRP虚地址作为GRE的source地址时，GRE Tunnel只是在控制平面协议UP了，但无法真正在数据平面完成数据转发。

H3C交换机VRRP配置配置环境参数』SwitchA通过E0/24与SwitchC相连，通过E0/23上行SwitchB通过E0/24与SwitchC相连，通过E0/23上行交换机SwitchA通过ethernet 0/24与SwitchB的ethernet 0/24连接到SwitchCSwitchA和SwitchB上分别创建两个虚接口，interface vlan 10和interface 20做为三层接口，其中interface vlan 10分别包含ethernet 0/24端口，interface 20包含ethernet 0/23端口，做为出口。

『组网需求』SwitchA和SwitchB之间做VRRP，interface vlan 10做为虚拟网关接口，Switch A为主设备，允许抢占，SwitchB为从设备，PC1主机的网关设置为VRRP虚拟网关地址192.168.100.1，进行冗余备份。

访问远端主机PC2 10.1.1.1/242 数据配置步骤『两台交换机主备的配置流程』通常一个网络内的所有主机都设置一条缺省路由，主机发往外部网络的报文将通过缺省路由发往该网关设备，从而实现了主机与外部网络的通信。

当该设备发生故障时，本网段内所有以此设备为缺省路由下一跳的主机将断掉与外部的通信。

VRRP就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如以太网）设计。

VRRP可以将局域网的一组交换机（包括一个Master即活动交换机和若干个Backup即备份交换机）组织成一个虚拟路由器，这组交换机被称为一个备份组。

虚拟的交换机拥有自己的真实IP地址（这个IP地址可以和备份组内的某个交换机的接口地址相同），备份组内的交换机也有自己的IP地址。

局域网内的主机仅仅知道这个虚拟路由器的IP地址（通常被称为备份组的虚拟IP地址），而不知道具体的Master交换机的IP地址以及Backup交换机的IP地址。

h3c路由器防火墙怎么样设置h3c路由器防火墙怎么样设置才最好呢?小编来告诉你!下面由店铺给你做出详细的h3c路由器防火墙设置介绍!希望对你有帮助!h3c路由器防火墙设置一：打开IE浏览器，在IE地址栏中输入192.168.0.1(不同品牌路由器可能登录的网关地址会有不同比如有的是192.168.1.1的网关，路由器底面的贴条上一般都注明，包括用户名和密码)。

，然后回车，出来一个用户名密码的登录小页面，初始用户名和密码默认都是admin，输入之后，点”确定“进入路由器设置界面。

在路由器设置界面左面菜单栏里有一项“快速设置”选项，点击该项，然后出来一个页面让选择上网方式(若联通或者电信，给的是账号密码就选择PPPOE方式，若给的是一组IP地址，选择静态IP方式，静态IP方式下，填写上网宽带信息的时候，记得填上当地的DNS)。

然后点击下一步，填写无线网账号和密码，点击保存，在路由器菜单栏最下面“系统工具”中有“重启路由器”选项，点击重启后就可以上网了。

h3c路由器防火墙设置二：内部电脑，是通过防火墙的端口进行NAT转换上网的。

端口是可以全堵上，但是，你会发现好多东西用不了了。

上网行为我知道的有百络网警，但是用硬件比较好。

管理也方便。

如果人数多。

最好是架设一台专门的服务器，用域控来管理，再装上ISA的代理防火墙。

控制效果好。

硬件上网行为管理有多。

h3c路由器防火墙设置三：初始化配置〈H3C〉system-view开启防火墙功能，并默认允许所有数据包通过[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域(untrust外网，trust内网;端口号请参照实际情况)[H3C] firewall zone untrust[H3C-zone-untrust] add interface Ethernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface Ethernet0/1工作模式，默认为路由模式[H3C] firewall mode route开启所有防范功能[H3C] firewall defend all配置内网LAN口IP(内网IP地址请参考实际情况)[H3C] interface Ethernet0/1[H3C-interface] ip address 192.168.1.1 255.255.255.0配置外网IP(也就是电信给你们的IP和子网掩码)[H3C] interface Ethernet0/0[H3C-interface] ip address X.X.X.X X.X.X.X.X配置NAT地址池(填写电信给你们的IP地址，填写两次)[H3C]nat address-group 1 X.X.X.X X.X.X.X.X配置默认路由(出外网的路由,字母代表的是电信分配你们的外网网关地址，不知道就问电信)[H3C]ip route-static 0.0.0.0 0.0.0.0 Y.Y.Y.Y preference 60配置访问控制列表(上网必须配置)[H3C]acl number 2001[H3C-ACL]rule 1 permit source 192.168.1.0 0.0.0.255应用访问控制列表到端口，并开启NAT上网功能[H3C]interface Ethernet1/0[H3C-interface]nat outbound 2001 address-group 1配置DHCP[H3C] dhcp enable[H3C-dhcp] dhcp server ip-pool 0[H3C-dhcp] network 192.1681.0 mask 255.255.255.0[H3C-dhcp] gateway-list 192.168.1.1[H3C-dhcp] dns-list X.X.X.X(配置你们这里的DNS服务器地址) 其它配置：允许网页配置[H3C] undo ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3配置telnet远程登录[H3C-vty] user-interface vty 0 4[H3C-vty] authentication-mode schem/password[H3C-vty] user privilage 3完成某项配置之后要回到[H3C] 提示符下面请按q再回车。

VRRP网络拓扑图如下所示S1:<H3C>sys[H3C]sys S1[S1]vlan 10[S1-vlan10]port g1/0/1 [S1-vlan10]vlan 20[S1-vlan20]port g1/0/2 [S1-vlan20]vlan 30[S1-vlan30]port g1/0/3[S1-vlan30]vlan 40[S1-vlan40]port g1/0/4[S1-vlan40]int range g1/0/5 to g1/0/6[S1-if-range]port link-type trunk[S1-if-range]port trunk permit vlan all[S1-if-range]quS2:[S2]vlan 10[S2-vlan10]vlan 20[S2-vlan20]vlan 30[S2-vlan30]vlan 40[S2-vlan40]int vlan 10[S2-Vlan-interface10]ip ad 192.168.10.1 24[S2-Vlan-interface10]vrrp vrid 10 virtual-ip 192.169.10.254 [S2-Vlan-interface10]vrrp vrid 10 priority 110[S2-Vlan-interface10]int vlan 20[S2-Vlan-interface20]ip ad 192.168.20.1 24This subnet overlaps with another interface![S2-Vlan-interface20]vrrp vrid 10 virtual-ip 192.169.20.254 [S2-Vlan-interface20]vrrp vrid 10 priority 110[S2-Vlan-interface20]vrrp vrid 10 preempt-mode delay 5 [S2-Vlan-interface20]int vlan 30[S2-Vlan-interface30]ip ad 192.168.30.1 24[S2-Vlan-interface30]vrrp vrid 10 virtual-ip 192.169.30.254 [S2-Vlan-interface30]vrrp vrid 10 priority 100[S2-Vlan-interface30]vrrp vrid 10 preempt-mode delay 5 [S2-Vlan-interface30]int vlan 40[S2-Vlan-interface40]ip ad 192.168.40.1 24[S2-Vlan-interface40]vrrp vrid 10 virtual-ip 192.169.40.254 [S2-Vlan-interface40]vrrp vrid 10 priority 100[S2-Vlan-interface40]qu验证vrrp冗余网关是否配置成功：[S2]dis vrrpIPv4 Virtual Router Information:Running mode : StandardTotal number of virtual routers : 4Interface VRID State Running Adver Auth VirtualPri Timer Type IP--------------------------------------------------------------------- Vlan10 10 Initialize 110 100 None 192.169.10.254Vlan20 10 Initialize 110 100 None 192.169.20.254Vlan30 10 Initialize 100 100 None 192.169.30.254Vlan40 10 Initialize 100 100 None 192.169.40.254S3:<H3C>sys[H3C]sys S3[S3]vlan 10[S3-vlan10]vlan 20[S3-vlan20]vlan 30[S3-vlan30]vlan 40[S3-vlan40]int vlan 10[S3-Vlan-interface10]ip ad 192.168.10.2 24[S3-Vlan-interface10]vrrp vrid 10 virtual-ip 192.169.10.254 [S3-Vlan-interface10]vrrp vrid 10 priority 100[S3-Vlan-interface10]vrrp vrid 10 preempt-mode delay 5 [S3-Vlan-interface10]int vlan 20[S3-Vlan-interface20]ip ad 192.168.20.2 24[S3-Vlan-interface20]vrrp vrid 10 virtual-ip 192.169.20.254 [S3-Vlan-interface20]vrrp vrid 10 priority 100[S3-Vlan-interface20]vrrp vrid 10 preempt-mode delay 5 [S3-Vlan-interface20]int vlan 30[S3-Vlan-interface30]ip ad 192.168.30.2 24[S3-Vlan-interface30]vrrp vrid 10 virtual-ip 192.169.30.254 [S3-Vlan-interface30]vrrp vrid 10 priority 110[S3-Vlan-interface30]vrrp vrid 10 preempt-mode delay 5 [S3-Vlan-interface30]int vlan 40[S3-Vlan-interface40]ip ad 192.168.40.2 24[S3-Vlan-interface40]vrrp vrid 10 virtual-ip 192.169.40.254 [S3-Vlan-interface40]vrrp vrid 10 priority 110[S3-Vlan-interface40]vrrp vrid 10 preempt-mode delay 5 [S3-Vlan-interface40]qu[S3]dis vrrpIPv4 Virtual Router Information:Running mode : StandardTotal number of virtual routers : 4Interface VRID State Running Adver Auth VirtualPri Timer Type IP--------------------------------------------------------------------- Vlan10 10 Initialize 100 100 None 192.169.10.254Vlan20 10 Initialize 100 100 None 192.169.20.254Vlan30 10 Initialize 110 100 None 192.169.30.254Vlan40 10 Initialize 110 100 None 192.169.40.254。

H3CS9500交换机RPR三层组网功能的配置H3C S9500交换机RPR（Route Protocol Readiest）三层组网功能是在交换机上配置路由协议，使其能够实现三层（网络层）的功能，如路由转发、路由表管理、子网划分等。

以下是H3C S9500交换机RPR三层组网功能的详细配置步骤。

1.配置三层组网基本设置：（1）设置交换机主机名：sysname SwitchA（2）配置管理地址：interface Vlan-interface 1ip address 192.168.1.1 255.255.255.0quit（3）开启SSH或Telnet远程登录：ssh server enabletelnet server enable2.配置路由协议：（1）配置静态路由：ip route-static 0.0.0.0 0.0.0.0 192.168.1.254（2）配置动态路由：ripnetwork 10.0.0.0quitOSPF协议配置：ospfarea 0.0.0.0network 10.0.0.0 0.0.0.255quit3.配置接口：（1）配置物理接口：interface GigabitEthernet1/0/1port link-type accessport default vlan 10quit（2）配置虚接口：interface Vlan-interface 10ip address 10.0.0.1 255.255.255.0quit（1）创建VLAN：vlan 10vlan 20quit（2）配置接口VLAN绑定：interface GigabitEthernet1/0/1port link-type hybridport hybrid vlan 10 untaggedquit（3）配置虚接口VLAN绑定：interface Vlan-interface 10vlan-type dot1q 10quit5.配置ACL（访问控制列表）：（1）创建ACL：acl number 2000rule permit ip source 10.0.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255quit（2）应用ACL：interface GigabitEthernet1/0/1traffic-filter inbound acl 2000quit6.配置DHCP（动态主机配置协议）：（1）启用DHCP服务：dhcp enable（2）配置DHCP池：interface GigabitEthernet1/0/1dhcp server ip-pool Pool1quit（3）配置DHCP地址池：ip pool Pool1network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1quit以上是H3CS9500交换机RPR三层组网功能的基本配置步骤。

H3C VRRP配置案例3.4.1 VRRP单备份组举例1. 组网需求主机A把路由器A和路由器B组成的VRRP备份组作为自己的缺省网关，访问Internet上的主机B。

VRRP备份组构成：备份组号为1，虚拟IP地址为202.38.160.111，路由器A做Master，路由器B做备份路由器，允许抢占。

2. 组网图图3-3 VRRP单备份组配置组网图3. 配置步骤配置路由器A：[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111[H3C-Ethernet1/0/0] vrrp vrid 1 priority 120[H3C-Ethernet1/0/0] vrrp vrid 1 preempt-mode timer delay 5配置路由器B：[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111备份组配置后不久就可以使用。

主机A可将缺省网关设为202.38.160.111。

正常情况下，路由器A执行网关工作，当路由器A关机或出现故障，路由器B 将接替执行网关工作。

设置抢占方式，目的是当路由器A恢复工作后，能够继续成为Master执行网关工作。

3.4.2 VRRP监视接口举例1. 组网需求即使路由器A仍然工作，但当其连接Internet的接口不可用时，可能希望由路由器B来执行网关工作。

可通过配置监视接口来实现上述需求。

为了便于说明，设备份组号为1，并增加授权字和计时器的配置（在该应用中不是必须的）。

2. 组网图图3-4 VRRP监视接口配置组网图3. 配置步骤配置路由器A：# 创建一个备份组。

[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111# 设置备份组的优先级。

[H3C-Ethernet1/0/0] vrrp vrid 1 priority 120# 设置备份组的认证字。

H3C配置vrrp的方法H3C的VRRP的配置，包括了vrrp的认证，vrrp跟踪接口状态等.下面是店铺收集整理的H3C 配置vrrp的方法，希望对大家有帮助~~H3C 配置vrrp的方法实验拓扑如下：IP地址规划如上图所示，其中虚拟地址为192.168.1.254/24，RT1跟RT2虚拟出虚拟网关，其中配置如下：①RT1的G0/0/1口配置：interface GigabitEthernet0/0/1 port link-mode route ip address 192.168.1.252 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.254 vrrp vrid 1 priority 200 vrrp vrid 1 authentication-mode simple 123②RT2的G0/0/1口配置：interface GigabitEthernet0/0/1 port link-mode route ip address 192.168.1.253 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.1.254 vrrp vrid 1 priority 220 vrrp vrid 1 track interface GigabitEthernet0/0/2 reduced 30 vrrp vrid 1 authentication-mode simple 123配置完成之后，VRRP的状态如下图：①RT2上的vrrp状态：②RT1上的vrrp状态：从“2”中的配置可以看出，RT2跟踪了上联接口的G0/0/2的状态，现在把RT2的G0/0/2口shutdown，各个vrrp组成员的状态如下：①RT2上的vrrp状态：②RT1上的vrrp状态：注释：可以很清楚的看到，RT2已经从master状态变为backup 状态，而且优先级减少了30.H3C 配置vrrp。