双机热备OSPF组网配置指导手册v

OSPF协议原理及配置详解OSPF（Open Shortest Path First）是一种用于计算机网络中的内部网关协议（IGP），用于在大型网络中动态确定数据包的传输路径。

其算法基于Dijkstra最短路径算法，并支持IPv4和IPv6网络。

OSPF的工作原理如下：1. 链路状态数据库（Link State Database）：每个OSPF路由器都维护着一个链路状态数据库，其中存储了它所连接的所有网络的信息，包括链路的状态、带宽、延迟等。

每个OSPF路由器通过发送链路状态更新（Link State Update）将自己的链路状态信息告知其他路由器。

2.路由器之间的邻居关系建立：OSPF路由器之间通过邻居发现过程建立邻居关系。

当一个OSPF路由器启动时，它会向网络广播HELLO消息来寻找其他路由器。

当两个路由器之间收到彼此的HELLO消息时，它们可以建立邻居关系。

3. 路由计算：每个OSPF路由器通过收集链路状态信息来计算最短路径。

路由器将链路状态信息存储在链路状态数据库中，并使用Dijkstra 最短路径算法来确定到达目标网络最短路径。

4.路由更新：当链路状态发生变化时，OSPF路由器将会发送更新消息通知其他路由器。

其他路由器接收到更新消息后，会更新自己的链路状态数据库，并重新计算最短路径。

OSPF的配置如下：1. 启用OSPF协议：在路由器配置模式下使用"router ospf"命令启用OSPF协议。

2. 配置区域（Area）：将网络划分为不同的区域。

在配置模式下使用"area <区域号> range <网络地址> <网络掩码>"命令将网络地址加入到区域中。

3. 配置邻居：使用"neighbor <邻居IP地址>"命令来配置OSPF邻居关系。

邻居IP地址可以手动配置或通过HELLO消息自动发现。

双机部署注意事项硬件限制1.只支持两台设备做双机。

2.主备设备产品硬件型号相同，比如要求相同的板卡数量，接口卡位置，版本型号，licensen。

3.为防止业务异常，对于USG9500系列设备，在两个主控板都被拔出或故障时，需要将设备下电或将所有的接口板拔出。

软件限制1.主备设备的软件版本必须一致2.主备设备的Bootrom版本必须一致3.双机热备组网中，主备设备之间每24小时会进行一次配置一致性检查，要求主备设备上配置必须完全一致，比如安全策略，NAT策略，带宽策略，策略路由等。

4.建议实施主备设备部署时，配置文件均为初始文件。

5.主备设备需要选择相同的业务接口和心跳口，对应接口必须加入相同的安全区域。

6.配置了vrrp virtual-mac enable命令的接口不能作为心跳口，心跳口的MTU值必须是缺省值1500。

7.主备设备业务接口的IP地址必须固定，因此双机热备特性不能与PPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。

场景一上行路由器ospf协议，下行交换机vrrp协议1.为实现快速切换在主防火墙上下行接口应加入同一个link-group2.配置nat地址池静态黑洞路由，引入到ospf进行发布3.开启hrp快速备份功能4.为提高心跳接口高可靠性（a.配置多心跳口 b.配置E-Trunk，逐包转发load-balance src-dst-ip），主备防火墙心跳接口之间如果有三层设备（如路由器），配置时应带remote参数，同时放行心跳接口所在安全区域和local之间的安全策略。

主备防火墙接口推荐直连，配置时不用带remote 参数，不用放行安全策略。

5.主墙上业务端口配置hrp track active,备墙业务接口上配置hrp trackstandby,主墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x active，备墙下业务端口配置vrrp vrid 1 virtual-ip x.x.x.x standby。

OSPF配置步骤1、设备配置将OSPF模块加载到网络设备上，并启用和配置路由协议，如果要使用指定路由协议，必须先进行配置。

2、配置Router IDRouter ID是使用OSPF协议进行通信的路由器节点的标识，在路由器中是唯一的，它必须在OSPF配置的初始步骤中显式定义，无法由系统选择。

可以使用任何32位的IPv4地址，通常是路由器接口的IP地址或者一个特定的Loopback地址。

3、定义网络网络是OSPF划分子网关系和路由器节点间连接点之间的逻辑连接。

定义网络时，需要指定一个“主机”IP地址，它将决定路由器节点间连续网络之间接口上启用OSPF的哪一方。

4、指定区域通过区域可以将路由器分割为一个或多个网络拓扑，以便管理路由条目的传输和收集。

OSPF协议分为区域型、网络型和主机型，每种类型运行不同的OSPF协议。

5、定义路由器节点路由器节点是OSPF网络中的分隔点，连接网络的另一部分。

在网络中，每一个路由器都是一个独立的实体，关联拥有不同或相同网络地址部分网络范围的路由器节点6、设置网络拓扑结构在网络设置完成后，可以按照自己的需求设置不同的网络拓扑结构，包括内网、外网、跨网等。

此外，还可以添加OSPF路由记录以控制流量，以及管理拓扑路由器之间的OSPF链路。

7、OSPF安全配置OSPF安全配置是重要的，可以防止“联盟”路由器的攻击，以及“源路由”攻击，让网络免受外界的威胁，保证网络的稳定性。

8、OSPF性能调整OSPF性能调整可以通过更改链路延迟，使用加权路由等方式来调整，以优化OSPF网络的通信效率和性能。

9、运行测试测试OSPF有效性并验证配置的正确性，以保证OSPF的正确性和安全性，测试过程中可以检查配置、状态和链接数据，以确保正确的路由决策和稳定的通信结果。

防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。

防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

1 1:防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。

1.1 1.1 HRP命令行配置说明HRP是华为的冗余备份协议， Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。

不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文.在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等.两台防火墙正确配置VRRP，VGMP，以及HRP之后,将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。

双机热备配置举例目录1双机热备配置举例1.1 配置主备备份方式下的双机热备1.2 配置负载分担方式上下行设备是路由器的双机热备1.3配置负载分担方式下业务接口工作在交换模式的双机热备1.4 配置主备备份方式下VRRP 和OSPF 结合的双机热备1.5 配置主备备份方式下OSPF 与NAT 结合的双机热备1双机热备配置举例通过配置双机热备功能，可以确保主用设备出现故障时能由备份设备平滑地接替工作。

配置主备备份方式下的双机热备Eudemon 作为安全设备部署在业务节点上，上下行设备均是交换机，实现主备备份的双机热备份组网。

配置负载分担方式上下行设备是路由器的双机热备Eudemon 作为安全设备部署在业务节点上，上下行设备均是路由器，实现负载分担的双机热备份组网。

配置负载分担方式下业务接口工作在交换模式的双机热备Eudemon 上下行设备均是路由器，主备设备的业务接口工作在交换模式下，在上下行路由器之间透传OSPF 协议，同时对业务流量提供安全过滤功能。

配置主备备份方式下VRRP和OSPF结合的双机热备主备设备与路由器运行OSPF协议，与交换机运行VRRP , 实现主备备份的双机热备份组网。

配置主备备份方式下OSPF与NAT结合的双机热备主备设备与路由器及下行设备GGSN设备运行OSPF协议，在设备上配置NAT功能，实现主备备份的双机热备份组网。

父主题：典型配置案例1.1配置主备备份方式下的双机热备Eudemon作为安全设备部署在业务节点上，上下行设备均是交换机，实现主备备份的双机热备份组网。

组网需求Eudemon作为安全设备被部署在业务节点上。

其中上下行设备均是交换机，Eudemon_A、Eudemon_B分别充当主用设备和备用设备。

网络规划如下：•内部网络通过路巾器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/2接口相连，部署在Trust区域。

•外部网络通过路由器与Eudemon_A、Eudemon_B 的GigabitEthernet 0/0/1接口相连，部署在Untrust区域。

双机热备软件的安装与配置指导手册系统版本：A1文档编号：CHI-PT-NJBL-SJRB-A0内容简介《双机热备软件的安装与配置指导手册》主要针对目前公司人员定位系统服务器双机热备软件的安装和配置进行了详细说明，指导现场工程师对双机热备软件进行安装及配置。

本手册共分四章节，分别为：第一章：概述第二章：软件的安装第三章：服务的安装及配置第四章：注意事项第五章：常见故障处理本文档的读者范围：公司内部员工版权声明本文档属南京北路科技有限公司版权所有，侵权必究。

本文文件专供用户、本公司职员以及经本公司许可的人员使用，未经公司书面同意，任何单位或个人不得以任何方式复制、翻印、改编、摘编、转载、翻译、注释、整理、出版或传播手册的全部或部分内容。

南京北路自动化系统有限责任公司位于南京江宁经济技术开发区，是南京市高新技术企业，现有高级工程师、工程师及其他专业技术人员100余名。

是专业从事煤矿通信、自动化、信息化产品的研发、生产、销售及服务的高科技公司。

公司拥有ISO9001:2000质量管理体系认证，坚持“质量第一、用户至上、至诚服务、持续改进”的质量方针，得到了广大客户的信赖和支持。

目前公司产品覆盖全国10多个省、自治区，并在多个煤炭主产区设有售后服务机构。

公司以满足客户需求为己任，不断生产高性价比的产品，为客户创造价值。

南京北路自动化系统有限责任公司联系地址：南京市江宁开发区菲尼克斯路99号邮政编码：211106电话号码：(025)52187543传真：(025)52185703邮件地址：*****************客户服务电话：400-611-5166客户支持网站：目录1概述 (1)1.1运行环境 (1)1.2硬件配置 (1)2软件的安装 (1)2.1安装前准备 (1)2.2修改hosts文件 (2)2.3RoseMirrorHA的安装配置 (2)2.4软件配置 (6)3服务的安装及配置 (23)4注意事项 (29)5常见问题处理 (30)插图目录图2-1 软件安装图.................................................................................................. 错误!未定义书签。

Quidway Eudemon300/500/1000配置指南可靠性分册目录目录1双机热备份配置 (1)1.1简介 (2)1.1.1总体概述 (2)1.1.2VRRP概述 (4)1.1.3VGMP概述 (5)1.1.4备份方式分类 (6)1.1.5HRP应用 (10)1.1.6配置设备的主从划分 (10)1.1.7配置命令和状态信息的备份 (11)1.1.8双机热备份的组网方式 (12)1.1.9报文来回路径不一致的组网 (13)1.2配置VRRP备份组 (18)1.2.1建立配置任务 (18)1.2.2配置未加入VRRP管理组的VRRP备份组 (18)1.2.3配置加入VRRP管理组的VRRP备份组 (19)1.2.4检查配置结果 (20)1.3配置VRRP管理组 (21)1.3.1建立配置任务 (21)1.3.2配置路由模式下的VRRP管理组 (22)1.3.3配置混合模式下的VRRP管理组 (23)1.3.4检查配置结果 (24)1.4配置双机热备份 (24)1.4.1建立配置任务 (24)1.4.2配置来回路径一致时的双机热备份 (26)1.4.3检查配置结果 (26)1.5配置来回路径不一致时的链路可达性检查 (27)1.5.1建立配置任务 (27)1.5.2检查链路可达性 (27)1.6使能来回路径不一致时的会话快速备份和报文搬迁 (28)1.6.1建立配置任务 (28)目录Quidway Eudemon300/500/1000配置指南可靠性分册1.6.2使能会话快速备份 (29)1.6.3使能报文搬迁 (29)1.7配置备防火墙上的NAT (30)1.7.1建立配置任务 (30)1.7.2配置备防火墙上的NAT (30)1.7.3配置备防火墙上的内部服务器 (30)1.8维护 (31)1.8.1调试VRRP报文、状态和定时器 (31)1.8.2调试VRRP管理组 (31)1.8.3调试HRP (31)1.8.4检查两端配置的一致性 (32)1.8.5查看IP链路状态 (32)1.8.6调试IP链路 (32)1.8.7调试HRP配置检查功能 (33)1.9配置举例 (33)1.9.1配置使用VRRP管理组的主备备份示例 (33)1.9.2配置使用VRRP管理组的负载分担示例 (37)1.9.3配置混合模式下的使用VRRP管理组的主备备份示例 (42)1.9.4配置路由模式下的双机热备份示例 (45)1.9.5配置混合模式下的双机热备份示例 (46)1.9.6配置OSPF和双机热备份混合组网示例 (48)1.9.7配置IP link示例 (56)1.9.8配置两端状态一致性检查 (58)1.9.9配置会话快速备份 (60)1.9.10配置报文搬迁 (61)Quidway Eudemon300/500/1000配置指南可靠性分册插图目录插图目录图1-1来回路径一致组网图 (2)图1-2来回路径不一致组网图 (3)图1-3采用缺省路由的组网 (4)图1-4采用VRRP的虚拟路由器组网 (4)图1-5Eudemon备份的典型组网 (5)图1-6Eudemon备份的状态 (5)图1-7主备备份组网 (6)图1-8负载分担组网（1） (7)图1-9负载分担组网（2） (9)图1-10Eudemon主备备份的典型数据路径 (10)图1-11来回路径不一致组网图 (13)图1-12H型结构 (14)图1-13h型结构 (15)图1-14N型结构 (16)图1-15|-型结构 (17)图1-16使用VRRP管理组的主备备份组网 (34)图1-17使用VRRP管理组的负载分担组网 (38)图1-18混合模式下的VRRP管理组的主备备份组网图 (42)图1-19混合模式下的双机热备分组网图 (47)图1-20OSPF和双机热备份混合组网图 (49)图1-21采用路由器的双机热备分组网图 (56)图1-22配置两端状态一致性检查组网图 (59)图1-23配置会话快速备份 (60)Quidway Eudemon300/500/1000配置指南可靠性分册表格目录表格目录表1-1主备备份方式下各设备的状态 (7)表1-2负载分担方式下各设备的状态（1） (8)表1-3负载分担方式下各设备的状态（2） (8)表1-4检查VRRP备份组配置 (20)表1-5检查VRRP管理组配置 (24)表1-6检查双机热备配置 (26)表1-7调试VRRP报文、状态和定时器的相关操作 (31)表1-8调试VRRP管理组的相关操作 (31)表1-9调试HRP的相关操作 (31)表1-10查看IP链路状态 (32)表1-11调试IP链路的相关操作 (33)表1-12调试HRP配置检查功能的相关操作 (33)Quidway Eudemon300/500/1000配置指南可靠性分册1双机热备份配置1双机热备份配置关于本章本章描述内容如下表所示。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

负载分担模式双机热备典型配置举例4.1 组网需求在图36所示的防火墙动态路由OSPF双机热备组网中，需要实现：∙  通过配置等价路由，在主、备防火墙正常工作时，主、备防火墙可以负载分担内外网流量。

∙  当其中一台防火墙故障或与两台交换机相连的某一条链路故障时，流量可以及时从两台防火墙切换至一台防火墙，从而保证新发起的会话能正常建立，当前正在进行的会话也不会中断，网络业务能够平稳运行。

图36 负载分担模式双机热备组网图4.2 配置思路为了使数据流量能够负载分担通过防火墙进行转发，需要使防火墙的路由度量值保持一致。

4.3 使用版本本举例是在U200-A R5135版本上进行配置和验证的。

4.4 配置注意事项∙  双机热备只支持两台设备进行备份。

∙  双机热备的两台设备要求硬件配置和软件版本一致，并且要求接口卡的型号与所在的槽位一致，否则会出现一台设备备份过去的信息，在另一台设备上无法识别，或者找不到相关物理资源，从而导致流量切换后报文转发出错或者失败。

∙  在双机热备页面进行配置后，如果没有提交配置就单击<修改备份接口>按钮进入备份接口配置页面，则对双机热备页面进行的配置会丢失。

∙  双机热备的两台设备上的备份接口之间可以通过转发设备（如：路由器、交换机、HUB）进行中转，但是必须保证经过转发设备后报文携带的Tag为备份VLAN的VLAN Tag。

4.5 配置步骤4.5.1 Firewall A的配置1. 通过Web方式配置(1)配置接口GigabitEthernet0/1、GigabitEthernet0/2接口的IP地址。

# 在导航栏中选择“设备管理> 接口管理”。

点击接口对应的编辑按钮“”，进入“接口编辑”配置页面。

# 配置接口工作在“三层”模式以及IP地址。

SecPath防火墙双机热备典型配置举例关键词：双机热备、主备模式、负载分担模式、数据同步、流量切换摘要：防火墙设备是所有信息流都必须通过的单一点，一旦故障所有信息流都会中断。

保障信息流不中断至关重要，这就需要解决防火墙设备单点故障问题。

双机热备技术可以保障即使在防火墙设备故障的情况下，信息流仍然不中断。

本文将介绍双机热备的概念、工作模式及典型应用等。

缩略语：目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置： (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式＋主备模式 (9)4.3.2 透明模式＋负载分担模式 (14)4.3.3 路由模式＋主备模式 (17)4.3.4 路由模式＋负载分担模式 (19)4.3.5 路由模式＋主备模式＋支持非对称路径 (21)4.3.6 路由模式＋负载分担模式＋支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前，对会话信息进行主备同步；在设备故障后能将流量切换到其他备份设备，由备份设备继续处理业务，从而保证了当前的会话不被中断。

secpath防火墙具有多样化的组网方式，双机的组网应用也会很多种，本文试举几种双机热备的典型应用。

1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份，保证流量切换后会话连接不中断。

而流量的切换则依靠传统备份技术（如VRRP、动态路由）来实现，应用灵活，能适应各种组网环境。

防火墙双机热备特性FAQ1：问：R6新增了支持防火墙和路由器双机热备份组网，的这种组网是如何实现的防火墙主备组网的，需要在防火墙上配置哪些命令，需要注意哪些东西？答：R6上新增支持防火墙和路由器双机热备份组网，这种组网防火墙和路由器之间器OSPF 协议，同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值，使得路由器学到的路由都指向主防火墙，保证业务都从主防火墙上过，形成双机热备份的。

为了实现防火墙和双机热备份组网，需要在主备防火墙上配置命令：hrp ospf-cost adjust-enable，这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值，主防火墙直接发布路由。

这个COST值默认是65500。

防火墙和路由器组网的时候，心跳线不能配置成transfer-only，同时需要使用VRRP的优先级作为防火墙的VGMP的优先级，VRRP需要track上和路由器相连的接口。

2：问：R6双机热备份是如何支持来回路径不一致的，会话快速备份和传统的会话实时备份有什么区别，会话快速备份涉及到哪些命令行。

答：R6是通过支持会话快速备份来支持来回路径不一致的，会话快速备份就是在会话建立的时候就立即备份到对端防火墙上，保证即使是来回路径不一致，到备防火墙上的报文也能命中会话进行转发。

会话快速备份和传统的会话实时备份的区别是：1：会话快速备份在会话一建立就备份到备防火墙上，而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的，所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上，所以仅仅有会话实时备份不能支持来回路径不一致。

2：会话快速备份能备份tcp半连接会话和ICMP会话，而会话实时备份不备份半连接会话和ICMP的会话。

会话快速备份首先需要配置心跳口，并配置high-availability参数，保证此接口是高可用性接口，同时配置hrp mirror session enable。

配置OSPF路由协议在网络中配置OSPF（Open Shortest Path First）路由协议，可以实现动态路由的选择和更新，增加网络的可靠性和灵活性。

下面将介绍如何配置OSPF路由协议。

1.确定OSPF区域划分：在OSPF中，网络被划分为不同的区域（Area），每个区域都有一个唯一的标识符。

根据网络拓扑和需求，确定需要划分的区域数量和标识符。

2.配置路由器接口：将路由器的各个接口与网络连接，并进行必要的IP地址配置。

每个接口的IP地址应属于同一区域，并通过命令“router ospf area 区域编号”将接口连接到对应的区域。

3.配置区域边界路由器（ABR）：ABR是连接不同区域的路由器，需要进行特殊的配置。

在ABR上，通过命令“router ospf area 区域编号”将接口连接到对应的区域，并使用命令“area 区域编号 range 网络地址子网掩码”将其连接的网络范围标记为该区域。

4.配置自治系统边界路由器（ASBR）：ASBR是连接不同自治系统（AS）的路由器，需要进行特殊的配置。

在ASBR上，使用命令“router ospf”进入OSPF配置模式，并使用命令“re distribute 子网号子网掩码”将其连接的网络添加到OSPF路由表中。

5.配置OSPF路由协议：在每台路由器上，使用命令“router ospf 进程号”进入OSPF配置模式，并使用命令“network 子网号子网掩码 area 区域编号”将该路由器的接口添加到OSPF路由表中。

6.配置路由器的优先级：OSPF通过区域的优先级来选择区域内的DR（Designated Router）和BDR（Backup Designated Router）。

可以通过命令“priority 数字”设置路由器的优先级（默认为1），数字越大优先级越高。

7.验证OSPF配置：使用命令“show ip ospf”来验证OSPF路由协议的配置情况。

华为OSPF协议基本配置OSPF（Open Shortest Path First）是一种链路状态路由协议，常用于大型网络中的内部网关协议（IGP）。

华为设备支持OSPF协议，并提供丰富的配置选项来进行基本的OSPF协议配置。

1. 配置路由器ID（Router ID）：在OSPF协议中，每个路由器都需要一个唯一的路由器ID来标识自己。

华为设备可以使用以下命令配置路由器ID：```[RouterA] ospf router-id 1.1.1.1```2. 配置区域（Area）：OSPF使用区域的概念来实现路由器的分层结构，不同区域之间的通信需要经过区域边界路由器（ABR）或自治系统边界路由器（ASBR）。

华为设备可以使用以下命令配置区域：```[RouterA] ospf area 0```3.配置接口：在OSPF中，需要将路由器的接口添加到相应的区域中，以便进行邻居关系的建立和路由信息的交换。

华为设备可以使用以下命令将接口添加到OSPF中：```[RouterA] interface GigabitEthernet 0/0/1[RouterA-GigabitEthernet0/0/1] ospf enable[RouterA-GigabitEthernet0/0/1] ospf area 0```4. 配置路由汇总（Route Summarization）：OSPF允许在ABR或ASBR上进行路由汇总，以减少网络中的路由表项数量和路由信息的传输量。

华为设备可以使用以下命令配置路由汇总：```[RouterA] ospf abr-summary 10.0.0.0 255.0.0.0```5. 配置路由过滤（Route Filtering）：OSPF允许在路由器上对路由进行筛选，以控制路由的学习和传播。

华为设备可以使用以下命令配置路由过滤：```[RouterA] ospf distribute-list export prefix-list PREFIX-LIST-OUT[RouterA] ospf distribute-list import prefix-list PREFIX-LIST-IN```6. 配置路由聚合（Route Aggregation）：OSPF允许在路由器上对多个具有相同前缀的路由进行聚合，以减少路由表项的数量和路由信息的传输量。

Cisco路由器双机热备的全面配置示例对于某些企业或组织的某些关键业务数据的网络传输,要求网络设备高度的可靠性，而且需要维护方便。

Cisco路由器的备份技术有多种。

这里介绍一下路由器自身的备份技术及线路备份技术。

一般来说，路由器是建立局域网与广域网连接的桥梁。

所谓的路由器自身的备份技术是为了解决路由器由于自身硬件（如内存、CPU）或软件IOS的某种故障或局域端口的故障，所连接局域设备的端口或线路的故障所导致的网络瘫痪的问题。

路由器的备份要求至少有一台与正在工作的主路由器功能相同的路由器，在主路由器瘫痪的情况下，以某种方式代替主路由器，为局域网用户提供路由服务。

对于局域网的计算机，在主路由器瘫痪的情况下，如何找到备份路由器，主要有以下集中办法：proxy AR PIRDP动态路由HSRPProxy AR P支持Proxy AR P 的计算机无论与本网段的计算机还是不同网段的计算机进入通讯都发送AR P广播以寻找与目的地址相对应的MAC地址，这时，知道目的地址的路由器会响应AR P的请求，并将自己的MAC地址广播给源计算机，然后源计算机就将IP数据包发给该路由器，并由路由器最终将数据包发送到目的。

在主路由器瘫痪情况下，计算机再进行通讯时，它将继续发送Proxy AR P广播，备份路由器响应该请求，并进行数据传输。

缺点：如果主路由器正在传输数据时瘫痪，正在通信的计算机在未发送另外的Proxy AR P请求之前．根本就无法知道主路由器已瘫痪，会继续向该路由器发包，导致传输中断，正在通信的计算机只有在另外发送Proxy AR P请求或重新启动之后才能找到备份路由器以进行传输。

Ｃisco路由器支技Proxy AR PIRDP局域网中的支持IRDP的计算机会监听主路由器发出的“Hello”的多点广播信息包，如果该计算机不再收到“Hello”信息时，它就会利用备份路由器进行数据传输。

动态路由对于某些计算机，它们本身支持RIP动态路由以寻找路由器，这种办法的缺点是主路由器与备份路由器间的转换较慢。

华为防火墙实现双机热备配置详解，附案例一提到防火墙，一般都会想到企业的边界设备，是内网用户与互联网的必经之路。

防火墙承载了非常多的功能，比如：安全规则、IPS、文件类型过滤、内容过滤、应用层过滤等。

也正是因为防火墙如此的重要，如果防火墙一旦出现问题，所有对外通信的服务都将中断，所以企业中首先要考虑的就是防火墙的优化及高可用性。

本文导读一、双机热备工作原理二、VRRP协议三、VGMP协议四、实现防火墙双机热备的配置一、双机热备工作原理在企业中部署一台防火墙已然成为常态。

如何能够保证网络不间断地传输成为网络发展中急需解决的问题！企业在关键的业务出口部署一台防火墙，所有的对外流量都要经过防火墙进行传输，一旦防火墙出现故障，那么企业将面临网络中断的问题，无论防火墙本身的性能有多好，功能有多么强大。

在这一刻，都无法挽回企业面临的损失。

所以在企业的出口部署两台防火墙产品，可以在增加企业安全的同时，保证业务传输基本不会中断，因为两台设备同时出现故障的概率非常小。

经过图中右边的部署，从拓补的角度来看，网络具有非常高的可靠性，但是从技术的角度来看，还需解决一些问题，正因为防火墙和路由器在工作原理上有着本质的区别，所以防火墙还需一些特殊的配置。

左图，内部网络可以通过R3→R1→R4到达外部网络，也可以通过R3→R2→R4到达，如果通过R3→R1→R4路径的cost（运行OSPF协议）比较小，那么默认情况，内部网络将通过R3→R1→R4到达外部网络，当R1设备损坏时，OSPF将自动收敛，R3将通过R2转发到达外部网络。

右图，R1、R2替换成两台防火墙，默认情况下，流量将通过FW1进行转发到达外部网络，此时在FW1记录着大量的用户流量对应的会话表项内容，当FW1损坏时，通过OSPF收敛，流量将引导FW2上，但是FW2上没有之前流量的会话表，之前传输会话的返回流量将无法通过FW2，而会话的后续流量需要重新经过安全策略的检查，并生成会话。

OSPF配置AS:在共同管理下的一组运行相同库有选择协议的路由器的集合为一个“自治系统”IGP：内部网关路由协议——用于在单一AS内决策路由，用来解决AS内部通信！EGP：外部网关路由协议——用于在多个AS之间执行路由，用来解决AS间通信！ospf基本配置：全局：router ospf +区域号指定ospf协议运行的接口以及所在的区域命令如下：network 网络地址反掩码area 区域号修改接口优先级：router ospf模式：IP ospf priority 数值优先级（0~255）设置为0时不参与选举DR为指定路由器，BDR为备份指定路由器！修改COST值：接口模式：IP ospf cost 数值（1~65535）数值小的优先级大。

查看ospf配置:路由表：show IP route邻居列表及状态：show IP router ospf neighborospf配置：show IP ospfospf 多区域配置ABR(区域边界路由器)：连接一个或多个区域到骨干区域的路由器，并且这些路由器会作为间通信量的路由网关ASBR：（自治系统边界路由器）：可以认为它是ospf域外部的通信量进入ospf域的网关路由器洪扩散。

●组成员LSA(LSA6):是用在OSPF协议的一个增强版本――组播OSPF协议(MOSPF协议)中的。

MOSPF协议将数据包从一个单一的源地址转发到多个目的地，或者是一组共享D类组播地址的成员。

●NSSA外部LSA(LSA7):是指在非纯末梢区域(Not-So-Stubby Area，NSSA)内始发于ASBR路由器的LSA通告。

NSSA外部LSA通告几乎和自主系统外部LSA通告是相同的。

只是不像自主系统外部LSA通告那样在整个OSPF自主系统内进行泛洪扩散，NSSA外部LSA通告仅仅在始发这个NSSA外部LSA通告的非纯末梢区域内部进行泛洪扩散。

●外部属性LSA(LSA8):是被提议作为运行内部BGP协议(iBGP协议)的另一种选择，以便用来传送BGP协议的信息穿过一个OSPF域。

ME60 RUI部署配置方案一、方案目的为规范ME60双机热备份割接数据，实现全省的脚本统一，特制定本脚本规范。

实际业务部署分为PPPOE宽带业务，二层静态专线业务（含NGN），三层MPLS VPN业务。

请参考以下配置规范建议和说明。

二、实际部署配置方案组网模型如下：各业务模块说明如下：a、保护隧道：MPLS LSP方式，基于网络侧路由。

ME60之间无需直连链路。

b、地址池发布方式：共享地址池，保证地址池有效利用。

c、用户信息备份通道RBS：为TCP连接，基于网络侧路由。

d、VRRP：用于判断交换机的主备归属关系，心跳运行于汇聚交换机。

交换机以V字形双上行到ME60。

e、由于交换机限制，仅在ME60之间运行PEER BFD。

f、本次配置，需区分热备用户和非热备用户，即不在一个domain共存。

g、地址池不混用，必须区分热备用户和非热备用户地址池。

配置规范和注释（仅描述和RUI相关部分）：主用设备部分：【全局启用BFD】bfd======================================启用bfd【MPLS公共配置】mpls lsr-id 119.6.140.241======以本地loopback0作为LSRIDmpls#mpls ldp【VPN配置】ip vpn-instance cpqvpn==============L3 VPN实例route-distinguisher 3000:300vpn-target 3000:241 export-extcommunityvpn-target 3000:1 3000:240 import-extcommunity【地址池-宿主】ip pool pppoe bas local=========对于PPPOE业务，地址池宿主设备配置local类型地址池gateway 1.1.1.1 255.255.255.0section 0 1.1.1.2 1.1.1.254dns-server 119.6.6.6#ip pool zhuanxian bas local===========对于公网专线用户，主备机的地址池属性都是local gateway 2.2.2.1 255.255.255.0section 0 2.2.2.2 2.2.2.254excluded-ip-address 2.2.2.2 2.2.2.254dns-server 119.6.6.6#ip pool cpqvpn bas local =============对于VPN专线用户，主备机的地址池属性都是local vpn-instance cpqvpngateway 3.3.3.1 255.255.255.0section 0 3.3.3.2 3.3.3.254excluded-ip-address 3.3.3.3 3.3.3.254【域配置】domain rui_pppoeauthentication-scheme radiusaccounting-scheme radiusip-pool test===================先配置local型地址池，再配置rui_slave混合地址池radius-server group itellinqos rate-limit-mode car inbound=====统一配置这两条命令，规范限速方式为carqos rate-limit-mode car outbound【RBS备份通道配置】remote-backup-service stox =========================配置RBS，即RUI协议使用的用户备份通道，可使用热备的两个局点首字母标示。

【防火墙技术案例5】双机热备（负载分担）组网下的IPSec配置论坛的小伙伴们，大家好。

强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。

说到VPN，小伙伴们肯定首先想到的是最经典的IPSec VPN，而且我想大家对IPSec的配置也是最熟悉的。

但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢？有什么需要注意的地方呢？本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。

【组网需求】如下图所示，总部防火墙NGFW_C和NGFW_D以负载分担方式工作，其上下行接口都工作在三层，并与上下行路由器之间运行OSPF协议。

（本例中，NGFW是下一代防火墙USG6600的简称，软件版本为USG6600V100R001C10）现要求分支用户访问总部的流量受IPSec隧道保护，且NGFW_C处理分支A发送到总部的流量，NGFW_D 处理分支B发送到总部的流量。

当NGFW_C或NGFW_D中一台防火墙出现故障时，分支发往总部的流量能全部切换到另一台运行正常的防火墙。

【需求分析】针对以上需求，强叔先带小伙们做一个简要分析，分析一下我们面临的问题以及解决这个问题的方法。

1、如何使两台防火墙形成双机热备负载分担状态？两台防火墙的上下行业务接口工作在三层，并且连接三层路由器，在这种情况下，就需要在防火墙上配置VGMP组（即hrp track命令）来监控上下行业务接口。

如果是负载分担状态，则需要在每台防火墙上调动两个VGMP组（active组和standby组）来监控业务接口。

2、分支与总部之间如何建立IPSec隧道？正常状态下，根据组网需求，需要在NGFW_A与NGFW_C之间建立一条隧道，在NGFW_B与NGFW_D之间建立一条隧道。

当NGFW_C与NGFW_D其中一台防火墙故障时，NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。

3、总部的两台防火墙如何对流量进行引导？总部的两台防火墙（NGFW_C与NGFW_D）通过路由策略来调整自身的Cost值，从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发，来自NGFW_B的流量通过NGFW_D转发，故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。