防火墙入侵与检测 day05 防火墙可靠性

描述IP-Link的基本原理及应用场景
描述BFD的基本原理
描述IP-Link与BFD的异同
描述双机热备的基本原理
描述双机热备的应用场景
部署双机热备
描述Link-Group的应用场景
部署Eth-Trunk

IP-Link技术

IP-link定义

• IP-Link是指FW通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障。
• FW发送探测报文后，在三个探测周期（默认为15s）内未收到响应报文，则认为当前链路发生故障，IP-Link的状态变为Down。随后，FW会进行IP-Link Down相关的后续操作，例如双机热备主备切换等。
• 当链路从故障中恢复，FW能连续地收到3个响应报文，则认为链路故障已经消除，IP-Link的状态变为Up。也就是说，链路故障恢复后，IP-Link的状态并不会立即变为Up，而是要等三个探测周期（默认为15s）才会变为Up。

IP-link目的
IP-Link主要用于业务链路正常与否的自动侦测，可以检测到与FW不直接相连的链路状态，保证业务持续通畅。

IP-link探测模式（ICMP/ARP）

• icmp模式：防火墙向需要探测的IP地址周期性发送ping报文，检查是否能连续收到对端的回应报文。Icmp探测方式可以用于探测非直连的链路；
• arp模式：防火墙向需要探测的IP地址周期性发送arp请求报文，检查是否能连续收到对端的arp应答报文。Arp探测方式只支持探测直连链路（或中间经过二层设备转发），该探测方式不受目的IP设备上安全策略影响。

在CLI界面，对应的配置命令如下：

[FW] ip-link check enable //在全局模式下启用IP-Link功能
[FW] ip-link name ip-link-name [ vpn-instance vpn-instance-name ]  //创建一条IP-Link并进入IP-Link视图
[FW-iplink-ip-link-name] destination { ipv4-address | domain-name } [ interface interface-type interface-number ] [ mode { icmp [ next-hop { nexthop-ipv4-address | dhcp | dialer } ] | arp } ] //配置IP-Link监控的目的IPv4地址或域名
[FW-iplink-ip-link-name] source-ip ip-address //配置IP-Link探测源IP

IP-Link 网页配置
在Web界面下，选择“策略 > 高可靠性 > IP-Link”，单击“新建”，按上图步骤进行配置。

IP-link应用场景 – 与静态路由联动
当IP-Link自动侦测发现链路故障时，FW会对自身的静态路由进行相应的调整，保证每次用到的链路是最高优先级和链路可达的，以保持业务的持续流通。
[FW] ip route-static ip-address { mask | mask-length } { nexthop-address | interface-type interface-number [ nexthop-address ] } [ preference preference | tag tag ] track ip-link ip-link-name

IP-link应用场景 – 与DHCP联动

IP-Link与DHCP联动
如图所示，FW作为出口网关，采用双上行链路。主链路是FW作为DHCP Client获取IP地址，备链路是PPPoE拨号。将IP-Link和DHCP进行绑定，当IP-Link检查DHCP Server后的链路时，FW会获取网关地址作为下一跳进行链路检测。如果发现DHCP Server后的链路故障，则将FW切换到备份链路。
命令如下：
[FW] interface interface-type interface-number
[FW-interface-type interface-number] dhcp client track ip-link ip-link-name

IP-link应用场景 – 与双机热备联动
当FW工作于双机热备份场景时，IP-Link自动侦测后发现链路故障影响主备业务，通过配置VGMP管理组绑定IP-Link，FW会对VGMP管理组的优先级进行相关调整，触发主备FW切换，从而保证业务能够持续流通。

配置思路

在主备设备上配置FW相关接口的IP地址、将接口加入相应的安全区域，Trust区域和Untrust区域的域间包过滤规则。
在主备设备上配置运行OSPF动态路由协议。
在主设备接口视图下配置Active管理组监视接口状态，在备设备接口视图下配置Standby管理组监视接口状态。
在主备设备上配置IP-Link功能，并通过VGMP管理组监控IP-Link。
在主备设备上配置HRP备份通道，并启动HRP。
配置路由器。

案例配置

1.路由器接口地址
R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 2.2.2.2 24

R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 2.2.2.3 24
[R2-GigabitEthernet0/0/1]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 1.1.1.3 24


2.VRRP
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 2.2.2.254
[R1-GigabitEthernet0/0/1]vrrp vrid 1 priority 110

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 2.2.2.254

3.防火墙安全区域配置
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]q
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.254 24
[FW1-GigabitEthernet1/0/1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 1.1.1.1 24

静态路由，保证全网可达
[FW1]ip route-static 2.2.2.0 24 1.1.1.2
[FW1]ip route-static 2.2.2.0 24 1.1.1.3 preference 100

[R1]ip route-static 10.1.1.0 24 1.1.1.1
[R2]ip route-static 10.1.1.0 24 1.1.1.1


4.防火墙策略
[FW1]security-policy 
[FW1-policy-security]rule name policy_1
[FW1-policy-security-rule-policy_1]source-zone trust
[FW1-policy-security-rule-policy_1]destination-zone untrust
[FW1-policy-security-rule-policy_1]source-address 10.1.1.0 24
[FW1-policy-security-rule-policy_1]destination-address 2.2.2.0 24
[FW1-policy-security-rule-policy_1]service icmp
[FW1-policy-security-rule-policy_1]action permit


5.IP-LINK
[FW1]ip-link check enable
[FW1]ip-link name test
[FW1-iplink-test]destination 2.2.2.2 interface g1/0/0 mode icmp next-hop 1.1.1.2
[FW1-iplink-test]q

IP-LINK与静态路由联动
[FW1]ip route-static 2.2.2.0 24 1.1.1.2 track ip-link test

BFD技术

双向转发检测BFD（Bidirectional Forwarding Detection）用于快速检测系统之间的通信故障，并在出现故障时通知上层协议。 双向检测。 检测模式——异步模式

BFD会话建立方式

• BFD通过控制报文中的My Discriminator（本地标识符）和Your Discriminator（远端标识符）区分不同的会话。

BFD会话有四种状态：Down、Init、Up和AdminDown。

发送方在发送BFD控制报文时会在Sta字段填入本地当前的会话状态，接收方根据收到的BFD控制报文的Sta字段以及本端当前会话状态来进行状态机的迁移。

在Web界面选择“策略 > 高可靠性 > BFD”，单击“新建”创建一条BFD检测会话，按照如图所示进行配置。
在CLI界面，对应的配置命令如下：

[FW] Bfd //开启全局BFD功能并进入BFD全局视图。
[FW] bfd cfg-name bind peer-ip peer-ip [ vpn-instance vpn-instance-name ] [ interface interface-type interface-number [ nexthop { nexthop-address | dhcp } ] ] [ source-ip source-ip ] //通过指定对端IP地址方式创建静态BFD会话。此条命令是针对有IP地址的三层接口。
[FW-bfd-cfg-name] discriminator local local-discr-value //配置本地标识符。
[FW-bfd-cfg-name] discriminator remote remote-discr-value //配置远端标识符。
[FW-bfd-cfg-name] Commit //提交配置。在创建BFD会话时，配置完必要的参数（例如本地标识符和远端标识符）后，必须执行commit命令才能成功创建会话。

BFD与双机热备联动场景

• 双机热备功能可以保证网络中主用设备出现故障时，备用设备能够平衡地接替主用设备的工作，从而实现业务的不间断运行。
• VGMP管理组是双机热备的核心，它决定了设备的主备状态。
• BFD与双机热备联动就是通过VGMP管理组监控静态BFD会话，使VGMP管理组优先级随着BFD会话的状态而变化，从而引起设备的主备状态切换。
  
• 如图所示，FW_A与FW_B形成双机热备状态，FW_A为主用设备，FW_B为备用设备。为进一步增强网络可靠性，使FW可以监控到非直连链路的状态，需要在FW_A与Router_A之间建立BFD会话，并且在FW_A上使用VGMP管理组监控BFD会话；在FW_B与Router_B之间建立BFD会话，并且在FW_B上使用VGMP管理组监控BFD会话。
• 如图所示，如果Router_A的GE1/0/1接口故障，则BFD会话会检测到故障（由Up转为Down），并将故障上报给FW_A的VGMP管理组。FW_A的VGMP管理组优先级会降低，低于FW_B的VGMP管理组优先级，进而导致设备主备状态切换，使FW_A成为备用设备，FW_B成为主用设备。此时双机热备系统再根据网络中运行的不同路由协议调整路由。

BFD与IP-Link异同

案例配置

1.创建防火墙区域，划分
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/0
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]add int g1/0/2
[FW1-zone-untrust]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.254 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 11.1.1.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 12.1.1.1 24

[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/0
[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/1
[FW2-zone-untrust]add int g1/0/2
[FW2-zone-untrust]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 20.1.1.254 24
[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 11.1.1.2 24
[FW2-GigabitEthernet1/0/1]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 13.1.1.2 24



2.OSPF
[FW1]router id 1.1.1.1
[FW1]ospf
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]net 10.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 11.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 12.1.1.0 0.0.0.255

[FW2]router id 2.2.2.2
[FW2]ospf
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 11.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 13.1.1.0 0.0.0.255

[R1]router id 3.3.3.3
[R1]ospf 
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net 12.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 13.1.1.0 0.0.0.255


3.防火墙策略
· 在防火墙和路由器上看到的OSPF邻接状态都为ExStart发现OSPF邻接关系没建立起来因为防火墙和路由器之间没有成功交换DD Database Description报文。DD报文主要用来描述本端的LSDB进行数据库的同步。
· 防火墙上开启Local区域和Trust区域之间的双向安全策略DD报文是双向的允许OSPF报文通过

[FW1]security-policy
[FW1-policy-security]rule name ospf
[FW1-policy-security-rule-ospf]source-zone local
[FW1-policy-security-rule-ospf]source-zone trust
[FW1-policy-security-rule-ospf]source-zone untrust
[FW1-policy-security-rule-ospf]destination-zone local
[FW1-policy-security-rule-ospf]destination-zone untrust
[FW1-policy-security-rule-ospf]destination-zone trust
[FW1-policy-security-rule-ospf]service icmp
[FW1-policy-security-rule-ospf]service protocol 89
[FW1-policy-security-rule-ospf]action permit

[FW2]security-policy
[FW2-policy-security]rule name ospf
[FW2-policy-security-rule-ospf]source-zone local
[FW2-policy-security-rule-ospf]source-zone untrust
[FW1-policy-security-rule-ospf]source-zone trust
[FW2-policy-security-rule-ospf]destination-zone local
[FW2-policy-security-rule-ospf]destination-zone untrust 
[FW1-policy-security-rule-ospf]destination-zone trust
[FW2-policy-security-rule-ospf]service icmp
[FW2-policy-security-rule-ospf]service protocol 89
[FW2-policy-security-rule-ospf]action permit

security-policy
 rule name ospf
 source-zone local
 source-zone trust
 source-zone untrust
 destination-zone local
 destination-zone untrust
 destination-zone trust
 service icmp
 service protocol 89
 action permit

4.为了监控主链路，需要在各设备上部署OSPF与BFD联动
FW1和FW2和R1
bfd  //开启全局BFD功能并进入BFD全局视图。
ospf
bfd all-interfaces enable


5.为了更快切换主链路的流量，在FW1和FW2之间的接口启用接口BFD功能
FW1和FW2
int g1/0/1
 ospf bfd enable
 ospf bfd min-tx-interval 500 min-rx-interval 500 detec
t-multiplier 4

总结：对于防火墙来说一般情况下单播报文是要经过安全策略的检查所以需要开启安全策略允许报文通过，而组播报文不经过安全策略的检查也就不需要开启相应的安全策略。

❤双机热备技术

VRRP提供冗余和备份
VGMP是为了管理，状态切换一致性
HRP是为了同步信息

VRRP（Virtual Router Redundancy Protocol）是一种容错协议，它保证当主机的下一跳路由器（默认网关）出现故障时，由备份路由器自动代替出现故障的路由器完成报文转发任务，从而保持网络通信的连续性和可靠性。
VGMP（VRRP Group Management Protocol）协议实现对VRRP备份组的统一管理，保证多个VRRP备份组状态的一致性。
HRP（ Huawei Redundancy Protocol）协议实现防火墙双机之间动态状态数据和关键配置命令的备份。

双机热备的基本原理

VRRP协议原理：
虚拟IP地址

• 同一个备份组中的多个路由器共同提供一个虚拟IP地址，作为内网用户的网关。
• 虚拟IP地址只在主路由器上生效。当主路由器故障时，会从备份路由器中选举出一个新的路由器作为主路由器，虚拟IP会自动迁移到新的主路由器。
• 在进行业务网关配置时，使用VRRP的虚拟IP地址来替代接口的实际IP地址，这样在出现故障时可以实现自动和平滑的切换。

HELLO报文和故障检测

• 主路由器通过组播方式定期向备份路由器发送通告报文（HELLO），备份路由器则负责监听通告报文。

• 如果主路由器链路故障导致HELLO报文无法发送到备份路由器，当备份路由器在三个报文周期内收不到VRRP通告报文时，备份路由器就会重新协商出一个新的主路由器，该路由器将自动启用备份组的虚拟IP，同时发送虚拟IP的免费ARP报文，通知上下行设备刷新ARP表项，将业务流量切换到自己提供的业务端口，并转发以虚拟路由器IP地址作为下一跳的报文。

• 由于VRRP HELLO报文为组播报文，所以要求备份组中的各路由器通过二层设备（二层交换机或者带二层板的路由器）相连，即启用VRRP时上下行设备必须具有二层交换功能，否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足，则不能使用VRRP。

VGMP协议原理：
VGMP状态(Active/Standby)

• 当防火墙上的VGMP为Active状态时，它保证组内所有VRRP备份组的状态统一为Active状态，这样所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态，该防火墙成为备用防火墙。
• VGMP的优先级会根据组内的VRRP备份组成员的状态动态调整，以此完成两台防火墙的主备倒换。

VGMP HELLO

• 与VRRP类似，状态为Active的VGMP也会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）。
• 两台防火墙通过HELLO报文交互各自的状态信息。
• VGMP HELLO报文发送周期缺省为1秒。当Standby端三个HELLO报文周期没有收到对端发送的- HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态。

HRP协议原理：

• 当主防火墙出现故障时，所有流量都将切换到备防火墙。但USG防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的连接状态数据，则切换到备防火墙的很多流量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接。
• HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据，提交给HRP模块，HRP模块负责将数据发送到对端防火墙的对应模块，应用模块需要再将HRP模块提交上来的数据进行解析，并加入到防火墙的动态运行数据池中。

---

HRP Track interface原理

• 应用场景：
  FW上下行连接路由器的组网中，由于路由器无法透传VRRP组播报文，无法通过配置VRRP备份组方式将接口加入VGMP管理组进行监控。此时，需要配置hrp track interface来实现VGMP组对接口状态的监控。

• 配置命令：
  [FW1] hrp track interface interface-type interface-number

• 配置影响：
  VGMP组监控的接口发生故障时，本端VGMP组的优先级会降低（一个接口故障，优先级降低2）。

Vlan Track的原理和配置

• 应用场景：
  FW工作在二层时，为了让VGMP管理组能够监控二层业务接口的状态，需要将上下行业务接口加入同一个VLAN，并配置hrp track vlan。

• 配置命令：
  [FW1-vlan10] hrp track vlan vlan-id

• 配置影响：
  配置hrp track vlan后，VLAN中每个接口故障，VGMP管理组优先级降低2。
  备用设备上配置hrp track vlan后，该VLAN就不能转发报文。

❤OSPF Cost调整原理

• hrp adjust enable命令用来启动根据主备状态调整OSPF、OSPFv3或BGP相关的COST值功能。

• 配置命令
  [FW1] hrp adjust ospf-cost enable [ add [ add-cost ] ]

• FW发布OSPF或OSPFv3路由时，如果是主用设备，FW把学习到的OSPF或OSPFv3路由直接发布出去；如果是备用设备，FW发布Cost值为slave-cost的OSPF或OSPFv3路由。缺省情况下，发布Cost值为65500的OSPF或OSPFv3路由。

• FW发布OSPF路由时，如果配置了add add-cost参数，主用设备上FW把学习到的OSPF路由直接发布出去；如果是备用设备，FW发布的OSPF路由的Cost值会增加add-cost。缺省情况下，add-cost值增加100。

双机热备场景概述

防火墙工作在3层模式，是指防火墙的各业务接口为三层接口需要配置IP地址。而防火墙工作在2层模式是指防火墙工作为透明模式，除HRP心跳口外，其余接口均不配置IP地址。
而防火墙工作在不同层以及其业务口所连接的设备不同，双机热备的配置也有所差异。

双机热备组网最常见的是防火墙采用路由模式，下行交换机双线上联到防火墙，正常情况下防火墙A作为主，当防火墙A上行或下行链路down掉后，防火墙B自动切换为主设备，交换机流量走向防火墙B。
场景分析：

• 该场景防火墙上下行是交换机，能适应绝大部分的组网需要，上下行均通过VRRP实现流量的快速切换。由VGMP组管理设备上所有的VRRP组状态。自动备份，启用静态路由备份功能。从内部网络侧需要配置静态路由到达防火墙上下行的虚拟接口。

 

场景分析：

• 在此种场景下，无法在业务端口上配置VRRP备份组，因此采用HRP Track 接口的方式由VGMP管理组直接监测接口状态，VGMP管理组监控的接口故障时，VGMP管理组优先级降低。当主用设备的VGMP管理组优先级低于备用设备的VGMP管理组优先级，会发生主备设备的状态切换；
• 由于题目要求监测出接口，使网络保持可用，可以使用ip-link对出接口进行监测， hrp track绑定ip-link进行ip-link与双机热备的联动；
• 由于所有设备都运行ospf协议，防火墙进行主备备份，则需要在两台FW的直连路由器上配置不同的COST值，当进行主备倒换使，需要更改cost值，使用hrp cost enable命令实现cost值自动调整；
• 需要在FW上指定心跳口，并启用HRP功能。

场景分析：

• 该场景无法在上行业务端口上配置VRRP备份组和HRP Track，因此采用Link-group绑定VRRP监测口的方式监测上行口；
• 由于题目要求监测出接口，使网络保持可用，且不能使用ip-link，可以使用BFD对出接口进行监测， hrp track绑定BFD进行BFD与双机热备的联动；
• 由于防火墙和上行设备运行OSPF协议，防火墙进行主备备份，则需要在两台FW的直连路由器上配置不同的COST值，当进行主备倒换时，需要更改cost值，使用hrp cost enable命令实现cost值自动调整；
• 需要在FW上指定心跳口，并启用HRP功能。

场景分析：

• 在该场景下，内网双出口接入外网，防火墙作为二层设备透明接入，不影响网络拓扑，在此种场景下，更推荐将双机设置为负载均衡模式；
  需要在FW上指定心跳口，并启用HRP功能；
  无法在业务端口上配置VRRP备份组，因此采用HRP Track vlan的方式由VGMP管理组直接监测接口状态。
• 如果配置双机为负载均衡模式，则两台设备都会转发报文。
• 如果在此种组网下，将防火墙配置为主备模式，在防火墙进行主备切换时，上下行路由收敛时间较长，可能引起业务丢包，因此在该种场景下更推荐配置为负载均衡模式。

案例配置

1.建立安全区域，划分接口，配置接口地址
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/2
[FW1-zone-trust]firewall zone untrust
[FW1-zone-untrust]add int g1/0/1
[FW1-zone-untrust]firewall zone dmz
[FW1-zone-dmz]add int g1/0/6
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 30.1.1.1 24
[FW1-GigabitEthernet1/0/2]int g1/0/6
[FW1-GigabitEthernet1/0/6]ip add 50.1.1.1 24

[FW2]firewall zone trust
[FW2-zone-trust]add int g1/0/2
[FW2-zone-trust]firewall zone untrust
[FW2-zone-untrust]add int g1/0/1
[FW2-zone-untrust]firewall zone dmz
[FW2-zone-dmz]add int g1/0/6
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 40.1.1.1 24
[FW2-GigabitEthernet1/0/2]int g1/0/6
[FW2-GigabitEthernet1/0/6]ip add 50.1.1.2 24
[FW2-GigabitEthernet1/0/6]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 20.1.1.1 24


2.OSPF区域配置  FW1、FW2、R1、R2
[FW1]ospf router-id 1.1.1.1
[FW1-ospf-1]area 0
[FW1-ospf-1-area-0.0.0.0]net 10.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 50.1.1.0 0.0.0.255
[FW1-ospf-1-area-0.0.0.0]net 30.1.1.0 0.0.0.255

[FW2]ospf router-id 2.2.2.2
[FW2-ospf-1]area 0
[FW2-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 40.1.1.0 0.0.0.255
[FW2-ospf-1-area-0.0.0.0]net 50.1.1.0 0.0.0.255

[R1]ospf router-id 11.11.11.11
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]net 10.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 20.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]net 2.2.2.0 0.0.0.255

[R2]ospf router-id 22.22.22.22
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]net 30.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]net 40.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]net 1.1.1.0 0.0.0.255


3.配置VRRP
FW1
[FW1]int g1/0/6
[FW1-GigabitEthernet1/0/6]vrrp vrid 1 virtual-ip 50.1.1.254 active

FW2
[FW2]int g1/0/6
[FW2-GigabitEthernet1/0/6]vrrp vrid 1 virtual-ip 50.1.1.254 standby 

4.配置HRP
FW1
 hrp enable
 hrp int g1/0/6 remote 50.1.1.2
 hrp auto-sync 
 hrp mirror session enable

FW2
 hrp enable
 hrp int g1/0/6 remote 50.1.1.1
 hrp auto-sync 
 hrp mirror session enable

5.配置cost自动调整
FW1/FW2
hrp adjust ospf-cost enable

6.追踪接口
FW1/FW2
hrp track interface g1/0/1
hrp track interface g1/0/2


7.安全策略
security-policy
 rule name ospf
  source-zone local
  source-zone trust
  source-zone untrust
  source-zone dmz
  destination-zone local
  destination-zone trust
  destination-zone untrust
  destination-zone dmz
  service icmp
  service protocol 89
  action permit


8.检测
- 配置完OSPF后观察R2/R1路由情况
  dis ip routing-table 2.2.2.0/1.1.1.0  负载路由
- 配置完所有配置观察R2/R1路由情况
  dis ip routing-table 2.2.2.0/1.1.1.0  最佳路由
  dis ospf lsdb 查看R2的LSA所携带的cost是65500
- R1 down接口G0/0/1，观察VRRP角色是否变化，看设备名

Link-group技术

Link-group 的工作原理
将多个物理接口的状态相互绑定，组成一个逻辑组；
如果组内任意接口出现故障，系统将组内其它接口状态设置为Down；
当组内所有接口恢复正常后，整个组内的接口状态才重新被设置为Up。

配置接口GigabitEthernet 1/0/0 加入到Link-group 1。
[FW] interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0] link-group 1

配置接口GigabitEthernet 1/0/1加入到Link-group 1。
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] link-group 1

查看Link-Group 成员接口状态。
[FW] display link-group 1
link group 1, total 2, fault 0
GigabitEthernet1/0/1 : up
GigabitEthernet1/0/2 : up

案例配置

Eth-Trunk技术

Eth-trunk功能是绑定多个以太网接口，形成一个逻辑接口组。
Eth-trunk功能特性如下：

• 提高链路的通讯带宽
• 流量的负载分担
• 提高链路的可靠性

通过Eth-Trunk 接口可以提高链路的通信能力

• 需要将多个以太网端口捆绑为一个Eth-Trunk 接口，Eth-Trunk 接口的总带宽是各成员带宽之和，通过这种方式，可以增加接口的带宽。
  通过Eth-Trunk 接口可以实现负载分担
• Eth-Trunk 接口将流量分散到不同的链路上，最后到达统一目的地。这样可以避免流量都走同一条路径造成的流量阻塞。
  Eth-Trunk 接口还可以提高链路的可靠性
• 在Eth-Trunk 接口中，如果某个成员端口状态，为Down，流量还能依靠其他的端口进行传输。
   

链路聚合根据是否启用链路聚合控制协议分为以下两种类型：
手工链路聚合（默认）

• 手工模式是一种最基本的链路聚合方式，在该模式下Eth-Trunk接口的建立，成员接口的加入，以及哪些接口作为活动接口完全由手工来配置，没有链路聚合控制协议的参与。

静态LACP模式链路聚合

• 静态LACP模式下，Eth-Trunk接口的建立，成员接口的加入，都是由手工配置完成的。但与手工负载分担模式链路聚合不同的是，该模式下LACP协议报文负责活动接口的选择。

创建eth-trunk 1组。
[FW_A] interface eth-trunk 1
[FW_A-Eth-Trunk1] ip address 100.1.1.1 24

依次将规划的接口加入到eth-trunk 1组。
[FW_A] interface Gigabitethernet 1/0/0
[FW_A-Gigabitethernet 1/0/0] eth-trunk 1

Eth-trunk在双机热备中的应用
采用Eth-Trunk的方式将心跳口进行捆绑。

案例配置

在上面 Link-group技术案例配置的基础上