配置路由模式下主备备份方式的双机热备份举例组网需求Eudemon 1000E作为安全设备被部署在业务节点上。

其中上下行设备均是交换机，Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备，且均工作在路由模式下。

网络规划如下：∙需要保护的网段地址为10.100.10.0/24，与Eudemon 1000E的GigabitEthernet 0/0/1接口相连，部署在Trust区域。

∙外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连，部署在Untrust区域。

∙两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。

其中，各安全区域对应的VRRP组虚拟IP地址如下：∙Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。

∙Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。

∙DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。

组网图如图1所示。

图1 路由模式下主备备份方式的双机热备份配置举例组网图数据规划操作步骤1.在Eudemon 1000E A上完成以下基本配置。

# 配置GigabitEthernet 0/0/1的IP地址。

<Eudemon A> system-view[Eudemon A] interface GigabitEthernet 0/0/1[Eudemon A-GigabitEthernet0/0/1] ip address 10.100.10.2 24[Eudemon A-GigabitEthernet0/0/1] quit# 配置GigabitEthernet 0/0/2的IP地址。

[Eudemon A] interface GigabitEthernet 0/0/2[Eudemon A-GigabitEthernet0/0/2] ip address 10.100.20.2 24[Eudemon A-GigabitEthernet0/0/2] quit# 配置GigabitEthernet 0/0/3的IP地址。

[Eudemon A] interface GigabitEthernet 0/0/3[Eudemon A-GigabitEthernet0/0/3] ip address 202.38.10.2 24[Eudemon A-GigabitEthernet0/0/3] quit# 配置GigabitEthernet 0/0/1加入Trust区域。

[Eudemon A] firewall zone trust[Eudemon A-zone-trust] add interface GigabitEthernet 0/0/1[Eudemon A-zone-trust] quit# 配置GigabitEthernet 0/0/2加入DMZ区域。

[Eudemon A] firewall zone dmz[Eudemon A-zone-dmz] add interface GigabitEthernet 0/0/2[Eudemon A-zone-dmz] quit# 配置GigabitEthernet 0/0/3加入Untrust区域。

[Eudemon A] firewall zone untrust[Eudemon A-zone-untrust] add interface GigabitEthernet 0/0/3[Eudemon A-zone-untrust] quit# 配置VRRP组1，并配置VRRP组的虚拟IP地址。

[Eudemon A] interface GigabitEthernet 0/0/1[Eudemon A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master 说明：配置接口加入VRRP组前，需要先配置接口IP地址。

[Eudemon A-GigabitEthernet0/0/1] quit# 配置VRRP组2，并配置VRRP组的虚拟IP地址。

[Eudemon A] interface GigabitEthernet 0/0/3[Eudemon A-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master [Eudemon A-GigabitEthernet0/0/3] quit# 配置VRRP组3，并配置VRRP组的虚拟IP地址。

[Eudemon A] interface GigabitEthernet 0/0/2[Eudemon A-GigabitEthernet0/0/2] vrrp vrid 3 virtual-ip 10.100.20.1 master [Eudemon A-GigabitEthernet0/0/2] quit# 配置HRP备份通道。

[Eudemon A] hrp interface GigabitEthernet 0/0/2# 启动HRP。

[Eudemon A] hrp enable2.配置Eudemon 1000E B。

Eudemon 1000E B和上述Eudemon 1000E A的配置基本相同，不同之处在于：∙Eudemon 1000E B各接口的IP地址与Eudemon 1000E A各接口的IP地址不相同。

∙Eudemon 1000E B的VRRP指定的管理组应该设为Slave。

3.在Eudemon 1000E A上启动配置命令的自动备份、配置ACL，并配置Trust区域和Untrust区域的域间包过滤规则。

说明：当Eudemon 1000E A和Eudemon 1000E B都启动HRP功能完成后，在Eudemon 1000E A 上开启配置命令的自动备份，这样在Eudemon 1000E A上配置的ACL以及域间包过滤规则都将自动备份到Eudemon 1000E B，不需要再在Eudemon 1000E B上单独配置。

# 启动配置命令的自动备份功能。

HRP_M[Eudemon A] hrp auto-sync config# 创建基本ACL 2000，配置源地址为10.100.10.0/24的规则。

HRP_M[Eudemon A] acl 2000HRP_M[Eudemon A-acl-basic-2000] rule permit source 10.100.10.0 0.0.0.255 HRP_M[Eudemon A-acl-basic-2000] quit# 配置Trust区域和Untrust区域的域间包过滤规则。

HRP_M[Eudemon A] firewall interzone trust untrustHRP_M[Eudemon A-interzone-trust-untrust] packet-filter 2000 outboundHRP_M[Eudemon A-interzone-trust-untrust] quit4.配置Switch。

# 实际应用中，Switch与Eudemon 1000E相连的接口一般是二层接口，配置Eudemon 1000E A、Eudemon 1000E B连接到Switch的接口以及Switch连接到Trust/Untrust 区域的接口，将此三个接口加入同一个VLAN。

# 在区域中的PC上配置静态路由，将VRRP组的虚拟IP地址作为到达其他网段的下一跳地址。

具体配置命令请参考交换机的相关文档。

结果验证1.在Eudemon 1000E A上执行display vrrp命令，检查VRRP组内接口的状态信息，显示以下信息表示VRRP组建立成功。

2.H RP_M[Eudemon A] display vrrp3. GigabitEthernet0/0/1 | Virtual Router 14. VRRP Group : Master5. state : Master6. Virtual IP : 10.100.10.17. PriorityRun : 1008. PriorityConfig : 1009. MasterPriority : 10010. Preempt : YES Delay Time : 011. Timer : 112. Auth Type : NONE13. Check TTL : YES14.15. GigabitEthernet0/0/3 | Virtual Router 216. VRRP Group : Master17. state : Master18. Virtual IP : 202.38.10.119. PriorityRun : 10020. PriorityConfig : 10021. MasterPriority : 10022. Preempt : YES Delay Time : 023. Timer : 124. Auth Type : NONE25. Check TTL : YES26.27. GigabitEthernet0/0/2 | Virtual Router 328. VRRP Group : Master29. state : Master30. Virtual IP : 10.100.20.131. PriorityRun : 10032. PriorityConfig : 10033. MasterPriority : 10034. Preempt : YES Delay Time : 035. Timer : 136. Auth Type : NONECheck TTL : YES37.在Eudemon 1000E A上执行display hrp state命令，检查当前HRP的状态，显示以下信息表示HRP建立成功。

38.HRP_M[Eudemon A] display hrp state39. The firewall's config state is: MASTER40.41. Current state of virtual routers configured as master:42. GigabitEthernet0/0/1 vrid 1 : master43. GigabitEthernet0/0/3 vrid 2 : masterGigabitEthernet0/0/2 vrid 3 : master44.在处于Trust区域的PC1端ping VRRP组1的虚拟IP地址10.100.10.1，在Eudemon1000E A上检查会话。