配置路由模式下负载分担的双机热备份两台Eudemon和4台路由器之间运行OSPF协议Eudemon上下行业务端口加入到同一个link-group管理组，在链路故障时候能加快路由收敛。

Eudemon的双机热备份功能基于VRRP实现，Eudemon的HRP备份链路上配置两个VRRP 组分别加入VGMP管理组的Master管理组和Slave管理组，组成负载分担网络。

PC0所在LAN为受保护区域，Eudemon的GE0/0/1端口连接，部署在Trust区域。

外部网络和Eudemon的GE0/0/3相连，部署在Untrust区域。

两台Eudemon之间互联的HRP备份通道接口GE0/0/2部署在DMZ区域。

其中DMZ区域对应的VRRP组虚拟地址分别为10.100.50.5和10.100.50.6步骤1配置Eudemon A。

<Eudemon> system-view[Eudemon] interface gigabitethernet 0/0/1[Eudemon-GigabitEthernet 0/0/0] ip address 10.100.10.2 24[Eudemon-GigabitEthernet 0/0/0] quit[Eudemon] interface gigabitethernet 0/0/2[Eudemon-GigabitEthernet 0/0/1] ip address 10.100.50.2 24[Eudemon-GigabitEthernet 0/0/1] quit[Eudemon] interface gigabitethernet 0/0/3[Eudemon-GigabitEthernet 0/0/2] ip address 10.100.30.2 24[Eudemon-GigabitEthernet 0/0/2] quit[Eudemon] firewall zone trust[Eudemon-zone-trust] add interface gigabitethernet 0/0/1[Eudemon-zone-trust] quit[Eudemon] firewall zone dmz[Eudemon-zone-dmz] add interface gigabitethernet 0/0/2[Eudemon-zone-dmz] quit[Eudemon] firewall zone untrust[Eudemon-zone-untrust] add interface gigabitethernet 0/0/3[Eudemon-zone-untrust] quit[Eudemon] interface gigabitethernet 0/0/1[Eudemon-GigabitEthernet 0/0/0] link-group 1[Eudemon-GigabitEthernet 0/0/0] quit[Eudemon] interface gigabitethernet 0/0/3[Eudemon-GigabitEthernet 0/0/1] link-group 1[Eudemon-GigabitEthernet 0/0/1] quit# 配置统一安全网关的缺省过滤规则。

建议不配置缺省允许报文通过所有安全域间，否则会存在安全隐患。

可以根据实际组网需求配置域间包过滤规则。

[Eudemon] firewall packet-filter default permit interzone trust untrust direction outbound [Eudemon] firewall packet-filter default permit interzone dmz untrust direction inbound [Eudemon] interface gigabitethernet 0/0/2[Eudemon-GigabitEthernet 0/0/2] vrrp vrid 1 virtual-ip 10.100.50.5 master[Eudemon-GigabitEthernet 0/0/2] vrrp vrid 2 virtual-ip 10.100.50.6 slave[Eudemon-GigabitEthernet 0/0/2] quit# 配置HRP通道[Eudemon] hrp interface gigabitethernet 0/0/2# 启动HRP。

[Eudemon] hrp enable[Eudemon A] hrp auto-aync config 开启自动备份，配置该命令后Eudemon A上配置的ACL 以及包过滤规则都将自动备份到Eudemon B上，不需要再在Eudemon B上配置相关命令。

Eudemon B上面的配置DMZ区域对应的VRRP组时，其Master管理组为Eudemon A的Slave 管理组，其Slave管理组为Eudemon A的Master管理组。

配置混合模式下主备备份方式的双机热备份在不改变现有网络拓扑结构的前提下，在网络出口部署两台Eudemon 1000E统一安全网关，通过LAN Switch连接内部网络。

启动双机热备份功能，并配置统一安全网关以主备备份方式工作。

其中Eudemon 1000E A作为主用，Eudemon 1000E B作为备用。

混合模式下的双机热备份组网图如图1-11所示。

配置步骤配置Eudemon A<Eudemon> system-view[Eudemon] interface gigabitethernet 0/0/0[Eudemon-GigabitEthernet 0/0/0] ip address 3.3.3.1 255.0.0.0[Eudemon-GigabitEthernet 0/0/0] vrrp vrid 16 virtual-ip 3.3.3.10[Eudemon-GigabitEthernet 0/0/0] quit[Eudemon] firewall zone dmz[Eudemon-zone-dmz] add interface gigabitethernet 0/0/0[Eudemon-zone-dmz] quit[Eudemon] interface gigabitethernet 0/0/1# 配置GigabitEthernet 0/0/1工作在透明模式。

[Eudemon-GigabitEthernet 0/0/1] portswitch[Eudemon-GigabitEthernet 0/0/1] quit[Eudemon] firewall zone trust[Eudemon-zone-trust] add interface gigabitethernet 0/0/1[Eudemon-zone-trust] quit[Eudemon] interface gigabitethernet 0/0/2# 配置GigabitEthernet 0/0/2工作在透明模式。

[Eudemon-GigabitEthernet 0/0/2] portswitch[Eudemon-GigabitEthernet 0/0/2] quit[Eudemon] firewall zone untrust[Eudemon-zone-untrust] add interface gigabitethernet 0/0/2[Eudemon-zone-untrust] quit# 配置统一安全网关域间缺省规则为允许所有报文通过（可以根据实际需要使用其他配置策略）。

[Eudemon] firewall packet-filter default permit all# 创建并进入VLAN视图。

[Eudemon] vlan 2[Eudemon-vlan-2] quit[Eudemon] interface gigabitethernet 0/0/1[Eudemon-GigabitEthernet 0/0/1] port default vlan 2[Eudemon-GigabitEthernet 0/0/1] quit[Eudemon] interface gigabitethernet 0/0/2[Eudemon-GigabitEthernet 0/0/2] port default vlan 2[Eudemon-GigabitEthernet 0/0/2] quit[Eudemon] vlan 2# 指定由Master管理组监视VLAN。

[Eudemon-vlan-2] hrp track master[Eudemon-vlan-2] quit# 启动HRP双机热备份功能。

[Eudemon] hrp enable# 配置备份会话表的通道接口。

在混合模式下只能选用加入到VRRP管理组中的通道接口。

[Eudemon] hrp interface gigabitethernet 0/0/0步骤2 配置Eudemon 1000E B。

Eudemon 1000E B和Eudemon 1000E A的配置绝大多数相同，差别如下：Eudemon 1000E B上的接口IP地址与Eudemon 1000E A不同。

Eudemon 1000E B上指定由Slave管理组监视VLAN。