VRRP与防火墙双机热备实验

目录

实验一：VRRP负载均衡与故障切换

实验拓扑​编辑一、实验配置步骤

1. 基础网络配置

2. VRRP双组配置

二、关键验证命令

1. 查看VRRP状态

2. 路由表验证

三、流量分析

正常负载均衡场景：

故障切换验证：

实验二：防火墙双机热备

拓扑架构​编辑

核心配置要点

1. 基础安全配置

2. VRRP+HRP配置

状态验证

实验总结

关键技术点

---

实验一：VRRP负载均衡与故障切换

实验拓扑一、实验配置步骤

1. 基础网络配置

# AR1接口配置
interface GigabitEthernet0/0/0ip address 192.1.1.253 255.255.255.0
interface GigabitEthernet0/0/1ip address 192.1.2.253 255.255.255.0# AR2接口配置 
interface GigabitEthernet0/0/0ip address 192.1.1.254 255.255.255.0
interface GigabitEthernet0/0/1ip address 192.1.2.254 255.255.255.0

2. VRRP双组配置

# AR1配置（主备份组1）
interface GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.1.1.250vrrp vrid 1 priority 120vrrp vrid 2 virtual-ip 192.1.1.251# AR2配置（主备份组2）
interface GigabitEthernet0/0/0vrrp vrid 1 virtual-ip 192.1.1.250vrrp vrid 2 virtual-ip 192.1.1.251vrrp vrid 2 priority 120# 公共备份组3（双活模式）
interface GigabitEthernet0/0/1vrrp vrid 3 virtual-ip 192.1.2.250vrrp vrid 3 preempt-mode timer delay 20

二、关键验证命令

1. 查看VRRP状态

display vrrp brief
VRID  State   Interface          Virtual IP     Master IP     
-------------------------------------------------------------
1     Master  GE0/0/0           192.1.1.250    192.1.1.253 (AR1)
2     Backup  GE0/0/0           192.1.1.251    192.1.1.254 (AR2)
3     Master  GE0/0/1           192.1.2.250    192.1.2.253 (AR1)

2. 路由表验证

display ip routing-tableDestination/Mask    Proto   Pre Cost Flags NextHop        Interface
192.1.1.0/24        Direct  0   0    D     192.1.1.253    GE0/0/0
192.1.2.0/24        RIP     100 1    D     192.1.2.254    GE0/0/1

三、流量分析

正常负载均衡场景：

• ​​PC1→PC3​​：通过AR1的VRRP组1（192.1.1.250）
• ​​PC2→PC3​​：通过AR2的VRRP组2（192.1.1.251）

故障切换验证：

# 断开AR1-GE0/0/0链路后
display vrrp brief
VRID  State   Interface          Virtual IP     Master IP     
-------------------------------------------------------------
1     Master  GE0/0/0           192.1.1.250    192.1.1.254 (AR2)
2     Master  GE0/0/0           192.1.1.251    192.1.1.254 (AR2)

---

实验二：防火墙双机热备

拓扑架构

核心配置要点

1. 基础安全配置

# FW1接口配置
interface GigabitEthernet1/0/1ip address 10.1.2.1 255.255.255.0zone trust
interface GigabitEthernet1/0/4ip address 40.1.1.1 255.255.255.0zone untrust# 安全策略
security-policyrule name trust-untrustsource-zone trustdestination-zone untrustaction permit

2. VRRP+HRP配置

# FW1主配置
hrp enable
hrp interface GigabitEthernet1/0/3 remote 30.1.1.2interface GigabitEthernet1/0/4vrrp vrid 1 virtual-ip 2.2.2.1vrrp vrid 1 priority 120

状态验证

display hrp state
Role           : active
Peer state     : active
HRP channel    : 30.1.1.2 (GE1/0/3)
Session sync   : 100% completedisplay vrrp
Interface GE1/0/4 - VRID 1
State    : Master
Virtual IP : 2.2.2.1
Master IP  : 40.1.1.1

---

实验总结

关键技术点

1. ​​VRRP负载均衡​​
   通过配置多VRRP组实现流量分流，主备优先级控制实现自动切换

2. ​​防火墙热备机制​​
   HRP协议实现配置同步，VGMP组管理设备状态，VRRP虚拟IP保持业务连续性

3. ​​故障切换时间​​
   VRRP默认3秒通告间隔，实际切换时间约5-10秒（含检测+切换）

关键命令

​​功能​​	​​命令​​
接口IP配置	interface GigabitEthernet X/X/X + ip address <IP> <掩码>
VRRP备份组创建	vrrp vrid <组号> virtual-ip <虚拟IP>
优先级设置	vrrp vrid <组号> priority <值>（默认100）
延迟抢占	vrrp vrid <组号> preempt-mode timer delay <秒>
查看VRRP状态	display vrrp brief
防火墙安全策略	security-policy + rule name <策略名> + source-zone/destination-zone
双机热备心跳线配置	hrp enable + hrp interface <接口> remote <对端IP>
查看HRP状态	display hrp state